Rules

Gehen Sie zu Policy > Rules, um eine Übersicht über alle im System definierten Regeln zu sehen. Regeln werden nur auf Datenströme angewendet, die die in der Regel angegebenen Bedingungen erfüllen.

Die Übersichtstabelle zeigt die im System definierten Regeln an und gibt einen Überblick über deren Konfiguration (weitere Informationen finden Sie unter Regeleinstellungen). Mit dem Schalter in der ersten Spalte können Sie die jeweilige Regel aktivieren (on) oder deaktivieren (off). Mit den Icons in der letzten Tabellenspalte können Sie die jeweilige Regel bearbeiten, kopieren oder löschen.

Tipp

Fahren Sie mit der Maus über die Einträge in der Tabelle, um wo möglich die definierten Optionen als Tooltip anzeigen zu lassen.

Globale Regeln, die für den gesamten Datenverkehr ausgewertet werden, stehen an der Spitze der Tabelle. In Korrelationsszenarien verwendete Regeln werden nach Szenario gruppiert (siehe Advanced Correlation).

Bemerkung

Die Regeln werden von oben nach unten abgearbeitet. Es wird daher empfohlen, spezifische Regeln an den Anfang der Tabelle zu stellen und Regeln, die für ein breiteres Spektrum an Datenverkehr gelten, an den Schluss der Tabelle. Um globale Regeln neu zu ordnen, klicken Sie auf ACTIVATE GLOBAL RULES REORDER oberhalb der Tabelle. Verschieben Sie die Regeln per Drag & Drop an die gewünschten Positionen. Korrelationsszenarien können unter Policy > Advanced Correlation neu geordnet werden.

Um eine neue globale Regel hinzuzufügen, klicken Sie auf Add Global Rule oberhalb der Übersichtstabelle.

Bemerkung

Globale Regeln können nicht zu Korrelationsszenarien hinzugefügt werden. Regeln für Korrelationsszenarien werden direkt im jeweiligen Szenario erstellt. Klicken Sie doppelt auf den Namen des Szenarios, um seine Einstellungen zu bearbeiten. Im Tab Rules, klicken Sie auf Add.

Regeleinstellungen

Wenn Sie eine neue Regel hinzufügen oder eine vorhandene bearbeiten, wird das Einstellungsfenster angezeigt.

Der Abschnitt General enthält die folgenden Optionen:

Feld

Beschreibung

on/off

Der Schalter zeigt an, ob die Regel aktiviert ist oder nicht.

Name

Geben Sie einen Namen für die Regel ein.

Note

Optional: Fügen Sie eine kurze Beschreibung der Regel hinzu.

Statistics

Dieser Bereich zeigt die Anzahl der Treffer pro Sekunde für diese Regel in einem Diagramm an. Sie können mit der Maus über das Diagramm fahren, um die einzelnen Werte in einem Tooltip anzuzeigen.

Im Bereich Schedule können Sie festlegen zu welcher Zeit die Regel aktiv ist:

Feld

Beschreibung

on/off Schedule

Mit dem Schalter können Sie den Zeitplan für die Regel aktivieren.

Include

Klicken Sie auf diese Schaltfläche, wenn die Regel während der festgelegten Zeitspanne aktiv sein soll. Außerhalb dieser Zeitspanne ist die Regel inaktiv.

Exclude

Klicken Sie auf diese Schaltfläche, wenn die Regel während der festgelegten Zeitspanne inaktiv sein soll. Außerhalb dieser Zeitspanne ist die Regel aktiv.

Schedule

Wählen Sie in der Drop-down-Liste den Zeitplan aus, den Sie für die Regel anwenden möchten. Sie können nur einen Zeitplan auswählen.

ADD SCHEDULE

Klicken Sie auf diese Schaltfläche, um das Einstellungsfenster zu öffnen und einen neuen Zeitplan anzulegen (siehe Schedules).

Der Abschnitt Source & Destination enthält die folgenden Optionen:

Feld

Beschreibung

Source Networks

Geben Sie die Quellnetzwerke der Datenströme an, auf die die Regel angewendet werden soll. Die Standardeinstellung ist Any, d.h. die Regel trifft auf Datenverkehr aus allen Quellnetzwerken zu. Sie können hier statische Netzwerkobjekte (gekennzeichnet durch S:) und dynamische Netzwerkobjekte (gekennzeichnet durch D:) auswählen. Sie können in dem Eingabefeld tippen, um die Liste auf die Quellen einzugrenzen, deren Namen die Zeichen enthalten, die Sie gerade eingeben. Klicken Sie auf x neben einem Element, um einzelne Netzwerke aus der Auswahl zu entfernen.

Destination Networks

Geben Sie die Zielnetzwerke der Datenströme an, auf die die Regel angewendet werden soll. Die Standardeinstellung ist Any, d.h. die Regel trifft auf Datenverkehr aus allen Zielnetzwerken zu. Sie können hier statische Netzwerkobjekte (gekennzeichnet durch S:) und dynamische Netzwerkobjekte (gekennzeichnet durch D:) auswählen. Sie können in dem Eingabefeld tippen, um die Liste auf die Ziele einzugrenzen, deren Namen die Zeichen enthalten, die Sie gerade eingeben. Klicken Sie auf x neben einem Element, um einzelne Netzwerke aus der Auswahl zu entfernen.

ADD DYNAMIC NETWORK OBJECT

Klicken Sie auf diese Schaltfläche, um das Einstellungsfenster zu öffnen und ein neues dynamisches Netzwerkobjekt anzulegen (siehe Dynamic Network Objects). Wenn Sie in einer globalen Regel auf diese Schaltfläche klicken, erstellen Sie ein globales dynamisches Netzwerkobjekt. Wenn die Regel zu einem Korrelationsszenario gehört, wird das dynamische Netzwerkobjekt innerhalb des Szenarios erstellt.

ADD STATIC NETWORK OBJECT

Klicken Sie auf diese Schaltfläche, um das Einstellungsfenster zu öffnen und ein neues statisches Netzwerkobjekt anzulegen (siehe Static Network Objects).

Der Abschnitt Advanced Correlation Conditions ist nur für Regeln verfügbar, die in Korrelationsszenarien erstellt werden. Er enthält die folgenden Elemente:

Feld

Beschreibung

Event in Event Tracking Table

Aktivieren Sie diese Option, um den Datenverkehr mit den Ereignissen in einer Event-Tracking-Tabelle zu vergleichen. Wählen Sie in der Drop-down-Liste unter Event Tracking Table die Tabelle aus, die Sie für den Vergleich verwenden möchten. Klicken Sie auf ADD EVENT TRACKING TABLE, um das Einstellungsfenster zu öffnen und eine neue Event-Tracking-Tabelle anzulegen (siehe Event-Tracking-Tabellen). Wählen Sie aus den jeweiligen Drop-down-Listen die Elemente aus, die Sie mit den primären und sekundären Attributen der Ereignisse vergleichen möchten. Die Regel trifft nur auf den Datenverkehr zu, wenn der Vergleich erfolgreich ist.

Number of Similar Events in Event Tracking Table

Aktivieren Sie diese Option, um die Ereignisse in einer Event-Tracking-Tabelle zu zählen. Wählen Sie in der Drop-down-Liste unter Event Tracking Table die Tabelle aus, deren Ereignisse gezählt werden sollen. Klicken Sie auf ADD EVENT TRACKING TABLE, um das Einstellungsfenster zu öffnen und eine neue Event-Tracking-Tabelle anzulegen (siehe Event-Tracking-Tabellen). Unter Count all Entries with Primary Attribute equal to legen Sie fest, welche Einträge gezählt werden sollen. Unter Minimum Number of Entries legen Sie fest, wie viele Einträge mindestens gezählt werden müssen, damit die Regel trifft.

Im Abschnitt Conditions können Sie mit den Schaltern die Bedingungen auswählen, die Sie für die Regel aktivieren möchten.

Bemerkung

Sie können beliebig viele Bedingungen aktivieren. Die Bedingungen sind UND-verknüpft. Wenn mehrere Bedingungen in einer Regel aktiviert sind, trifft die Regel somit nur, wenn der Datenverkehr alle aktiven Bedingungen erfüllt. Wenn Sie innerhalb einer Bedingung mehrere Elemente auswählen, sind diese Elemente ODER-verknüpft.

Wenn Sie eine Bedingung aktivieren, werden die zugehörigen Eingabefelder für diese Bedingung angezeigt:

Feld

Beschreibung

Assets

Aktivieren Sie diese Option, um die Regel auf Datenverkehr anzuwenden, der von bestimmten Assets erzeugt wurde. Wählen Sie die Asset-Tags aus, die Sie als Quelle bzw. Ziel in der Regel verwenden möchten. Sie können neue Tags erstellen, indem Sie sie in den Feldern eingeben. Klicken Sie auf x neben einem Element, um einzelne Tags aus der Auswahl zu entfernen.

Users

Aktivieren Sie diese Option, um die Regel auf Datenverkehr anzuwenden, der von bestimmten Benutzern erzeugt wurde. Klicken Sie in das Feld und wählen Sie den Benutzer aus der Liste. Sie können in dem Eingabefeld tippen, um die Liste auf die Benutzer einzugrenzen, deren Namen die Zeichen enthalten, die Sie gerade eingeben. Klicken Sie auf x neben einem Element, um einzelne Elemente aus der Auswahl zu entfernen.

GeoIP

Aktivieren Sie diese Option, um den Datenverkehr nach Source Countries bzw. Destination Countries auszuwerten. Klicken Sie in das Feld und wählen Sie die benötigten Länder aus der Liste. Sie können in dem Eingabefeld tippen, um die Liste auf die Länder einzugrenzen, deren Namen die Zeichen enthalten, die Sie gerade eingeben. Klicken Sie auf x neben einem Element, um einzelne Länder aus der Auswahl zu entfernen. Wenn Sie Include aktivieren, trifft die Regel die ausgewählten Länder. Wenn Sie Exclude aktivieren, trifft die Regel alle Länder bis auf die ausgewählten.

Layer 4 Protocol

Aktivieren Sie diese Option, um den Datenverkehr nach verwendeten Schicht-4-Protokollen auszuwerten. Klicken Sie in das Feld und wählen Sie die benötigten Protokolle aus der Liste. Sie können in dem Eingabefeld tippen, um die Liste auf die Protokolle einzugrenzen, deren Namen die Zeichen enthalten, die Sie gerade eingeben. Klicken Sie auf x neben einem Element, um einzelne Elemente aus der Auswahl zu entfernen.

Layer 4 Port

Aktivieren Sie diese Option, um den Datenverkehr nach verwendeten Schicht-4-Ports auszuwerten. Geben Sie die Source Ports bzw. Destination Ports in die Felder ein. Die Portnummern müssen durch Kommas separiert werden.

Classification

Aktivieren Sie diese Option, um explizit Anwendungen oder Protokolle in die Regel ein- bzw. aus ihr auszuschließen. Klicken Sie in das entsprechende Feld und wählen Sie die Anwendungen (gekennzeichnet durch A:) und Protokolle (gekennzeichnet durch P:) aus der Liste aus. Sie können in dem Eingabefeld tippen, um die Liste auf die Anwendungen und Protokolle einzugrenzen, deren Namen die Zeichen enthalten, die Sie gerade eingeben. Klicken Sie auf x neben einem Element, um einzelne Elemente aus der Auswahl zu entfernen. Threat Defender verfügt auch über Gruppen von Anwendungen und Protokollen (gekennzeichnet durch G:).

Threats Indicators

Aktivieren Sie diese Option, um Bedrohungsindikatoren auszuwählen, die in die Regel eingeschlossen werden sollen. Wählen Sie die Tags aus, die Sie einbeziehen möchten, indem Sie in das entsprechende Feld klicken und die Tags aus der Liste auswählen. Sie können in dem Eingabefeld tippen, um die Liste auf die Tags einzugrenzen, deren Namen die Zeichen enthalten, die Sie gerade eingeben. Klicken Sie auf x neben einem Element, um einzelne Elemente aus der Auswahl zu entfernen.

Intrusion Prevention System

Aktivieren Sie diese Option, um die IPS-Regeln anzugeben, die in die Regel eingeschlossen werden sollen. Klicken Sie in das Feld und wählen Sie die IPS-Tags aus der Liste. Sie können in dem Eingabefeld tippen, um die Liste auf die Tags einzugrenzen, deren Namen die Zeichen enthalten, die Sie gerade eingeben. Klicken Sie auf x neben einem Element, um einzelne Elemente aus der Auswahl zu entfernen.

Im Abschnitt Actions können Sie mit den Schaltern die Aktionen auswählen, die Sie auf Datenverkehr anwenden möchten, auf den die Regel zutrifft:

Feld

Beschreibung

Log

Aktivieren Sie diese Option, um Regeltreffer via syslog, IPFIX und das Reporting zu protokollieren. Es gibt die folgenden zusätzlichen Log-Optionen:

  • Aktivieren Sie die Option Late Log, um zusätzliche Daten zu protokollieren wenn der Datenstrom beendet wurde. So kann der gesamte Datenstrom analysiert werden.

  • Aktivieren Sie die Option Policy Hit, um Regeltreffer als Zwischenfälle im Policy-Reporting zu kennzeichnen. Sie werden auch unter Incident Logs angezeigt.

Wählen Sie den Schweregrad des Ereignisses in den Logs aus, indem Sie auf die entsprechende Schaltfläche klicken. Die verfügbaren Schweregrade sind High, Medium, Low und Notice.

Final Action

Aktivieren Sie diese Option, um festzulegen, wie Datenverkehr, der dieser Regel entspricht, behandelt werden soll. Sie können eine der folgenden Optionen auswählen:

  • Allow Traffic and Skip to Next Scenario - Datenverkehr, der dieser Regel entspricht, wird zugelassen und die Verarbeitung wird mit dem nächsten Szenario fortgesetzt.

  • Drop Traffic and Stop Processing - Datenverkehr, der dieser Regel entspricht, wird stillschweigend verworfen und die Regelverarbeitung für diesen Datenverkehr wird eingestellt.

  • Reject Traffic and Stop Processing - Datenverkehr, der dieser Regel entspricht, wird aktiv verworfen und die Regelverarbeitung für diesen Datenverkehr wird eingestellt.

Asset Tag

Aktivieren Sie diese Option, um Assets, die den Regelbedingungen entsprechen, zu taggen oder Tags zu entfernen:

  • Wählen Sie die Operation, die Sie durchführen möchten, d. h. ein Tag hinzufügen oder löschen.

  • Wählen Sie das Tag, das Sie zuweisen oder entfernen möchten. Sie können auch ein neues Asset-Tag eingeben.

  • Wählen Sie unter Who aus, auf welchen Kommunikationsteilnehmer die Operation angewendet werden soll.

Dynamic Network Object

Aktivieren Sie diese Option, um eine Aktion auszuwählen, die für dynamische Netzwerkobjekte durchgeführt werden soll:

  • Wählen Sie die Operation, die Sie durchführen möchten, d. h. Einträge zu dem unter Target Dynamic Network Object ausgewählten dynamischen Netzwerkobjekt hinzufügen oder daraus entfernen.

  • Geben Sie unter Host Identifier an, welche Informationen vom dynamischen Netzwerkobjekt gehandhabt werden sollen (IP-Adressen, MAC-Adressen, Assets oder alle).

  • Wählen Sie in der Drop-down-Liste unter Who aus, worauf die Aktion durchgeführt werden soll.

  • Geben Sie unter Target Dynamic Network Object das Ziel der Operation an. Klicken Sie ADD DYNAMIC NETWORK OBJECT, um ein neues dynamisches Netzwerkobjekt zu erstellen.

Weitere Informationen finden Sie unter Dynamic Network Objects.

Shape Traffic

Aktivieren Sie diese Option, um das Traffic Shaping zu aktivieren. Wählen Sie unter Scope den gewünschten Anwendungsbereich aus der Drop-down-Liste:

  • Wählen Sie Global, um den gesamten Datenverkehr zu begrenzen, der dieser Regel entspricht.

  • Wählen Sie Host Inbound/Outbound, um den ein- und ausgehenden Datenverkehr des Hosts individuell zu begrenzen.

  • Wählen Sie Host Aggregated, um den gesamten Datenverkehr des Hosts zu begrenzen.

Geben Sie unter Bandwidth die gewünschte Bandbreite ein. Beachten Sie, dass ein- und ausgehender Datenverkehr aus der Perspektive von Threat Defender betrachtet wird.

Add to Event Tracking Table

Nur für Regeln in Korrelationsszenarien: Aktivieren Sie diese Option, um Einträge zu einer Event-Tracking-Tabelle hinzuzufügen. Wählen Sie in der Drop-down-Liste unter Event Tracking Table die Tabelle aus, zu der die Einträge hinzugefügt werden sollen. Wählen Sie aus den jeweiligen Drop-down-Listen die Elemente aus, die Sie zum primären und sekundären Attribut des Ereignisses hinzufügen möchten.

Mit den Schaltflächen im unteren Bereich des Bildschirms können Sie Ihre Änderungen speichern (SAVE) oder verwerfen (CANCEL).