Ansichten:

Definieren Sie einen benutzerdefinierten Filter mit spezifischen Einstellungen, um Ereignisse in Ihrer Umgebung basierend auf Ihren Kriterien zu erkennen.

Prozedur

  1. Gehe zu Agentic SIEM & XDRDetection Model ManagementBenutzerdefinierte FilterCreate new filter.
  2. Geben Sie die allgemeinen Einstellungen des Filters an:
    • Filter name
    • Beschreibung
    • Schweregrad
      Eine Schwere von Mittel, Hoch oder Kritisch beeinflusst den Cyber Risk Index auf dem Cyber Risk Overview und Threat and Exposure Management. Beim Testen oder Abstimmen eines Modells wählen Sie niedrig, um die Indizes nicht zu beeinflussen.
  3. Geben Sie die Ereigniseinstellungen des Filters an:
    1. Wählen Sie einen Ereignistyp aus.
    2. Wenn Sie THIRD_PARTY_LOG auswählen, geben Sie den Anbieter an, der mit dem Ereignis verknüpft ist, das Sie erkennen möchten. Andernfalls wählen Sie eine Ereignis-ID aus.
    3. Geben Sie eine Abfrage an, um die Zielereignisse in den Aktivitätsdaten zu finden.
      Weitere Informationen zum Formatieren von Filterabfragen finden Sie unter Filterabfrageformat und Verwenden Sie Regex in benutzerdefinierten Filtern.
    4. Validieren Sie die Abfrage, indem Sie auf Validate Query klicken.
      Wenn die Abfrage gültig ist, können Sie auf Preview Search Results klicken, um die Suchergebnisse Ihrer Abfrage anzuzeigen.
    5. Geben Sie bis zu 10 benutzerdefinierte Tags an.
      Benutzerdefinierte Tags helfen Ihnen, Ereignisse zu identifizieren, die durch benutzerdefinierte Filter in Workbench, Observed Attack Techniques und XDR Data Explorer erkannt wurden.
      Tags können bis zu 64 Zeichen lang sein.
  4. Klicken Sie auf Save.
Trend Vision One speichert und aktiviert den benutzerdefinierten Filter. Diese Aktion kann einige Minuten dauern, bis sie wirksam wird.
Tipp
Tipp
Sie können benutzerdefinierte Filter verwenden, um Erkennungsmodelle zu erstellen, die Workbench-Warnungen basierend auf Ihren Erkennungen generieren.