Die Spalte „Anzahl der Regeln“ wurde aus dem Datenraster „Ereignisse“ entfernt.

Möglicherweise haben Sie die Spalte „Anzahl der Regeln“ auf der Seite „Ereignisse“ des Admin-Portals verwendet, um UAC-Ereignisse zu identifizieren, die nicht durch eine Regel abgedeckt waren (d. h. die Metrik war „0“, d. h. es waren keine Regeln für dieses Ereignis definiert). Diese Spalte wurde mit der Einführung der neuen „Erweiterten“ Regelfunktionen (Herausgeber- und Dateiattribute) aus Gründen der Genauigkeit und Leistung entfernt. Das Entfernen dieser Metrik ermöglicht auch neue Funktionen, die nützlicher, genauer und einfacher sind und die Gesamtleistung des Rasters verbessern.

Das erste Problem bestand bei der Hinzufügung der erweiterten Regelfunktionen (Herausgeber- und Dateiattribute). Die Spalte „Anzahl der Regeln“ war dadurch nicht mehr korrekt. Dies lag daran, dass die Metrik „Anzahl der Regeln“ auf dem MD5-Hash des Ereignisses und dessen Übereinstimmung mit den MD5-Hash-Regeln basierte. Eine einfache Suche nach den Hashwerten ermöglichte die Metrik. Mit Herausgeber- und Dateiattributen ist die Berechnung dieser Anzahl deutlich komplexer und würde die Leistung des Admin-Portals beeinträchtigen.

Warum wurde nicht die ganze Geschichte erzählt?

Ein weiteres Problem mit der Spalte „Anzahl der Regeln“ war, dass die Zahl unter bestimmten Umständen irreführend sein konnte. Die angezeigte Metrik wurde berechnet, indem alle Regeln in Ihrem System (beim Laden des Rasters) berücksichtigt wurden. Beispielsweise konnte ein Ereignis eine 1 (oder mehr) anzeigen, obwohl eine Regel nur für einen einzigen Rechner, Standort oder ein Unternehmen existierte. Dies konnte dann fälschlicherweise so interpretiert werden, dass eine Regel für alle galt, obwohl sie nur wenige Computer betraf. Im Grunde genommen garantiert die Suche nach Ereignissen mit 0 Regeln nicht, dass Sie alle Ereignisse finden, die nicht von einer Regel „abgedeckt“ waren.

Wird es ersetzt?

Ja, es wird in zwei Phasen durch bessere Funktionen ersetzt, die Ihnen wesentlich dabei helfen, Ereignisse zu finden, für die es keine entsprechenden Regeln gibt.

Phase 1 – Eine neue Spalte im Ereignisraster zeigt an, ob das Ereignis zum Zeitpunkt des Ereignisses (und nicht zum Zeitpunkt des Öffnens des Datenrasters) durch eine Regel abgedeckt war. Dies ist viel genauer, da die Hierarchiekette des übergeordneten Computers berücksichtigt wird.

Phase 2 – Eine „Detailansicht“ für jedes Ereignis, die in Echtzeit anzeigt, wie viele Regeln in Ihrem Mandanten auf dieses Ereignis angewendet werden und auf welcher Hierarchieebene es sich befindet (unter Berücksichtigung der Optionen „Herausgeber“ und „Dateiattribute“).

Diese neuen Funktionen sollten es Ihnen ermöglichen, Ereignisse zu finden, die nicht durch Regeln abgedeckt sind, und bei Bedarf Regeln zu erstellen.

Hinweis : Funktionalität und Umfang einiger hier besprochener Funktionen können sich im Laufe ihrer Entwicklung und Fertigstellung ändern.