檢視次數:

檢視和管理標記為已忽略或已接受的風險事件規則。

Event Rule Management畫面提供集中管理事件規則。當更改風險事件和弱點的狀態時,您可以建立事件規則。支援規則建立的狀態包括:
  • Dismissed:將風險事件標記為已忽略並創建相關事件規則可防止未來的風險事件報告,從而避免影響風險指數。
  • Accepted:將風險事件標記為已接受並創建相關事件規則,確保在指定的時間範圍內,現有和未來的風險事件實例都標記為已接受。標記為已接受的事件仍然會影響您的風險指數。
移除事件規則將啟用未來相關風險事件的報告功能。
下表概述了Event Rule Management畫面上可用的操作。
處理行動
說明
篩選事件規則
使用下拉選單和Search欄位來定位特定事件規則。
  • Group by:按原始Risk eventAssets分組事件規則
  • Risk factor:按原始風險事件的風險因素篩選事件規則
    僅當按Risk event分組查看事件規則時,Risk factor下拉選單才可用。
  • Impacted assets:按原始風險事件影響的資產類型篩選事件規則
    僅當按Risk event分組查看事件規則時,Impacted assets下拉選單才可用。
  • Asset type:按資產類型篩選事件規則
    僅當按Assets分組查看事件規則時,Asset type下拉選單才可用。
  • 狀態:按規則當前是否啟用、過期或計劃中來篩選事件規則
    狀態 下拉選單僅適用於 Accepted 事件規則標籤中的規則。
  • Created by:按建立事件規則的Trend Vision One使用者排序篩選事件規則。
  • Search:在按Risk event分組時,按風險事件提供部分匹配,或在按Assets分組時,按資產提供部分匹配。
查看事件規則的資訊
點選任何風險事件或資產以查看相關事件規則列表
  • 當按Risk event分組時,點擊風險事件會顯示與所選風險事件相關的事件規則列表。
  • 當按Assets分組時,點擊資產會顯示與所選資產相關的事件規則列表。
若要移除事件規則,請選取事件規則,然後點選Remove Event Rules
要更改已啟用或計劃接受的事件規則的狀態,請點選時間範圍欄位並輸入新的適用時間範圍。
要啟用已過期的已接受事件規則,請選擇該規則並點選Activate Event Rules。設置新的適用時間範圍和描述,然後點選啟動
管理事件規則參數
點選一個有效支援的事件規則類型以新增或移除規則參數。僅當參數符合時,設置參數的事件規則才會適用。不符合規則參數的風險事件實例仍會被報告,這會影響您的風險指數。
下表詳細說明目前支援參數的風險事件類型及支援的參數內容。
風險事件類型
風險因素
支援的參數內容
潛在的冒充嘗試 - 不可能的旅行
帳戶遭入侵
IPv4 位址和範圍
潛在的冒充嘗試 - 非典型旅行
帳戶遭入侵
IPv4 位址和範圍
潛在的透過 Okta 進行的暴力破解攻擊 - 密碼噴灑
帳戶遭入侵
IPv4 位址和範圍
來自 IP 位址的異常裝置存取
活動和行為
IPv4 位址和範圍
異常的內部 IP 連線
活動和行為
IPv4 位址和範圍
異常用戶訪問日
活動和行為
星期幾
有風險的雲端應用程式存取
雲端應用程式活動
應用程式
有風險的行動應用程式存取
雲端應用程式活動
應用程式
網路感測器 - 安全風險偵測
安全威脅偵測
規則
Trend Cloud One - Endpoint & Workload Security - Security Risk Detection
安全威脅偵測
規則
Trend Vision One 容器安全 - 安全風險檢測
安全威脅偵測
規則
網路感測器 - 活動和行為偵測
安全威脅偵測
規則
查看受事件規則影響的資產
當按Risk event分組時,點擊風險事件的受影響資產數量會顯示受事件規則影響的資產列表
刪除事件規則
選擇事件規則並點選Remove Event Rules以移除事件規則並啟用未來相關風險事件的報告