Ansichten:

Erstellen, importieren und verwalten Sie Filter, um Ereignisse in Ihrer Umgebung zu erkennen.

Benutzerdefinierte Filter sind benutzerdefinierte Filter, die es Ihnen ermöglichen, die Erkennung spezifischer Bedrohungen und verdächtiger Verhaltensweisen an die einzigartigen Bedürfnisse Ihrer Umgebung anzupassen. Trend Vision One verwendet benutzerdefinierte Filter, um Sicherheitsereignisse zu erkennen, die in Observed Attack Techniques erscheinen. Sie können diese Filter dann in benutzerdefinierte Erkennungsmodelle integrieren, um Warnungen und Einblicke in Workbench zu generieren, wodurch Sie die Ereigniserkennung in einen vollständigen Bedrohungsüberwachungs-Workflow verwandeln können.
Der Bildschirm Benutzerdefinierte Filter (Agentic SIEM & XDRDetection Model ManagementBenutzerdefinierte Filter) ermöglicht es Ihnen, benutzerdefinierte Filter zu erstellen und zu verwalten. Benutzerdefinierte Filter bestehen aus:
  • Grundlegende Informationen
  • Ereignistyp
  • Ereignis-ID oder Anbieter
  • Eine Abfrage zum Erkennen von Ereignissen in Ihrer Umgebung
Der Ereignistyp und die Ereignis-ID / der Anbieter definieren die Art der Daten, die durch den Filter abgefragt werden. Zum Beispiel fragt ENDPOINT_ACTIVITY Endpunktdaten von endpunktbasierten Datenquellen wie Endpoint Sensor ab. Die Auswahl von TELEMETRY_FILE verfeinert die Abfrage weiter, um nur Datei-Ereignisse innerhalb der Endpunktaktivitätsdaten einzuschließen. Weitere Informationen zu Ereignistypen und Datenquellen finden Sie unter Datenquellen.
Wichtig
Wichtig
Sie können maximal 50 benutzerdefinierte Filter hinzufügen. Wenn Sie weitere Filter hinzufügen müssen, wenden Sie sich an Ihren Support-Anbieter.
Die folgende Tabelle zeigt die in Benutzerdefinierte Filter verfügbaren Aktionen auf:
Aktion
Beschreibung
Benutzerdefinierte Filter hinzufügen
Benutzerdefinierte Filter exportieren
  • Um alle benutzerdefinierten Filter zu exportieren, klicken Sie auf export_button=GUID-C683DEEE-C19C-484D-A5B1-4CA9D1794756=1=de-de=Low.jpg.
  • Wählen Sie für den Export benutzerdefinierter Filter einen oder mehrere Filter aus und klicken Sie auf Export Selected Filters.
Trend Vision One erstellt eine passwortgeschützte ZIP-Datei, die alle Ihre benutzerdefinierten Filter enthält (eine YAML-Datei pro Filter). Wenn der Export abgeschlossen ist, klicken Sie auf dddna_summary_detection_copy=GUID-4DE35BE5-57A5-4919-BF9C-5EC95F9CA8FD=1=de-de=Low.png unter Export Custom Filters, um das Passwort für die ZIP-Datei zu kopieren.
Benutzerdefinierte Filter importieren
Klicken Sie auf Filter hinzufügen und wählen Sie Import from computer aus dem Dropdown-Menü, um eine ZIP-Datei oder mehrere YAML-Dateien zu importieren.
Liste durchsuchen und filtern
Verwenden Sie die folgenden Optionen, um bestimmte Filter zu finden:
  • Schweregrad: Nach niedriger, hoher oder kritischer Schwere filtern
  • Ereignistyp: Nach Datenquellentypen filtern
  • Zuletzt aktualisiert: Nach dem letzten Änderungsdatum der Filter filtern
  • Suchleiste: Nach Filter-ID, Name oder Abfrageinhalt suchen
Filterdetails anzeigen
Klicken Sie auf einen Filtername, um ausführliche Informationen über den benutzerdefinierten Filter anzuzeigen.
Benutzerdefinierte Filter bearbeiten
Klicken Sie auf edit_icon=GUID-1F1D1164-5310-4D6D-ACD0-6049C86960AF.png, um einen benutzerdefinierten Filter zu bearbeiten.
Warnung
Warnung
Das Ändern eines benutzerdefinierten Filters beeinflusst, wie die Modelle, die den Filter verwenden, Workbench-Warnungen auslösen.
Benutzerdefinierte Filter löschen
Klicken Sie auf trash_icon=GUID-47cf6867-6315-438e-8670-86ff36f22a28.png, um einen benutzerdefinierten Filter zu löschen.
Sie können nur benutzerdefinierte Filter löschen, die in keinem Modell enthalten sind.
Zugehörige Informationen