檢視次數:

新增自訂的關聯規則,以滿足您環境中的檢測需求。

步驟

  1. Correlation Rules標籤上,點擊新增
  2. 請為規則指定一個名稱,並可選擇在Basic Properties區域提供描述。名稱可以幫助清楚識別您想要檢測的異常。
  3. 定義一個或多個組成規則的語句。
    一個聲明結合了檢測信號和 AND 運算符。
    1. 從下拉列表中選擇一個檢測信號類型以過濾可用信號,然後從下一個下拉列表中選擇所需的信號。
      注意
      注意
      在此版本中,僅提供預定義的檢測信號。
    2. 如果您需要更多信號來組成該聲明,請點擊 Add Signal
    3. 重複前一步驟以將更多信號添加到聲明中。
      點擊 delete=GUID-BC6E6057-9D48-40F3-B032-8EE37E97FFC3=3=zh-tw=Low.bmp 圖示以移除不需要的信號。
    4. 當聲明定義完成後,點擊 Add Statement to Rule
  4. 根據需要定義更多聲明,並通過重複步驟 3 將它們添加到 Rule Definition 區域。
  5. 查看並確認規則定義符合您的要求。
    規則結合了語句和 OR 運算符,以標記和檢測您環境中的所需異常。當滿足其任何語句時,該規則將被匹配。
  6. 按一下「儲存」。