Создание пользовательского правила TAA (IOA) на основе условий поиска событий

Чтобы создать пользовательское правило TAA (IOA) на основе условий поиска событий, выполните следующие действия:

1. В окне веб-интерфейса программы выберите раздел Поиск угроз.

   Откроется форма поиска событий.

2. Выполните поиск событий в режиме конструктора или режиме исходного кода.
3. Нажмите на кнопку Сохранить как правило TAA (IOA).

   Откроется окно Новое правило TAA (IOA).

4. В поле Имя введите имя правила.
5. Нажмите на кнопку Сохранить.

Условие поиска событий будет сохранено. В таблице правил TAA (IOA) раздела Правила пользователей, подразделе TAA веб-интерфейса отобразится новое правило с заданным именем.

Не рекомендуется в условиях поиска событий, сохраняемых как пользовательское правило TAA (IOA), использовать следующие поля:

• IOAId.
• IOATag.
• IOATechnique.
• IOATactics.
• IOAImportance.
• IOAConfidence.

На момент сохранения пользовательского правила TAA (IOA) в программе может не быть событий, содержащих данные для этих полей. Когда события с этими данными появятся, пользовательское правило TAA (IOA), созданное ранее, не сможет разметить события по этим полям.

См. также Работа с пользовательскими правилами TAA (IOA) Просмотр таблицы правил TAA (IOA) Просмотр информации о пользовательском правиле TAA (IOA) Поиск обнаружений и событий, в которых сработали правила TAA (IOA) Фильтрация и поиск правил TAA (IOA) Cброс фильтра правил TAA (IOA) Импорт пользовательского правила TAA (IOA) Включение и отключение использования правил TAA (IOA) Изменение пользовательского правила TAA (IOA) Удаление пользовательских правил TAA (IOA)

В начало