匯入 TAA (IOA) 規則

您可以從 IOC 檔案或具有 Sigma 規則的 YAML 檔案匯入 TAA (IOA) 規則，並使用這些規則掃描事件並產生針對性攻擊分析器警示。

要匯入 TAA (IOA) 規則：

1. 在應用程式 Web 介面的視窗中，選擇自訂規則部分，TAA子部分。

   這將開啟 TAA (IOA) 規則表。

2. 點擊匯入。

   這將在您的本機電腦上開啟檔案選擇視窗。

3. 選擇您想上傳的檔案，然後點擊開啟。

   這將開啟新 TAA (IOA) 規則視窗。

4. 如果要啟用掃描事件資料庫的規則，將狀態切換開關設定為已啟用。
5. 在詳細資訊頁簽上的名稱欄位中，輸入規則的名稱。
6. 在敘述欄位中，輸入有關規則的任何附加資訊。
7. 在重要級別在下拉清單中，選擇要指派給使用此TAA (IOA) 規則產生的警示的重要性等級。
   • 低。
   • 中。
   • 高。
8. 在置信在下拉清單中，根據您的估計選擇此規則的置信度：
   • 低。
   • 中。
   • 高。
9. 在套用到下面，選擇與要對其應用規則的伺服器對應的核取方塊。
10. 查詢在頁簽上，驗證定義的搜尋條件。如有必要，請進行變更。
11. 點擊儲存。

使用者定義的 TAA (IOA) 規則被匯入到應用程式中。

您也可以透過將事件資料庫搜尋條件儲存在威脅搜尋部分中來新增 TAA (IOA) 規則。

另請參閱 檢視 TAA（IOA）規則表 根據事件搜尋條件建立 TAA (IOA) 規則 檢視自訂 TAA (IOA) 規則詳細資訊 搜尋其中觸發了 TAA (IOA) 規則的警示和事件 篩選與搜尋 TAA (IOA) 規則 重置 TAA (IOA) 規則篩選器 啟用和停用 TAA (IOA) 規則 修改 TAA (IOA) 規則 删除 TAA (IOA) 規則

頁面頂部