使用其中一個預建的篩選器範本來建立自訂篩選器,以偵測您環境中的事件。
步驟
- 前往 。
- 瀏覽篩選器範本目錄,然後選擇一個範本。Detection Model Management 以 YAML 格式顯示自訂篩選器。
- 按一下「下一步」。
- 調整過濾器的一般設定以符合您的需求:
- 根據您的需求調整過濾器的事件設定:
- 通過點擊Validate Query驗證查詢。如果查詢有效,您可以點擊Preview Search Results來查看查詢返回的搜索結果。
- 指定最多 10 個自訂標籤。自訂標籤可幫助您識別在Workbench、Observed Attack Techniques和Search中由自訂篩選器檢測到的事件。標籤最多可達 64 個字元長。
- 通過點擊Validate Query驗證查詢。
- 請點選「儲存」。
Trend Vision One 儲存並啟用自訂篩選器。此操作可能需要幾分鐘才能生效。
![]() |
秘訣您可以使用自訂篩選器來建立偵測模型,根據您的偵測生成工作台警報。
|