Verwenden Sie eine Vorlage, um einen benutzerdefinierten Filter zu erstellen

Ansichten:

Verwenden Sie eine der vorgefertigten Filtervorlagen, um einen benutzerdefinierten Filter zu erstellen, der Ereignisse in Ihrer Umgebung erkennt.

Prozedur

Gehe zu Agentic SIEM & XDR → Detection Model Management → Benutzerdefinierte Filter → Use a template.
Durchsuchen Sie den Katalog der Filtervorlagen und wählen Sie dann eine Vorlage aus.
Detection Model Management zeigt den benutzerdefinierten Filter im YAML-Format an.
Klicken Sie auf Weiter.
Passen Sie die allgemeinen Einstellungen des Filters an Ihre Bedürfnisse an:
- Filter name
- Beschreibung
- Schweregrad
  
  Eine Schwere von Mittel, Hoch oder Kritisch beeinflusst den Cyber Risk Index auf dem Cyber Risk Overview und Threat and Exposure Management. Beim Testen oder Abstimmen eines Modells wählen Sie niedrig, um die Indizes nicht zu beeinflussen.
Passen Sie die Ereigniseinstellungen des Filters an Ihre Bedürfnisse an:
1. Validieren Sie die Abfrage, indem Sie auf Validate Query klicken.
  
  Wenn die Abfrage gültig ist, können Sie auf Preview Search Results klicken, um die Suchergebnisse Ihrer Abfrage anzuzeigen.
2. Geben Sie bis zu 10 benutzerdefinierte Tags an.
  
  Benutzerdefinierte Tags helfen Ihnen, Ereignisse zu identifizieren, die durch benutzerdefinierte Filter in Workbench, Observed Attack Techniques und XDR Data Explorer erkannt wurden.
  
  Tags können bis zu 64 Zeichen lang sein.
Klicken Sie auf Save.

Trend Vision One speichert und aktiviert den benutzerdefinierten Filter. Diese Aktion kann einige Minuten dauern, bis sie wirksam wird.

Tipp

Sie können benutzerdefinierte Filter verwenden, um Erkennungsmodelle zu erstellen, die Workbench-Warnungen basierend auf Ihren Erkennungen generieren.