根據事件搜尋條件建立 TAA (IOA) 規則

根據事件搜尋條件建立 TAA (IOA) 規則：

1. 選擇程式 Web 介面視窗中的威脅搜尋部分。

   這將開啟事件搜尋表單。

2. 使用建構器模式或原始碼模式執行事件搜尋。
3. 點擊另存為 TAA (IOA) 規則。

   這將開啟新 TAA (IOA) 規則視窗。

4. 在名稱欄位中，輸入規則的名稱。
5. 點擊儲存。

事件搜尋條件將被儲存。在自訂規則部分的 TAA（IOA）規則表中，在 Web 介面的TAA在子部分中，新規則將以指定名稱顯示。

如果您要將事件搜尋條件儲存為使用者定義的 TAA (IOA) 規則，請避免使用下列欄位：

• IOAd。
• IOATag。
• IOATechnique。
• IOATactics。
• IOAImportance。
• IOAConfidence。

儲存使用者定義的 TAA (IOA) 規則時，應用程式可能沒有任何包含這些欄位資料的事件。當出現具有此資料的事件時，您先前建立的使用者定義欄位將無法按這些欄位標記事件。

具有安全稽核員和安全官角色的使用者無法根據事件搜尋條件建立 TAA (IOA) 規則。

另請參閱 事件資料庫威脅追蹤 在建構器模式下搜尋事件 在原始碼模式下搜尋事件 轉換為以原始碼模式搜尋事件的查詢 事件搜尋條件 運算子 將表中的事件進行排序 變更事件搜尋條件 搜尋“偵測”和“偵測處理結果”類型的事件 使用 IOC 或 YAML 檔案中指定的條件搜尋事件

頁面頂部