檢視次數:

創建、導入和管理篩選器以檢測您環境中的事件。

自訂篩選器是使用者定義的篩選器,可讓您根據環境的獨特需求調整特定安全威脅和可疑行為的檢測。Trend Vision One 使用自訂篩選器來檢測出現在 Observed Attack Techniques 中的安全事件。然後,您可以將這些篩選器納入自訂檢測模型,以在 Workbench 中生成警報和見解,從而將事件檢測轉變為完整的威脅監控工作流程。
Custom Filters 畫面 (XDR 安全威脅調查Detection Model ManagementCustom Filters) 允許您建立和管理自訂篩選器。自訂篩選器包括:
  • 基本資訊
  • 事件類型
  • 事件 ID 或供應商
  • 在您環境中檢測事件的查詢
事件類型和事件 ID / 廠商定義了篩選器查詢的資料類型。例如,ENDPOINT_ACTIVITY 從端點型資料來源(如 Endpoint Sensor)查詢端點資料。選擇 TELEMETRY_FILE,進一步將查詢範圍縮小到端點活動資料中的檔案事件。欲了解更多關於事件類型和資料來源的詳細資訊,請參閱 搜尋方法資料來源
重要
重要
您最多可以新增 50 個自訂過濾器。如果您需要新增更多過濾器,請聯絡您的技術支援中心。
下表概述了Custom Filters中可用的操作:
處理行動
說明
新增自訂過濾器
您有多種方式添加自訂過濾器:
匯出自訂過濾器
  • 如果您想要匯出一些自訂篩選器,請選擇一個或多個篩選器,然後點擊 Export Selected Filters
  • 如果您想匯出所有自訂篩選器,請點擊export_button=GUID-C683DEEE-C19C-484D-A5B1-4CA9D1794756=1=zh-tw=Low.jpg
Trend Vision One 會生成一個受密碼保護的 ZIP 檔案,其中包含您所有的自訂過濾器(每個過濾器一個 YAML 檔案)。匯出完成後,點擊 dddna_summary_detection_copy=GUID-4DE35BE5-57A5-4919-BF9C-5EC95F9CA8FD=1=zh-tw=Low.png 下的 Export Custom Filters 來複製 ZIP 檔案的密碼。
搜尋並篩選篩選清單
使用以下選項來定位特定的自訂過濾器:
  • Severity:按低、高或嚴重程度篩選
  • Event type:按資料來源類型篩選(例如 ENDPOINT_ACTIVITY
  • Last updated:按篩選器上次修改時間篩選
  • 搜尋列:按篩選器 ID、名稱或查詢內容搜尋
查看篩選器的詳細資訊
點選篩選器名稱以查看關於自訂篩選器的詳細資訊
編輯自訂過濾器
點選 edit_icon=GUID-1F1D1164-5310-4D6D-ACD0-6049C86960AF.png 以編輯自訂過濾器。
警告
警告
更改自訂篩選器會影響使用該篩選器的模型如何觸發Workbench警報。
刪除自訂過濾器
點擊 trash_icon=GUID-47cf6867-6315-438e-8670-86ff36f22a28.png 以刪除自訂篩選器。
您只能刪除未包含在任何模型中的自訂過濾器。
相關資訊