Ansichten:

Anzeigen und Verwalten von Ereignisregeln für Risikoevents, die als Abgelehnt oder Akzeptiert markiert sind.

Der Bildschirm Event Rule Management bietet einen zentralen Ort, um Ereignisregeln anzuzeigen und zu verwalten. Sie können Ereignisregeln erstellen, wenn Sie den Status von Risikoevents und Schwachstellen ändern. Status, die die Erstellung von Regeln unterstützen, umfassen:
  • Verworfen: Das Markieren eines Risikovorfalls als Abgewiesen und das Erstellen einer zugehörigen Ereignisregel verhindert die Meldung zukünftiger Instanzen des Risikovorfalls, sodass sie den Cyber Risk Index nicht beeinflussen.
  • Akzeptiert: Das Markieren eines Risikovorfalls als Akzeptiert und das Erstellen einer zugehörigen Ereignisregel stellt sicher, dass bestehende und zukünftige Instanzen des Risikovorfalls für den angegebenen Zeitraum als Akzeptiert markiert werden. Ereignisse, die als Akzeptiert markiert sind, tragen weiterhin zu Ihrem Cyber risk index bei.
Das Entfernen einer Ereignisregel ermöglicht die Berichterstattung für zukünftige Instanzen des zugehörigen Risikoevents.
In der folgenden Tabelle sind Aktionen aufgeführt, die im Bildschirm Event Rule Management verfügbar sind.
Aktion
Beschreibung
Ereignisregeln filtern
Verwenden Sie die Dropdown-Menüs und das Suche-Feld, um spezifische Ereignisregeln zu finden.
  • Group by: Gruppieren Sie Ereignisregeln nach dem ursprünglichen Risk event oder nach Assets
  • Risk factor: Ereignisregeln nach dem Risikofaktor des ursprünglichen Risikovorfalls filtern
    Das Dropdown-Menü Risk factor ist nur verfügbar, wenn Ereignisregeln nach Risk event gruppiert angezeigt werden.
  • Impacted assets: Ereignisregeln nach der Art des Vermögenswerts filtern, der vom ursprünglichen Risikoevent betroffen ist
    Das Impacted assets-Dropdown-Menü ist nur verfügbar, wenn Ereignisregeln nach Risk event gruppiert angezeigt werden.
  • Asset type: Ereignisregeln nach Asset-Typ filtern
    Das Dropdown-Menü Asset type ist nur verfügbar, wenn Ereignisregeln nach Assets gruppiert angezeigt werden.
  • Status: Ereignisregeln filtern, je nachdem, ob die Regeln derzeit aktiv, abgelaufen oder geplant sind
    Das Status-Dropdown-Menü ist nur für Regeln im Akzeptiert-Ereignisregel-Tab verfügbar.
  • Created by: Sortieren Sie Filterereignisregeln nach dem Trend Vision One-Benutzer, der die Ereignisregel erstellt hat.
  • Suche: Bietet eine teilweise Übereinstimmung nach Risikoevent bei der Gruppierung nach Risk event oder nach Asset bei der Gruppierung nach Assets.
Informationen zu Ereignisregeln anzeigen
Klicken Sie auf ein Risikoereignis oder Asset, um eine Liste der zugehörigen Ereignisregeln anzuzeigen
  • Beim Gruppieren nach Risk event wird durch Klicken auf ein Risikoevent eine Liste der Ereignisregeln angezeigt, die mit dem ausgewählten Risikoevent in Zusammenhang stehen.
  • Beim Gruppieren nach Assets wird durch Klicken auf ein Asset eine Liste der Ereignisregeln angezeigt, die mit dem ausgewählten Asset verbunden sind.
Um Ereignisregeln zu entfernen, wählen Sie sie aus, und klicken Sie auf Remove Event Rules.
Um den Status einer aktiven oder geplanten akzeptierten Ereignisregel zu ändern, klicken Sie auf das Zeitraum-Feld und geben Sie einen neuen anwendbaren Zeitraum ein.
Um eine abgelaufene akzeptierte Ereignisregel zu aktivieren, wählen Sie die Regel aus und klicken Sie auf Activate Event Rules. Legen Sie einen neuen anwendbaren Zeitraum und eine Beschreibung fest und klicken Sie dann auf Aktivieren.
Ereignisregelparameter verwalten
Klicken Sie auf einen aktiven unterstützten Regeltyp für Ereignisse, um Regelparameter hinzuzufügen oder zu entfernen. Ereignisregeln mit festgelegten Parametern gelten nur, wenn die Parameter erfüllt sind. Risikoereignisinstanzen, die die Regelparameter nicht erfüllen, werden dennoch gemeldet, was sich auf Ihren Cyber Risk Index auswirkt.
Die folgende Tabelle beschreibt die Ereignistypen von Risiken, die derzeit Parameter unterstützen, zusammen mit dem unterstützten Parameterinhalt.
Risikoeignistyp
Risikofaktor
Unterstützter Parameterinhalt
Möglicher Versuch der Identitätsanmaßung - Unmögliche Reise
Konto kompromittiert
IPv4-Adressen und -Bereiche
Möglicher Identitätsbetrugsversuch - Ungewöhnliches Reiseverhalten
Kontenkompromittierung
IPv4-Adressen und -Bereiche
Potenzielle Brute-Force-Attacke über Okta – Password Spraying
Konto kompromittiert
IPv4-Adressen und -Bereiche
Ungewöhnlicher Gerätezugriff von IP-Adressen
Aktivitäten und Verhaltensweisen
IPv4-Adressen und -Bereiche
Ungewöhnliche interne IP-Verbindung
Aktivitäten und Verhaltensweisen
IPv4-Adressen und -Bereiche
Ungewöhnlicher Benutzerzugriffstag
Aktivitäten und Verhaltensweisen
Wochentage
Gefährlicher Cloud-App-Zugriff
Cloud-App-Aktivität
Apps
Gefährlicher mobiler App-Zugriff
Cloud-App-Aktivität
Apps
Netzwerksensor - Erkennung von Sicherheitsrisiken
Bedrohungserkennung
Regeln
Trend Cloud One - Endpoint & Workload Security - Sicherheitsrisikoerkennung
Bedrohungserkennung
Regeln
Trend Vision One Container Security - Sicherheitsrisikoerkennung
Bedrohungserkennung
Regeln
Netzwerksensor - Aktivitäts- und Verhaltensüberwachung
Bedrohungserkennung
Regeln
Anzeigen von durch eine Ereignisregel betroffenen Assets
Beim Gruppieren nach Risk event wird durch Klicken auf die Anzahl der betroffenen Assets für ein Risikoevent eine Liste der von der Ereignisregel betroffenen Assets angezeigt
Ereignisregeln entfernen
Wählen Sie Ereignisregeln aus und klicken Sie auf Remove Event Rules, um die Ereignisregel zu entfernen und die Berichterstattung für zukünftige Instanzen der zugehörigen Risikoevents zu aktivieren