Rules
Gehen Sie zu Policy > Rules, um eine Übersicht über alle im System definierten Regeln zu sehen. Regeln werden nur auf Datenströme angewendet, die die in der Regel angegebenen Bedingungen erfüllen.
Die Übersichtstabelle zeigt die im System definierten Regeln an und gibt einen Überblick über deren Konfiguration (weitere Informationen finden Sie unter Regeleinstellungen). Mit dem Schalter in der ersten Spalte können Sie die jeweilige Regel aktivieren () oder deaktivieren (). Mit den Icons in der letzten Tabellenspalte können Sie die jeweilige Regel bearbeiten, kopieren oder löschen.
Tipp
Wenn Sie mit der Maus über die Einträge in der Tabelle fahren, werden die definierten Optionen gegebenenfalls als Tooltip angezeigt.
Globale Regeln, die für den gesamten Datenverkehr ausgewertet werden, stehen an der Spitze der Tabelle. In Korrelationsszenarien verwendete Regeln werden nach Szenario gruppiert (siehe Advanced Correlation).
Bemerkung
cognitix Threat Defender verarbeitet die Regeln von oben nach unten. Stellen Sie deshalb spezifische Regeln an den Anfang der Tabelle und Regeln, die für ein breiteres Spektrum an Datenverkehr gelten, an den Schluss der Tabelle.
Um globale Regeln neu zu ordnen, klicken Sie auf ACTIVATE GLOBAL RULES REORDER oberhalb der Tabelle. Verschieben Sie die Regeln per Drag & Drop an die gewünschten Positionen. Korrelationsszenarien können unter Policy > Advanced Correlation neu geordnet werden.
Um eine neue globale Regel hinzuzufügen, klicken Sie auf Add Global Rule oberhalb der Übersichtstabelle.
Beachten Sie, dass globale Regeln nicht zu Korrelationsszenarien hinzugefügt werden können. Regeln für Korrelationsszenarien werden direkt im jeweiligen Szenario erstellt. Klicken Sie doppelt auf den Namen des Szenarios, um seine Einstellungen zu bearbeiten. Im Reiter Rules, klicken Sie auf Add.
Regeleinstellungen
Wenn Sie eine neue Regel hinzufügen oder eine vorhandene bearbeiten, wird das Einstellungsfenster angezeigt.
Der Abschnitt General enthält die folgenden Optionen:
Feld |
Beschreibung |
---|---|
Der Schalter zeigt an, ob die Regel aktiviert ist oder nicht. |
|
Name |
Geben Sie einen Namen für die Regel ein. |
Note |
Optional: Fügen Sie eine kurze Beschreibung der Regel hinzu. |
Statistics |
Dieser Bereich zeigt die Anzahl der Treffer pro Sekunde für diese Regel in einem Diagramm an. Sie können mit der Maus über das Diagramm fahren, um die einzelnen Werte in einem Tooltip anzuzeigen. |
Im Bereich Schedule können Sie festlegen zu welcher Zeit die Regel aktiv ist:
Feld |
Beschreibung |
---|---|
Mit dem Schalter können Sie den Zeitplan für die Regel aktivieren. |
|
Include |
Klicken Sie auf diese Schaltfläche, wenn die Regel während der festgelegten Zeitspanne aktiv sein soll. Außerhalb dieser Zeitspanne ist die Regel inaktiv. |
Exclude |
Klicken Sie auf diese Schaltfläche, wenn die Regel während der festgelegten Zeitspanne inaktiv sein soll. Außerhalb dieser Zeitspanne ist die Regel aktiv. |
Schedule |
Wählen Sie in der Drop-down-Liste den Zeitplan aus, den Sie für die Regel anwenden möchten. Sie können nur einen Zeitplan auswählen. |
ADD SCHEDULE |
Klicken Sie auf diese Schaltfläche, um das Einstellungsfenster zu öffnen und einen neuen Zeitplan anzulegen (siehe Schedules). |
Der Abschnitt Source & Destination enthält die folgenden Optionen:
Feld |
Beschreibung |
---|---|
Source Networks |
Geben Sie die Quellnetzwerke der Datenströme an, auf die die Regel angewendet werden soll. Die Standardeinstellung ist |
Destination Networks |
Geben Sie die Zielnetzwerke der Datenströme an, auf die die Regel angewendet werden soll. Die Standardeinstellung ist |
ADD DYNAMIC NETWORK OBJECT |
Klicken Sie auf diese Schaltfläche, um das Einstellungsfenster zu öffnen und ein neues dynamisches Netzwerkobjekt anzulegen (siehe Dynamic Network Objects). Wenn Sie in einer globalen Regel auf diese Schaltfläche klicken, erstellen Sie ein globales dynamisches Netzwerkobjekt. Wenn die Regel zu einem Korrelationsszenario gehört, wird das dynamische Netzwerkobjekt innerhalb des Szenarios erstellt. |
ADD STATIC NETWORK OBJECT |
Klicken Sie auf diese Schaltfläche, um das Einstellungsfenster zu öffnen und ein neues statisches Netzwerkobjekt anzulegen (siehe Static Network Objects). |
Der Abschnitt Advanced Correlation Conditions ist nur für Regeln verfügbar, die in Korrelationsszenarien erstellt werden. Er enthält die folgenden Elemente:
Feld |
Beschreibung |
---|---|
Event in Event Tracking Table |
Aktivieren Sie diese Option, um den Datenverkehr mit den Ereignissen in einer Event-Tracking-Tabelle zu vergleichen. Wählen Sie in der Drop-down-Liste unter Event Tracking Table die Tabelle aus, die Sie für den Vergleich verwenden möchten. Klicken Sie auf ADD EVENT TRACKING TABLE, um das Einstellungsfenster zu öffnen und eine neue Event-Tracking-Tabelle anzulegen (siehe Event Tracking Tables). Wählen Sie aus den jeweiligen Drop-down-Listen die Elemente aus, die Sie mit den primären und sekundären Attributen der Ereignisse vergleichen möchten. Die Regel trifft nur auf den Datenverkehr zu, wenn der Vergleich erfolgreich ist. |
Number of Similar Events in Event Tracking Table |
Aktivieren Sie diese Option, um die Ereignisse in einer Event-Tracking-Tabelle zu zählen. Wählen Sie in der Drop-down-Liste unter Event Tracking Table die Tabelle aus, deren Ereignisse gezählt werden sollen. Klicken Sie auf ADD EVENT TRACKING TABLE, um das Einstellungsfenster zu öffnen und eine neue Event-Tracking-Tabelle anzulegen (siehe Event Tracking Tables). Unter Count all Entries with Primary Attribute equal to legen Sie fest, welche Einträge gezählt werden sollen. Unter Minimum Number of Entries legen Sie fest, wie viele Einträge mindestens gezählt werden müssen, damit die Regel trifft. |
Im Abschnitt Conditions können Sie mit den Schaltern die Bedingungen auswählen, die Sie für die Regel aktivieren möchten.
Bemerkung
Sie können beliebig viele Bedingungen aktivieren. Die Bedingungen sind UND-verknüpft. Wenn mehrere Bedingungen in einer Regel aktiviert sind, trifft die Regel somit nur, wenn der Datenverkehr alle aktiven Bedingungen erfüllt. Wenn Sie innerhalb einer Bedingung mehrere Elemente auswählen, sind diese Elemente ODER-verknüpft.
Wenn Sie eine Bedingung aktivieren, werden die zugehörigen Eingabefelder für diese Bedingung angezeigt:
Im Abschnitt Actions können Sie mit den Schaltern die Aktionen auswählen, die Sie auf Datenverkehr anwenden möchten, auf den die Regel zutrifft:
Feld |
Beschreibung |
---|---|
Log |
Aktivieren Sie diese Option, um Regeltreffer via syslog, IPFIX und das Reporting zu protokollieren. Es gibt die folgenden zusätzlichen Log-Optionen:
Wählen Sie den Schweregrad des Ereignisses in den Logs aus, indem Sie auf die entsprechende Schaltfläche klicken. Die verfügbaren Schweregrade sind High, Medium, Low und Notice. |
Final Action |
Aktivieren Sie diese Option, um festzulegen, wie Datenverkehr, der dieser Regel entspricht, behandelt werden soll. Sie können eine der folgenden Optionen auswählen:
|
Asset Tag |
Aktivieren Sie diese Option, um Assets, die den Regelbedingungen entsprechen, zu taggen oder Tags zu entfernen:
|
Dynamic Network Object |
Aktivieren Sie diese Option, um eine Aktion auszuwählen, die für dynamische Netzwerkobjekte durchgeführt werden soll:
Weitere Informationen finden Sie unter Dynamic Network Objects. |
Shape Traffic |
Aktivieren Sie diese Option, um das Traffic Shaping zu aktivieren. Wählen Sie unter Scope den gewünschten Anwendungsbereich aus der Drop-down-Liste:
Geben Sie unter Bandwidth die gewünschte Bandbreite ein. Beachten Sie, dass ein- und ausgehender Datenverkehr aus der Perspektive von Threat Defender betrachtet wird. |
Add to Event Tracking Table |
Nur für Regeln in Korrelationsszenarien: Aktivieren Sie diese Option, um Einträge zu einer Event-Tracking-Tabelle hinzuzufügen. Wählen Sie in der Drop-down-Liste unter Event Tracking Table die Tabelle aus, zu der die Einträge hinzugefügt werden sollen. Wählen Sie aus den jeweiligen Drop-down-Listen die Elemente aus, die Sie zum primären und sekundären Attribut des Ereignisses hinzufügen möchten. |
Mit den Schaltflächen im unteren Bereich des Bildschirms können Sie Ihre Änderungen speichern (SAVE) oder verwerfen (CANCEL).