将活动事件数据导出到入侵指标文件中

查看EDR 事故的详细信息时，如果您希望在 EPP 应用程序的下一次检查期间检测此类活动事件，则可以将活动事件的数据导出到 IOC 文件。您可以在使用 Endpoint Agent 软件组件执行的 IOC 搜索任务中使用收到的 IOC 文件。

要将活动事件数据导出到 IOC 文件：

1. 在“事件”部分的“事件和突发事件”选项卡上，选择包含具有适当的活动事件的威胁开发链的 EDR 事故（标有 EDR 图标的事件）。

   详细信息区域出现在 Web 界面窗口的右侧。

2. 在详细信息区域中，转到“所有活动事件”选项卡并选择适当的活动事件。

   您可以选择以下类型的活动事件：文件创建、启动进程或注册表更改。

3. 单击“导出到 IOC 文件”。
4. 在打开的窗口中，选择检测入侵指标的条件：
   • OR (检测到任何 IOC)如果您希望在检测到 IOC 文件中的任何入侵指标时触发 IOC 搜索任务。
   • AND (检测到所有 IOC)如果您希望在检测到 IOC 文件中的所有入侵指标时触发 IOC 搜索任务。
5. 查看将导出到 IOC 文件的信息。

   仅当任何“文件创建”、“启动进程”和“注册表更改”字段显示计数器非零值时，导出才可用。“无法导出”字段包含其数据无法导出到 IOC 文件的选定活动事件的数量。

6. 单击导出。
7. 如果文件生成需要很长时间（超过 15 秒），则操作将移至后台。如果是这种情况，请按照以下步骤下载文件：
   1. 在应用程序 Web 界面菜单中点击。

      后台操作列表打开。

   2. 等待文件生成操作完成。
   3. 单击下载文件。

您的浏览器将保存下载的文件。根据您的浏览器设置，您的屏幕可能会显示一个窗口，您可以在其中更改保存的文件的路径和名称。

页首