上传 IOC 文件并根据 IOC 文件中定义的条件搜索事件

创建 IOC 文件时，请在“威胁搜索”部分查看可用于搜索事件的 IOC 术语列表。您可以通过从下面的链接下载文件来查看受支持的 IOC 术语列表。

在“威胁搜索”部分搜索事件的 IOC 术语

要上传 IOC 文件并根据该 IOC 文件中定义的条件搜索事件：

1. 选择程序 Web 界面窗口中的威胁搜索部分。

   这将打开事件搜索表单。

2. 单击导入。

   这将打开文件选择窗口。

3. 选择您想上传的 IOC 文件，然后单击打开按钮。

   IOC 文件已上传。

   在源代码选项卡中，包含事件搜索条件的表单将显示上传的 IOC 文件中定义的条件。

   您可以搜索符合这些条件的事件。您还可以更改上传的 IOC 文件中定义的条件，或在源代码模式下添加事件搜索条件。

4. 如果您想搜索在特定时段内发生的事件，请单击任何时候按钮并选择以下某个事件搜索时段：
   • 任何时候，如果您希望表显示最早发现的记录的事件。
   • 上一个小时，如果您希望表格显示在最后一个小时内找到的事件。
   • 最后一天，如果您希望表格显示在最后一天内找到的事件。
   • 自定义范围，如果您希望表格显示在指定时段内找到的事件。
5. 如果您为找到的事件选择了自定义范围显示时段：
   1. 在打开的日历中，指定事件显示范围的开始和结束日期。
   2. 单击应用。

   日历关闭。

6. 单击搜索。

一个与 IOC 文件中指定的条件相对应的事件表将显示。

另请参阅 事件数据库威胁追踪 在构建器模式下搜索事件 在源代码模式下搜索事件 对表中的事件进行排序 更改事件搜索条件 按 EPP 应用程序中的处理结果搜索事件 根据事件搜索条件创建 TAA (IOA) 规则

页面顶部