使用查詢字串來創建自定義過濾器,以檢測您環境中的事件並啟用自定義模型以觸發Workbench警報。

自訂過濾器由基本資訊、事件類型、事件 ID 或供應商以及用於檢測您環境中事件的查詢字串組成。您最多可以創建 50 個自訂過濾器。事件類型和事件 ID 或供應商定義了過濾器查詢的資料類型。例如,ENDPOINT_ACTIVITY 從基於端點的資料來源(如 Endpoint Sensor)查詢端點資料。選擇 TELEMETRY_FILE 進一步將查詢精煉為僅限於端點活動資料中的檔案事件。欲了解有關事件類型和資料來源的更多資訊,請參見 搜尋方法資料來源

步驟

  1. 前往XDR 安全威脅調查Detection Model ManagementCustom Filters
  2. 點選新增
  3. 指定Filter name
  4. 請輸入過濾器的Description
  5. 指定與此篩選器檢測到的事件相關的Severity
    中、高或嚴重的嚴重性會影響 管理資訊中心操作資訊中心 的風險指數。在測試或調整模型時,請選擇低以避免影響指數。
  6. 選擇Event type
    • 對於 THIRD_PARTY_LOG,請提供與您想要匹配的事件相關的 Vendor
    • 對於所有其他事件類型,選擇Event ID
  7. 指定Query以在活動資料中定位目標事件。
    如需有關格式化篩選查詢的詳細資訊,請參閱 篩選查詢格式在自訂篩選器中使用正規表示式
  8. 點選Validate Query以驗證您的查詢字串。如果查詢字串有效,您可以點選Preview Search Results以查看使用您的查詢進行搜索的預覽結果。
  9. 指定最多 10 個 Custom tags 以幫助您識別在 WorkbenchObserved Attack TechniquesSearch 中由自定義過濾器檢測到的事件。
    標籤長度不能超過 64 個字元。
  10. 點選儲存