Erstellen von Konfigurationen

Übersicht

Konfigurationen sind Gruppen von Einstellungen, die das Verhalten von Threat Response-Komponenten steuern. Sie können verschiedene Konfigurationen für jede Threat Response-Komponente erstellen, um zu steuern, wie sie an bestimmten Gruppen von Endpunkten funktioniert.

Beispielsweise möchten Sie möglicherweise bestimmte Informationen auf eine Gruppe von Endpunkten anwenden und scannen, aber nicht auf anderen Gruppen. Oder Sie möchten vielleicht eine Teilmenge von Threat Response-Fähigkeiten auf eine Gruppe von Endpunkten anwenden. Verwenden Sie Konfigurationen, um anzupassen, welche Informationen anzuwenden sind, wie und wann Sie Informationen bewerten, wie Sie Dateisysteme indizieren und welche Ereignisse auf allen Endpunkten in einem Unternehmen aufgezeichnet werden sollen.

Sie können Konfigurationen für Intel, die Engine, den Recorder und den Index in einem Profil orchestrieren, das einer oder mehreren Computergruppen zugewiesen ist. Sie können Konfigurationen importieren und exportieren, um sie für Zielgruppen von Computern einfach anzuwenden.

Threat Response bietet Beispielkonfigurationen, die die häufigsten Konfigurationseinstellungen für bestimmte Betriebssysteme enthalten. Sie können zwar keine Beispielkonfigurationen bearbeiten, können sie jedoch kopieren, um sie als Vorlagen für die Erstellung von Konfigurationen und die Anwendung auf Profile zu verwenden.

Konfigurationen der Engine erstellen

Engine-Konfigurationen weisen die Engine an, wie Endpunkte nach Intel-Übereinstimmungen zu prüfen sind. Um das Scannen wichtiger Endpunkte zu vermeiden oder zu begrenzen, wenn die Engine aktiv ist, können Sie Sperrzeiten einschließen, um Scans während dieser Zeiten zu verhindern.

  1. Klicken Sie im Threat Response-Menü auf Management > Configurations (Konfigurationen). Klicken Sie auf Create (Erstellen) > Engine.
  2. Geben Sie im Abschnitt General Settings (Allgemeine Einstellungen) einen Namen und eine Beschreibung für die Engine-Konfiguration an.
  3. Wählen Sie im Abschnitt Engine Options (Engine-Optionen) die Stunden und Tage für die Sperrzeit des Scans aus.
  4. Konfigurieren Sie die Advanced Engine Settings (Einstellungen der Advanced Engine).
  5. Klicken Sie auf Save (Speichern).

Nachdem Sie Engine-Konfigurationen für Endpunkte bereitgestellt haben, können Sie Warnungen anzeigen und verwalten, die sich aus Intel-Übereinstimmungen ergeben. Siehe Managing alerts (Verwalten von Warnungen).

Intel-Konfigurationen erstellen

Intel-Konfigurationen sind Intel-Sätze, die Sie für die Verteilung an Computergruppen zusammenfassen und effizient auf Endpunkte anwenden können. Sie können beispielsweise Intel-Konfigurationen erstellen, die Computergruppen anvisieren, die nur Linux-Endpunkte enthalten oder ausschließlich virtuelle Assets sind.

  1. Klicken Sie im Threat Response-Menü auf Management > Configurations (Konfigurationen). Klicken Sie auf Create (Erstellen) > Intel.
  2. Geben Sie im Abschnitt General Settings (Allgemeine Einstellungen) einen Namen und eine Beschreibung für die Intel-Konfiguration an.
  3. Klicken Sie im Abschnitt Intel auf Add Intel (Intel hinzufügen). Wählen Sie das Intel aus, das Sie hinzufügen möchten. Klicken Sie auf Add (Hinzufügen)
  4. Wählen Sie Intel aus, das Sie zu Threat Response hinzugefügt haben. Klicken Sie auf OK (OK).
  5. Klicken Sie auf Save (Speichern).

Nachdem Sie Intel-Konfigurationen für Endpunkte bereitgestellt haben, können Sie Engine-Konfigurationen erstellen, um Warnungen zu generieren, wenn das Intel an Endpunkten abgeglichen wird.

Index-Konfigurationen erstellen

Verwenden Sie eine Indexkonfiguration, um Bedrohungsindikatoren für Dateien im Ruhezustand zu erkennen und zu melden. Index erstellt einen Index lokaler Dateisysteme, berechnet Datei-Hashes und sammelt Dateiattribute und Magic Numbers in einer SQLite-Datenbank auf dem Endpunkt.

Indexkonfigurationen bestimmen, wie Dateiindexierung und Hashing auf den lokalen Dateisystemen von Endpunkten auftreten. Index ist optimiert, um die Ressourcennutzung von Endpunkten zu minimieren und, soweit verfügbar, mit dem Journaldateisystemen zu arbeiten.

  1. Klicken Sie im Threat Response-Menü auf Management > Configurations (Konfigurationen). Klicken Sie auf Create (Erstellen) > Index. Geben Sie einen Namen und eine Beschreibung für die Indexkonfiguration an.
  2. Konfigurieren Sie die Index Settings (Einstellungen des Index).





    Stellen Sie sicher, dass die Einstellung zur Nachverfolgung von Änderungen in der Indexkonfiguration nicht ausgewählt ist, wenn Sie Index in einem Profil aktivieren, aber den Rekorder nicht aktivieren möchten.

  3. Klicken Sie im Abschnitt Exclude From Hashing (Vom Hashing ausschließen) auf Add Hashing Exclusion (Hashing-Ausschluss hinzufügen), um bestimmte Dateien vom Hashing auszuschließen. Es werden standardmäßige Hashing-Ausschlüsse bereitgestellt, die gemeinsame Pfade und Dateien zum Ausschließen enthalten. Für weitere Informationen über Hashing-Ausschlüsse, siehe Indexing and hashing exclusion (Index- und Hashing-Ausschlüsse).
  4. Klicken Sie im Abschnitt Exclude From Indexing (Aus der Indizierung ausschließen) auf -Add Indexing Exclusion (Indizierungsausschluss hinzufügen), um bestimmte Dateipfade mithilfe von regulären Ausdrücken und Namen aus der Indizierung auszuschließen. Es werden standardmäßige Indizierungsausschlüsse bereitgestellt, die gemeinsame Pfade und Dateien zum Ausschließen enthalten. Für weitere Informationen über Indizierungsausschlüsse, siehe Indexing and hashing exclusion (Indizierungs- und Hashing-Ausschlüsse).
  5. Klicken Sie auf Save (Speichern).

Nachdem Sie Indexkonfigurationen für Endpunkte bereitgestellt haben, können Sie Sensoren verwenden, um indexierte Dateien abzufragen. Siehe Verwenden von Sensoren zur Abfrage indexierter Dateien.

Erstellung von Ausschlüssen für Indizierung und Hashing

Um die Leistung zu verbessern und Systemressourcen zu speichern, erstellen Sie Konfigurationen, um Dateien von der Indizierung oder dem Hashing auszuschließen. Wenn Hashing aktiviert ist, wird jede Datei, die indiziert ist, standardmäßig gehasht.

Ziehen Sie beispielsweise die Erstellung einer Ausnahme in Betracht, wenn Sie eine Anwendung haben, die in eine Temp-Datei schreibt. Mit einer Ausnahme wird die Temp-Datei nicht indiziert und jedes Mal gehasht, wenn sie sich ändert.

Hashing

Erstellen Sie Ausnahmen aus dem Hashing, um bestimmte Dateien und Pfade aus der Berechnung von Hash-Werten auszuschließen.

  1. Klicken Sie im Threat Response-Menü auf Management > Exclusions (Ausnahmen) und wählen Sie Hashing. Klicken Sie auf Create (Erstellen). Wählen Sie das Betriebssystem aus und geben Sie einen Namen für die Ausnahme an.
  2. Geben Sie einen regulären Ausdruck an, der mit einem Pfad übereinstimmt, der von der Indizierung ausgeschlossen werden soll. Suchen Sie nach komplexeren Mustern und beschränken Sie den Umfang der Suche weiter. Zum Beispiel entspricht (if|ip)config(\.exe)?$ ifconfig, ipconfig, ifconfig.exe und ipconfig.exe.
  3. Klicken Sie auf Create (Erstellen).

Indizierung

Erstellen Sie Ausnahmen, um bestimmte Dateien und Pfade aus Dateisystemindizes zu speichern.

  1. Klicken Sie im Threat Response-Menü auf Management > Exclusions (Ausnahmen) und wählen Sie Indexing (Indizierung). Klicken Sie auf Create (Erstellen). Wählen Sie das Betriebssystem aus und geben Sie einen Namen für die Ausnahme an.
  2. Geben Sie einen regulären Ausdruck an, der von der Indizierung ausgeschlossen werden soll. Suchen Sie nach komplexeren Mustern und beschränken Sie den Umfang der Suche weiter. Zum Beispiel entspricht (if|ip)config(\.exe)?$ ifconfig, ipconfig, ifconfig.exe und ipconfig.exe.
  3. Klicken Sie auf Create (Erstellen).

Konfigurationen für Rekorder erstellen

Der Rekorder speichert forensische Nachweise für jeden Endpunkt in einer lokalen Datenbank. Mit den Einstellungen der Rekorder-Konfiguration können Sie das Datenbankvolumen nach Größe und Tagen der Speicherung einschränken.

Vor Threat Response 2.5 gab es eine gemeinsame Rekorder-Konfiguration für alle unterstützten Betriebssysteme. In Threat Response 2.5 und höher wurde diese gemeinsame Konfiguration durch betriebssystemspezifische Konfigurationen ersetzt. Wenn die alte Standard-Rekorderkonfiguration vorhanden ist, wird sie gelöscht, wenn nur Standardprofile sie verwenden oder mit einem Deprecated (veralteten) Suffix umbenannt wurden, wenn sie mit benutzerdefinierten Profilen verwendet werden. Wenn benutzerdefinierte Profile die alte Standardkonfiguration verwenden, wird sie editierbar.

Passen Sie die Einstellungen für jede Endpunktdatenbank an eine bestimmte Umgebung an. Systeme mit unterschiedlichen Rollen können ein höheres Volumen bestimmter Arten von Ereignissen erzeugen. Beispielsweise generieren Domänencontroller typischerweise mehr Sicherheitsereignisse und Netzwerkverkehr als eine durchschnittliche Endbenutzer-Workstation. Sie können benutzerdefinierte Konfigurationen erstellen, die die Ereignisbindung in einer Umgebung maximieren, wobei unerwünschte Aktivitäten ausgeschlossen werden.

  1. Klicken Sie im Threat Response-Menü auf Management > Configurations (Konfigurationen). Klicken Sie auf Create (Erstellen) > Recorder (Rekorder). Geben Sie einen Namen und eine Beschreibung für die Rekorderkonfiguration an.
  2. Konfigurieren Sie im Abschnitt Database Configuration (Datenbankkonfiguration) die Konfigurationseinstellungen für die Rekorder-Datenbank.
    1. Geben Sie eine maximale Datenbankgröße an. Der Endpunkt löscht Ereignisse, wenn die maximale Datenbankgröße erreicht ist.

    2. Geben Sie die Maximum Days to Retain Events (Maximale Anzahl von Tagen zur Aufbewahrung von Ereignissen) an, um die Anzahl der Tage anzugeben, die Ereignisse beibehalten werden. Ältere Ereignisse werden aus der Endpunktdatenbank gelöscht. Die Eingabe von 0 verhindert, dass Ereignisse basierend auf dem Alter gelöscht werden.

    3. Wählen Sie aus, ob Tanium Client-Prozesse aufgezeichnet werden sollen oder nicht. Die Auswahl dieser Option umfasst alle Tanium Client-Prozesse und alle untergeordneten Prozesse des Tanium Client in aufgezeichneten Ereignissen.
    4. Wählen Sie aus, ob die Encrypt Database (Datenbank verschlüsselt) werden soll oder nicht. Standardmäßig wird die Rekorder-Datenbank (recorder.db) mit AES 128-Bit-Verschlüsselung verschlüsselt. Deaktivieren Sie die Einstellung für die Datenbankverschlüsselung, wenn Sie nicht möchten, dass diese Daten verschlüsselt werden. Durch das Abwählen dieser Einstellung werden keine verschlüsselten Datenbanken in einen entschlüsselten Zustand zurückversetzt. Wenn Sie einen Endpunkt in einen entschlüsselten Zustand ändern, ändern Sie die Konfiguration, stellen Sie das aktualisierte Profil bereit und stellen Sie dann eine Aktion für die Endpunkte mit Recorder (Rekorder) - Reset Database (Datenbank zurücksetzen) bereit. Nachdem die Aktion zum Zurücksetzen abgeschlossen ist, ist die Datei recorder.db in einem entschlüsselten Zustand vorhanden..
  3. Wählen Sie im Abschnitt Tanium Driver die Option Enforce Driver (Treiber durchsetzen) aus, um den Treiber des Tanium-Ereignisspeichers zum Erfassen von Ereignissen auf Windows-Endpunkten zu verwenden. Bei der Aktualisierung auf Threat Response Version 2.2.0 von einer früheren Version ist bei vorhandenen Konfigurationen standardmäßig nicht das Kontrollkästchen Enforce Driver (Treiber erzwingen) aktiviert. Bei neuen Installationen von Threat Response 2.2.0 ist das Kontrollkästchen standardmäßig aktiviert.
  4. Wählen Sie im Abschnitt Recorded Events (Aufgezeichnete Ereignisse) die Arten von Ereignissen aus, die für die aktuelle Konfiguration aufzuzeichnen sind.

    Sicherheitsereignisse

    Sicherheitsereignisse wie Authentifizierung, Eskalation von Privilegien und mehr. Dieser Ereignistyp umfasst Anmeldungsereignisse, auch wenn Protokolle des Betriebssystems rotieren.

    Globale Ereignisse

    Ereignistypen unter globalen Ereignissen gelten nicht auf allen Betriebssystemen gleich. Globale Ereignisse enthalten Folgendes:

    • Registry

      [Windows only] Änderungen am Registry, wie die Erstellung oder Änderung von Registry-Schlüsseln und -werten. Enthält den zugehörigen Prozess- und Benutzerkontext.

    • Netzwerk

      Netzwerkverbindungsereignisse, wie z. B. eine HTTP-Anforderung an einen Internetspeicherort, einschließlich des zugehörigen Prozesses und Benutzerkontexts. Ereignisse werden für alle eingehenden und ausgehenden TCP-Verbindungen aufgezeichnet.

    • Datei

      Ereignisse im Dateisystem, wie z. B. Dateien, die an Verzeichnisstandorte auf dem Endpunkt geschrieben wurden. Der zugehörige Prozess- und Benutzerkontext ist enthalten. Beispiele: Eine Malware-Datei, die an einen Speicherort kopiert wird, den Windows Update verwendet, oder Änderungen an Inhalten, die an einer Datei vorgenommen wurden.

    • DNS

      [Windows 8.1 or later] Fordern Sie Informationen an, einschließlich Prozesspfad, Benutzer, Abfrage, Antwort und Art der Operation.

    • Abbild-Ladevorgänge

      [Windows only] Gibt historische Daten von jedem Endpunkt in Bezug auf Abbild-Ladevorgängen zurück; zum Beispiel den vollständigen Pfad und Hash, die Entität, die ein Abbild signiert hat, oder die Bezeichnung "Unsigned (Unsigniert)", wenn das Bild nicht signiert ist. Ein mögliches Beispiel ist das Laden einer nicht signierten DLL. Wenn Sie [Image Loads (Abbild-Ladevorgänge)] nicht auswählen, führt jedes Signal, das den Abbildereignistyp verwendet, zu einer Warnung für nicht übereinstimmende Ereignisse in den Alarmdetails.

    • Treiber-Ladevorgänge

      Gibt historische Daten von jedem Endpunkt bezüglich der Treiber-Ladevorgänge zurück, zum Beispiel den vollständigen Pfad und Hash eines Treibers. Standardmäßig sind Ereignisse zum Treiber-Ladevorgang nicht ausgewählt. Die Auswahl von Treiber-Ladevorgängen unter Windows-Filtern für image (Abbild) und process.path ist 'system'. Auswahl von Treiber-Ladevorgängen unter Linux oder macOS-Filtern für image (Abbild).

      Wenn beim Upgrade auf Threat Response Version 2.5 oder höher von früheren Versionen [Image Loads (Abbild-Ladevorgänge)] in Konfigurationen ausgewählt wurden, werden auch [Driver Loads (Treiber-Ladevorgänge)] ausgewählt. Treiber-Ladevorgänge und Abbild-Ladevorgänge schließen sich nicht gegenseitig aus. Es ist möglich, eine oder beide in einer Konfiguration überprüfen zu lassen.

    • HTTP-Header

      [Windows only] Gibt HTTP Header-Informationen von Verbindungen auf Endpunkten zurück, einschließlich der Zeit, zu der die Verbindungen stattgefunden haben, der Verbindungs-ID der Verbindung, der Remote-Adresse (Zieladresse) und des Namens und Werts des Headers. HTTP-Header werden erst erfasst, wenn der Endpunkt neu gestartet wurde.

      Wenn Sie HTTP-Header als aufgezeichnete Ereignisse verwenden, beachten Sie, dass die CPU-Auslastung auf Endpunkten beeinträchtigt wird, insbesondere auf Servern. Stellen Sie bei der Erfassung von HTTP-Headern als aufgezeichnete Ereignisse sicher, dass Sie die Auswirkungen auf die Leistung der Endpunkte, von denen sie erfasst werden, überwachen und ihre Sammlung entsprechend anpassen.

  5. Klicken Sie im Abschnitt Filter auf Manage File Filters (Dateifilter verwalten), um vorhandene Filter auszuwählen. Wählen Sie einen oder alle der verfügbaren Filter aus. Es stehen nur Filter zur Auswahl, die bereits erstellt wurden. Siehe Create Filters (Filter erstellen) für weitere Informationen zur Filtererstellung. Wenn Sie die Filter ausgewählt haben, die Sie der Konfiguration hinzufügen möchten, klicken Sie auf Apply (Anwenden). Geben Sie im Abschnitt Filters (Filter) die Methode an, die Sie für jeden Satz von Filtern anwenden möchten. Wählen Sie entweder Include (Einschließen) oder Exclude (Ausschließen) aus. Siehe Create Filters (Filter erstellen) für weitere Informationen zu Filtermethoden.
  6. (nur Linux) Fügen Sie im Abschnitt Advanced (Erweitert) Custom Audit Rules (Benutzerdefinierte Auditregeln) hinzu. Geben Sie benutzerdefinierte Auditregeln für die Verwendung auf Linux-Endpunkten an. Auditregeln werden dem Audit-Dienst zur Verfügung gestellt und haben das folgende Format: -a action,filter -S system_call -F field=value -k key_name. Sie können bis zu 500 benutzerdefinierte Auditregeln bereitstellen.
  7. Klicken Sie auf Save (Speichern).

Nachdem Sie Recorder-Konfigurationen bereitgestellt haben, können Sie Ereignisse anzeigen, die an den Endpunkten auftreten, an denen Sie die Konfiguration angewendet haben. Siehe Verbinden mit Live-Endpunkten und Erkunden von Daten.

Erstellen von Stream-Konfigurationen

Stream bietet die Möglichkeit, große Mengen an Daten von Endpunkten zu sammeln und an ein externes Ziel zu senden. Mit Stream-Konfigurationen können Sie Rekorder-Ereignisse für die Endpunkte in einer Umgebung angeben und filtern und Anweisungen zum Exportieren oder Streamen dieser Ereignisse direkt an ein SIEM zur Analyse im JSON-Format bereitstellen. Sie können beispielsweise festlegen, dass alle Netzwerkereignisse mit einem oder mehreren Filtern zu Chronicle, Splunk oder Elastic gestreamt werden, um weitere Datenanalysen oder forensische Untersuchungen außerhalb von Tanium durchzuführen.

  1. Klicken Sie im Threat Response-Menü auf Management > Configurations (Konfigurationen). Klicken Sie auf Create (Erstellen) > Stream. Geben Sie einen Namen und eine Beschreibung für die Stream-Konfiguration an.
  2. Wählen Sie eine Management Method (Managementmethode) aus. Sie können Konfigurationsparameter manuell bereitstellen oder eine JSON-Datei mit Konfigurationsparametern für eine Stream-Konfiguration hochladen. Wählen Sie entweder Manual (Manuell) oder File Upload (Datei hochladen). Wenn Sie File Upload (Datei hochladen) auswählen, klicken Sie auf Browse for File (Nach Datei suchen) und wählen Sie eine JSON-Datei zum Hochladen aus. Die JSON-Datei enthält die Konfigurationsparameter für die Stream-Konfiguration. Wenn Sie Manual (Manuell) auswählen, führen Sie die folgenden Aufgaben aus.
  3. Wählen Sie im Abschnitt Configuration (Konfiguration) einen Destination Type (Zieltyp) aus. Der von Ihnen gewählte Destination Type (Zieltyp) bestimmt die zusätzlichen erforderlichen Konfigurationseinstellungen, zu deren Bereitstellung Sie aufgefordert werden.

    Chronicle

    • Chronicle-Konfigurations-URL - Die URL zum Konfigurieren von Chronicle. Die angegebene URL muss vollständig sein und mit HTTPS:// beginnen.
    • API-Schlüssel - Der API-Schlüssel, der zur Authentifizierung von Aufrufen verwendet wird.
    • Customer ID (Kunden-ID) - Die Chronicle-Kunden-ID für Ihre Umgebung.

    ELK

    • URL - URL für Logstash HTTP-Eingabe.
    • Vertrauenszertifikat - Auswählen, um die Verbindung zu ELK mit TLS zu sichern.

    Splunk-HEC

    • URL - Die URL für den Zugriff auf die Splunk REST API.
    • Autorisierungs-Token - Das Autorisierungs-Token für den Zugriff auf Ihre Splunk-Umgebung. Fügen Sie das Splunk-Präfix nicht in dieses Token ein.
    • Vertrauenszertifikat - Auswählen, um die Verbindung zu Splunk mit TLS zu sichern.

    Splunk TCP

    • Host - Der vollständig qualifizierte Splunk Host Domain Name.
    • Port - Der Port für die Stream-Kommunikation mit dem Host.

    Wählen Sie Dry Run (Trockenlauf), wenn Sie Statistiken über die Daten sammeln möchten, die an das Ziel gestreamt würden, aber nicht tatsächlich Daten senden möchten.

    Standardmäßig ist Dry Run (Trockenlauf) aktiviert, wenn Sie eine Stream-Konfiguration erstellen. Analysieren Sie die Menge der Ereignisdaten, die an ein Ziel gestreamt werden würden, bevor Sie die Option Dry Run (Trockenlauf) deaktivieren. Dry Run (Trockenlauf) ist ein effektiver End-to-End-Test für Stream-Konfigurationen und testet den Zugriff auf die URL, die Sie für ein Ziel bereitstellen. Während diese Einstellung aktiviert ist, werden keine Daten zu einem Ziel gestreamt, sie müssen deaktiviert werden, damit Daten-Streaming erfolgt.

    Sie können den Sensor Threat Response - Daily Stream Stats (Tägliche Streamstatistiken) verwenden, um ein Verständnis für die Menge der Daten zu gewinnen, die gesendet werden würden.

  4. Wählen Sie im Unterabschnitt Event Types (Ereignistypen) die Ereignistypen aus, die Sie streamen möchten. Weitere Informationen zu Ereignistypen finden Sie unter event types (Ereignistypen).
  5. Wählen Sie im Unterabschnitt Advanced (Erweitert) die Option Filter Tanium Processes (Tanium-Prozesse filtern) aus, um alle Tanium-Client-Prozesse und alle untergeordneten Prozesse des Tanium-Clients in den aufgezeichneten Ereignissen zu filtern. Wenn der Tanium Client beispielsweise Python startet, um einen Sensor auszuführen, wird dieser aus den aufgezeichneten Ereignissen gefiltert.
  6. Klicken Sie im Abschnitt Filters (Filter) auf Manage Filters (Filter verwalten), um Filter zur Verwendung in der Stream-Konfiguration hinzuzufügen. Es stehen nur Filter zur Auswahl, die bereits erstellt wurden. Siehe Create Filters (Filter erstellen) für weitere Informationen zur Filtererstellung. Wenn Sie die Filter ausgewählt haben, die Sie der Konfiguration hinzufügen möchten, klicken Sie auf Apply (Anwenden). Geben Sie im Abschnitt Filters (Filter) die Methode an, die Sie für jeden Satz von Filtern anwenden möchten. Wählen Sie entweder Include (Einschließen) oder Exclude (Ausschließen) aus. Siehe Create Filters (Filter erstellen) für weitere Informationen zu Filtermethoden.
  7. Klicken Sie auf Save (Speichern).

Filter erstellen

Filter bieten eine Möglichkeit, die Ereignisinformationen zur Aufzeichnung zu definieren, um die Auswirkungen auf die Leistung zu reduzieren und eine schnelle Ereignisidentifizierung zu ermöglichen. Filter werden in Rekorder- und Stream-Konfigurationen angewendet und für bestimmte Arten von Rekorder-Ereignissen erstellt. Threat Response bietet einen Standardsatz von Filtern für jeden Typ von Rekorder-Ereignis, den Sie in Konfigurationen verwenden können. Sie können auch Ihre eigenen Filter erstellen. Sie können entweder Filter einschließen oder ausschließen. Mit der Filtermethode Include (Einschließen) können Sie den Standardfilter ersetzen, um nur die von Ihnen angegebenen Filter einzuschließen, um die Auswirkungen auf die Leistung zu reduzieren und eine schnelle Ereignisidentifizierung zu ermöglichen. Die Methode Exclude (Ausschließen) der Filterung verhindert, dass Ereignisse, die den von Ihnen angegebenen Kriterien entsprechen, aufgezeichnet werden.

Wenn eine Konfiguration Prozess-, Datei- und Netzwerkereignistypen aktiviert, aber ein Einschlussfilter nur Prozessereignisse enthält. Es werden keine Datei- oder Netzwerkereignisse aufgezeichnet. Wenn Sie einen Einschlussfilter für Netzwerkereignisse verwenden, werden die zugehörigen Prozessereignisse automatisch eingeschlossen.

Einschlussfilter unterstützen keine not (nicht)-Bedingungen. Wenn Sie einen Einschlussfilter in einer Konfiguration verwenden, werden keine standardmäßigen Einschlussfilter für andere Filtertypen bereitgestellt.

  1. Klicken Sie im Threat Response-Menü auf Management > Filters (Filter). Klicken Sie auf Create (Erstellen).
  2. Wählen Sie einen Filter Type (Filtertyp) aus.

    Datei

    File (Datei) Filter definieren Kriterien für Dateien, die aufgezeichnet werden sollen, wenn Pfad- oder Betriebswerte übereinstimmen.

    Bild

    Image (Abbild) Filter definieren Kriterien für Abbildereignisse zur Aufzeichnung, wenn Pfad-, Hash- oder Signaturwerte übereinstimmen.

    Netzwerk

    Network (Netzwerk) Filter definieren Kriterien für Netzwerkereignisse, um aufzuzeichnen, wann eine Übereinstimmung für eine definierte IP-Adresse, einen Port oder eine DNS-Anfrage vorgenommen wird.

    Prozess

    Process (Prozess) Filter schließen Ereignisse basierend auf dem Prozesspfad, Hash, Benutzernamen, der Benutzergruppe oder Befehlszeile aus.

    Registry

    Registry-Filter definieren Kriterien für Windows-Registry-Ereignisse, um aufzuzeichnen, wann bestimmte Schlüssel-Wert-Paare übereinstimmen.

    Systemdatei

    System File (Systemdatei) Filter bieten Pfade von Dateien oder Operationen, um mit der Protokollierung des Linux-Audit-Daemons (Auditd) übereinzustimmen oder sie zu filtern. Schließen Sie Systemdateien von der Aufzeichnung aus, um die Auswirkungen auf die Leistung auf Linux-Endpunkte mit hohen Aktivitätsniveaus zu reduzieren.


  3. Wählen Sie ein Operating System (Betriebssystem) aus. Geben Sie einen Namen und eine Beschreibung für den Filter an.
  4. Klicken Sie im Abschnitt Filter Definition (Filterdefinition) auf Filter Builder (Filtergenerator).
  5. Klicken Sie auf Add (Hinzufügen). Wählen Sie einen Typ, eine Eigenschaft und eine Bedingung aus. Die verfügbaren Eigenschaften und Bedingungen unterscheiden sich für jeden Filtertyp. Sie können Eigenschaften und Bedingungen verwenden, um logische Muster für das Abgleichen bestimmter Ereignisse zu erstellen. Sie können jedem Filter mehrere Aussagen hinzufügen. Geben Sie für jede Aussage, die Sie hinzufügen, ein logisches „und“ oder ein logisches „oder“ an, um die Beziehung der Aussagen in einem Filter zu definieren. Die folgende Tabelle enthält eine Referenz für Eigenschaften und Bedingungen für jeden Filtertyp.
    TypEigenschaftUnterstützte BedingungenKommentare
    DateiOperation

    ist

    ist nicht

    		Eines von create, write, open_write, rename, oder delete.
    Pfadist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Der vollständige Pfad zur Datei.
    ProzessPfadist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		 Der vollständige Pfad zur ausführbaren Prozessdatei.
    Hash

    ist

    ist nicht

    		Der MD5 Hash der ausführbaren Prozessdatei.
    Befehlszeileist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Die vollständige Befehlszeile des Prozesses.
    Benutzernameist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Der Benutzername, der den Prozess ausführt.
    Benutzergruppeist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Die Benutzergruppe oder Domäne des Benutzers, der den Prozess ausführt.
    Übergeordneter Pfad ist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Der vollständige Pfad zur übergeordneten Prozessdatei
    Übergeordnete Befehlszeile ist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Die vollständige Befehlszeile des übergeordneten Prozesses.
    Ancestry-Pfad ist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Der vollständige Pfad zu einem beliebigen übergeordneten Prozess.
    Ancestry-Hash

    ist

    ist nicht

    		 Der MD5-Hash eines beliebigen übergeordneten Prozesses.
    Ancestry-Befehlszeile ist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Die vollständige Befehlszeile eines beliebigen übergeordneten Prozesses.
    Ancestry-Benutzername ist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Der Benutzername, der einen beliebigen übergeordneten Prozess ausführt.
    Ancestry-Benutzergruppe ist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Die Benutzergruppe oder Domäne des Benutzers, der einen beliebigen übergeordneten Prozess ausführt.
    Status der Signatur

    ist

    ist nicht

    		Einer von verified (verifiziert), unverified (nicht verifiziert) oder no_signature (keine_Signatur)
    Signaturaussteller ist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Der Signaturaussteller des Prozesses.
    Signaturthemaist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Das Signaturthema des Prozesses.
    NetzwerkAdresseist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Die IPv4-Remote-Adresse.
    Port ist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Die Remote-Port-Nummer. Ports, die Sie in Netzwerkereignissen angeben, entsprechen dem Zielport. Der Zielport ist der Port, zu dem eine Verbindung auf dem Zielhost hergestellt wird.
    dns-Anfrageist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Der Hostname, der für die DNS-Auflösung angefordert wurde.
    RegistrySchlüsselpfadist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Der vollständige Pfad zum Registry-Schlüssel, einschließlich des vollständigen Hive-Namens.
    Name des Wertesist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Der Name des Registry-Werts.
    BildPfadist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Der vollständige Pfad zur Datei.
    Hash

    ist

    ist nicht

    		Der MD5-Hash.
    Status der Signatur

    ist

    ist nicht

    		Einer von verified (verifiziert), unverified (nicht verifiziert) oder no_signature (keine_Signatur)
    Signaturausstellerist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Der Signaturaussteller des Prozesses.
    Signaturthemaist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Das Signaturthema des Prozesses.
    SystemdateiPfadist
    ist nicht
    enthält
    enthält nicht
    beginnt mit
    beginnt mit nicht
    endet mit
    endet mit nicht    		Der vollständige Pfad zur Datei.
    Operation

    ist

    ist nicht

    		Eines von create,write, open_write, rename, oder delete.

    Eigenschaftswerte können eine Ganzzahl, eine einfache alphanumerische Zeichenkette sein oder sie können komplexer sein und andere Zeichen enthalten, wie Leerzeichen, Backslashes und hex-kodierte Werte. Eigenschaftswerte unterstützen keine regulären Ausdrücke oder Platzhalter. Auf Windows-Plattformen ist der Fall nicht empfindlich für bereitgestellte Eigenschaftswerte; zum Beispiel hat TaniumClient oder taniumclient die gleiche Wirkung. Um Muster für Eigenschaften zu erstellen, die mit beginnen, enthalten oder mit enden, verwenden Sie Bedingungen und fügen Sie zusätzliche Anweisungen zu Filtern hinzu. Für Suchen mit nicht-alphanumerischen Werten oder Leerzeichen, setzen Sie den Wert in einfache Anführungszeichen. Um Sonderzeichen innerhalb der einzelnen Anführungszeichen als Schutzzeichen zu kodieren, werden die folgenden Sequenzen unterstützt:

    • \r Für Zeilenumbruch
    • \n Für neue Zeile
    • \t für Tabulator
    • \\ Für den Backslash selbst
    • \' Für ein einfaches Anführungszeichen innerhalb der Anführungszeichen
    • \x Um eine hex-kodierte Sequenz mit einem Byte zuzulassen. Zum Beispiel würde \x20 ein einfaches Leerzeichen eingeben.

    Die Hex-Codierung ist erforderlich, um UTF-8 Zeichen außerhalb des Ein-Byte-Zeichensatzes zu verarbeiten. Jedes UTF-8 Zeichen kann über die Hex-Codierung hinzugefügt werden, falls erforderlich.

    Vollständige Details zu den unterstützten Objekten, Eigenschaften und Bedingungen finden Sie in der Dokumentation zur Engine.

    Die folgenden Beispielausdrücke zeigen kombinierte Ausdrücke, Vorrang und Sonderzeichen mit Schutzzeichen:

    • process.command_line enthält 'evil' UND process.path beginnt mit 'c:\\windows'
    • (file.path beginnt mit 'c:\\\\temp' ODER file.path endet mit '.evil.tmp') UND process.path enthält cmd.exe
  6. (Optional) Klicken Sie auf Group (Gruppe). Die Verwendung einer Gruppe zeigt an, dass Sie beabsichtigen, alle Bedingungen in der Gruppe mit einem einzigen Ereignis abzugleichen. Um beispielsweise sicherzustellen, dass Abgleichungen gegen dasselbe Dateiereignis stattfinden, sollten Sie diese Ereignisse gruppieren. Sie können dann mehrere Gruppen einschließen, um Übereinstimmungen mit verschiedenen Ereignissen in der Zeit zu erreichen. Sie können logisches UND und logisches ODER verwenden, um das Gruppenverhalten weiter zu verfeinern.
  7. Klicken Sie auf Save (Speichern).
  8. Klicken Sie im Abschnitt Filters (Filter) einer Rekorder- oder Stream-Konfiguration neben jedem Filter, den Sie hinzugefügt haben, auf Include (Einschließen) oder Exclude (Ausschließen), um die Methode anzugeben, die Sie für jeden Filtersatz anwenden möchten. Mit der Filtermethode Include (Einschließen) können Sie den Standardfilter ersetzen, um nur die von Ihnen angegebenen Filter einzuschließen, um die Auswirkungen auf die Leistung zu reduzieren und eine schnelle Ereignisidentifizierung zu ermöglichen. Wenn Sie beispielsweise für Registry-Ereignisse einen oder mehrere Registry-Filter als Einschluss bereitstellen, ersetzen diese den Standard-Einschlussfilter von „Registry“. Mit der Methode Exclude (Ausschließen) können Sie Ereignisse effektiv an der Aufzeichnung hindern. Wenn ein Satz von Filtern, die Sie für Include (Einschließen) festlegen, einen bestimmten Filter enthält, der einem Satz von Filtern als Exclude (Ausschließen) zugeordnet wurde, wird im Arbeitsplatz eine Warnung angezeigt.

    DNS-Filter werden nicht als gültige Filter Include (Einschließen) unterstützt.

Konfigurationen und Filter importieren und exportieren

Konfigurationen und Filter importieren und exportieren, um sie in einer anderen Threat Response-Umgebung anzuwenden. Sie können beispielsweise Konfigurationen oder Filter exportieren, die Sie aus einer Laborumgebung getestet haben, und sie in eine Produktionsumgebung importieren. Mit Ausnahme von Indexkonfigurationen werden sowohl Konfigurationen als auch Filter importiert und ausschließlich als JSON-Dateien exportiert. Sie können entweder config.ini-Dateien oder JSON-Dateien für Index-Konfigurationen importieren.

Das Import/Export-Format für Filter hat sich in Threat Response Version 2.5 geändert. Sie können Filter aus Versionen von Threat Response vor 2.5 nicht exportieren und sie in Threat Response ab Version 2.5 importieren. Sie können ebenso Filter aus Threat Response ab Version 2.5 nicht exportieren und sie in Threat Response vor Version 2.5 importieren.

Konfigurationen exportieren

  1. Klicken Sie im Threat Response-Menü auf Management > Configurations (Konfigurationen).
  2. Klicken Sie auf Import/Export. Wählen Sie Export All (Alle exportieren).
  3. Geben Sie auf der Export-Seite einen Namen ein und klicken Sie auf Export (Exportieren). Alle Konfigurationen in der Threat Response-Umgebung werden exportiert.

Filter exportieren

  1. Klicken Sie im Threat Response-Menü auf Management > Filters (Filter).
  2. Klicken Sie auf Export All (Alle exportieren).
  3. Geben Sie auf der Export-Seite einen Namen ein und klicken Sie auf Export (Exportieren). Alle Filter in der Threat Response-Umgebung werden exportiert.

Konfigurationen importieren

  1. Klicken Sie im Threat Response-Menü auf Management > Configurations (Konfigurationen).
  2. Klicken Sie auf Import/Export. Wählen Sie Import JSON (JSON importieren) oder Import INI (INI importieren) und suchen Sie nach einer JSON-Datei oder einer INI-Datei für Indexkonfigurationen.
  3. Klicken Sie auf Import (Importieren).

Filter importieren

  1. Klicken Sie im Threat Response-Menü auf Management > Filters (Filter).
  2. Klicken Sie auf Import (Importieren). Zu einer JSON-Datei navigieren.
  3. Klicken Sie auf Import (Importieren).