Ansichten:

Erfahren Sie, wie Sie Filter und Modelle erstellen und kombinieren, um ungewöhnliches Download-Verhalten in SharePoint und OneDrive zu erkennen.

Tipp
Tipp

Prozedur

  1. Navigieren Sie in der Trend Vision One Konsole zu Agentic SIEM & XDRDetection Model ManagementBenutzerdefinierte Filter.
  2. Klicken Sie auf Hinzufügen.
  3. Geben Sie einen beschreibenden Filtername an.
  4. Geben Sie eine Beschreibung des Filters an.
  5. Geben Sie die Schwere an, die mit dem Ereignis verknüpft ist.
  6. Wählen Sie MESSAGE_ACTIVITY für den Ereignistyp aus.
  7. Wählen Sie COLLABORATION ACTIVITY für die Ereignis-ID.
  8. Geben Sie actionName: FileDownloaded für die Abfrage ein.
  9. Klicken Sie auf Save.
    Ihr Filter erscheint im Benutzerdefinierte Filter-Tab.
  10. Navigieren Sie zu Agentic SIEM & XDRDetection Model ManagementCustom Models.
  11. Klicken Sie auf Hinzufügen.
  12. Geben Sie einen Modellnamen und eine Beschreibung an.
  13. Wählen Sie Hoch für die Schwere aus.
  14. Wählen Sie Single filter für die Filteroption aus.
    Hinweis
    Hinweis
    Sie können Multiple filters oder Multiple filters in sequence auswählen, um bis zu 5 benutzerdefinierte Filter hinzuzufügen.
  15. Wählen Sie den Filter, den Sie gerade erstellt haben, im Dropdown-Menü für den Filtername aus.
  16. Geben Sie 5 als Schwellenwert ein, um anzuzeigen, dass 5 Dateidownload-Ereignisse einen Alarm auslösen.
  17. Wählen Sie Benutzerkonto für die Ereignisgruppierung.
  18. Wählen Sie 15 Minuten für die Frequenz.
  19. Wählen Sie Last 15 minutes für den Zeitraum aus.
  20. Wählen Sie Enable after saving für den Status aus.
  21. Klicken Sie auf Save.
    Ihr Modell erscheint im Custom Models-Tab.
    Wenn die Bedingungen Ihrer Modelle und Filter in Ihren E-Mail- und Kollaborations-App-Erkennungen übereinstimmen, können Sie die zugehörigen Warnungen in Workbench anzeigen.