建立自訂篩選器

步驟

1. 前往 Agentic SIEM & XDR → Detection Model Management → Custom Filters → Create new filter。
2. 指定過濾器的一般設定：
   • Filter name
   • Description
   • Severity
     中、高或嚴重的嚴重性會影響 網路風險防護總覽 和 安全威脅與暴露管理 上的網絡風險指數。在測試或調整模型時，選擇低以避免影響指數。
3. 指定篩選器的事件設定：
   1. 選擇事件類型。
   2. 如果您選擇THIRD_PARTY_LOG ，指定與您想要偵測的事件相關的供應商。否則選擇一個事件 ID。
   3. 指定查詢以在活動資料中定位目標事件。
      有關格式化過濾查詢的更多資訊，請參閱 篩選查詢格式 和 在自訂篩選器中使用正規表示式。
   4. 通過點擊Validate Query驗證查詢。
      如果查詢有效，您可以點擊Preview Search Results來查看查詢返回的搜索結果。
   5. 指定最多 10 個自訂標籤。
      自訂標籤可幫助您識別在Workbench、Observed Attack Techniques和XDR Data Explorer中由自訂篩選器檢測到的事件。

      標籤最多可達 64 個字元長。
4. 點選儲存。