Alerts

Bei Alerts handelt es sich um ein Mittel zur Erzeugung eines Meta-Ereignisses, wenn z.B. bestimmte Kombinationen von Ereignissen innerhalb eines kurzen Zeitintervalls auftreten. Anstatt nach Mustern in Ereignisprotokollen zu suchen, kann eine Alert-Definition verwendet werden, um ein solches Muster zu erkennen und sofort zu melden. Ein Alert kann nicht nur die Erkennung melden, sondern auch eine entsprechende Response auslösen.

Bitte beachten Sie, dass bei konfigurierter Ereignisverschlüsselung der Inhalt der Ereignisse im Alert unverschlüsselt im DriveLock Operations Center (DOC) und in der eventuell definierten Response dargestellt wird, um geschäftskritische Ereignisse (zB. Datendiebstahl) verzögerungsfrei und mit brauchbarem Inhalt melden zu können.

Um eine Alert-Definition zu erstellen, klicken Sie mit der rechten Maustaste auf den Unterknoten Alert-Definitionen und wählen Sie Neu... aus dem Menü. Ein Dialog mit mehreren Reitern wird angezeigt.

Auf dem Reiter Allgemein kann im Feld Beschreibung ein Name für den Alert eingegeben werden - dies ist der Name, der in der Liste der Alert-Definitionen angezeigt wird, sobald die Definition gespeichert wurde. Darüber hinaus können eine Schweregrad- und eine Alert-Kategorie eingestellt werden, um die Alert-Berichte im DOC besser zu organisieren. Alert-Kategorien müssen in den Unterknoten Alert-Kategorie-Definitionen des EDR-Knotens definiert werden und werden auf dem Server verwaltet.

Auf dem Reiter Bedingungen werden die Kriterien für die Auslösung des Alerts definiert. Verwenden Sie die Schaltfläche Hinzufügen, um logische Operatoren und Kriterien hinzuzufügen, die die Bedingung(en) für den Alert beschreiben.

Die einfachste Bedingung, die für einen Alert verwendet werden kann, ist die Übereinstimmung mit einem einzelnen Ereignisfilter. Klicken Sie dazu einfach auf Hinzufügen, Kriterium, und wählen Sie den passenden Ereignisfilter aus der Liste aus.

Es ist auch möglich, mehrere Ereignisfilter zu kombinieren: Zuerst fügen Sie einen der logischen Operatoren AND, OR oder N hinzu. Wählen Sie dann den Operator in der Bedingungsliste aus und klicken Sie erneut auf Hinzufügen, um mit dem Hinzufügen von Kriterien zu beginnen, auf die der Operator angewendet werden soll. Die Auswahl des Kriteriums öffnet die Liste der Ereignisfilter zur Auswahl eines Filters, der in die Bedingung einbezogen werden soll. Fahren Sie mit dem Hinzufügen eines Kriteriums fort, bis alle erforderlichen Ereignisfilter unter dem ausgewählten Operator aufgelistet sind. Achten Sie darauf, im Feld Ereignisse für diese Bedingung müssen innerhalb von ... Sekunden auftreten ein geeignetes Zeitfenster zu wählen, um zu verhindern, dass die Bedingung auf Ereignisse trifft, die in keinem Zusammenhang stehen und falsche Alerts auslösen.

Auf dem Reiter Responses kann zusätzlich zur Meldung des Alerts eine Sofortreaktion eingerichtet werden. Wählen Sie in der Dropdown-Liste Auszuführende Response eine Response aus der Liste der Response-Definitionen aus. Die Parameterdefinitionen für diese Antwort werden in der Liste Parameter-Mapping angezeigt. Wählen Sie einen Parameter und klicken Sie auf die Schaltfläche Bearbeiten, um den Parameterwert anzupassen, der in diesem Alert verwendet werden soll, wenn der Wert in der Response-Definition nicht geeignet ist.

Die Registerkarten Computer, Netzwerke und Zeiten können verwendet werden, um die Verwendung des Filters auf bestimmten Computern, die an bestimmte Netzwerke angeschlossen sind, während bestimmter Zeiträume zu aktivieren oder zu deaktivieren.

Speichern die neue Filterdefinition. Sie wird der Liste der Alert-Definitionen auf der rechten Seite hinzugefügt.