Cloud-Bedrohungskategorie
Dieses Dokument bietet einen Überblick über die Regelsätze in der Kategorie „Cloudbedrohungen“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von jedem Regelsatz generierten Benachrichtigungen optimieren können. Diese Regelsätze helfen bei der Identifizierung von Bedrohungen in Google Cloud-Umgebungen mit Google Cloud-Daten und in AWS-Umgebungen mit AWS-Daten.
Regelsatzbeschreibungen
Die folgenden Regelsätze sind in der Kategorie „Cloudbedrohungen“ verfügbar.
Die Abkürzung CDIR steht für Cloud Detection, Investigation, and Response.
Ausgewählte Erkennungsfunktionen für Google Cloud-Daten
Google Cloud-Regelsätze unterstützen die Identifizierung von Bedrohungen in AWS-Umgebungen mithilfe von Ereignis- und Kontextdaten. Sie umfassen die folgenden Regelsätze:
- Administratoraktion: Aktivität im Zusammenhang mit Verwaltungsaktionen, die als verdächtig, aber je nach Verwendung durch die Organisation möglicherweise legitim eingestuft werden.
- CDIR SCC Erweiterte Exfiltration: Enthält kontextsensitive Regeln, die die Ergebnisse der Security Command Center-Exfiltration mit anderen Logquellen korrelieren, z. B. Cloud-Audit-Logs, Kontext zum Schutz sensibler Daten, BigQuery-Kontext und Security Command Center-Logs zu Fehlkonfigurationen.
- CDIR-SCC Enhanced Defense Evasion: Enthält kontextsensitive Regeln, die die Ergebnisse der Security Command Center-Umgehung mit Daten aus anderen Google Cloud-Datenquellen wie Cloud-Audit-Logs korrelieren.
- Erweiterte Malware für CDIR SCC: Enthält kontextsensitive Regeln, die Malware-Ergebnisse von Security Command Center mit Daten wie dem Auftreten von IP-Adressen und Domains und deren Prävalenzwerte korrelieren, sowie anderen Datenquellen wie Cloud DNS-Logs.
- Erweiterte Persistenz von CDIR SCC: Enthält kontextsensitive Regeln, die Security Command Center-Persistenzergebnisse mit Daten aus Quellen wie Cloud DNS-Logs und IAM-Analyselogs korrelieren.
- Ausweitung der erweiterten Berechtigungen für SCC: Enthalten kontextsensitive Regeln, die die Ergebnisse der Ausweitung der Security Command Center-Berechtigungen mit Daten aus verschiedenen anderen Datenquellen korrelieren, z. B. Cloud-Audit-Logs.
- CDIR-SCC-Anmeldedatenzugriff: Enthält kontextsensitive Regeln, die die Ergebnisse des Security Command Center-Anmeldedatenzugriffs mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs in Beziehung setzen.
- Erweiterte SCC-Erkennung für CDIR: Enthält kontextsensitive Regeln, die die Ergebnisse der Eskalation von Security Command Center Discovery mit Daten aus Quellen wie Google Cloud-Diensten und Cloud-Audit-Logs korrelieren.
- CDIR SCC Brute Force: Enthält kontextsensitive Regeln, die die Ergebnisse der Brute-Force-Eskalation in Security Command Center mit Daten wie Cloud DNS-Logs korrelieren.
- CDIR-SCC-Datenvernichtung: Enthält kontextsensitive Regeln, die die Ergebnisse der Eskalation der Security Command Center-Datenvernichtung mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
- CDIR SCC Inhibit System Recovery: Enthält kontextsensitive Regeln, die Security Command Center in Beziehung setzen, um die Ergebnisse der Systemwiederherstellung mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs zu verhindern.
- CDIR-SCC-Ausführung: Enthält kontextsensitive Regeln, die die Ergebnisse der Security Command Center-Ausführung mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
- CDIR-SCC-Initialzugriff: Enthält kontextsensitive Regeln, die die Ergebnisse des ersten Zugriffs in Security Command Center mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
- CDIR SCC Impair Defenses (CDIR) enthält kontextsensitive Regeln, die Security Command Center Impair Defenses-Ergebnisse mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
- SCC-Auswirkungen von CDIR: Enthält Regeln, die Ergebnisse von Auswirkungen aus Security Command Center mit der Klassifizierung „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“ erkennen.
- CDIR SCC Cloud IDS: Enthält Regeln, die Cloud Intrusion Detection System-Ergebnisse aus Security Command Center mit einer Klassifizierung als kritisch, hoch, mittel und niedrig erkennen.
- CDIR SCC Cloud Armor: Enthält Regeln, die Google Cloud Armor-Ergebnisse von Security Command Center erkennen.
- Benutzerdefiniertes CDIR-SCC-Modul: Enthält Regeln, die Ergebnisse von benutzerdefinierten Event Threat Detection-Modulen aus Security Command Center erkennen.
- Cloud-Hacktool: Aktivitäten, die von bekannten anstößigen Sicherheitsplattformen oder von anstößigen Tools bzw. Software erkannt werden, die von Angreifern, die speziell Cloud-Ressourcen angreifen, verwendet werden.
- Cloud SQL-Ransom: Erkennt Aktivitäten im Zusammenhang mit der Daten-Exfiltration oder dem Lösegeld Lösegeld in Cloud SQL-Datenbanken.
- Verdächtige Kubernetes-Tools: Erkennt das Ausspähen und Ausnutzen von Open-Source-Kubernetes-Tools.
- Kubernetes-RBAC-Missbrauch: Erkennt Kubernetes-Aktivitäten im Zusammenhang mit dem Missbrauch von rollenbasierten Zugriffssteuerungen (Role-Based Access Control, RBAC), die die Rechteausweitung oder seitliche Verschiebung versucht.
- Sensible Aktionen für Kubernetes-Zertifikate: Erkennt Aktionen von Kubernetes-Zertifikaten und Zertifikatsignieranfragen, die zum Sichern von Persistenz oder zum Ausweiten von Berechtigungen verwendet werden können.
- IAM-Missbrauch: Aktivitäten im Zusammenhang mit dem Missbrauch von IAM-Rollen und -Berechtigungen, um innerhalb eines bestimmten Cloud-Projekts oder in einer Cloud-Organisation potenziell Berechtigungen zu eskalieren oder seitlich zu verschieben.
- Potenzielle Daten-Exfiltration: Erkennt Aktivitäten, die mit einer potenziellen Daten-Exfiltration verbunden sind.
- Ressourcen-Masquerading: Erkennt Google Cloud-Ressourcen, die mit Namen oder Eigenschaften einer anderen Ressource oder eines anderen Ressourcentyps erstellt wurden. Damit lassen sich schädliche Aktivitäten verbergen, die von oder innerhalb der Ressource ausgeführt werden, um als legitim zu erscheinen.
- Serverlose Bedrohungen : Erkennt Aktivitäten, die mit einer potenziellen Manipulation oder einem Missbrauch von serverlosen Ressourcen in Google Cloud wie Cloud Run und Cloud Functions verbunden sind.
- Dienststörung: Erkennen Sie destruktive oder störende Aktionen, die in einer funktionierenden Produktionsumgebung einen erheblichen Ausfall verursachen können. Das erkannte Verhalten ist in Test- und Entwicklungsumgebungen häufig und wahrscheinlich harmlos.
- Verdächtiges Verhalten: Aktivität, die in den meisten Umgebungen als ungewöhnlich und verdächtig eingestuft wird.
- Verdächtige Infrastrukturänderung: Erkennt Änderungen an der Produktionsinfrastruktur, die bekannten Persistenztaktiken entsprechen.
- Geschwächte Konfiguration: Aktivität, die mit der Schwächung oder Verschlechterung einer Sicherheitskontrolle verbunden ist. Abhängig von der Nutzung durch die Organisation als verdächtig, potenziell legitim eingestuft.
- Potenzielle Insiderdaten-Exfiltration aus Chrome: Erkennt Aktivitäten im Zusammenhang mit potenziellen Insider-Bedrohungen wie Daten-Exfiltration oder dem Verlust potenziell sensibler Daten außerhalb einer Google Workspace-Organisation. Dazu gehört auch das Verhalten von Chrome, das im Vergleich zu einem 30-Tage-Baseline-Modell als anomal eingestuft wird.
- Potenzielle Insider-Daten-Exfiltration aus Drive: Erkennt Aktivitäten im Zusammenhang mit potenziellen Insider-Bedrohungen wie Daten-Exfiltration oder dem Verlust potenziell sensibler Daten außerhalb einer Google Workspace-Organisation. Dazu gehört auch das Verhalten von Drive, das im Vergleich zu einer 30-Tage-Baseline als anomal eingestuft wird.
- Potenzielle Insiderdaten-Exfiltration aus Gmail: Erkennt Aktivitäten im Zusammenhang mit potenziellen Insiderbedrohungen wie Daten-Exfiltration oder dem Verlust potenziell sensibler Daten außerhalb einer Google Workspace-Organisation. Dazu gehört auch das Verhalten von Gmail, das im Vergleich zum 30-Tage-Baseline-Standard als anomal eingestuft wird.
- Potenzieller Zugriff auf ein Workspace-Konto: Erkennt Verhaltensweisen von Insidern, die darauf hinweisen, dass das Konto möglicherweise manipuliert wurde und zu Versuchen der Rechteausweitung oder Ausbreitung innerhalb einer Google Workspace-Organisation führen kann. Dazu gehören Verhaltensweisen, die im Vergleich zum 30-Tage-Normalbereich als selten oder anomal eingestuft werden.
- Verdächtige Workspace-Administratoraktionen: Erkennen Sie Verhaltensweisen, die auf potenzielle Umgehungen, Sicherheitsabstufungen oder seltene und ungewöhnliche Verhaltensweisen hinweisen, die in den letzten 30 Tagen bei Nutzern mit höheren Berechtigungen, wie etwa Administratoren, noch nie aufgetreten sind.
Die Abkürzung CDIR steht für Cloud Detection, Investigation, and Response.
Unterstützte Geräte und Protokolltypen
In den folgenden Abschnitten werden die Daten beschrieben, die für Regelsätze in der Kategorie „Cloud-Bedrohungen“ erforderlich sind.
Informationen zum Aufnehmen von Daten aus Google Cloud-Diensten finden Sie unter Cloud-Logs in Chronicle aufnehmen. Wenden Sie sich an Ihren Chronicle-Ansprechpartner, wenn Sie diese Logs mit einem anderen Mechanismus erfassen müssen.
Chronicle bietet Standardparser, die Rohlogs aus Google Cloud-Diensten parsen und normalisieren, um UDM-Einträge mit Daten zu erstellen, die für diese Regelsätze erforderlich sind.
Eine Liste aller von Chronicle unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.
Alle Regelsätze
Wir empfehlen, Cloud-Audit-Logs von Google Cloud zu erfassen, um einen Regelsatz zu verwenden. Bestimmte Regeln erfordern, dass Kunden Cloud DNS-Logging aktivieren. Achten Sie darauf, dass Google Cloud-Dienste so konfiguriert sind, dass Daten in den folgenden Logs aufgezeichnet werden:
Ransom-Regelsatz für Cloud SQL
Für die Verwendung des Regelsatzes Cloud SQL Ransom empfehlen wir, die folgenden Google Cloud-Daten zu erfassen:
- Die Protokolldaten, die im Abschnitt Alle Regelsätze aufgeführt sind.
- Cloud SQL-Logs
Erweiterte SCC-Regelsätze für CDIR
Alle Regelsätze, die mit dem Namen CDIR SCC Enhanced beginnen, verwenden Security Command Center Premium-Ergebnisse, die mit verschiedenen anderen Google Cloud-Logquellen kontextualisiert sind, darunter:
- Cloud-Audit-Logs
- Cloud DNS-Logs
- Identitäts- und Zugriffsverwaltungsanalyse (Identity and Access Management, IAM)
- Kontext für den Schutz sensibler Daten
- BigQuery-Kontext
- Compute Engine-Kontext
Wir empfehlen, die folgenden Google Cloud-Daten zu erfassen, um die CDIR SCC Enhanced-Regelsätze zu verwenden:
- Die im Abschnitt Alle Regelsätze aufgeführten Logdaten.
Die folgenden Logdaten, aufgelistet nach Produktname und Chronicle-Aufnahmelabel:
- BigQuery (
GCP_BIGQUERY_CONTEXT
) - Compute Engine (
GCP_COMPUTE_CONTEXT
) - IAM (
GCP_IAM_CONTEXT
) - Schutz sensibler Daten (
GCP_DLP_CONTEXT
) - Cloud-Audit-Logs (
GCP_CLOUDAUDIT
) - Google Workspace-Aktivitäten (
WORKSPACE_ACTIVITY
) - Cloud DNS-Abfragen (
GCP_DNS
)
- BigQuery (
Die folgenden Security Command Center-Ergebnisklassen, aufgelistet nach
findingClass
-Kennung und Chronicle-Aufnahmelabel:Threat
(GCP_SECURITYCENTER_THREAT
)Misconfiguration
(GCP_SECURITYCENTER_MISCONFIGURATION
)Vulnerability
(GCP_SECURITYCENTER_VULNERABILITY
)SCC Error
(GCP_SECURITYCENTER_ERROR
)
Die Regelsätze für CDIR SCC Enhanced sind ebenfalls von Daten aus Google Cloud-Diensten abhängig. So senden Sie die erforderlichen Daten an Chronicle:
- Aktivieren Sie Logging für die erforderlichen Google Cloud-Produkte und -Dienste.
- Aktivieren Sie Security Command Center Premium und zugehörige Dienste.
- Konfigurieren Sie die Aufnahme von Google Cloud-Logs in Chronicle.
- Konfigurieren Sie den Export von Event Threat Detection-Ergebnissen nach Chronicle. Standardmäßig werden alle Security Command Center-Ergebnisse aufgenommen. Weitere Informationen dazu, wie Chronicle-Standardparser die Datenfelder zuordnen, finden Sie unter Security Command Center-Ergebnisse exportieren.
- Aktivieren Sie Cloud-Audit-Logs und konfigurieren Sie den Export von Cloud-Audit-Logs nach Chronicle. Weitere Informationen finden Sie unter Cloud-Audit-Logs erfassen.
- Aktivieren Sie Google Workspace-Logs und senden Sie diese an Chronicle. Weitere Informationen finden Sie im Hilfeartikel Google Workspace-Protokolle erfassen.
- Konfigurieren Sie den Export von Google Cloud-Asset-Metadaten und kontextbezogenen Daten nach Chronicle. Weitere Informationen finden Sie unter Google Cloud-Asset-Metadaten nach Chronicle exportieren und Schutzdaten sensibler Daten nach Chronicle exportieren.
Die folgenden Regelsätze sorgen für eine Erkennung, wenn Ergebnisse aus Security Command Center Event Threat Detection, Google Cloud Armor, dem Security Command Center Sensitive Actions-Dienst und benutzerdefinierten Modulen für Event Threat Detection identifiziert werden:
- SCC Cloud IDS in CDIR
- CDIR SCC Cloud Armor
- Auswirkungen von CDIR-SCC
- CDIR SCC Erweiterte Persistenz
- Umgehung von CDIR SCC Erweiterter Abwehr
- Benutzerdefiniertes SCC-Modul CDIR
Regelsatz für verdächtige Kubernetes-Tools
Wenn Sie den Regelsatz Verdächtige Kubernetes-Tools verwenden möchten, sollten Sie die im Bereich Alle Regelsätze aufgeführten Daten erfassen. Achten Sie darauf, dass Google Cloud-Dienste so konfiguriert sind, dass sie Daten in Knotenlogs der Google Kubernetes Engine (GKE) aufzeichnen.
Kubernetes-Regelsatz zum RBAC-Missbrauch
Wenn Sie den Regelsatz Kubernetes RBAC-Missbrauch verwenden möchten, sollten Sie Cloud-Audit-Logs erfassen, die im Bereich Alle Regelsätze aufgeführt sind.
Regelsatz für Kubernetes-Zertifikatsaktionen
Wenn Sie den Regelsatz Sensible Aktionen für Kubernetes-Zertifikate verwenden möchten, sollten Sie Cloud-Audit-Logs erfassen, die im Bereich Alle Regelsätze aufgeführt sind.
Regelsätze für Google Workspace
Mit den folgenden Regelsätzen werden Muster in Google Workspace-Daten erkannt:
- Potenzielle Daten-Exfiltration aus Chrome
- Potenzielle Exfiltration von Insiderdaten aus Drive
- Potenzielle Insiderdaten-Exfiltration aus Gmail
- Potenzieller Manipulation des Workspace-Kontos
- Verdächtige Verwaltungsaktionen im Arbeitsbereich
Für diese Regelsätze sind die folgenden Logtypen erforderlich, aufgelistet nach Produktname und Chronicle-Aufnahmelabel:
- Workspace-Aktivitäten (
WORKSPACE_ACTIVITY
) - Workspace-Benachrichtigungen (
WORKSPACE_ALERTS
) - Workspace-ChromeOS-Geräte (
WORKSPACE_CHROMEOS
) - Workspace-Mobilgeräte (
WORKSPACE_MOBILE
) - Workspace-Nutzer (
WORKSPACE_USERS
) - Google Chrome-Verwaltung über die Cloud (
CHROME_MANAGEMENT
) - Gmail-Protokolle (
GMAIL_LOGS
)
So nehmen Sie die erforderlichen Daten auf:
Erfassen Sie die Daten, die im Abschnitt Alle Regelsätze dieses Dokuments aufgeführt sind.
Weitere Informationen finden Sie unter Google Workspace-Daten in Chronicle aufnehmen, um
WORKSPACE_ACTIVITY
-,WORKSPACE_CHROMEOS
-,CHROME_MANAGEMENT
- undGMAIL
-Logs zu erfassen.Unter Google Workspace-Logs erfassen finden Sie Informationen zum Aufnehmen der folgenden Logs:
WORKSPACE_ALERTS
WORKSPACE_MOBILE
WORKSPACE_USERS
Regelsatz für serverlose Bedrohungen
- Erfassen Sie die Daten, die im Abschnitt Alle Regelsätze dieses Dokuments aufgeführt sind.
- Cloud Run-Logs (
GCP_RUN
).
Cloud Run-Logs enthalten Anfrage- und Containerlogs, die als GCP_RUN
-Logtyp in Chronicle aufgenommen werden. GCP_RUN
-Logs können direkt oder über Feeds und Cloud Storage aufgenommen werden. Informationen zu bestimmten Logfiltern und weiteren Details zur Aufnahme finden Sie unter Google Cloud-Logs nach Chronicle exportieren. Mit dem folgenden Exportfilter werden Google Cloud Run-Logs (GCP_RUN
) zusätzlich zu den Standardlogs sowohl über den direkten Aufnahmemechanismus als auch über Cloud Storage und Senken exportiert:
log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)
Ausgewählte Erkennungen für AWS-Regelsätze
AWS-Regelsätze in dieser Kategorie helfen bei der Identifizierung von Bedrohungen in AWS-Umgebungen mithilfe von Ereignis- und Kontextdaten. Sie enthalten die folgenden Regelsätze:
- AWS – Compute: Erkennt anomale Aktivität in Bezug auf AWS-Rechenressourcen wie EC2 und Lambda.
- AWS – Daten: Erkennt AWS-Aktivitäten im Zusammenhang mit Datenressourcen wie RDS-Snapshots oder öffentlich zugänglichen S3-Buckets.
- AWS – GuardDuty: Kontextsensitive AWS GuardDuty-Benachrichtigungen zu Verhalten, Zugriff auf Anmeldedaten, Kryptomining, Erkennung, Umgehung, Ausführung, Datenausschleusung, Auswirkungen, anfänglichem Zugriff, Malware, Penetrationstests, Persistenz, Richtlinie, Ausweitung der Berechtigungen und nicht autorisierten Zugriff.
- AWS – Hacktools: Erkennt die Verwendung von Hacktools in einer AWS-Umgebung wie Scanner, Toolkits und Frameworks.
- AWS – Identität: Erkennung von AWS-Aktivitäten im Zusammenhang mit IAM- und Authentifizierungsaktivitäten wie ungewöhnliche Anmeldungen von mehreren geografischen Standorten, zu moderate Rollenerstellung oder IAM-Aktivitäten von verdächtigen Tools.
- AWS – Logging und Monitoring: Erkennt AWS-Aktivitäten im Zusammenhang mit der Deaktivierung von Logging- und Monitoringdiensten wie CloudTrail, CloudWatch und GuardDuty.
- AWS – Netzwerk: Erkennt unsichere Änderungen an AWS-Netzwerkeinstellungen wie Sicherheitsgruppen und Firewalls.
- AWS – Organisation: Erkennt AWS-Aktivitäten im Zusammenhang mit Ihrer Organisation wie das Hinzufügen oder Entfernen von Konten sowie unerwartete Ereignisse im Zusammenhang mit der Nutzung der Region.
- AWS – Secrets: Erkennt AWS-Aktivitäten im Zusammenhang mit Secrets, Tokens und Passwörtern, z. B. das Löschen von KMS-Secrets oder Secrets Manager-Secrets.
Unterstützte Geräte und Protokolltypen
Diese Regelsätze wurden getestet und werden für die folgenden Chronicle-Datenquellen unterstützt, die nach Produktname und Aufnahmelabel aufgelistet sind.
- AWS CloudTrail (
AWS_CLOUDTRAIL
) - AWS GuardDuty (
GUARDDUTY
) - AWS EC2-HOSTS (
AWS_EC2_HOSTS
) - AWS EC2-INSTANZEN (
AWS_EC2_INSTANCES
) - AWS EC2 VPCS (
AWS_EC2_VPCS
) - AWS Identity and Access Management (IAM) (
AWS_IAM
)
Informationen zum Einrichten der Aufnahme von AWS-Daten finden Sie unter Aufnahme von AWS-Daten konfigurieren.
Eine Liste aller unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.
In den folgenden Abschnitten werden die erforderlichen Daten beschrieben, die von Regelsätzen benötigt werden, die Muster in Daten identifizieren.
Sie können AWS-Daten mit einem Amazon Simple Storage Service-Bucket (Amazon S3) als Quelltyp aufnehmen oder optional Amazon S3 mit Amazon Simple Queue Service (Amazon SQS) verwenden. Auf übergeordneter Ebene müssen Sie Folgendes tun:
- Konfigurieren Sie Amazon S3 oder Amazon S3 mit Amazon SQS, um Logdaten zu erfassen.
- Konfigurieren Sie einen Chronicle-Feed, um Daten aus Amazon S3 oder Amazon SQS aufzunehmen.
Detaillierte Schritte zum Konfigurieren von AWS-Diensten und zum Konfigurieren eines Chronicle-Feeds für die Aufnahme von AWS-Daten finden Sie unter AWS-Logs in Chronicle aufnehmen.
Mit den Testregeln für AWS Managed Detection können Sie prüfen, ob AWS-Daten in Chronicle SIEM aufgenommen werden. Mit diesen Testregeln lässt sich prüfen, ob AWS-Logdaten wie erwartet aufgenommen werden. Nachdem Sie die Aufnahme von AWS-Daten eingerichtet haben, führen Sie Aktionen in AWS aus, die die Testregeln auslösen sollen.
Informationen dazu, wie Sie die Aufnahme von AWS-Daten mithilfe von AWS Managed Detection Testing-Testregeln prüfen, finden Sie unter AWS-Datenaufnahme für Cloud-Bedrohungen prüfen.
Von Regelsätzen zurückgegebene Feinabstimmungsbenachrichtigungen
Mithilfe von Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die eine Regel oder ein Regelsatz generiert.
Ein Regelausschluss definiert die Kriterien, nach denen ein Ereignis durch den Regelsatz oder durch bestimmte Regeln im Regelsatz von der Auswertung ausgeschlossen wird. Erstellen Sie einen oder mehrere Regelausschlüsse, um die Anzahl der Erkennungen zu reduzieren. Weitere Informationen dazu finden Sie unter Regelausschlüsse konfigurieren.