Erstellen einer Verhaltenserkennungsrichtlinie

Wenn Sie eine Richtlinie zur Verhaltenserkennung erstellen, verfügt jede MITRE-Technik innerhalb der Richtlinie über eine Standardkonfiguration, die darauf ausgelegt ist, nützliche Daten zu sammeln und sinnvolle Beobachtungen und Warnungen zu generieren. Sie können die Konfiguration der Richtlinie an die Sicherheitslage und die Bedürfnisse Ihres Unternehmens anpassen.

  1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Focus > Behavioral Detection Engine.
  2. Klicken Sie auf Erkennungskonfiguration hinzufügen.
  3. Geben Sie einen Namen und eine Beschreibung für die Richtlinie an.
  4. Wählen Sie in der Dropdown-Liste Minimaler Schweregrad für Warnungen den Schweregrad der Erkennungen aus, für die der Aurora Focus-Agent Warnungen erzeugen soll. Bei allen Erkennungen, deren Schweregrad niedriger ist als die gewählte Stufe, kann der Agent Daten sammeln und analysieren, erzeugt aber keine Warnmeldungen in der Konsole.
    Wenn Sie beispielsweise die Stufe Mittel und höher wählen, generiert der Agent Warnmeldungen für Erkennungen mit einem Schweregrad von Mittel oder Hoch. Erkennungen mit einem Schweregrad von Info oder Niedrig erzeugen keine Alarme.
  5. Geben Sie im Feld Erkennungsbenachrichtigung die Nachricht ein, die der Agent dem Benutzer des Geräts anzeigen soll, wenn eine Erkennung den ausgewählten Schweregrad erfüllt.
  6. Klicken Sie auf Hinzufügen.
  7. Führen Sie einen der folgenden Schritte aus:
    • Wenn Sie die Verhaltenserkennungsrichtlinie später mit einer Geräterichtlinie verknüpfen möchten, nachdem Sie die Richtlinie konfiguriert haben, klicken Sie auf Nicht jetzt.
    • Wenn Sie die Verhaltenserkennungsrichtlinie jetzt mit einer Geräterichtlinie verknüpfen möchten, klicken Sie auf Ja. Klicken Sie auf Geräterichtlinie zuweisen, wählen Sie eine oder mehrere Geräterichtlinien und den Betriebsmodus aus und klicken Sie auf Zuweisen.
  8. Klicken Sie auf der Registerkarte Verhaltenserkennungsrichtlinien auf die Richtlinie, die Sie erstellt haben.
    Die Ansicht ist nach Kategorien von MITRE-Taktiken gegliedert (z. B. Erstzugriff, Ausführung, Persistenz usw.). Unter jeder MITRE-Taktikkategorie befinden sich Karten, die MITRE-Techniken darstellen. Jede Karte enthält die folgenden Informationen auf einen Blick:
    • Die Symbole zeigen an, ob Warnungen, Beobachtungen und Benachrichtigungen für die Technik aktiviert sind.
    • Ein farblich gekennzeichneter Regelabschnitt zeigt an, wie viele Regeln in der Technik für jeden Schweregrad enthalten sind. Die rote Zahl steht für Regeln mit Schweregrad „hoch“, orange für „mittel“, gelb für „niedrig“ und blau für „Info“.
    • Die Zahl neben dem Blitzsymbol gibt die Anzahl der automatischen Reaktionen an, die für diese Technik konfiguriert sind, und eine farbliche Kennzeichnung („hoch“, „mittel“, „niedrig“, „Info“) gibt den Mindestschweregrad an, der erfüllt sein muss, damit diese Reaktionen ausgeführt werden.

    Wenn Sie auf die Karte einer MITRE-Technik klicken, erhalten Sie in einem Flyout-Menü Details über die Technik und ihre Erkennungsregeln, eine Liste der zugehörigen MITRE-Untertechniken, Links zu MITRE-Ressourcen mit weiteren Informationen und die Konfigurationseinstellungen für die Technik.

  9. Führen Sie auf der Registerkarte Erkennung und Reaktion einen der folgenden Schritte aus:

    Aufgabe

    Schritte

    Suche nach einer MITRE-Technik

    Geben Sie in das Suchfeld den Namen einer MITRE-Technik oder -Untertechnik ein. Die Techniken, die mit dem Suchbegriff übereinstimmen, werden angezeigt.

    Filtern der Liste der MITRE-Techniken

    Wählen Sie im linken Fensterbereich die gewünschten Filterkriterien aus. Die Techniken, die den Filterkriterien entsprechen, werden angezeigt.

    Überprüfen oder ändern der Konfiguration einer MITRE-Technik

    In der Standardeinstellung sind für alle MITRE-Techniken Warnungen und Beobachtungen aktiviert, und automatische Reaktionen sind nicht konfiguriert. Überwachen Sie die Konfiguration der Richtlinie zur Verhaltenserkennung und nehmen Sie eine Feinabstimmung vor, bevor Sie automatische Antworten konfigurieren.

    1. Klicken Sie auf die Karte für eine MITRE-Technik.
    2. Konfigurieren Sie eine der folgenden Optionen:
      1. Erkennungsalarme aktivieren: Aktivieren Sie nach Wunsch Aurora Focus, wenn Sie Telemetriedaten sammeln und in der Verwaltungskonsole Warnungen für Erkennungen generieren möchten, die den Mindestschweregrad für die Richtlinie erfüllen.
      2. Beobachtungen aktivieren: Aktivieren Sie diese Option, wenn Aurora Focus Telemetriedaten für alle Erkennungen erfassen, interpretieren und analysieren soll, unabhängig davon, ob die Erkennung den Mindestschweregrad für die Richtlinie erfüllt und unabhängig von der Warnungskonfiguration.

        Wenn Sie Erkennungswarnungen aktivieren und Beobachtungen deaktivieren, werden Telemetriedaten von Aurora Focus gesammelt und analysiert und nur für Erkennungen, die den Mindestschweregrad für die Richtlinie erfüllen, Warnungen erzeugt. Wenn Sie Erkennungswarnungen aktivieren und Beobachtungen deaktivieren, sammelt und analysiert Aurora Focus Telemetriedaten für alle Erkennungen, erzeugt aber keine Warnungen.

      3. Automatische Antwort: Wählen Sie den minimalen Schweregrad aus, der erfüllt werden muss, damit eine automatische Antwort des Agent ausgelöst wird. Klicken Sie auf Hinzufügen > Behebungsmaßnahme, um eine oder mehrere automatische Antworten auszuwählen, die der Agent ausführen soll.

        Jede automatische Reaktion gilt nur für bestimmte Detektionstypen. Weitere Informationen finden Sie unter Automatische Reaktionen nach Erkennungstyp.

  10. Wenn Sie die Verhaltenserkennungsrichtlinie an dieser Stelle einer Geräterichtlinie zuweisen möchten, führen Sie die folgenden Schritte aus. Wenn Sie die Verhaltenserkennungsrichtlinie einer Geräterichtlinie zuweisen, wird die Quelle der Detection Engine, wenn diese zuvor auf Erkennungsregelsatz oder Keine eingestellt war, automatisch in eine BDE-Richtlinie geändert. Die Geräte wechseln zur Behavioral Detection Engine, wenn sie die aktualisierte Geräterichtlinie erhalten.
    1. Klicken Sie auf der Registerkarte Zugewiesene Geräterichtlinien auf Geräterichtlinie zuweisen.
    2. Klicken Sie in der Dropdown-Liste Geräterichtlinie auf eine oder mehrere Geräterichtlinien, denen Sie die Richtlinie zur Verhaltenserkennung zuweisen möchten.
    3. Wenn Sie nicht möchten, dass der Agent automatisierte Antworten ausführt, wählen Sie Nur Warnung.
    4. Wenn Sie möchten, dass der Agent automatische Antworten ausführt, klicken Sie auf Vollständige Durchsetzung.
    5. Klicken Sie auf Zuweisen.
  11. Klicken Sie auf Speichern.
Sie können eine Geräterichtlinie jederzeit bearbeiten, um die Quelle der Detection Engine (BDE-Richtlinie, Erkennungsregelsatz oder Keine), die zugewiesene Richtlinie für die Verhaltenserkennung oder den Betriebsmodus zu ändern (Nur Warnung oder Vollständige Durchsetzung).