步驟

1. 在Detection Model Management中，前往Custom Models。
2. 點選新增。
3. 指定模型的一般設定。
   • Model name
   • Description
   • Severity

     重要 選擇中或更高的嚴重性會影響高層資訊中心和操作資訊中心中的風險指數。 在測試和調整模型時，選擇低的嚴重性，以避免無意中影響您的索引。

4. 配置事件正在過濾設定。
   1. 選擇一個正在過濾模式。
      • Single Filter：自訂模型僅應用一個過濾器。
      • Multiple filters：自訂模型應用多個過濾器。
      • Multiple filters in sequence：自訂模型按指定順序應用多個過濾器。
   2. 從 Filter name 中選擇自定義過濾器。
      Create custom filter 會在新標籤中打開 Custom Filter Settings。創建新的自定義過濾器後，您可以在 Custom Models 的 Filter name 中選擇該過濾器。
   3. 如果您選擇了 Multiple filters 或 Multiple filters in sequence，請重複前一步以添加更多過濾器。您最多可以擁有五個過濾器。
   4. 如果您選擇了Single Filter，請指定Threshold以確定必須發生的事件數量以觸發警報。閾值必須大於0。
5. 指定事件分組。
   • 公司：當閾值在您組織中的任何地方達到時觸發事件。
   • Endpoint：當達到閾值並與單一端點相關聯時觸發事件。該事件僅包括最符合事件的 10 個端點。
   • User account：當達到門檻並與單一使用者帳號關聯時觸發事件。

   注意 為了減少警報疲勞，Workbench 警報僅包含與事件匹配的主要目標。例如，如果您按 端點 分組，警報將僅包含與事件匹配數量最多的前 10 個端點。

6. 指定模型排程。
   1. Frequency: 決定模型查詢活動資料的頻率。
   2. Period: 確定每次使用模型時查詢的時間範圍。
      指定的期間大於頻率會導致過濾器應用於先前查詢的資料。這可能會導致相同的事件出現在多個警報中。
   3. 狀態: 是否在保存設置後啟用自定義檢測模型。
7. 點選儲存。