Ansichten:

Erstellen Sie ein benutzerdefiniertes Modell, um die spezifischen Ereignisse zu definieren, die Workbench-Warnungen auslösen.

Wichtig
Wichtig
Sie können maximal 50 benutzerdefinierte Modelle erstellen.

Prozedur

  1. Gehe zu Agentic SIEM & XDRDetection Model ManagementCustom ModelsHinzufügen.
  2. Geben Sie die allgemeinen Einstellungen des Modells an.
    • Model name
    • Beschreibung
    • Schweregrad
      Wichtig
      Wichtig
      Das Auswählen einer Schwere von Mittel oder höher beeinflusst den risk index in Cyber Risk Overview und Threat and Exposure Management.
      Während der Test- und Abstimmungsphase des Modells wählen Sie eine Schweregrad von Niedrig, um unbeabsichtigte Auswirkungen auf Ihre Indizes zu vermeiden.
  3. Wählen Sie den Filtermodus für das Modell aus.
    Es gibt drei Filtermodi:
    • Single Filter: Das benutzerdefinierte Modell wendet nur einen Filter an.
    • Multiple filters: Das benutzerdefinierte Modell wendet mehrere Filter an, indem es entweder einen UND- oder ODER-logischen Operator verwendet.
    • Multiple filters in sequence: Das benutzerdefinierte Modell wendet mehrere Filter in der angegebenen Reihenfolge an.
  4. Filtereinstellungen angeben:
    • Filter name: der Filter, den das benutzerdefinierte Modell verwendet
      Hinweis
      Hinweis
      Create custom filter öffnet Custom Filter Settings in einem neuen Browser-Tab. Nachdem Sie den neuen benutzerdefinierten Filter erstellt haben, können Sie den Filter aus Filter name in Custom Models auswählen.
    • Threshold: die Anzahl der Ereignisse, die auftreten müssen, um einen Alarm auszulösen. Der Schwellenwert muss größer als 0 sein.
  5. Wenn Sie Multiple filters oder Multiple filters in sequence ausgewählt haben, können Sie einen weiteren Filter hinzufügen, indem Sie auf Add filter klicken.
    Sie können bis zu fünf Filter haben. Jeder Filter hat eine unabhängige Schwellenwerteinstellung.
  6. Wenn Sie Multiple filters ausgewählt haben, wählen Sie den logischen Operator aus:
    • AND: Das Modell löst einen Alarm nur aus, wenn alle Filter die angegebenen Schwellenwerte erfüllen.
    • OR: Das Modell löst einen Alarm aus, wenn ein Filter den angegebenen Schwellenwert erreicht.
    Wichtig
    Wichtig
    Sie können nur einen Operator für alle Filter verwenden. Sie können keine Operatoren zwischen Filtern mischen.
  7. Geben Sie die Ereignisgruppierung an.
    • Firma: Ein Ereignis auslösen, wenn der Schwellenwert irgendwo in Ihrer Organisation erreicht wird.
    • Container: Ein Ereignis auslösen, wenn der Schwellenwert erreicht ist und mit einem einzelnen Container verknüpft ist.
    • Endpunkt: Ein Ereignis auslösen, wenn der Schwellenwert erreicht ist und mit einem einzelnen Endpunkt verknüpft ist. Das Ereignis umfasst nur die 10 Endpunkte mit den meisten übereinstimmenden Ereignissen.
    • Benutzerkonto: Ein Ereignis auslösen, wenn der Schwellenwert erreicht ist und mit einem einzelnen Benutzerkonto verknüpft ist.
    Um die Alarmmüdigkeit zu verringern, enthalten Workbench-Alarme nur die wichtigsten Ziele mit übereinstimmenden Ereignissen. Wenn Sie beispielsweise nach Endpoint gruppieren, beinhalten die Alarme nur die 10 Endpunkte mit der höchsten Anzahl an übereinstimmenden Ereignissen.
  8. Geben Sie den Modellzeitplan an.
    • Zeitintervall: Wie oft das Modell die Aktivitätsdaten abfragt.
    • Zeitraum: Der Zeitraum, der jedes Mal abgefragt wird, wenn das Modell verwendet wird.
      Wenn der Zeitraum größer als die Frequenz ist, wird der Filter auf zuvor abgefragte Daten angewendet. Dies könnte dazu führen, dass dasselbe Ereignis in mehreren Warnmeldungen erscheint.
    • Status: Ob das benutzerdefinierte Erkennungsmodell nach dem Speichern der Einstellungen aktiviert werden soll.
  9. Klicken Sie auf Save.
Wenn aktiviert, suchen benutzerdefinierte Modelle kontinuierlich nach übereinstimmenden Ereignissen.