Klassifizierungsregeln
Was Klassifizierungsregeln bewirken
Klassifizierungsregeln versehen entdeckte Konten automatisch mit Bezeichnungen (z. B. Admin Account, Service Account, Suspicious Account) basierend auf Kontoattributen. Klassifizierungen werden in Hydden durchgehend verwendet, um Berichte zu filtern, Zuordnungsregeln einzugrenzen und die Bedrohungserkennung zu steuern. Jede Klassifizierungsregel definiert ein Abfragefeld, einen Operator und einen Wert zum Abgleich mit Kontodaten.
Auf der Seite Klassifizierungsregeln können Mandanteneigentümer Kontoclassifications und Klassifizierungsregeln erstellen und bearbeiten.
Die Seite bietet zwei Konfigurations-Workflows. Einen zur Einrichtung von Klassifizierungen und einen weiteren zur Definition von Klassifizierungsregeln.
Klassifizierung hinzufügen
Hydden stellt die folgenden Standardklassifizierungen bereit:
- Admin Account
- Custom Account
- CVE-basierte Klassifizierungen:
- CVE-2023-42793
- CVE-2024-37085
- Known Bad Account
- Privileged Account
- Service Account
- Suspicious Account
Verwenden Sie die Schaltfläche + Klassifizierung hinzufügen, um eigene Klassifizierungen hinzuzufügen.
CVE-Klassifizierungen
CVE-basierte Erkennung
Hydden enthält integrierte Klassifizierungen für bekannte CVE-Schwachstellen:
- CVE-2023-42793 — JetBrains TeamCity Authentifizierungsumgehung. Die KRTBGT-basierten Klassifizierungsregeln identifizieren Active Directory-Konten mit Namensmustern, die mit diesem Exploit in Verbindung stehen.
- CVE-2024-37085 — Schwachstelle in der VMware ESXi Active Directory-Integration. Die VMware vSphere Admin-Klassifizierungsregeln erkennen Administratorkonten in Umgebungen, die möglicherweise betroffen sind.
Diese Klassifizierungen werden mit entsprechenden Klassifizierungsregeln kombiniert, um gefährdete Konten automatisch zu kennzeichnen.
Klassifizierungsregeln hinzufügen
Standardmäßig stellt Hydden die folgenden Klassifizierungsregeln bereit:
- Accounts by Display Name
- Accounts by Email
- Accounts by Name
- Accounts by UPN
- Member of Privileged Group
- Service Account by Path/OU
- Service Account by Type
- Active Directory Accounts with a name of KRTBGT
- Active Directory Accounts with a name of KRTBGT (CVE)
- Privileged Account
- VMware vSphere Admin Accounts
- VMware vSphere Admin Accounts (CVE)
Verwenden Sie die Schaltfläche + Klassifizierungsregel hinzufügen, um eigene Klassifizierungsregeln hinzuzufügen. Verwenden Sie die Schaltfläche Bearbeiten, um bestehende Regeln zu bearbeiten. Verwenden Sie die Schaltfläche Regelübereinstimmungen, um Daten anzuzeigen, die mit der spezifischen Regel übereinstimmen.
Zweck: Erstellen Sie eine benutzerdefinierte Klassifizierungsregel, um Konten automatisch anhand ihrer Attribute zu kennzeichnen.
- Geben Sie Ihrer Regel einen Namen.
- Wählen Sie optional aus dem Dropdown-Menü Datenquelle eine Datenquelle aus, auf die diese Regel angewendet werden soll.
- Wählen Sie im Feld Abfrage die Abfrage aus, die für diese Regel verwendet werden soll. Siehe Verfügbare Abfragefelder für die vollständige Liste.
- Wählen Sie im Feld Operator Contains, Starts with, Ends with oder Equals aus.
- Geben Sie im Feld Wert den Wert, das Präfix, das Suffix oder den Begriff ein, der abgeglichen werden soll.
- Wählen Sie im Feld Klassifizierung die Klassifizierung für diese Regel aus.
- Klicken Sie auf Hinzufügen.
Verfügbare Abfragefelder
Die folgenden Felder stehen für die Verwendung in Klassifizierungsregelabfragen zur Verfügung:
| Abfragefeld | Beschreibung |
|---|---|
| Path | Der Organisationseinheits- oder Verzeichnispfad des Kontos |
| Name | Der Name des Kontos (sAMAccountName oder gleichwertig) |
| Type | Der Kontotyp (User, Service, Resource usw.) |
| Display Name | Der Anzeigename des Kontos |
| UPN | Der User Principal Name des Kontos |
| Die primäre E-Mail-Adresse des Kontos | |
| Title | Die Berufsbezeichnung des Kontoinhabers |
| Department | Die Abteilung des Kontoinhabers |
| IsPrivileged | Ob das Konto über privilegierten Zugang verfügt (true/false) |
| Custom1–Custom10 | Benutzerdefinierte Attributfelder 1 bis 10 |
| Employee ID | Die Mitarbeiterkennung des Kontoinhabers |
| Group Name | Der Name einer Gruppe, der das Konto angehört |
Regel-Flags
Klassifizierungsregeln unterstützen die folgenden optionalen Flags:
| Flag | Beschreibung |
|---|---|
| Is Alert | Wenn aktiviert, löst die Regel eine Warnungsbenachrichtigung aus, wenn ein übereinstimmendes Konto gefunden wird |
| Is Repeatable | Wenn aktiviert, kann die Regel für dasselbe Konto über mehrere Erfassungsläufe hinweg mehrfach ausgelöst werden |
| Allow Workflow Trigger | Wenn aktiviert, kann die Regel automatisierte Workflows auslösen, die im Abschnitt Integrieren konfiguriert sind |
Kontoclassification-Bericht
Die Klassifizierungsregeln werden mit einem sofort einsatzbereiten Bericht in der Suchbibliothek auf der Kachel Identität & Konto bereitgestellt:
- Account Classifications
Der Kontoclassification-Bericht in der Suchbibliothek zeigt standardmäßig die folgenden Spalten an:
- Classification
- Classification Rule
- Platform
- Data Source
- Domain
- Provider
- Type
- Account Name
- Mapped to
- Display Name
- UPN
- MFA
- Status
Die Spalte Path, die über die Schaltfläche Spalten hinzugefügt werden kann, bietet Einblick in Path/OU-Wertdetails, die für die Einrichtung einer benutzerdefinierten Path/OU-Klassifizierung erforderlich sind.