根據您的標準定義具有特定設置的自訂篩選器,以檢測您環境中的事件。
步驟
- 前往 。
- 指定過濾器的一般設定:
- 指定篩選器的事件設定:
- 選擇事件類型。
- 如果您選擇THIRD_PARTY_LOG ,指定與您想要偵測的事件相關的供應商。否則選擇一個事件 ID。
- 指定查詢以在活動資料中定位目標事件。有關格式化過濾查詢的更多資訊,請參閱 篩選查詢格式 和 在自訂篩選器中使用正規表示式。
- 通過點擊Validate Query驗證查詢。如果查詢有效,您可以點擊Preview Search Results來查看查詢返回的搜索結果。
- 指定最多 10 個自訂標籤。自訂標籤可幫助您識別在Workbench、Observed Attack Techniques和Search中由自訂篩選器檢測到的事件。標籤最多可達 64 個字元長。
- 點選儲存。
Trend Vision One 儲存並啟用自訂篩選器。此操作可能需要幾分鐘才能生效。
![]() |
秘訣您可以使用自訂篩選器來建立偵測模型,根據您的偵測生成工作台警報。
|