自訂過濾器是具有鍵值對的 YAML 檔案,用於定義模式和條件以偵測事件。每個檔案只能包含一個過濾器。
在創建自定義過濾器時,請遵循以下指導方針:
-
為資料縮排四個空格。範例:
detection: operation: eventname: 'string' -
請使用小寫字母作為鍵。範例:
title: id: description:
-
請使用底線替代空格來命名檔案。範例:
file_name -
確保檔案擴展名為
.yml。範例:possible_brute_force_attack.yml