檢視次數:

使用查詢字串創建自訂篩選器以檢測您環境中的事件,並啟用自訂模型來觸發工作台警報。

  • 自訂篩選器由基本資訊、事件類型、事件 ID 或供應商以及用於檢測您環境中事件的查詢字串組成。您最多可以建立 50 個自訂篩選器。
  • 事件類型和事件 ID 或供應商定義了篩選器查詢的資料類型。例如,ENDPOINT_ACTIVITY 從端點基礎的資料來源(如 XDR Endpoint Sensor)查詢端點資料。選擇 TELEMETRY_FILE 時,您可以進一步將查詢範圍縮小到僅適用於端點活動資料中的檔案事件。
  • 如需有關事件類型和資料防護來源的詳細資訊,請參閱 搜尋方法資料來源

步驟

  1. 前往XDR 安全威脅調查Detection Model ManagementCustom Filters
  2. 點選新增
  3. 指定Filter name
  4. 提供Description 的篩選器。
  5. 指定與此篩選器檢測到的事件相關的Severity
    中、高或嚴重的嚴重性會影響 管理資訊中心操作資訊中心 的風險指數。在測試或調整模型時,請選擇低以避免影響指數。
  6. 選擇Event type
    • 對於第三方,選擇Vendor
    • 對於所有其他事件類型,選擇Event ID
      事件類型 ENDPOINT_ACTIVITY、DETECTION 和 MOBILE_ACTIVITY 不支援 ALL 事件 ID。
  7. 指定Query以在活動資料中定位目標事件。
    如需有關格式化篩選查詢的詳細資訊,請參閱 篩選查詢格式在自訂過濾器中使用正則表達式
  8. 點選Validate Query以驗證您的查詢字串。如果查詢字串有效,您可以點選Preview Search Results以查看使用您的查詢進行搜索的預覽結果。
  9. 指定最多 10 個Custom tags,以幫助您識別在Trend Vision One應用程式中由自訂篩選器檢測到的事件,例如 Workbench、Observed Attack Techniques 和 Search。
    標籤長度不能超過 64 個字元。
  10. 點選儲存