Workflows
Last updated
Last updated
Tauchen Sie in die Welt der fortschrittlichen Sicherheitsverbesserung ein, indem Sie mithilfe von Event Streams maßgeschneiderte Workflows erstellen. Diese Workflows bilden das Rückgrat für eine noch effektivere Erkennung von potenziellen Angriffen. Mit nur wenigen Klicks haben Sie die Möglichkeit, verschiedene Protokolle miteinander in Verbindung zu setzen und Alarme in Bezug auf erstellte Szenarien zu integrieren.
Erfahren Sie in unserem Use Case: Sicher gegen Bruteforce, wie Sie einen Workflow anlegen und klicken Sie sich durch unsere interaktive Demo.
Klicken Sie auf Workflow hinzufügen, um einen neuen Workflow zu erstellen. Vergeben Sie einen eindeutigen Namen und eine kurze Beschreibung. Definieren Sie darunter einen "Schweregrad". Zur Auswahl stehen hier: Low, Medium, High und Critical. Der gewählte Schweregrad wird Ihnen später unter Ereignisse angezeigt und hilft Ihnen bei der schnelle Priorisierung.
Wählen Sie nun einen Event Stream aus der Liste aus und definieren Sie darunter die Bedingung, unter welchen der Workflow getriggert werden soll. Mit Hilfe der Textbausteine lassen sich zahlreiche Szenarien erstellen. Fügen Sie über die Schaltfläche "Bedingung hinzufügen" weitere Voraussetzungen hinzu, um Ihren Workflow optimal an Ihr Szenario anzupassen.
Unter "Typ" haben Sie die Wahl zwischen:
Filter Setzen Sie hier einen Feldnamen fest, welcher für das Ereignis relevant ist. Unter Operator können Sie nun entscheiden, ob dieses Feld einem Wert gleich oder ungleich sein soll.
Group Verwenden Sie dieses Feld, um die Verbindung innerhalb der Protokolle zu berücksichtigen. Beispiel: Stellen Sie sich vor, Sie möchten Ereignisse nachverfolgen, bei denen sich ein Benutzer innerhalb kurzer Zeit anmeldet und dann wieder abmeldet. Indem Sie die Prozess-ID auf "Gruppe" setzen, können Sie das Anmeldeverhalten eines Benutzers analysieren. Dadurch vermeiden Sie, dass der Alarm jedes Mal ausgelöst wird, wenn sich Benutzer A anmeldet und Benutzer B abmeldet.
Display Field Geben Sie hier Felder an, welche Ihnen im erfassten Ereignis direkt ausgegeben werden sollen (ohne erst die Detailansicht durchsuchen zu müssen).
Durch Klick auf "Bedingung hinzufügen", können Sie weitere Felder des zuvor definierten Streams einbeziehen.
Klicken Sie auf "Workflowbedingung hinzufügen" können Sie zudem Ereignisse aus weiteren Streams mit betrachten.
Fügen Sie Ihren Workflow abschließend durch Klick auf das Feld "Änderungen speichern" hinzu.