根据事件搜索条件创建 TAA (IOA) 规则

根据事件搜索条件创建 TAA (IOA) 规则：

1. 选择程序 Web 界面窗口中的威胁搜索部分。

   这将打开事件搜索表单。

2. 使用设计模式或源代码模式执行事件搜索。
3. 单击另存为 TAA (IOA) 规则。

   这将打开新 TAA (IOA) 规则窗口。

4. 在名称字段中，输入规则的名称。
5. 单击保存。

事件搜索条件将被保存。在自定义规则部分的 TAA（IOA）规则表中，在 Web 界面的TAA子部分中，新规则将以指定名称显示。

如果要将事件搜索条件保存为用户定义的 TAA (IOA) 规则，请避免使用以下字段：

• IOAd。
• IOATag。
• IOATechnique。
• IOATactics。
• IOAImportance。
• IOAConfidence。

保存用户定义的 TAA (IOA) 规则时，应用程序可能没有任何包含这些字段数据的事件。当出现具有此数据的事件时，您之前创建的用户定义字段将无法按这些字段标记事件。

具有安全审计员和安全官角色的用户无法根据事件搜索条件创建 TAA (IOA) 规则。

另请参阅 事件数据库威胁追踪 在设计模式下搜索事件 在源代码模式下搜索事件 对表中的事件进行排序 更改事件搜索条件 按 EPP 应用程序中的处理结果搜索事件 上传 IOC 文件并根据 IOC 文件中定义的条件搜索事件

页面顶部