Regelgruppen für die Verhaltenserkennung

  • EF
 Prev Next

Das Add-on Endpoint Detection and Response ist erforderlich, um Regelgruppen für die Verhaltenserkennung zu verwenden.

Was sind Regelgruppen für die Verhaltenserkennung?

Regelgruppen für die Verhaltenserkennung geben Ihnen eine fein abgestimmte Kontrolle über Ihre EDR-Verhaltenserkennungen. Betrachten Sie es als eine Möglichkeit, anzupassen, welche Sicherheitsregeln Ihre Umgebung überwachen. Sie können die Schutzstufen bei Bedarf erhöhen oder abschwächen, um das Alarmrauschen zu reduzieren.

Grundlegendes zu Nachweisstufen

Standardmäßig werden Verhaltenserkennungen im vorsichtigen Modus ausgeführt, was bedeutet, dass nur die schwerwiegendsten Bedrohungen Warnungen auslösen. Dies reduziert Fehlalarme auf ein Minimum und fängt gleichzeitig die schlimmsten Akteure ab. Sie können die Sicherheit erhöhen, indem Sie umfassendere Stufen auswählen:

  • Vorsichtig - Konzentriert sich auf eindeutig bösartige Aktivitäten mit sehr wenigen Fehlalarmen.

  • Mittel: Wirft ein breiteres Netz aus, um mehr potenzielle Bedrohungen abzufangen und gleichzeitig überschaubar zu bleiben.

  • Aggressiv - Verwendet eine umfassende Erkennungsabdeckung mit maximaler Empfindlichkeit (erwarten Sie mehr Warnungen).

Regelgruppen

Verhaltenserkennungen sind in acht fokussierte Kategorien unterteilt, die jeweils auf unterschiedliche Arten von verdächtigem Verhalten achten. Sie können jede Gruppe unabhängig voneinander auf "Vorsichtig", "Mittel" oder "Aggressiv" festlegen.

  • Entdeckung und Informationsbeschaffung: Erkennt verdächtige Befehle, z. B. zur Identifizierung von Sicherheitssoftwareinstallationen oder virtuellen Maschinen.

  • Exploit-Erkennung: Erkennt Ausnutzungsversuche von öffentlich bekannten oder eigens entdeckten Schwachstellen.

  • Erkennung von Verschleierung und Verschlüsselung: Erkennt die Verwendung von Verschlüsselung und Verschleierung, um Daten oder Befehle zu verbergen.

  • Persistenz-Mechanismen: Überwacht die Erstellung oder Änderung von Startagenten und Daemons, die die Persistenz auf einem macOS-Host einrichten sollen.

  • Erkennung der Rechteausweitung: Überwacht auf Anzeichen dafür, dass jemand versucht, Zugriff auf eine höhere Ebene zu erhalten, z. B. das Herumspielen mit Dateiberechtigungen oder den Zugriff auf vertrauliche Konfigurationsdateien.

  • Überwachung der Skript- und Befehlsverwendung: Identifiziert die Ausführung verdächtiger Befehle und Skripts.

  • Änderungen am Sicherheitstool und an der Systemkonfiguration: Erkennt das Ändern oder Deaktivieren von Sicherheitskonfigurationen und Tools zum Schutz von macOS, wie z. B. Gatekeeper, Transparency Consent and Control (TCC) und Endpunktsicherheitsprodukte.

  • Änderungen des Benutzerkontos: Erkennt die Erstellung oder Manipulation von Benutzerkonten, die vor normalen Benutzerinteraktionen oder der Systemadministration verborgen bleiben sollen.

Konfigurieren von Regelgruppen

  1. Öffnen Sie die Seite "Bedrohungen " in der linken Navigation.

  2. Wählen Sie die Registerkarte Regeln aus.

  3. Um Regeln global festzulegen, wählen Sie die Erkennungsstufe Regel aus.

  4. Um Regeln basierend auf einer Regelgruppe festzulegen, klicken Sie auf die Option Erkennungsstufe pro Regelgruppe festlegen.

  5. Wählen Sie unter jedem Regelgruppentyp die gewünschte Erkennungsstufe aus.

  6. Wenn Sie fertig sind, speichern Sie die Erkennungseinstellungen.

Behandeln von Regelausnahmen

Regelausnahmen sind nur für Regeln verfügbar, die nicht auf hochgradig bösartiges Verhalten abzielen. Kritische Sicherheitsregeln können nicht einzeln deaktiviert werden.

Gelegentlich müssen Sie möglicherweise eine bestimmte Regel deaktivieren, die übermäßige Warnungen generiert, ohne die Einstellungen der gesamten Regelgruppe zu beeinflussen. Gehen Sie dazu wie folgt vor:

  1. Navigieren Sie auf der Seite "Bedrohungen" zur Registerkarte "Erkennungen ".

  2. Wählen Sie die Erkennung(en), die unerwünschte Warnungen generieren, mithilfe des Kontrollkästchens links neben der Bedrohung aus.

  3. Wählen Sie die Auslassungspunkte in der unteren linken Ecke aus.

  4. Wählen Sie Disable suspicious rules (Verdächtige Regeln deaktivieren) aus.

Verwalten von Ausnahmen

Alle Regeln, die Sie deaktivieren, werden automatisch in der Liste "Regelausnahmen" auf der Registerkarte "Regeln " in Ihrer EDR-Konfiguration angezeigt.

Von dort aus können Sie:

  • Alle Regeln anzeigen, die Sie deaktiviert haben

  • Regeln wieder aktivieren, wenn sich die Umstände ändern

  • Behalten Sie den Überblick, was nicht überwacht wird.