Ansichten:

Erkennen Sie Sicherheitsrisiken und identifizieren Sie Anomalien, indem Sie Signale aus verschiedenen Quellen korrelieren.

Correlated Intelligence wurde entwickelt, um Ihnen erweiterte Erkennungsfunktionen zu bieten, indem es verdächtige Signale aus verschiedenen Quellen korreliert, um Sicherheitsrisiken und Anomalien zu erkennen.
Hinweis
Hinweis
  • Correlated Intelligence ist für Exchange Online, Exchange Online (Inlinemodus), Gmail und Gmail (Inlinemodus) verfügbar.
  • Derzeit sammelt Correlated Intelligence Signale von Advanced Spam Protection, Malware Scanning und Web Reputation.
Ein wesentlicher Vorteil von Correlated Intelligence ist die Fähigkeit, Signale aus mehreren Quellen zu erkennen und zu analysieren, um Sicherheitsrisiken zu identifizieren, die von einem einzelnen Sicherheitsfilter möglicherweise nicht erkannt werden. Dieser Multi-Source-Ansatz bietet eine zusätzliche Schutzebene zur Erkennung potenzieller Bedrohungen.
Ein weiteres Highlight von Correlated Intelligence ist die Möglichkeit, Sie auf Anomalien aufmerksam zu machen. Dabei werden ein oder mehrere Signale angezeigt, die vom normalen Verhalten abweichen. Anomalien müssen nicht unbedingt auf ein Sicherheitsrisiko hinweisen, sind aber ungewöhnlich genug, um Aufmerksamkeit zu verdienen. Mit dieser Funktion erhalten Sie einen umfassenderen Überblick über Ihre Sicherheitslandschaft.
Korrelation von Intelligenz funktioniert, indem zunächst Signale von verschiedenen Sicherheitsfiltern gesammelt und dann die Signale mit den vordefinierten oder benutzerdefinierten Regeln abgeglichen werden. Ziel dieses Prozesses ist es, Übereinstimmungen zu identifizieren, die auf ein Sicherheitsrisiko oder eine Anomalie hinweisen könnten, und so eine gründlichere und nuanciertere Analyse potenzieller Sicherheitsbedrohungen zu ermöglichen.
Cloud-E-Mail- und Zusammenarbeitsschutz wird mit einer Reihe von vordefinierten Korrelationsregeln und Erkennungssignalen geliefert, um von Trend Micro spezifizierte Sicherheitsrisiken und Anomalien zu erkennen. Sie können auch benutzerdefinierte Erkennungssignale definieren, die einzigartig und kritisch für Ihre Umgebung sind, und diese dann in benutzerdefinierte Korrelationsregeln einbinden. Dies bietet Ihnen die Flexibilität, Correlated Intelligence-Richtlinien zu konfigurieren, die Ihren tatsächlichen Bedürfnissen entsprechen.
Zugehörige Informationen

Konfigurieren von korrelierter Intelligenz

Aktivieren Sie die Erkennung von Sicherheitsrisiken und Anomalien durch die Korrelation von Signalen aus verschiedenen Quellen und geben Sie die Aktion an, die bei jeder Übereinstimmung angewendet werden soll.

Prozedur

  1. Wählen Sie Korrelierte Intelligenzaus.
    Standardmäßig ist dieser Sicherheitsfilter mit den folgenden Einstellungen aktiviert:
    • Die Aktion zur Erkennung von Sicherheitsrisiken ist auf Quarantäne eingestellt.
    • Alle vordefinierten Regeln ist für die Anomalieerkennung ausgewählt. Dies erzwingt, dass alle bestehenden und zukünftigen vordefinierten Korrelationsregeln automatisch Anomalien erkennen.
    Sie können mit den Standardeinstellungen arbeiten oder die Einstellungen an Ihre Anforderungen anpassen.
  2. Konfigurieren Sie die Action -Einstellungen für E-Mails, die als Sicherheitsrisiken erkannt wurden.
    Sicherheitsrisiken sind hochvertrauenswürdige Erkennungen durch korrelierte Intelligenz. Hierbei handelt es sich in der Regel um ausgeklügelte Angriffe, die mit einer einzigen Schutzschicht nur schwer zu erkennen sind. Correlated Intelligence kombiniert Signale aus verschiedenen Quellen, um fortgeschrittene Angriffe zu identifizieren, die darauf abzielen, traditionelle, schichtweise aufgebaute Verteidigungsmaßnahmen zu umgehen.
    Nähere Informationen zu den Aktionen finden Sie unter Für verschiedene Dienste verfügbare Aktionen.
  3. Benachrichtigung aktivieren fürCloud-E-Mail- und Zusammenarbeitsschutz um bei Erkennung eines Sicherheitsrisikos Benachrichtigungs-E-Mails zu senden.
  4. Bestimmen Sie, ob alle oder teilweise vordefinierte Korrelationsregeln durchgesetzt werden sollen, um Anomalien zu erkennen.
    • All pre-defined rules
      Diese Option wird automatisch ausgewählt, wenn Sie den Korrelierte Intelligenz-Schalter aktivieren.
      Trend Micro klassifiziert seine vordefinierten Korrelationsregeln zur Anomalieerkennung in drei Aggressivitätsstufen: Mäßig, Aggressiv und Extra aggressive. Einzelheiten zu diesen Regeln und den Szenarien, für die die Regeln jeder Aggressivitätsstufe geeignet sind, finden Sie unter Anzeigen von Korrelationsregeln und Erkennungssignalen.
      1. Klicken Sie auf die Ziffer neben jeder aggressiven Stufe, um die zugehörigen vordefinierten Regeln anzuzeigen.
      2. Wählen Sie eine Aktion zur Anomalieerkennung für jede Bedrohungsart unter jedem Aggressivitätsgrad aus.
        Wenn Sie die Regeln eines bestimmten aggressiven Niveaus für eine bestimmte Bedrohungsart nicht durchsetzen möchten, wählen Sie Übergehen ohne Protokollierung als Aktion.
      3. Wenn Sie bestimmte vordefinierte Regeln während der Anomalieerkennung ausschließen möchten, wählen Sie die Regeln im Bereich Ausnahmen aus.
    • Specified pre-defined rules
      Wählen Sie eine oder mehrere Regeln aus und wählen Sie dann eine Aktion für jede Regel.
    Wichtig
    Wichtig
    Anomalieerkennung durch Korrelationsregeln der Correlated Intelligence weist möglicherweise nicht immer auf bösartige Aktivitäten hin; sie stimmen mit bestimmten verdächtigen Signalen überein und können in ihrer Wirksamkeit und Erwartung variieren. Wir empfehlen, zunächst Aktionen auf Betreff mit einem Tag versehen, Haftungsausschluss hinzufügen oder E-Mail bezeichnen einzustellen, um Ergebnisse zu überwachen, bevor stärkere Maßnahmen angewendet werden. Sie können auch benutzerdefinierte Korrelationsregeln erstellen und diese im Abschnitt Benutzerdefinierte Correlated Intelligence hinzufügen, um besser zu Ihrer Umgebung zu passen.
    Nähere Informationen zu den Aktionen finden Sie unter Für verschiedene Dienste verfügbare Aktionen.
  5. Benachrichtigung aktivieren fürCloud-E-Mail- und Zusammenarbeitsschutz um bei Erkennung einer Anomalie Benachrichtigungs-E-Mails zu senden.
  6. (Nur Exchange Online) Aktivieren Sie Warning banner, um eine Warnmeldung oben im E-Mail-Text anzuzeigen, wenn Endbenutzer eine E-Mail erhalten, die durch vordefinierte Korrelationsregeln als Anomalie gekennzeichnet wurde.
    Das Banner erklärt den Grund für die Warnung und rät den Endbenutzern, Vorsicht walten zu lassen, wenn sie mit der E-Mail interagieren. Klicken Sie auf Vorschau, um zu sehen, wie das Warnbanner in den Postfächern der Endbenutzer erscheinen wird.
    Nach der Konfiguration kann Cloud-E-Mail- und Zusammenarbeitsschutz die Optionen im Warnbanner aktivieren, damit Endbenutzer E-Mails als Spam, Phishing, erwünscht oder nicht als Risiko für Trend Micro oder angegebene Administratoren melden können. Dies dient als eine weitere Methode, zusätzlich zum Add-in für Outlook, um die Bedrohungserkennung zu verbessern, indem Endbenutzer E-Mails melden können. Beim Empfang einer gemeldeten E-Mail kann Cloud-E-Mail- und Zusammenarbeitsschutz eine Bestätigungs-E-Mail an den Endbenutzer senden.
    Sie können Endbenutzer auch über potenzielle Risiken informieren, ohne die Berichtsfunktionen zu aktivieren. Um diese Aktionen zu deaktivieren, deaktivieren Sie Bericht an Trend Micro senden und Bericht an Administratoren senden in AdministrationE-Mail-Berichte. Weitere Informationen finden Sie unter Berichte von E-Mail-Berichte.
    Für die Anzeige von E-Mails, die von Endbenutzern gemeldet wurden, navigieren Sie zu AktionenVom Benutzer gemeldete E-Mails. Einzelheiten dazu finden Sie unter Von Benutzern gemeldete E-Mails.
  7. Wählen Sie eine oder mehrere benutzerdefinierte Korrelationsregeln aus und wählen Sie dann für jede Regel eine Aktion aus.
    Zusätzlich zu den von Trend Micro vordefinierten Korrelationsregeln können Sie benutzerdefinierte Korrelationsregeln hinzufügen, um die Erkennungsanforderungen in Ihrer Umgebung zu erfüllen. Weitere Informationen finden Sie unterHinzufügen einer benutzerdefinierten Korrelationsregel .
  8. Benachrichtigung aktivieren fürCloud-E-Mail- und Zusammenarbeitsschutz um bei Erkennung einer Anomalie Benachrichtigungs-E-Mails zu senden.
  9. Konfigurieren Sie Einstellungen für die Benachrichtigung.
    Administrator benachrichtigen
    1. Geben Sie die zu benachrichtigenden Administratoren an, indem Sie eine Empfängergruppe auswählen oder einzelne Empfänger angeben. Sie können auf Empfängergruppen verwalten klicken, um die Mitglieder einer Gruppe zu bearbeiten oder weitere Gruppen hinzuzufügen.
    2. Geben Sie Nachrichtendetails an, um Administratoren darüber zu informieren, dass Cloud-E-Mail- und Zusammenarbeitsschutz ein Sicherheitsrisiko erkannt und Maßnahmen für eine E-Mail-Nachricht, einen Anhang oder eine Datei ergriffen hat.
    3. Legen Sie den Schwellenwert für Benachrichtigungen fest, der die Anzahl der gesendeten Benachrichtigungs-E-Mail begrenzt. Zu den Schwellenwerteinstellungen zählen:
      • Konsolidierte Benachrichtigungen regelmäßig senden: Cloud-E-Mail- und Zusammenarbeitsschutz sendet eine E-Mail-Nachricht, die alle Benachrichtigungen für einen bestimmten Zeitraum konsolidiert. Geben Sie den Zeitraum an, indem Sie eine Zahl in das Feld eingeben und Stunde(n) oder Tag(e) auswählen.
      • Konsolidierte Benachrichtigungen basierend auf Vorkommen senden: Cloud-E-Mail- und Zusammenarbeitsschutz sendet eine E-Mail-Nachricht, die Benachrichtigungen für eine festgelegte Anzahl von Filteraktionen konsolidiert. Geben Sie die Anzahl der Viren-/Malware-Vorfälle an, indem Sie eine Zahl in das Feld eingeben.
      • Individuelle Benachrichtigungen senden: Cloud-E-Mail- und Zusammenarbeitsschutz sendet jedes Mal eine E-Mail-Benachrichtigung, wenn Cloud-E-Mail- und Zusammenarbeitsschutz eine Filteraktion durchführt.
    Benutzer benachrichtigen
    Geben Sie Nachrichtendetails an, die Empfänger darüber benachrichtigen, dass Cloud-E-Mail- und Zusammenarbeitsschutz ein Sicherheitsrisiko erkannt hat und Aktionen für Ihre E-Mail-Nachricht oder ihren Anhang durchgeführt hat.
  10. Klicken Sie auf die Registerkarte Genehmigte Liste und konfigurieren Sie die Liste der genehmigten Absender.
    1. Aktivieren Sie die Liste der zulässigen Absender.
    2. Geben Sie eine E-Mail-Adresse für den Versand oder eine Domäne an, um die Correlated Intelligence-Suche zu umgehen, und klicken Sie auf Hinzufügen >.
      Hinweis
      Hinweis
      Sie können das Zeichen (*) als Platzhalter für ein beliebiges Zeichen in E-Mail-Adressen oder Domänennamen verwenden. Beispiele: *@example.com, name@*.com, *@*.example.com
      Die folgenden Formate sind ungültig: *@*, *
    3. Klicken Sie optional auf Importieren, um Absender-E-Mail-Adressen in Chargen zu importieren, oder klicken Sie auf Exportieren, um die genehmigten Absender zu exportieren und auf Ihren lokalen Computer herunterzuladen.
  11. Klicken Sie auf Save.
    Sie können die Erkennungsergebnisse überprüfen und die Gründe für die Erkennungen erfahren auf dem Bildschirm AktionenKorrelierte Intelligenz.