当管理应用程序 Web 界面时,您可以生成搜索查询并使用 IOC 和 YAML 文件在事件数据库中搜索威胁以及您有权访问其数据的租户。
要通过事件数据库形成搜索查询,您可以使用构建器模式或源代码模式。
在构建器模式下,您可以使用包含字段值类型和运算符选项的下拉列表创建和修改搜索查询。
在源代码模式下,您可以使用文本命令创建和修改搜索查询。
您可以上传一个带有 Sigma 规则的 IOC 文件或 YAML 文件,并根据该文件中指定的条件搜索事件。
具有高级安全官,安全官角色的用户还可以根据事件搜索条件创建 TAA (IOA) 规则。