檢視次數:

新增自訂關聯規則以符合您環境中的偵測需求。

步驟

  1. Correlation Rules 標籤上,點選 Add Rule
  2. Basic Properties區域指定規則名稱並可選擇性地提供描述。名稱可以幫助清楚識別您想要檢測的異常。
  3. 定義構成規則的一個或多個語句。
    一個語句結合了檢測信號和 AND 運算符。
    1. 從下拉列表中選擇一個檢測信號類型以篩選可用信號,然後從下一個下拉列表中選擇所需的信號。
    2. 如果您需要再添加一個信號來完成聲明,請點選Add Signal
    3. 重複前一步以將更多信號添加到聲明中。
      點選recipient_group_delete=GUID-42C3CD61-5E70-4549-9B92-59F3D2E47E6C=zh-tw=.png圖示以移除不需要的訊號。
    4. 當語句定義完成後,點選Add Statement to Rule
  4. 根據需要定義更多語句,並通過重複步驟 3 將它們添加到Rule Definition區域。
  5. 查看並確認規則定義符合您的需求。
    規則結合語句和 OR 運算符來標記和檢測您環境中的所需異常。當任何語句符合時,規則即匹配。
  6. 點選儲存