Lokale Antwortfilter

Lokale Antwortfilter (Agentic SIEM & XDR → Detection Model Management → Local response filters) sind Erkennungsfilter, die auf Windows-Endpunkten eingesetzt werden können. Ein Prozess kann lokal beendet werden, wenn ein lokaler Antwortfilter übereinstimmt, wodurch die MTTD verkürzt und die Benutzerfreundlichkeit insgesamt verbessert wird. Trend Vision One verwendet Filter, um Sicherheitsereignisse zu erkennen, die in Observed Attack Techniques erscheinen, sodass Sie die Ereigniserkennung in einen vollständigen Bedrohungsüberwachungs-Workflow umwandeln können.

Um lokale Antwortfilter hinzuzufügen, gehen Sie zu Agentic SIEM & XDR → Observed Attack Techniques und erweitern Sie eine zugehörige Entität. Klicken Sie mit der rechten Maustaste auf einen Erkennungsfilternamen und wählen Sie Add filter to local response.

Um lokale Antwortfilter anzuzeigen und zu konfigurieren, die mit bestehenden Endpoint Security Policies verbunden sind, gehen Sie zu Endpoint Security Configuration → Endpoint Security Policies → Richtlinien. Klicken Sie auf einen Policynamen und dann auf XDR for Endpoints (EDR), um eine Liste der lokalen Antwortfilter anzuzeigen, die mit der ausgewählten Endpunkt-Policy verbunden sind.