使用 IOC 或 YAML 檔案中指定的條件搜尋事件

建立 IOC 檔案時，請在“威脅搜尋”部分檢視可用於搜尋事件的 IOC 術語清單。您可以透過從下面的連結下載檔案來檢視受支援的 IOC 術語清單。

在“威脅搜尋”部分搜尋事件的 IOC 術語

若要使用 IOC 或 YAML 檔案中指定的條件搜尋事件：

1. 選擇程式 Web 介面視窗中的威脅搜尋部分。

   這將開啟事件搜尋表單。

2. 點擊匯入。

   這將開啟檔案選擇視窗。

3. 選擇您想上傳的檔案，然後點擊開啟。

   檔案已上傳。

   在“原始碼”頁簽上，包含事件搜尋條件的表單將顯示上傳的檔案中定義的條件。

   您可以搜尋符合這些條件的事件。您也可以變更上傳的檔案中定義的條件，或在原始碼模式下新增事件搜尋條件。

4. 如果您想搜尋在特定時段內發生的事件，請點擊任何時候按鈕並選擇以下某個事件搜尋時段：
   • 任何時候，如果您希望表格顯示最早發現的記錄的事件。
   • 上一個小時，如果您希望表格顯示在最後一小時內找到的事件。
   • 最後一天，如果您希望表格顯示在最後一天內找到的事件。
   • 自訂範圍，如果您希望表格顯示在指定時段內找到的事件。
5. 如果您為找到的事件選擇了自訂範圍顯示時段：
   1. 在開啟的日曆中，指定事件顯示範圍的開始和結束日期。
   2. 點擊套用。

   日曆關閉。

6. 點擊搜尋。

一個與​​上傳的檔案中指定的條件相對應的事件表將會顯示。

另請參閱 事件資料庫威脅追蹤 在建構器模式下搜尋事件 在原始碼模式下搜尋事件 轉換為以原始碼模式搜尋事件的查詢 事件搜尋條件 運算子 將表中的事件進行排序 變更事件搜尋條件 搜尋“偵測”和“偵測處理結果”類型的事件 根據事件搜尋條件建立 TAA (IOA) 規則

頁面頂部