檢視次數:
Server & Workload Security保護 使您能夠創建標籤,您可以使用這些標籤來識別和分類事件。例如,您可以使用標籤將良性事件與需要進一步調查的事件分開。您可以使用標籤來創建自定義儀表板和報告。
儘管您可以將事件標記用於各種目的,但它的設計初衷是為了減輕事件管理的負擔。在您分析完一個事件並確定它是良性之後,您可以查看電腦防護(以及任何其他配置和任務相似的電腦防護)的事件日誌,找到類似的事件並對它們應用相同的標籤,從而消除逐一分析每個事件的需要。
若要查看當前使用的標籤,請前往Policies Common Objects Other Tags
注意
注意
標籤不會更改事件本身的資料防護,也不允許用戶刪除事件。它們只是由Server & Workload Security保護提供的額外屬性。
您可以通過以下方式進行標記:
  • 手動標記可讓您根據需要標記特定事件。
  • 自動標記 讓您使用現有事件作為模型,自動標記同一台或其他電腦上的相似事件。您可以通過選擇哪些事件屬性必須與模型事件屬性匹配來定義「相似性」的參數,以便應用標籤。
  • 受信任來源標記 讓您可以根據與受信任來源的已知良好事件的相似性,自動標記完整性監控事件。
注意
注意
標準標記和受信任來源標記之間的一個重要區別是,「立即在現有事件上運行」只能通過標準事件標記來完成。

手動標記 上層主題

步驟

  1. 前往Events & Reports Events並選擇事件列表。右鍵點選事件(或選擇多個事件並右鍵點選),然後選擇Add Tag(s)
  2. 請輸入標籤名稱。Server & Workload Security保護 將在您輸入時建議匹配的現有標籤名稱。
  3. 選擇 The Selected [Event Type] Event。點選 下一步
  4. 輸入一些可選的評論,然後點選Finish

接下來需執行的動作

在事件列表中,您可以在TAG(S)欄中看到您的標籤。

自動標籤 上層主題

Server & Workload Security保護 使您能夠定義規則,自動將相同的標籤應用於類似事件。要查看現有的自動標籤規則,請在任何 Events 頁面上的選單列中點選 Auto-Tagging。您可以從此頁面手動執行已儲存的規則。

步驟

  1. 前往 Events & Reports Events 並選擇事件列表。右鍵點選一個代表性事件並選擇 Add Tag(s)
  2. 請輸入標籤名稱。Server & Workload Security保護 將在您輸入時建議匹配的現有標籤名稱。
  3. 選擇 Apply to selected and similar [Event Type] Events 並點選 下一步
  4. 選擇您想要自動標記事件的電腦,然後點選下一步。在將標籤應用於系統事件時,將跳過此頁面。
  5. 選擇將檢查哪些屬性以確定事件是否相似。大多數情況下,屬性選項與Events列表頁面列中的信息相同。當您選擇了要在事件選擇過程中包含的屬性後,點選下一步
  6. 在下一頁中,指定事件應該被標記的時間。如果您選擇Existing [Event Type] Events,您可以選擇Apply Auto-Tag Rule now來立即應用自動標記規則,或選擇Apply Auto-Tag Rule in the background以較低優先級在背景中運行。選擇Future [Event Type] Events以將自動標記規則應用於未來將發生的事件。您也可以通過選擇Save Auto-Tag Rule並可選地輸入名稱來保存自動標記規則。點選下一步
  7. 檢視您的自動標籤規則摘要並點選Finish

接下來需執行的動作

在事件列表中,您可以看到您的原始事件和所有相似事件都已被標記
注意
注意
事件標記僅在從代理檢索事件到Server & Workload Security保護資料庫後發生。

設定自動標籤規則的優先順序 上層主題

一旦建立自動標籤規則,您可以指派一個Precedence值給它。如果自動標籤規則已配置為在未來事件上運行,則規則的優先順序決定了所有自動標籤規則應用於傳入事件的順序。例如,您可以有一個優先順序值為 "1" 的規則,將所有 "使用者登入" 事件標記為 "可疑",以及一個優先順序值為 "2" 的規則,從所有目標(使用者)為您的 "使用者登入" 事件中移除 "可疑" 標籤。這將導致所有未來目標使用者不是您的 "使用者登入" 事件被標記為 "可疑"。

步驟

  1. 在事件列表中,點選Auto-Tagging 以顯示已儲存的自動標記規則列表。
  2. 右鍵點選自動標籤規則並選擇詳細資訊
  3. General標籤中,為規則選擇一個Precedence

接下來需執行的動作

自動標記日誌檢查事件 上層主題

日誌檢查事件會根據其在日誌文件結構中的分組自動標記。這簡化並自動化了Server & Workload Security保護內日誌檢查事件的處理。您可以使用自動標記來自動為日誌檢查組應用標籤。日誌檢查規則在規則中有與之相關的組。例如:
	<rule id="18126" level="3"> <if_sid>18101</if_sid> <id>^20158</id> <description>Remote access login success</description> <group>authentication_success,</group> </rule> <rule id="18127" level="8"> <if_sid>18104</if_sid> <id>^646|^647</id> <description>Computer account changed/deleted</description><group>account_changed,</group> </rule>
每個群組名稱都有一個與之相關的「友好」名稱字串。在上述範例中,「authentication_success」會是「驗證成功」,「account_changed」會是「帳戶已更改」。當勾選此複選框時,友好名稱會自動作為該事件的標籤添加。如果多個規則觸發,則會有多個標籤附加到事件上。

信任來源標記 上層主題

注意
注意
受信任來源事件標記只能用於由完整性監控保護模組生成的事件。
注意
注意
對於在 2021 年七月 12 日或之後訂閱並使用版本 20.0.0-2593+ 代理的客戶,受信任的共同基線將不再可用。對於在 2021 年七月 12 日之前訂閱的客戶,該按鈕將可用至 2022 年一月 1 日。2021 年七月 12 日之前標記的事件將保留其標記,但新的完整性監控事件需要使用其他方法進行標記。
如需詳細資訊,請參閱 從 Server & Workload Security保護 的完整性監控自動標記規則中移除受信任的共同基線選項
完整性監控模組允許您監控電腦防護上的系統元件及相關屬性變更。(「變更」包括創建、刪除以及編輯。)您可以監控變更的元件包括檔案、目錄、群組、已安裝的軟體、監聽埠號、進程、註冊表鍵等。
受信任來源事件標記旨在透過自動識別與授權變更相關的事件來減少需要分析的事件數量。
除了自動標記相似事件外,完整性監控模組還允許您根據事件和在Trusted Sources上找到的資料的相似性來標記事件。可信來源可以是:
  • 一個local trusted computer,
  • Trend Micro Certified Safe Software Service
  • 一組從一群電腦收集的檔案狀態,稱為trusted common baseline

本機受信任的電腦防護 上層主題

受信任的電腦防護是指作為“模型”電腦防護使用的電腦防護,您知道它只會生成良性或無害的事件。“目標”電腦防護是指您正在監控未經授權或意外變更的電腦防護。自動標記規則會檢查目標電腦防護上的事件,並將其與受信任的電腦防護上的事件進行比較。如果有任何事件匹配,它們將被標記為自動標記規則中定義的標籤。
您可以建立自動標籤規則,將受保護電腦上的事件與受信任電腦上的事件進行比較。例如,可以將計劃推出的補丁應用到受信任電腦。與應用補丁相關的事件可以標記為“Patch X”。在其他系統上出現的類似事件可以自動標籤並識別為可接受的變更,並已過濾以減少需要評估的事件數量。

Server & Workload Security保護 如何判斷目標電腦上的事件是否與受信任來源電腦上的事件相符? 上層主題

完整性監控事件包含從一個狀態轉換到另一個狀態的資訊。換句話說,事件包含之前之後的資訊。在比較事件時,自動標記引擎會尋找匹配的之前和之後狀態;如果兩個事件具有相同的之前和之後狀態,則判斷事件匹配,並將標籤應用於第二個事件。這也適用於創建和刪除事件。
注意
注意
請記住,當使用受信任的電腦防護進行受信任來源事件標記時,被標記的事件是由完整性監控規則生成的事件。這意味著在目標電腦上生成事件的完整性監控規則也必須在受信任來源電腦上運行。
注意
注意
在應用受信來源事件標記之前,必須掃描受信來源電腦是否有惡意程式。
注意
注意
定期修改系統上檔案內容的工具(例如 Linux 上的預連結)可能會干擾受信來源事件標記。

根據本地受信任的電腦防護標記事件 上層主題

步驟

  1. 確保受信任的電腦防護沒有惡意程式,請執行完整的惡意程式防護掃瞄。
  2. 確保您希望自動標記事件的電腦正在運行與受信任來源電腦相同(或部分相同)的完整性監控規則。
  3. Server & Workload Security保護 主控台中,前往 Events & Reports Integrity Monitoring Events,然後在工具列中點選 Auto-Tagging
  4. Auto-Tag Rules (Integrity Monitoring Events) 視窗中,點選 New Trusted Source 以顯示 Tag Wizard
  5. 選擇 Local Trusted Computer 並點選 下一步
  6. 從列表中選擇將成為信任來源的電腦防護,然後點選下一步
  7. 指定一個或多個標籤,以便在目標電腦上的事件與此受信任來源電腦上的事件匹配時應用。點選下一步
    注意
    注意
    您可以輸入新標籤的文字或從現有標籤列表中選擇。
  8. 識別事件將與受信任來源的事件匹配的目標電腦。點選 下一步
  9. (選填)給規則命名並點選Finish

接下來需執行的動作

根據趨勢科技認證安全防護軟體服務標記事件 上層主題

認證安全防護軟體服務是由趨勢科技維護的已知良好文件簽章列表。這種類型的可信來源標記將監控目標電腦的文件相關完整性監控事件。當事件被記錄時,文件的簽章(變更後)會與趨勢科技的已知良好文件簽章列表進行比較。如果找到匹配,事件將被標記。

步驟

  1. Server & Workload Security保護 主控台中,前往 Events & Reports Integrity Monitoring Events,然後在工具列中點選 Auto-Tagging
  2. Auto-Tag Rules (Integrity Monitoring Events) 視窗中,點選 New Trusted Source 以顯示 Tag Wizard
  3. 選擇 認證安全防護軟體服務 並點選 下一步
  4. 指定一個或多個標籤,以便在目標電腦上的事件符合認證安全防護軟體服務時套用。點選下一步
  5. 識別其事件將與認證安全防護軟體服務匹配的目標電腦。點選下一步
  6. (選填)給規則命名並點選Finish

接下來需執行的動作

根據可信的共同基準標記事件 上層主題

受信任的共同基準方法比較一組電腦內的事件。一組電腦被識別出來,並根據該組電腦上生效的完整性監控規則所針對的文件和系統狀態生成共同基準。當該組電腦中的某台電腦發生完整性監控事件時,變更後的文件簽章會與共同基準進行比較。如果文件的新簽章在共同基準的其他地方有匹配,則會將標籤應用於該事件。在受信任的電腦方法中,完整性監控事件的變更前後狀態會進行比較,但在受信任的共同基準方法中,僅比較變更後的狀態。
注意
注意
此方法依賴於共同群組中的所有電腦都是安全且無惡意程式的。在生成共同基準之前,應對群組中的所有電腦進行全面的惡意程式防護掃瞄。
注意
注意
當為電腦生成完整性監控基線時,Server & Workload Security保護 會首先檢查該電腦是否屬於受信任的共同基線組。如果是,它將把該電腦的基線資料包含在該組的受信任共同基線中。因此,必須在將任何完整性監控規則應用於共同基線組中的電腦之前,設置受信任的共同基線自動標記規則。

步驟

  1. 確保將組成受信任的共同基準的所有電腦都通過執行完整的惡意程式防護掃瞄來確保沒有惡意程式。
  2. Server & Workload Security保護 主控台中,前往 Events & Reports Integrity Monitoring Events,然後在工具列中點選 Auto-Tagging
  3. Auto-Tag Rules (Integrity Monitoring Events) 視窗中,點選 New Trusted Source 以顯示 Tag Wizard
  4. 選擇 Trusted Common Baseline 並點選 下一步
  5. 指定一個或多個標籤,以便在事件與受信任的共同基線匹配時應用,然後點選下一步
  6. 識別要包含在用於生成受信任的共同基線的群組中的電腦。點選下一步
  7. 選擇性地為此規則命名,然後點選Finish

接下來需執行的動作

刪除標籤 上層主題

步驟

  1. 在事件列表中,右鍵點選您想刪除標籤的事件,然後選擇Remove Tag(s)
  2. 選擇您要移除的標籤。選擇從 The Selected [Event Type] Event 移除標籤或 Apply to selected similar [Event Type] Events. 點選 下一步
  3. 輸入一些可選的評論,然後點選Finish

接下來需執行的動作