AdministrationshandbuchAktionsalarmeAnpassen von Abfragen für AktionsalarmeAnpassen von Abfragen zum ausschließlichen Erfassen von schwerwiegenden Ereignissen › Auswählen von Abfragen zur Änderung

Vorheriges Thema: Anpassen von Abfragen zum ausschließlichen Erfassen von schwerwiegenden Ereignissen

Nächstes Thema: Überlegungen zu Aktionsalarmen
Auswählen von Abfragen zur Änderung

Sie können ausgewählte vordefinierte Abfragen zur Verwendung mit Alarmen ändern. Um die Abfrage anzupassen, fügen Sie den einfachen Filter basierend auf der CEG-Analyse hinzu. Setzen Sie den vordefinierten Bereich unter "Auswahl des Datumsbereichs" auf "Letzte 5 Minuten", um eine zeitnahe Benachrichtigung zu garantieren. Hier einige Beispiele:

Abfrage für Fehler bei erfolgreicher Konfiguration

  1. Kopieren Sie "Konfigurationsfehler - Details".

    Diese Abfrage gibt erfolgreiche und fehlgeschlagene Ereignisse zurück. Es werden nur die erfolgreichen Ereignisse benötigt.

  2. Stellen Sie den einfachen Filter folgendermaßen ein:

Kategorie

Klasse

Aktion

Ergebnis

Sicherheitsstufe

Konfigurationsverwaltung

Konfigurationsverwaltung

Konfigurationsfehler

Erfolgreich

6
  1. Speichern als Alarm: Fehler bei erfolgreicher Konfiguration

Abfrage für die erfolgreiche Erstellung der Zugriffsdatei

  1. Kopieren Sie "Datenveränderungen - Details".

    Diese Abfrage ruft alle Datenzugriffsaktionen ab.

  2. Stellen Sie den einfachen Filter folgendermaßen ein:

Kategorie

Klasse

Aktion

Ergebnis

Sicherheitsstufe

Datenzugriff

Objektverwaltung

Zugriffsdatei erstellen

Erfolgreich

6
  1. Speichern als Alarm: Erfolgreiche Erstellung der Zugriffsdatei

Abfrage für Antivirus-Scan-Fehler

  1. Kopieren Sie "Virenaktivität nach Aktion"

    Diese Abfrage filtert alle Antivirus-Host-Sicherheitsaktionen.

  2. Die folgenden Definitionen können als Anhaltspunkte dienen:

Kategorie

Klasse

Aktion

Ergebnis

Sicherheitsstufe

Hostsicherheit

Antivirusaktivität

Scan-Fehler

Erfolgreich

6
  1. Definieren Sie den einfachen Filter folgendermaßen:

    Der Erfolg beim Scan-Fehler ist vergleichbar mit dem Virus-Scan-Fehler.

  2. Speichern als Alarm: Virenscan fehlgeschlagen

Abfrage für fehlgeschlagene Virenbereinigung

Sie können die vordefinierte Abfrage "Virenerkennungen oder -bereinigungen - Details" verwenden, um beide Aktionen (erfolgreich oder fehlgeschlagen) zu erfassen. Dies genügt unter Umständen für Ihre Anforderungen. Optional können Sie zwei eigene Abfragen auf Grundlage dieser Abfrage erstellen, mit denen Sie das Ergebnis entsprechend der CEG-Tabelle für schwerwiegende Ereignisse festlegen.

  1. Kopieren Sie "Virenerkennungen oder -bereinigungen - Details".
  2. Erstellen Sie einen einfachen Filter für das Ergebnis "Fehlgeschlagen".

Kategorie

Klasse

Aktion

Ergebnis

Sicherheitsstufe

Hostsicherheit

Antivirusaktivität

Virus bereinigen

Fehler

6
  1. Entfernen Sie den erweiterten Filter.
  2. Speichern als Alarm: Virenbereinigung fehlgeschlagen

Abfrage für das erfolgreiche Erkennen eines Virus

Sie können die vordefinierte Abfrage "Virenerkennungen oder -bereinigungen - Details" verwenden, um beide Aktionen (erfolgreich oder fehlgeschlagen) zu erfassen. Dies genügt unter Umständen für Ihre Anforderungen. Optional können Sie zwei eigene Abfragen auf Grundlage dieser Abfrage erstellen, mit denen Sie das Ergebnis entsprechend der CEG-Tabelle für schwerwiegende Ereignisse festlegen.

  1. Kopieren Sie "Virenerkennungen oder -bereinigungen - Details".
  2. Erstellen Sie einen einfachen Filter für das Ergebnis "Erfolg" beim Erkennen von Viren.

Kategorie

Klasse

Aktion

Ergebnis

Sicherheitsstufe

Hostsicherheit

Antivirusaktivität

Virus entdeckt

Erfolgreich

6
  1. Entfernen Sie den erweiterten Filter.
  2. Speichern als Alarm: Virus erkannt.