Auf der Unterregisterkarte Erkennungsregeln von SecurityCoach können Sie Erkennungsregeln erstellen und verwalten. Durch Erkennungsregeln wird festgelegt, welche riskanten Aktivitäten mithilfe der Daten, die von Ihren integrierten Anbietern bereitgestellt werden, verfolgt werden sollen. Beispielsweise können Sie erfassen, ob Nutzerinnen und Nutzer risikobehaftete oder verbotene Websites besuchen, schädliche Anhänge herunterladen oder auf Phishing-Links klicken.

Unsere System-Erkennungsregeln basieren auf Standardrichtlinien der integrierten Anbieter. Diese Regeln sind standardmäßig aktiviert und müssen nicht weiter konfiguriert werden. Die verfügbaren System-Erkennungsregeln finden Sie im Artikel System-Erkennungsregeln nach Anbieter. Zusätzlich können Sie benutzerdefinierte Erkennungsregeln für benutzerdefinierte Richtlinien erstellen, die Sie in den Plattformen Ihrer Anbieter eingerichtet haben.

Wenn ein/e Nutzer/in eine Erkennungsregel auslöst, wird ein Ereignis in der Zeitleiste des/der Nutzer/in angezeigt. Sie können Erkennungsregeln auch zum Erstellen von Echtzeit-Coaching-Kampagnen verwenden.

Allgemeine Informationen zu SecurityCoach finden Sie in unserem SecurityCoach-Produkthandbuch.

Vorbereiten von Erkennungsregeln

Sie sollten folgende Schritte erledigen, bevor Sie Erkennungsregeln einrichten:

1. Führen Sie die Integration der Drittanbieter in SecurityCoach durch. Weitere Informationen finden Sie im Abschnitt Einrichten von Integrationen.
2. Fügen Sie eine Zustellmethode für Ihre SecurityTips hinzu. Weitere Informationen finden Sie in den unten aufgeführten Leitfäden für die Anbieterintegration:
   • Microsoft Teams-Integrationsleitfaden für SecurityCoach
   • Slack-Integrationsleitfaden für SecurityCoach
   • Google Chat-Integrationsleitfaden für SecurityCoach

Erstellen einer benutzerdefinierten Erkennungsregel

Wenn Sie benutzerdefinierte Erkennungsregeln in SecurityCoach verwenden möchten, richten Sie zunächst eine entsprechende benutzerdefinierte Richtlinie auf der Plattform eines Sicherheitsanbieters ein. Damit die benutzerdefinierten Erkennungsregeln wie vorgesehen funktionieren, müssen sie sich auf benutzerdefinierte Richtlinien des Sicherheitsanbieters beziehen.

Gehen Sie wie folgt vor, wenn Sie eine benutzerdefinierte Erkennungsregel erstellen möchten:

1. Melden Sie sich bei Ihrer KSAT-Konsole an und rufen Sie SecurityCoach > Erkennungsregeln auf.
2. Klicken Sie oben rechts auf der Seite auf die Schaltfläche + Erkennungsregel erstellen.
3. Füllen Sie die Felder auf der Seite Neue Erkennungsregel erstellen aus. Weitere Informationen zu diesen Feldern finden Sie im Screenshot und in der folgenden Liste:
   
   1. Name: Geben Sie einen Namen für die Erkennungsregel ein.
   2. Erkennungsregel aktivieren: Aktivieren Sie dieses Kontrollkästchen, um diese Regel zu aktivieren, sobald sie erstellt ist. Erkennungsregeln müssen aktiviert sein, damit Ereignisse zu den Zeitplänen der Nutzerinnen und Nutzer hinzugefügt und für Echtzeit-Coaching-Kampagnen verwendet werden können.

   3. Anbieter: Wählen Sie einen Anbieter für die Erkennungsregel aus.

      Hinweis: Nur in SecurityCoach integrierte Anbieter werden in diesem Drop-down-Menü angezeigt. Der Anbieter KSAT ist standardmäßig integriert. Weitere Informationen zur Integration von Anbietern finden Sie im Abschnitt Einrichten von Integrationen.
   4. Kategorie: Wählen Sie eine Kategorie für Ihre Erkennungsregel aus.
   5. Risikostufe: Wählen Sie eine Risikostufe für Ihre Erkennungsregel aus.
   6. Beschreibung: Geben Sie eine Beschreibung für die Erkennungsregel ein. Sie können zum Beispiel den Zweck der Regel angeben oder Informationen zu dieser Regel für andere Admins einfügen.
   7. Neues Kriterium: Erstellen Sie mithilfe der drei Drop-down-Listen ein Kriterium für die Erkennungsregel. Klicken Sie dann auf Kriterium hinzufügen, um das Kriterium zur Erkennungsregel hinzuzufügen. Sie können diesen Vorgang ggf. wiederholen, um weitere Kriterien zur Erkennungsregel hinzuzufügen. Weitere Informationen zu den Operatoren, die Sie für das Kriterium verwenden können, finden Sie im Abschnitt Operatoren für Erkennungsregeln weiter unten.
   8. Diese Regel immer auslösen, wenn bei einem Nutzer ein qualifizierendes Ereignis eintritt: Wählen Sie diese Option aus, um diese Regel jedes Mal auszulösen, wenn ein Ereignis die festgelegten Kriterien erfüllt.

   9. Diese Regel auslösen, wenn ein Nutzer die Mindestanzahl von qualifizierenden Ereignissen innerhalb der festgelegten Dauer (Tage) erreicht: Wählen Sie diese Option aus, um diese Erkennungsregel nur auszulösen, wenn die Kriterien innerhalb einer bestimmten Anzahl von Tagen mit einer festgelegten Häufigkeit erfüllt werden. Sie können diese Einstellung zum Beispiel verwenden, um die Erkennungsregel für alle Nutzerinnen und Nutzer auszulösen, bei denen innerhalb von 30 Tagen drei qualifizierende Ereignisse vorliegen.

      Weitere Informationen zu den Feldern Mindestanzahl und Dauer (Tage) finden Sie im Folgenden:

      • Mindestanzahl: Geben Sie die Mindestanzahl qualifizierender Ereignisse ein, die bei einer Nutzerin bzw. einem Nutzer vorliegen müssen, um diese Regel auszulösen.
      • Dauer (Tage): Geben Sie die Anzahl der Tage ein, innerhalb derer ein/e Nutzer/in die Mindestanzahl erfüllen muss, um diese Regel auszulösen.
   10. Regel erstellen: Bestätigen Sie Ihre Einstellungen und erstellen Sie die neue Erkennungsregel.
   11. Abbrechen: Brechen Sie die Erstellung der Erkennungsregel ab und kehren Sie zur vorherigen Seite zurück.
4. Klicken Sie auf Regel erstellen.

Operatoren für Erkennungsregeln

Beim Erstellen eines Kriteriums für eine Erkennungsregel können Sie die folgenden Operatoren verwenden.

Verwalten und Bearbeiten von Erkennungsregeln

Rufen Sie SecurityCoach > Erkennungsregeln auf, wenn Sie Erkennungsregeln verwalten und bearbeiten möchten.

Weitere Informationen zu den Optionen auf der Unterregisterkarte Erkennungsregeln finden Sie im Screenshot und in der folgenden Liste:

1. Status: Klicken Sie auf dieses Drop-down-Menü, um die Erkennungsregeln nach Status zu filtern. Zur Auswahl stehen Alle, Aktiv, Inaktiv und Wartung.
2. Typ: Klicken Sie auf dieses Drop-down-Menü, um die Erkennungsregeln nach Typ zu filtern. Zur Auswahl stehen Alle, Benutzerdefiniert und System.
3. Anbieter: Klicken Sie auf dieses Drop-down-Menü, um die Erkennungsregeln nach Anbieter zu filtern.
4. Kategorie: Klicken Sie auf dieses Drop-down-Menü, um die Erkennungsregeln nach Kategorie zu filtern.
5. Suchen: Geben Sie Schlagwörter ein, um nach einer bestimmten Erkennungsregel zu suchen.
6. Tabelle: In dieser Tabelle wird eine Liste von Ihren Erkennungsregeln aufgeführt. Für jede Erkennungsregel können Sie Name, Regelbeschreibung, Typ, Anbieter, Kategorie, Geändert am und Aktionen anzeigen.
7. Umschalten: Mit diesem Schalter aktivieren bzw. deaktivieren Sie eine Erkennungsregel. Wenn der Schalter in der Position „Aus“ steht, ist die Erkennungsregel deaktiviert. Wenn der Schalter in der Position „An“ steht, ist die Erkennungsregel aktiviert.
8. Augensymbol: Klicken Sie auf dieses Symbol, um die Systemerkennungsregel anzuzeigen. Beim Klicken auf dieses Symbol wird die Seite Erkennungsregel anzeigen mit Details für die Systemerkennungsregel angezeigt.
9. Plussymbol: Klicken Sie auf dieses Symbol, um eine Echtzeit-Coaching-Kampagne für die Erkennungsregel zu erstellen. Wenn Sie auf dieses Symbol klicken, werden Sie zur Seite Neue Echtzeit-Coaching-Kampagne erstellen weitergeleitet. Weitere Informationen über Echtzeit-Coaching-Kampagnen finden Sie im Leitfaden zu Echtzeit-Coaching-Kampagnen.
10. Drei-Punkte-Menü: Klicken Sie auf dieses Symbol, um ein Drop-down-Menü mit den folgenden Optionen anzuzeigen:
    

    • Bearbeiten: Klicken Sie auf dieses Symbol, um die Seite Erkennungsregel bearbeiten zu öffnen. Auf dieser Seite können Sie eine benutzerdefinierte Erkennungsregel wie gewünscht bearbeiten. Ausgegraute Optionen können nicht geändert werden. Klicken Sie links unten auf der Seite auf die Schaltfläche Speichern, um die Änderungen zu speichern.

      Hinweis: Wenn die Erkennungsregel von einer Systemerkennungsregel geklont wurde, können Sie auch auf die Schaltfläche Standardeinstellungen wiederherstellen klicken, um die Regel auf die Standardeinstellungen zurückzusetzen.
    • Klonen: Klicken Sie auf dieses Symbol, um eine Systemerkennungsregel zu klonen. Beim Klicken auf dieses Symbol wird die Seite Erkennungsregel klonen angezeigt. Auf dieser Seite können Sie Änderungen an der Regel vornehmen und diese als benutzerdefinierte Regel speichern.
    • Löschen: Klicken Sie auf dieses Symbol, um die benutzerdefinierte Erkennungsregel zu löschen.
11. + Erkennungsregel erstellen: Klicken Sie auf diese Schaltfläche, um eine neue Erkennungsregel zu erstellen.

Beispiel für eine Erkennungsregel

Auf dem folgenden Screenshot sehen Sie ein Beispiel für eine Erkennungsregel:

In diesem Beispiel wurden die folgenden Kriterien zur Erkennungsregel hinzugefügt:

• Bedrohungskategorie ist Massenweiterleitung durch Nutzer.
• Bedrohungskategorie ist Verdächtige E-Mail-Weiterleitung.

Diese Erkennungsregel wird ausgelöst, wenn eines der beiden Kriterien erfüllt ist. Mit dieser Konfiguration ist entweder eine verdächtige E-Mail-Weiterleitung oder eine E-Mail-Massenweiterleitung erforderlich, um diese Regel auszulösen.