Konfigurieren der Aurora Focus-Behavioral Detection Engine

Die Behavioral Detection Engine ist die neue Datenerfassungs- und Analyse-Engine, die die Funktionen des Aurora Focus-Agents auf den Geräten Ihres Unternehmens unterstützt und erheblich verbessert.

Zuvor verwendete der Aurora Focus-Agent Erkennungsregelsätze, um potenzielle Bedrohungen auf Geräten zu erkennen und darauf zu reagieren. Die Behavioral Detection Engine entwickelt die Mechanismen zur Erkennung von Aurora Focus-Bedrohungen und zur Reaktion darauf mit den folgenden Weiterentwicklungen weiter:

Element

Beschreibung

MITRE ATT&CK-Framework

Die Behavioral Detection Engine nutzt die bewährten Taktiken und Techniken des MITRE ATT&CK-Frameworks als Grundlage für die Analyse und Interpretation von Daten zur Erkennung von Cyberbedrohungen. Bei der Umsetzung des MITRE ATT&CK-Frameworks profitiert die Behavioral Detection Engine von den neuesten und besten Wissensquellen und Methoden der Cybersicherheit, um die Daten und Ressourcen Ihres Unternehmens zu schützen.

Wenn Sie eine Richtlinie zur Verhaltenserkennung konfigurieren, haben Sie die direkte und anpassbare Kontrolle über eine breite Palette von MITRE-Techniken, die auf Aurora Focus-Geräten eingesetzt werden.

Verbesserte Datenerfassung und -verarbeitung

Die Behavioral Detection Engine behält die primäre Funktion der Definition der Daten, die der Aurora Focus-Agent sammelt, der Ereignisse, die der Agent erkennt und für die er Warnungen erzeugt, und der automatischen Reaktionen, die der Agent für bestimmte Erkennungen ausführt.

Die Behavioral Detection Engine bietet neue, transformative Funktionen für Aurora Focus:
  • Sie definieren einen minimalen Schweregrad (z. B. mittel und höher), um den Grad der Erkennung aller MITRE-Techniken zu steuern, die in der Endpoint Defense-Konsole Warnmeldungen erzeugen. Dies ermöglicht eine bessere Kontrolle über die Anzahl und die Typen der erzeugten Warnungen.
  • Sie legen fest, ob jede MITRE-Technik Telemetriedaten für alle Erkennungen unabhängig vom Schweregrad sammelt und analysiert (dies wird als Beobachtung bezeichnet) oder nur für Erkennungen, die den Mindestschweregrad für die Generierung von Warnungen erfüllen. Sie können diese Konfiguration für jede MITRE-Technik so anpassen, dass Sie die Datenerfassung und Warnungen auf Ihre Sicherheitslage abstimmen können.
  • Indem er die Beobachtung (Datenerfassung und -interpretation ohne Alarmierung) ermöglicht, kann der Agent diese Daten zu einem kontextuell reichhaltigen Datensatz hinzufügen, ohne zu einer „Alarmmüdigkeit“ in der Konsole beizutragen.
  • Die Behavioral Detection Engine nutzt sehr fortschrittliche Methoden zur Erfassung und Korrelation von Daten, um eine Kette forensisch relevanter Ereignisse zu identifizieren.

Einfachere Abstimmung und Anpassung Ihrer Konfiguration
Die Behavioral Detection Engine verfügt über einfache Methoden zur Anpassung der Bedrohungserkennung und -reaktion:
  • Richtlinien zur Verhaltenserkennung sind mit intuitiven Steuerelementen zur Konfiguration von Beobachtungen, Warnmeldungen und automatischen Reaktionen für jede MITRE-Technik einfach zu erstellen und zu konfigurieren.
  • Die Konfiguration einer MITRE-Technik gilt für alle Erkennungsverfahren, die in dieser Technik enthalten sind. Dies ermöglicht eine effektive Anpassung und Feinabstimmung ohne übermäßige Granularität für jedes Erkennungsverfahren.
  • Die Ikonographie liefert eine hilfreiche „Vogelperspektive“ auf die Konfiguration jeder MITRE-Technik.
  • Intuitive Such- und Filteroptionen erleichtern das Auffinden der gesuchten Techniken.
  • Standardmäßig sind Beobachtung und Warnungen für alle Techniken aktiviert, und automatische Reaktionen sind deaktiviert. Auf diese Weise können Sie die Auswertung priorisieren, bevor Sie den Aurora Focus-Agent so konfigurieren, dass er aktiv wird.
  • Sie können den Betriebsmodus der Behavioral Detection Engine auf Geräten jederzeit so ändern, dass nur überwacht (von Ihnen konfigurierte automatische Reaktionen werden nicht ausgeführt) oder vollständig durchgesetzt wird (automatische Reaktionen werden ausgeführt). Diese globale Kontrolle sorgt für Flexibilität bei der Durchführung von Untersuchungen.

Einfachere Erstellung von Ausnahmen

Es ist jetzt einfacher, Ausnahmen für bestimmte Arten von Erkennungen zu erstellen, die von der Behavioral Detection Engine ignoriert werden sollen. Die Behavioral Detection Engine erfasst oder verwendet keine Telemetriedaten und generiert keine Warnungen für Erkennungen, die den von Ihnen angegebenen Ausnahmekriterien entsprechen.

Sie können bestehende Warnungen nutzen, um eine neue Ausnahme zu erstellen, die Sie mit Details aus den Warnungen vorausfüllen, oder Sie können eine neue, intuitive Schnittstelle verwenden, um Ausnahmen zu erstellen. Sie können außerdem auswählen, ob die Ausnahme für bestimmte Geräte, bestimmte Zonen oder für den gesamten Aurora Endpoint Security-Mandanten gelten soll.

Neue Methoden zur Bewertung von Warnungen und zur Suche nach Bedrohungen

Sie können die Warnungsansicht in der Endpoint Defense-Konsole verwenden, um die von der Behavioral Detection Engine generierten Warnungen zu überprüfen und zu untersuchen, und Sie können die erweiterte Abfragefunktion verwenden, um nach bestimmten Erkennungen zu suchen. Beide Schnittstellen erleichtern das Auffinden und Abrufen nützlicher Daten zu den von der Behavioral Detection Engine generierten Warnmeldungen.

Automatische Updates für MITRE-Techniken

Arctic Wolf Endpoint Defense kann dynamische Updates für die MITRE-Technik bereitstellen, die die Behavioral Detection Engine antreiben. Dies ersetzt die bisherige Methode, bei der Sie neue Erkennungsregelpakete manuell abrufen und zur Konsole hinzufügen mussten.

Nahtlose automatische Updates stellen sicher, dass Ihre Umgebung von den neuesten und besten Erkennungsregeln profitiert und gleichzeitig die Geschäftskontinuität gewährleistet ist. Sie müssen neue Erkennungsregeln manuell akzeptieren, bevor der Aurora Focus-Agent automatisierte Reaktionen auf zugehörige Erkennungsvorgänge durchführen kann, um sicherzustellen, dass die Updates Ihre Mitarbeiter nicht bei der Arbeit stören. Bevor Sie die Updates akzeptieren, arbeiten die neuen oder aktualisierten Erkennungsregeln nur im Überwachungsmodus.

Die Behavioral Detection Engine ist mit allen Versionen des Aurora Focus-Agents kompatibel, die Arctic Wolf Endpoint Defense unterstützen, aber ihre Datenerfassungs- und Analysefunktionen funktionieren am besten mit den Agentenversionen 3.3 und höher.

Wenn der Aurora Focus-Agent bereits auf Geräten in der Umgebung Ihres Unternehmens installiert ist, folgen Sie den Anweisungen in Transition Aurora Focus devices from detection rule sets to the Behavioral Detection Engine. Für neue Installationen des Aurora Focus-Agents folgen Sie den Anweisungen in Create a behavioral detection policy.

Sobald der Aurora Focus-Agent auf den Geräten die Behavioral Detection Engine verwendet, können Sie Erkennungen und Warnungen überwachen und die Konfiguration an die Anforderungen Ihres Unternehmens anpassen.