上传 IOC 文件并根据 IOC 文件中定义的条件搜索事件

创建 IOC 文件时,请在“威胁搜索”部分查看可用于搜索事件的 IOC 术语列表。您可以通过从下面的链接下载文件来查看受支持的 IOC 术语列表。

icon_download_file_from_help威胁搜索部分搜索事件的 IOC 术语

要上传 IOC 文件并根据该 IOC 文件中定义的条件搜索事件:

  1. 选择程序 Web 界面窗口中的威胁搜索部分。

    这将打开事件搜索表单。

  2. 单击导入

    这将打开文件选择窗口。

  3. 选择您想上传的 IOC 文件,然后单击打开按钮。

    IOC 文件已上传。

    源代码选项卡中,包含事件搜索条件的表单将显示上传的 IOC 文件中定义的条件。

    您可以搜索符合这些条件的事件。您还可以更改上传的 IOC 文件中定义的条件,或在源代码模式下添加事件搜索条件。

  4. 如果您想搜索在特定时段内发生的事件,请单击任何时候按钮并选择以下某个事件搜索时段:
    • 任何时候,如果您希望表显示最早发现的记录的事件。
    • 上一个小时,如果您希望表格显示在最后一个小时内找到的事件。
    • 最后一天,如果您希望表格显示在最后一天内找到的事件。
    • 自定义范围,如果您希望表格显示在指定时段内找到的事件。
  5. 如果您为找到的事件选择了自定义范围显示时段:
    1. 在打开的日历中,指定事件显示范围的开始和结束日期。
    2. 单击应用

    日历关闭。

  6. 单击搜索

一个与 IOC 文件中指定的条件相对应的事件表将显示。

另请参阅

事件数据库威胁追踪

在构建器模式下搜索事件

在源代码模式下搜索事件

对表中的事件进行排序

更改事件搜索条件

按 EPP 应用程序中的处理结果搜索事件

根据事件搜索条件创建 TAA (IOA) 规则

页面顶部