Deze keer in The Trellix Times wil ik je laten zien hoe je je omgeving beter in de gaten kunt houden met Automatic Responses. Deze automatische reacties kun je instellen voor allerlei situaties en acties. In deze Trellix Times gaan we dat doen voor een emailnotificatie wanneer er meerdere detecties binnen een bepaalde tijdsperiode plaatsvinden. Dat is handig, want er kan als beheerder nogal wat op je afkomen. Dit soort automatiseringen helpt je om overzicht over je beheer te houden.
Wel een belangrijke kanttekening voordat we in het hoe & wat duiken: gebruik automatiseringen als ondersteunend hulpmiddel. Let erop dat je er niet te afhankelijk van wordt, en dat je je omgeving proactief in de gaten blijft houden. Welnu, zonder verdere omhaal: hoe gebruik je Automatic Responses om je te helpen in je dagelijks beheer van Trellix ePO?
Navigeer in het menu allereerst naar Automation -> Automatic Responses. In dat scherm klik je bovenin op “New Response”. Vul allereerst een naam in voor je automatic response. Let hierbij goed op dat je een herkenbare, beschrijvende naam gebruikt. Dan is je automation later beter terug te vinden. Daarna kun je de criteria gaan instellen. In de eerste stap die je nu voor je ziet, kies je de Event Group en Event Type waar je een automatisering voor wilt maken. Omdat we nu meldingen aan het instellen zijn, kiezen we als Group “ePO Notification Events”. En omdat deze meldingen over detecties gaan, kiezen we by Type voor “Threats”. Dan kun je door naar stap 2.
In stap 2 definiëren we de criteria die bepalen waar en wanneer de melding moet plaatsvinden. Je kiest hier voor welke (sub)groep je deze melding wilt aanmaken (hier lees je meer over het indelen van (sub)groepen in ePO). Je ziet aan de linkerkant op het scherm een enorme lijst met properties. Die kun je allemaal gebruiken om deze criteria op te bouwen. Overigens is deze lijst met properties anders voor elk “Event Type” in de vorige stap. Het screenshot hieronder laat de lijst voor “Threat” zien omdat we daar nu mee bezig zijn. Maar het is het zeker waard om te kijken welke mogelijkheden er allemaal bestaan bij de verschillende Event Types. Je kunt heel veel.
Met deze properties kun je de logica opbouwen die de automatic response moet checken voordat deze in actie komt. Het is dus belangrijk om goed na te denken in welke situatie je wilt dat je automatische respons triggert, en hoe je deze logica dus opbouwt.
Vervolgens stel je bij ‘Detecting Product’ of ‘Detection Method’ in voor welk product je een automatic response aan het maken bent, bijvoorbeeld Threat Prevention, ATP of de On-Access scan. Het veld “Event Description” biedt je meer opties om je criteria verder aan te scherpen.
Bij stap 3 kun je triggers instellen voor de meldingen. Bijvoorbeeld hoe vaak je een mail wilt ontvangen, gebaseerd op tijd of aantal detecties. Dat is vooral heel erg handig om te voorkomen dat je wordt doodgegooid met meldingen. Zo zou je kunnen instellen dat je automated response pas afgaat wanneer een bepaalde detectie 5 keer in 30 minuten voor komt. Ook kun je hier instellen hoe je de meldingen wil groeperen. Wil je bijvoorbeeld dat ePO de detecties groepeert op basis van systeem? Of op basis van detecties per gebruiker? Dat stel je hier in.
Verder heb je hier nog de optie “throttling”. Daarmee geef je restricties aan hoe vaak een response getriggerd mag worden. In dit geval stellen we in dat wanneer er een melding wordt verstuurd (dus na 5 detecties), deze trigger 30 minuten lang geen response stuurt. Dit doe je om te voorkomen dat je trigger continu af gaat en je inbox vol wordt gegooid met notificaties. Een soort ‘cooldown’-periode dus. Scheelt alert fatigue.
Dan stap 4. Daarbij bepalen we wat er daadwerkelijk gebeurt als de criteria die we hierboven hebben ingesteld, zijn bereikt. In dit blog gaan we uit van een email-melding, maar er zijn veel meer opties. In het geval van die email-melding, is dit de plek waar je de daadwerkelijke email gaat inrichten. Zo zie je dat je hier de ontvangers, eventuele BCC, prioriteit, onderwerp en de inhoud allemaal kunt invullen. De inhoud van zo’n mail kan natuurlijk een eenvoudig, kort bericht zijn. Maar als je de inhoud goed wilt benutten, maak dan vooral gebruik van de “insert variable”-optie. Hiermee kun je variabelen zoals bijvoorbeeld Host Name of Target IP in je onderwerpregel of tekst opnemen. Zo kun je je melding dus direct voorzien van alle relevante informatie.
Heb je alle bovenstaande stappen doorlopen, dan kun je je nieuwgemaakte Automatic Response opslaan. Loop nog wel even alles goed na, inclusief de naam van de nieuwe response. Mooi! Nu heb je een automatisering gebouwd die je in bepaalde situaties een seintje kan geven. Dat zal helpen bij het bijhouden van je omgeving. En om nog maar even te herhalen: word niet afhankelijk van deze meldingen. Combineer ze met regelmatig, proactief onderzoek naar dreigingen in je omgeving. Daarover de volgende keer meer...
Als deze nieuwsbrief je heeft geholpen om je beheer makkelijker te maken, horen we dat graag. En ook als je er niet uit komt, kun je gewoon contact opnemen met MyDigitals; dan helpen we je verder. Ook als je (nog) geen klant bij ons bent.
The Trellix Times verschijnt eens per maand. Wil je je dagelijks Trellix beheer een boost geven en ‘m als eerste lezen? Abonneer je dan op LinkedIn, waar de nieuwsbrief als eerste verschijnt. Dan krijg je altijd een seintje wanneer de nieuwste editie klaarstaat. Ook kun je daar de vorige edities teruglezen.
Meer weten?
Max van der Veer helpt je graag verder. Je kunt hem bereiken op: max@mydigitals.nl