步驟

1. 前往XDR 安全威脅調查 → Detection Model Management → Custom Models → 新增。
2. 指定模型的一般設定。
   • Model name
   • Description
   • Severity

     重要 選擇中或更高的嚴重性會影響網路風險防護總覽和安全威脅與暴露管理中的風險指數。 在測試和調整模型時，選擇低的嚴重性，以避免無意中影響您的索引。

3. 選擇模型的正在過濾模式。
   正在過濾模式有三種：

   • Single Filter：自訂模型僅應用一個過濾器。
   • Multiple filters：自訂模型使用 AND 或 OR 邏輯運算符來應用多個篩選條件。
   • Multiple filters in sequence：自訂模型按指定順序應用多個過濾器。
4. 指定篩選設定：
   • Filter name：自訂模型使用的過濾器

     注意 Create custom filter 會在新的瀏覽器標籤頁中開啟 Custom Filter Settings。建立新的自訂篩選器後，您可以從 Custom Models 中的 Filter name 選擇該篩選器。

   • Threshold：觸發警報所需發生的事件數量。閾值必須大於0。
5. 如果您選擇Multiple filters或Multiple filters in sequence，您可以點擊Add filter來添加另一個篩選器。
   您最多可以有五個過濾器。每個過濾器都有獨立的閾值設定。
6. 如果選取了Multiple filters，請選取邏輯運算子：
   • AND：僅當所有篩選條件達到指定的閾值時，模型才會觸發警報
   • OR：當任何篩選器達到指定的閾值時，模型會觸發警報

   重要 您只能對所有篩選器使用一個運算子。您不能在篩選器之間混合使用運算子。

7. 指定事件分組。
   • 公司：當閾值在您組織中的任何地方達到時觸發事件。
   • Endpoint：當達到閾值並與單一端點相關聯時觸發事件。該事件僅包括最符合事件的 10 個端點。
   • User account：當達到門檻並與單一使用者帳號關聯時觸發事件。

   為了減少警報疲勞，Workbench 警報僅包含具有匹配事件的頂級目標。例如，如果按 端點 分組，警報僅包含匹配事件數量最多的前 10 個端點。
8. 指定模型排程。
   • Frequency：模型查詢活動資料的頻率
   • Period：每次使用模型時查詢的時間範圍
     如果期間大於頻率，則會將篩選器應用於先前查詢的資料防護。這可能會導致相同事件出現在多個警報中。
   • 狀態: 是否在保存設置後啟用自定義檢測模型。
9. 點選儲存。