Создание IOA-правил на основе запросов

Развернуть все | Свернуть все

Вы можете создавать IOA-правила на основе запросов.

Чтобы создать IOA-правило:

1. В главном меню выберите Мониторинг и отчеты → Поиск угроз.
2. В поле поиска запросов введите запрос.
3. Под полем поиска нажмите на кнопку Создать IOA-правило.

   Откроется окно Новое правило.

4. Укажите следующие параметры:
   • Название

     Название правила, указываемое при создании. Это обязательное поле. Название отображается в разделе информации о событии. Это название можно использовать в запросах для поиска угроз.

   • Состояние

     Использование правила при проверке базы событий:

     • Включено – правило используется.
     • Отключено – правило не используется.
   • Критичность

     Уровень вероятного воздействия события на активы организации, указанная пользователем при создании правила:

     • Низкий
     • Средний
     • Высокий
   • Доверие

     Уровень надежности в зависимости от вероятности ложных срабатываний, заданный пользователем при создании правила:

     • Низкий
     • Средний
     • Высокий
   • Действие

     Действие, применяемое к событию, вызвавшему срабатывание правила:

     • Отмечать событие и создавать алерт
     • Только отмечать событие
   • Описание

     Любая дополнительная информация о правиле, указанная при его создании.

   • Рекомендации

     Рекомендуемые действия, указанные при создании правила.

   • Возможные ложные срабатывания

     Описание возможных ложных срабатываний, указанное при создании правила.

   • Запрос

     Запрос, используемый в правиле. Это обязательное поле. По нажатию на кнопку Изменить запрос можно изменить условия поиска. Запрос откроется в разделе Поиск угроз.

5. Нажмите на кнопку Создать.

Будет создано IOA-правило с условиями запроса. Вы можете проверить созданные IOA-правила в разделе Пользовательские правила. Если к срабатыванию IOA-правила привело возникновение события, название правила отобразится в сведениях о событии.

В начало