檢視次數:

了解如何創建和結合過濾器和模型,以檢測異常的 SharePoint 和 OneDrive 下載行為。

秘訣
秘訣

步驟

  1. Trend Vision One 主控台上,移至Agentic SIEM & XDRDetection Model ManagementCustom Filters
  2. 請點選「新增」。
  3. 請提供一個描述性的過濾器名稱。
  4. 提供過濾器的描述。
  5. 指定與該事件相關的嚴重性。
  6. 選擇MESSAGE_ACTIVITY作為事件類型。
  7. 選擇 COLLABORATION ACTIVITY 作為事件 ID。
  8. 請輸入 actionName: FileDownloaded 以進行查詢。
  9. 按一下「儲存」。
    您篩選器出現在Custom Filters標籤中。
  10. 移至「Agentic SIEM & XDRDetection Model ManagementCustom Models」。
  11. 請點選「新增」。
  12. 請指定模型名稱和描述。
  13. 選擇 以設定嚴重性。
  14. 選擇Single filter作為過濾選項。
    注意
    注意
    您可以選擇 Multiple filtersMultiple filters in sequence 來添加最多 5 個自訂過濾器。
  15. 請在篩選器名稱下拉選單中選擇您剛剛創建的篩選器。
  16. 請輸入 5 作為閾值,以指示 5 次檔案下載事件會觸發警報。
  17. 選擇 User account 以進行事件分組。
  18. 選擇15 minutes 以設定頻率。
  19. 選擇 Last 15 minutes 以設定期間。
  20. 選擇 Enable after saving 以查看狀態。
  21. 按一下「儲存」。
    您的模型出現在Custom Models標籤中。
    當您模型和過濾器的條件與您電子郵件和協作應用程式的檢測相符時,您可以在Workbench中查看相關警報。