檢視次數:

通過關聯來自不同來源的信號來檢測安全風險並識別異常。

旨在為您提供增強的檢測能力,相關智能會將來自各種來源的可疑信號進行關聯,以檢測安全風險和異常。
注意
注意
  • Correlated Intelligence 適用於 Exchange Online 和 Gmail。
  • 目前,相關情報會從進階垃圾郵件防護、惡意程式掃描和網頁信譽評等中收集信號。
相關智能的一個主要優勢是其能夠從多個來源查看和分析信號,以識別單一安全過濾器可能忽略的安全風險。這種多來源的方法增加了一層額外的保護,以檢測潛在的威脅。
相關智能的另一個亮點是其能夠提醒您異常情況,這些異常顯示一個或多個偏離正常行為的信號。異常情況不一定表示安全風險,但足夠不尋常以引起注意。通過此功能,您可以更全面地了解您的安全狀況。
相關情報首先從各種安全過濾器收集信號,然後將這些信號與預定義或用戶定義的規則進行匹配。此過程的目的是識別任何可能表明安全風險或異常的匹配項,從而提供對潛在安全威脅的更全面和細緻的分析。
雲端電子郵件和協作保護 附帶一組 預定義的關聯規則和檢測信號 來檢測 趨勢科技指定的安全風險和異常。您還可以定義對您環境獨特且重要的自訂檢測信號,然後將它們納入自訂關聯規則中。這為您提供了配置符合實際需求的關聯情報政策的靈活性。
相關資訊

配置相關情報

啟用通過關聯不同來源的信號來檢測安全風險和異常,並指定對任何匹配項應用的操作。

步驟

  1. 選擇Correlated Intelligence
    預設情況下,此安全過濾器已啟動,並具有以下設定:
    • 針對安全風險檢測的動作設定為隔離
    • All pre-defined rules 已選擇用於異常檢測。這將強制所有現有和未來預定義的關聯規則自動檢測異常。
    您可以使用預設設定,或配置設定以符合您的需求。
  2. 為檢測到安全風險的電子郵件配置處理行動設置。
    安全風險是由關聯智慧高信心檢測出的結果。這些通常是難以用單一保護層檢測到的複雜攻擊。關聯智慧結合來自各種來源的信號,以識別旨在繞過傳統分層防禦的高級攻擊。
    有關操作的詳細資訊,請參閱 不同服務可用的操作
  3. 雲端電子郵件和協作保護 開啟通知,以在檢測到安全風險時發送通知電子郵件。
  4. 決定執行全部或部分預定義的關聯規則以檢測異常。
    • All pre-defined rules
      當您啟用Correlated Intelligence切換時,此選項會自動選中。
      趨勢科技將其預定義的異常檢測關聯規則分為三個積極等級:ModerateAggressiveExtra aggressive。有關這些規則的詳細資訊以及每個積極等級規則適用的情況,請參閱 查看關聯規則和檢測信號
      1. 點選每個攻擊性等級旁的數字以查看相關的預定義規則。
      2. 選擇每個安全威脅類型在每個攻擊級別下的異常檢測操作。
        如果您不想對某一安全威脅類型強制執行某一特定攻擊級別的規則,請選擇Pass without logging作為操作。
      3. 如果您想在異常檢測期間排除某些預定義規則,請在Exceptions區域中選擇這些規則。
    • Specified pre-defined rules
      選擇一個或多個規則,然後為每個規則選擇一個動作。
    重要
    重要
    由相關智能相關規則進行的異常檢測可能並不總是表示惡意活動;它們與某些可疑信號一致,且效果和期望可能有所不同。我們建議最初將操作設置為Tag subjectAdd disclaimerLabel email,以監控結果,然後再採取更強的行動。您還可以創建自定義相關規則,並將其添加到Custom Correlated Intelligence部分,以更好地適應您的環境。
    有關操作的詳細資訊,請參閱 不同服務可用的操作
  5. 雲端電子郵件和協作保護 開啟通知,以便在檢測到異常時發送通知電子郵件。
  6. (僅限 Exchange Online) 開啟Warning banner,當最終使用者收到被預定義關聯規則標記為異常的電子郵件時,在電子郵件正文頂部顯示警告訊息。
    橫幅解釋了警告的原因,建議最終用戶在與電子郵件互動時要謹慎。點擊 Preview 以查看警告橫幅在最終用戶郵箱中的顯示方式。
    設定後,雲端電子郵件和協作保護 可以啟用警告橫幅中的選項,讓最終使用者將電子郵件報告為垃圾郵件、網路釣魚、想要的或對 趨勢科技 或指定管理員沒有風險。這是另一種方法,除了 Outlook 外掛程式之外,還可以通過允許最終使用者報告電子郵件來幫助改善安全威脅偵測。收到報告的電子郵件時,雲端電子郵件和協作保護 可以向最終使用者發送確認電子郵件。
    您也可以選擇在不啟用報告行動的情況下提醒最終使用者潛在的風險。要關閉這些行動,請在 AdministrationEmail Reporting 中關閉 回報給趨勢科技Report to administrators。詳細資訊請參見 電子郵件報告
    要查看最終用戶報告的電子郵件,請前往 OperationsUser-Reported Emails。詳細信息請參見 用戶回報的電子郵件
  7. 選擇一個或多個自訂的關聯規則,然後為每個規則選擇一個動作。
    除了趨勢科技預設的關聯規則外,您可以新增自訂的關聯規則,以滿足您環境中的檢測需求。詳情請參見 新增自訂關聯規則
  8. 開啟雲端電子郵件和協作保護的通知,以在檢測到異常時發送通知電子郵件。
  9. 配置通知設定。
    通知管理員
    1. 透過選擇收件者群組或指定個別收件者來指定要通知的管理員。您可以點選Manage recipient groups來編輯群組中的成員或新增更多群組。
    2. 指定訊息詳細資訊以通知管理員雲端電子郵件和協作保護檢測到安全風險並對電子郵件訊息、附件或檔案採取了行動。
    3. 設定通知閾值以限制發送通知訊息的數量。閾值設定包括:
      • Send consolidated notifications periodically雲端電子郵件和協作保護 發送一封電子郵件,匯總一段時間內的所有通知。請在框中輸入一個數字並選擇小時或天來指定時間段。
      • Send consolidated notifications by occurrences雲端電子郵件和協作保護 發送一封電子郵件,匯總一定數量的過濾操作通知。請在框中輸入一個數字以指定病毒/惡意程式發生的次數。
      • 發送個人通知雲端電子郵件和協作保護每次都會發送電子郵件通知雲端電子郵件和協作保護執行過濾操作。
    通知使用者
    指定訊息詳細資訊,通知收件者雲端電子郵件和協作保護檢測到安全風險並對其電子郵件訊息或附件採取了行動。
  10. 按一下「儲存」。
    您可以 檢查檢測結果並了解檢測背後的原因OperationsCorrelated Intelligence 畫面中。