Benutzerdefinierte Filter sind YAML-Dateien mit Schlüssel-Wert-Paaren, die Muster
und Bedingungen zur Erkennung von Ereignissen definieren. Jede Datei kann nur einen
Filter enthalten.
Befolgen Sie diese Richtlinien beim Erstellen benutzerdefinierter Filter:
-
Daten um vier Leerzeichen einrücken.Beispiel:
detection: operation: eventname: 'string' -
Verwenden Sie Kleinbuchstaben für Schlüssel.Beispiel:
title: id: description:
-
Verwenden Sie Unterstriche anstelle von Leerzeichen für Dateinamen.Beispiel:
file_name -
Stellen Sie sicher, dass die Dateierweiterung
.ymlist.Beispiel:possible_brute_force_attack.yml