添加對您環境獨特且關鍵的自訂偵測信號。
步驟
- 在 Detection Signals 標籤上,點選 Add Signal。
- 在Basic Properties區域指定信號名稱,並可選擇性地提供描述。名稱可以幫助清楚識別您想要檢測的異常行為信號。
- 在Signal Definition區域中定義信號。
- 從下拉列表中選擇一個條件欄位。
- 從下拉清單中選擇所需的運算符。可用的運算子包括整數值比較運算子和字串值匹配運算子。例如,≤ 表示條件欄位包含一個小於或等於指定整數值的整數。
- 如果需要,請輸入或選擇所需的字串或整數值。下表描述了支援的條件條件欄位操作員說明寄件者網域在過去 30 天內的活動≤電子郵件的From標頭欄位中的發件人域名在過去30天內的活動天數小於或等於指定的天數。預設值:5。範圍:0 - 30。單位:天。例如,將值設為 0 表示發件人域在過去 30 天內沒有顯示任何活動。寄件者地址在過去30天內的活動≤電子郵件From標頭欄位中的發件人地址在過去30天內的活動天數小於或等於指定的天數。預設值:5。範圍:0 - 30。單位:天。例如,將值設為0表示發件人地址在過去30天內沒有任何活動。寄件者網域註冊年齡≤發件人在電子郵件From標頭欄位中的網域註冊時間小於或等於指定的天數。預設值:7。範圍:1 - 366。單位:天。例如,將值設置為 1 表示發件人域名是在過去 24 小時內註冊的。電子郵件傳輸方向
-
Is
-
不是
檢測異常的電子郵件流量包括傳入電子郵件、傳出電子郵件或內部電子郵件。設定條件Email traffic direction Is Incoming表示來自您組織外部發件人的電子郵件。將條件設置為Email traffic direction Is Sent表示發送給組織外部的外部用戶或組織內部的內部用戶的電子郵件。設定條件Email traffic direction Is Not Sent表示來自您組織外部發件人或您組織內部發件人的電子郵件。過去 30 天內的回覆域活動≤電子郵件的Reply-To標頭欄位中的收件者網域在過去30天內的活動天數小於或等於指定的天數。預設值:5。範圍:0 - 30。單位:天。例如,將值設為 0 表示 Reply-To 網域在過去 30 天內沒有任何活動。過去 30 天內的回覆地址活動≤收件人在電子郵件Reply-To標頭欄位中的地址在過去30天內的活動天數小於或等於指定的天數。預設值:5。範圍:0 - 30。單位:天。例如,將值設為0表示回覆地址在過去30天內沒有任何活動。電子郵件中的 URL 網域註冊年齡≤任何電子郵件中 URL 的網域註冊時間小於或等於指定的天數。預設值:30。範圍:1 - 366。單位:天。例如,將值設置為 1 表示電子郵件中至少有一個 URL 的域名是在過去 24 小時內註冊的。寄件者地址-
在
-
不在
電子郵件的發件人地址是否在指定的電子郵件地址列表中。最多支援 50 個電子郵件地址。星號 (*) 萬用字元支援在電子郵件地址的本地部分和域中表示零個或多個字符,例如,*@example.com、name@*.com 和 *@*.example.com -
注意
目前,您只能在信號定義中配置一個條件。 - 查看並確認信號定義符合您的要求。
- 點選儲存。