Создание пользовательского правила TAA (IOA) на основе условий поиска событий

Чтобы создать пользовательское правило TAA (IOA) на основе условий поиска событий, выполните следующие действия:

1. В окне веб-интерфейса программы выберите раздел Поиск угроз.

   Откроется форма поиска событий.

2. Выполните поиск событий в режиме конструктора или режиме исходного кода.
3. Нажмите на кнопку Сохранить как правило TAA (IOA).

   Откроется окно Новое правило TAA (IOA).

4. В поле Имя введите имя правила.
5. Нажмите на кнопку Сохранить.

Условие поиска событий будет сохранено. В таблице правил TAA (IOA) раздела Правила пользователей, подразделе TAA веб-интерфейса отобразится новое правило с заданным именем.

Не рекомендуется в условиях поиска событий, сохраняемых как пользовательское правило TAA (IOA), использовать следующие поля:

• IOAId.
• IOATag.
• IOATechnique.
• IOATactics.
• IOAImportance.
• IOAConfidence.

На момент сохранения пользовательского правила TAA (IOA) в программе может не быть событий, содержащих данные для этих полей. Когда события с этими данными появятся, пользовательское правило TAA (IOA), созданное ранее, не сможет разметить события по этим полям.

См. также Поиск угроз по базе событий Поиск событий в режиме конструктора Поиск событий в режиме исходного кода Изменение условий поиска событий Поиск событий по результатам их обработки в программах EPP Загрузка IOC-файла и поиск событий по условиям, заданным в IOC-файле

В начало