根據您的標準定義具有特定設置的自訂篩選器,以檢測您環境中的事件。

步驟

  1. 前往 XDR 安全威脅調查Detection Model ManagementCustom FiltersCreate new filter
  2. 指定過濾器的一般設定:
  3. 指定篩選器的事件設定:
    1. 選擇事件類型。
    2. 如果您選擇THIRD_PARTY_LOG ,指定與您想要偵測的事件相關的供應商。否則選擇一個事件 ID。
    3. 指定查詢以在活動資料中定位目標事件。
      有關格式化過濾查詢的更多資訊,請參閱 篩選查詢格式在自訂篩選器中使用正規表示式
    4. 通過點擊Validate Query驗證查詢。
      如果查詢有效,您可以點擊Preview Search Results來查看查詢返回的搜索結果。
    5. 指定最多 10 個自訂標籤。
      自訂標籤可幫助您識別在WorkbenchObserved Attack TechniquesSearch中由自訂篩選器檢測到的事件。
      標籤最多可達 64 個字元長。
  4. 點選儲存
Trend Vision One 儲存並啟用自訂篩選器。此操作可能需要幾分鐘才能生效。
秘訣
秘訣
您可以使用自訂篩選器來建立偵測模型,根據您的偵測生成工作台警報。