根据事件搜索条件创建 TAA (IOA) 规则

根据事件搜索条件创建 TAA (IOA) 规则:

  1. 选择程序 Web 界面窗口中的威胁搜索部分。

    这将打开事件搜索表单。

  2. 使用设计模式或源代码模式执行事件搜索。
  3. 单击另存为 TAA (IOA) 规则

    这将打开新 TAA (IOA) 规则窗口。

  4. 名称字段中,输入规则的名称。
  5. 单击保存

事件搜索条件将被保存。在自定义规则部分的 TAA(IOA)规则表中,在 Web 界面的TAA子部分中,新规则将以指定名称显示。

如果要将事件搜索条件保存为用户定义的 TAA (IOA) 规则,请避免使用以下字段:

保存用户定义的 TAA (IOA) 规则时,应用程序可能没有任何包含这些字段数据的事件。当出现具有此数据的事件时,您之前创建的用户定义字段将无法按这些字段标记事件。

具有安全审计员安全官角色的用户无法根据事件搜索条件创建 TAA (IOA) 规则。

另请参阅

事件数据库威胁追踪

在设计模式下搜索事件

在源代码模式下搜索事件

对表中的事件进行排序

更改事件搜索条件

按 EPP 应用程序中的处理结果搜索事件

上传 IOC 文件并根据 IOC 文件中定义的条件搜索事件

页面顶部