建立自訂模型以定義您想要觸發工作台警報的特定事件。
 |
重要您最多可以建立 50 個自訂模型。
|
自訂模型由基本資訊、使用者定義的自訂篩選器和其他參數組成,例如觸發警報所需的事件數量以及篩選器查詢應用於您活動資料的頻率。
步驟
- 在 Detection Model Management 應用程式中,前往 Custom Models。
- 點選新增。
- 指定模型的一般設定。
-
Model name
-
Description
-
Severity
重要
選擇中或更高的嚴重性會影響高層資訊中心和操作資訊中心中的風險指數。在測試和調整模型時,選擇低的嚴重性,以避免無意中影響您的索引。
-
- 配置事件正在過濾設定。
- 選擇一個正在過濾模式。
-
Single Filter:自訂模型僅應用一個過濾器。
-
Multiple filters:自訂模型應用多個過濾器。
-
Multiple filters in sequence:自訂模型按指定順序應用多個過濾器。
-
- 在Filter name選單中選擇自訂篩選器。選擇 Create custom filter 會在新的瀏覽器標籤頁中打開 Custom Filter Settings 畫面。創建新的自訂篩選器後,返回到先前的瀏覽器標籤頁並選擇該篩選器。
- 如果您選擇Multiple filters或Multiple filters in sequence,請重複上一步以添加多個過濾器。您最多可以添加 5 個過濾器。
- 如果您選擇Single Filter模式,請指定Threshold以確定必須發生多少事件才能觸發警報。閾值必須大於 0。
- 選擇一個正在過濾模式。
- 指定事件分組。
-
公司:當閾值在您組織中的任何地方達到時觸發事件。
-
Endpoint:當達到閾值並與單一端點關聯時觸發事件。僅包含事件中匹配事件最多的 10 個端點。
-
User account:當達到門檻並與單一使用者帳號關聯時觸發事件。
注意
為減少警報疲勞,工作台警報僅包括具有匹配事件的頂級目標。例如,如果您按端點分組,警報將僅包括事件匹配數量最多的前 10 個端點。 -
- 指定模型排程。
- Frequency:決定模型查詢活動資料的頻率。
- Period:決定每次使用模型時查詢的時間範圍。指定的期間大於頻率會導致篩選器應用於先前查詢的資料防護。這可能會導致相同事件出現在多個警報中。
- 選擇狀態以在儲存設定後啟用自訂偵測模型。
- 點選儲存。
已啟動時,自訂模型會持續搜尋匹配的事件。