Verwalten von Korrelationsregeln und Erkennungssignalen

Ansichten:

Verwalten Sie vordefinierte und benutzerdefinierte Korrelationsregeln und Erkennungssignale, die Sie für die Anomalieerkennung durch Correlated Intelligence verwenden können.

Trend Micro definiert eine Reihe von Korrelationsregeln und Erkennungssignalen und führt kontinuierlich neue Regeln und Signale ein. Jede vordefinierte Korrelationsregel besteht aus einem oder mehreren vordefinierten Erkennungssignalen.

Sie können auch benutzerdefinierte Korrelationsregeln hinzufügen, um die Erkennungsanforderungen in Ihrer Umgebung zu erfüllen.

In der folgenden Tabelle sind die Aktionen aufgeführt, die auf der Registerkarte Korrelationsregeln des Fensters Korrelationsregeln und Erkennungssignale verfügbar sind.

Die Korrelationsregeln-Registerkarte

Aktion	Beschreibung
Korrelationsregel aktivieren oder deaktivieren	Klicken Sie auf der Registerkarte Korrelationsregeln auf das Symbol Aktivieren oder Deaktiviert in der Spalte Status einer Korrelationsregel. Die Konfigurationen gelten für die Anomalieerkennung in allen Richtlinienregeln der Correlated Intelligence.
Details der vordefinierten Korrelationsregel anzeigen	Zeigen Sie die gezielte Bedrohungsart und das Aggressivitätsniveau einer vordefinierten Korrelationsregel an. Targeted threat type: Die derzeit unterstützten Bedrohungsarten von Trend Micro spezifizierten Anomalien umfassen Suspicious Email und Possibly Unwanted Email. Aggressive level: Trend Micro klassifiziert seine vordefinierten Korrelationsregeln zur Anomalieerkennung in drei aggressive Stufen. Moderate: Diese Stufe wurde entwickelt, um ein Gleichgewicht zwischen effektiver Anomalieerkennung und einer relativ niedrigen Rate von Fehlalarmen zu finden. Es eignet sich für die tägliche Überwachung und für Kunden, die einen sichereren Ansatz bevorzugen, ohne ihren regulären E-Mail-Verkehr wesentlich zu stören. Aggressive: Diese Stufe erhöht die Empfindlichkeit der Anomalieerkennung und bietet eine robustere Erkennungsfähigkeit, was zu einer höheren Anzahl von Fehlalarmen führen kann. Es ist auf Kunden zugeschnitten, die strengere Sicherheitsmaßnahmen zur Bekämpfung raffinierter Angriffe benötigen und bereit sind, gewisse Abstriche bei Fehlalarmen in Kauf zu nehmen. Extra Aggressive: Diese höchste Aggressionsstufe wird für kritische Situationen empfohlen, wie z.B. während eines aktiven Angriffs oder nachdem ein Sicherheitsverstoß festgestellt worden ist. Sie bietet die aggressivste Form der Prävention, kann aber aufgrund der hohen Wahrscheinlichkeit von Fehlalarmen die normale E-Mail-Kommunikation erheblich beeinträchtigen.
Add a custom correlation rule	Wählen Sie ein oder mehrere vordefinierte oder benutzerdefinierte Erkennungssignale aus, um eine benutzerdefinierte Korrelationsregel zu definieren. Weitere Informationen finden Sie unter Hinzufügen einer benutzerdefinierten Korrelationsregel.
Edit a custom correlation rule	Klicken Sie auf den Namen einer benutzerdefinierten Korrelationsregel und ändern Sie dann die Grundeigenschaften und die Anweisung der Regel.
Anzeigen von Erkennungssignalen, die eine Korrelationsregel umfassen	Klicken Sie auf den Namen einer Korrelationsregel, um den Detailbildschirm der Regel zu öffnen und zu verstehen, worum es bei der Regel geht, welche Erkennungssignale verwendet werden und wie die Regel übereinstimmt.
Suche nach Korrelationsregeln	Verwenden Sie die Filterfelder, um nach gewünschten Korrelationsregeln anhand von Regelname, Status, gezielter Bedrohungsart oder Aggressivitätsgrad zu suchen.

In der folgenden Tabelle sind die auf der Registerkarte Erkennungssignale verfügbaren Aktionen aufgeführt.

Die Erkennungssignale-Registerkarte

Aktion	Beschreibung
Vordefinierte Erkennungssignaldetails anzeigen	Sehen Sie sich jedes von Trend Micro definierte Erkennungssignal und dessen Bedeutung an.
Add a custom detection signal	Wählen Sie eine der vordefinierten Bedingungen aus, um ein benutzerdefiniertes Erkennungssignal zu definieren. Weitere Informationen finden Sie unter Adding a custom detection signal.
Bedingungen anzeigen, die ein Erkennungssignal umfassen	Klicken Sie auf den Namen eines Erkennungssignals, um den Signaldetailbildschirm zu öffnen und zu verstehen, worum es bei dem Signal geht, welche Bedingung verwendet wird und wie die Bedingung konfiguriert ist.
Edit a custom detection signal	Klicken Sie auf den Namen eines benutzerdefinierten Erkennungssignals und ändern Sie dann die Grundeigenschaften und die Definition des Signals.
Suche nach Erkennungssignalen	Verwenden Sie das Filterfeld, um nach gewünschten Signalen anhand des Signalnamens und Signaltyps zu suchen.