Advanced Correlation

Threat Defender verwendet Verhaltensbasierte Korrelation, auch Advanced Correlation genannt, um den Netzwerkverkehr zu analysieren und Bedrohungen zu erkennen.

Threat Defender korreliert aktuelle und historische Datenströme in Echtzeit. Er verwendet Event-Tracking-Tabellen, die Kombinationen von Attributen speichern und die Eigenschaften von Kommunikationsereignissen über mehrere Datenströme und die Zeit nachverfolgen. Mit Regeln fügt Threat Defender Einträge zu den Tabellen hinzu und fragt sie ab. Kein Datenverkehr kann Threat Defender passieren ohne durch die Korrelation-Engine bearbeitet zu werden.

Gehen Sie zu Policy > Advanced Correlation, um eine Übersicht über alle im System definierten Korrelationsszenarien zu sehen. Threat Defender stellt mehrere vordefinierte Szenarien für die häufigsten Aufgaben bereit.

Die Tabelle zeigt die Korrelationsszenarien mit Name und Beschreibung an. Der Schalter in der ersten Spalte zeigt an, ob ein Szenario aktiv (on) oder inaktiv (off) ist. Mit den Icons in der letzten Tabellenspalte können Sie Einzelheiten zu dem jeweiligen Szenario anzeigen, seine allgemeinen Einstellungen bearbeiten oder das Szenario löschen.

Tipp

Mit dem edit_icon-Icon können Sie nur den Namen und die Beschreibung eines Szenarios ändern. Um seine Sicherheitseinstellungen zu bearbeiten, klicken Sie doppelt auf die Zeile in der Übersichtstabelle.

Bemerkung

Die Szenarios werden von oben nach unten abgearbeitet. Es wird daher empfohlen, spezifische Szenarien an den Anfang der Tabelle zu stellen und Szenarien, die für ein breiteres Spektrum an Datenverkehr gelten, an den Schluss der Tabelle. Um Szenarien neu zu ordnen, klicken Sie auf die Schaltfläche ACTIVATE REORDER oberhalb der Tabelle. Verschieben Sie die Szenarien per Drag & Drop an die gewünschten Positionen.

Um ein neues Szenario hinzuzufügen, klicken Sie auf Add oberhalb der Übersichtstabelle.

Einstellungen von Korrelationsszenarien

Indem Sie auf Add oder das edit_icon-Icon klicken, können Sie die allgemeinen Einstellungen des Korrelationsszenarios ändern:

Feld

Beschreibung

on/off

Der Schalter zeigt an, ob das Szenario aktiviert ist oder nicht.

Name

Geben Sie einen Namen für das Szenario ein.

Note

Optional: Fügen Sie eine kurze Beschreibung des Szenarios hinzu.

Mit den Schaltflächen im unteren Bereich des Bildschirms können Sie Ihre Änderungen speichern (SAVE) oder verwerfen (CANCEL).

Nach dem Speichern der allgemeinen Einstellungen eines Korrelationsszenarios oder einem Doppelklick auf dessen Zeile in der Übersichtstabelle können Sie dessen Sicherheitseinstellungen konfigurieren.

Um den Zustand eines Korrelationsszenarios zurückzusetzen, klicken Sie auf RESET STATE. Dadurch wird der Inhalt aller im Szenario verwendeten dynamischen Netzwerkobjekte und Event-Tracking-Tabellen gelöscht. Das System fordert Sie auf, das Zurücksetzen zu bestätigen.

Für die Sicherheitseinstellungen des Szenarios stehen die folgenden Tabs zur Verfügung:

  • Der Rules-Tab zeigt die im Szenario enthaltenen Regeln an. Klicken Sie Add, um eine neue Regel zum Szenario hinzuzufügen. Weitere Informationen finden Sie unter Rules.

  • Der Tab Dynamic Network Objects zeigt die im Szenario enthaltenen Netzwerkobjekte an. Klicken Sie Add, um ein neues Netzwerkobjekt zum Szenario hinzuzufügen. Weitere Informationen finden Sie unter Dynamic Network Objects.

  • Der Tab Event Tracking Tables zeigt die zum Szenario gehörigen Event-Tracking-Tabellen an. Klicken Sie Add, um eine neue Event-Tracking-Tabelle zum Szenario hinzuzufügen. Weitere Informationen finden Sie unter Event-Tracking-Tabellen.

Alle Änderungen, die Sie in diesen Tabs konfigurieren, werden für das Korrelationsszenario gespeichert, wenn Sie in der jeweiligen Registerkarte auf SAVE klicken.

Weitere Informationen: