偵測規則
偵測規則可讓您指定我們如何處理威脅偵測。
您必須是超級管理員才能使用此功能。
注意
目前,您只能使用偵測規則來抑制不必要的檢測結果。
抑制偵測
您可能需要抑制誤報或重複出現過於頻繁的檢測結果。你可以創建規則來實現這一點。
規則可以阻止符合規則的偵測結果執行下列操作:
- 顯示在「偵測結果」頁面的清單中。
- 提交案件進行進一步調查。
!!! info 規則可以抑制客戶管理的 XDR 案例。他們無法抑制MDR病例。
建立偵測規則
您可以根據現有偵測建立規則。
注意
最多可以建立 25 條偵測規則。
要建立規則,請執行以下操作:
- 前往 威脅分析中心 > 偵測。
-
點擊清單中偵測名稱旁邊的三個
然後選擇「新增偵測規則」 。
-
在偵測規則設定中,執行以下操作:
- 在「規則詳情」中,輸入規則名稱和描述。預設情況下,該規則處於「啟用」狀態。
-
在「操作」中,選擇要對偵測到的情況執行的操作。
目前,您只能選擇“抑制” 。這樣可以防止偵測結果顯示在偵測清單中,並防止產生案例。
-
在「條件」部分,會顯示偵測到的威脅的特徵,例如嚴重程度。選擇要用作觸發規則條件的特徵。
-
按一下 儲存。
新的偵測規則可能需要 20 分鐘才能生效。
規則僅適用於您建立該規則之後發生的偵測。
注意
觸發規則的條件區分大小寫。如果威脅符合某個條件(例如命令列),但使用了不同的字母大小寫(例如「windows」而不是「Windows」),則該規則不會抑制偵測。
開啟或關閉偵測規則
若要啟用或停用偵測規則,請依下列步驟操作:
- 移至威脅分析中心 > 偵測規則。
- 點擊偵測規則的名稱即可查看其詳細資訊。
-
在規則詳情中,點擊切換按鈕即可開啟或關閉該規則。
重複和編輯偵測規則
您無法變更現有規則。
您可以複製一條規則,並對副本進行修改,具體操作如下:
- 移至威脅分析中心 > 偵測規則。
- 找到規則,然後點擊最右側列中的
-
選擇重複項。
你會看到一條新規則,它有與原始規則相同的條件和操作。
-
請輸入新規則的名稱和描述。
- 選取或取消選取條件旁的核取方塊即可編輯規則。
- 按一下 儲存。
刪除偵測規則
若要刪除規則,請依照下列步驟操作:
- 移至威脅分析中心 > 偵測規則。
- 找到規則,然後點擊最右側列中的
- 選取 删除。
查看已抑制的檢測結果
預設情況下,您已封鎖的偵測結果不會顯示在「偵測結果」頁面中。
如果要查看被抑制的檢測結果,請依照下列步驟操作:
- 前往 威脅分析中心 > 偵測。
- 點選檢測清單上方的「顯示篩選條件」 。
-
在「偵測可見性」下,清除「隱藏已抑制的偵測」複選框。
-
按一下 应用。