Eine Risikoregel konfigurieren
Regelkonfigurationsoptionen
Jede benutzerdefinierte Risikoregel unterstuetzt die folgenden Konfigurationsfelder:
| Feld | Beschreibung | Erforderlich |
|---|---|---|
| Name | Ein beschreibender Name fuer die Regel | Ja |
| Bewertung | Auswirkungswert (1–10), der zur Kategoriesumme beigetragen wird | Ja |
| In Berichten anzeigen | Ob die Regel in den Erkennungsberichten der Suchbibliothek erscheint | Nein (Standard: ein) |
| In Impact Posture anzeigen | Ob die Regel zur Bedrohungsbewertung der Identity Posture zaehlt | Nein (Standard: ein) |
| Aggregationstyp | Wie Bewertungen kombiniert werden: Maximum oder Gewichtet | Nein |
| Cyber Framework | Compliance-Framework-Referenz (z. B. NIST CSF V2.0) | Nein |
| Framework Control | Spezifische Kontrollfunktion (z. B. PR.AA-03) | Nein |
| Nur Erkennung | Kennzeichnet Konten, ohne zur Bedrohungsbewertung beizutragen | Nein (Standard: aus) |
| Workflow-Trigger erlauben | Aktiviert automatisierte Workflow-Aktionen, wenn die Regel zutrifft | Nein (Standard: aus) |
| Plattformfilter | Beschraenkt die Regel auf bestimmte Plattformen | Nein |
| Datenquellenfilter | Beschraenkt die Regel auf bestimmte Datenquellen | Nein |
Regeln mit Nur Erkennung
Wann Nur Erkennung verwenden
Regeln mit Nur Erkennung identifizieren und melden uebereinstimmende Konten, tragen aber nicht zur Bedrohungsbewertung bei. Verwenden Sie Nur-Erkennung-Regeln, wenn Sie eine Bedingung ueberwachen moechten (z. B. Passwortalter > 180 Tage), ohne die gesamte Bedrohungslage zu beeinflussen. Nur-Erkennung-Regeln erscheinen weiterhin in Berichten, wenn In Berichten anzeigen aktiviert ist.
Weitergabetyp
Bewertungsweitergabe
Der Weitergabetyp bestimmt, wie mehrere Treffer derselben Regel aggregiert werden:
- Max — Nur die hoechste Trefferbewertung wird verwendet (Standard fuer die meisten Regeln)
- Summe — Alle Trefferbewertungen werden addiert
Wenn ein Konto beispielsweise eine Regel zweimal mit Bewertungen von 5 und 3 erfuellt: Max-Weitergabe ergibt 5, waehrend Summen-Weitergabe 8 ergibt.
Einen Bewertungswert waehlen
Bewertungshinweise
| Bewertungsbereich | Schweregrad | Verwendung fuer |
|---|---|---|
| 1–3 | Niedrig | Informationsbedingungen, Richtlinienpraeferenzen |
| 4–6 | Mittel | Richtlinienverstoesse, Hygienefragen |
| 7–8 | Hoch | Sicherheitsrisiken, die Aufmerksamkeit erfordern |
| 9–10 | Kritisch | Unmittelbare Sicherheitsbedrohungen, Compliance-Verstoesse |
Beruecksichtigen Sie den kumulativen Effekt: Mehrere Regeln mit mittlerer Bewertung in derselben Kategorie koennen schnell das Kategoriemaximum von 10 erreichen.
Eine Risikoregel erstellen
Zweck: Fuegen Sie eine benutzerdefinierte Risikoregel zur Bedrohungserkennung hinzu, um Konten zu kennzeichnen, die den spezifischen Risikokriterien Ihrer Organisation entsprechen.
Befolgen Sie diese Schritte, um eine Risikoregel zu konfigurieren:
Navigieren Sie zu Configuration | Identify | Threat Rules.
Klicken Sie auf + Add Rule.
Geben Sie unter Name einen beschreibenden Namen fuer Ihre neue Regel ein.
Wenn die Risikoregel in Berichten angezeigt werden soll, aktivieren Sie das Kontrollkaestchen Show in Reports.
Wenn die Risikoregel zur Gesamtbewertung der Identity Posture Bedrohungsbewertung zaehlen soll, aktivieren Sie das Kontrollkaestchen Show in Impact Posture.
Wenn die Regel Konten kennzeichnen soll, ohne zur Bewertung beizutragen, aktivieren Sie das Kontrollkaestchen Detection Only.
Waehlen Sie im optionalen Dropdown-Menue Aggregation Type Maximum oder Gewichtet aus.
Geben Sie unter Score eine Auswirkungszahl (1–10) ein.
Um die Regel auf bestimmte Plattformen zu beschraenken, verwenden Sie das Dropdown-Menue Platform Filter, um eine oder mehrere Plattformen auszuwaehlen.
Um die Regel auf bestimmte Datenquellen zu beschraenken, verwenden Sie das Dropdown-Menue Data Source Filter, um eine oder mehrere Datenquellen auszuwaehlen.
Geben Sie unter Cyber Framework das spezifische Framework an, das fuer diese Regel gilt, zum Beispiel NIST CSF v2.0.
Geben Sie unter Framework Control den Kontrollnamen ein, zum Beispiel fuer NIST CSF v2.0 koennte dies PR.AA-03 sein.
NOTE
Fuer einen bestimmten Risikofaktor koennen mehrere Framework-Referenzen hinzugefuegt werden.
Klicken Sie auf Add.
Sie koennen auch eine bestehende benutzerdefinierte Risikoregel ueber die Schaltflaeche Bearbeiten aendern. Standard-Risikoregeln koennen nicht bearbeitet werden.
Verwenden Sie die Schaltflaeche Rule Matches, um alle Konten abzurufen, die der spezifischen Regel entsprechen. Regelabgleich ist fuer Aggregationsregeln nicht verfuegbar.
Risikoregel-Aktionen
Weitere Informationen zu Aktionen basierend auf Risikoregeln finden Sie im Abschnitt Integrieren.
NOTE
Um die Workflow- und Risikoregel-Verknuepfung zu aktivieren, aktivieren Sie das Kontrollkaestchen Allow Workflow Trigger im Modal Threat Detection Rule beim Hinzufuegen/Bearbeiten.
