偵測規則
偵測規則可讓您指定我們處理威脅偵測的方式。
您必須是超級管理員才能使用此功能。
注意
目前,您只能使用檢測規則來抑制不必要的檢測。
抑制檢測
您可能需要抑制誤報或重複發生頻率太高的檢測。您可以創建規則來執行此操作。
規則可以防止匹配規則的檢測執行以下操作:
- 顯示在“ 檢測 ”頁面上的列表中。
- 提出案件供進一步調查。
規則可以禁止客戶管理的XDR案例。它們無法抑制MDR案例。
已建立偵測規則
您可以根據現有檢測創建規則,如下所示:
- 移至威脅分析中心 > 偵測。
-
單擊
列表中檢測名稱旁邊的三個點,然後選擇 Add detection rule(添加檢測規則)。
-
在檢測規則設定中,執行以下操作:
- 在 規則詳細資訊中,輸入規則名稱和說明。根據預設值,防火牆預設為關閉。
-
在 Actions(操作)中,選擇您要對檢測採取的動作。
目前,您只能選擇 抑制。這可防止檢測結果顯示在檢測列表中,並防止生成病例。
-
在 條件中,顯示檢測到的威脅的特徵,例如嚴重性。選擇要用作觸發規則條件的特性。
-
按一下儲存。
新的檢測規則可能需要20分鐘才能生效。
規則僅適用於創建規則後發生的檢測。
開啟或關閉規則。
若要開啟或關閉 HTTPS 網站的解密,請執行下列動作:
- 移至威脅分析中心 > 偵測規則。
- 按一下裝置名稱即可查看其詳細資料。
-
在 規則詳細信息中,單擊切換開關以打開或關閉規則。
復制和編輯檢測規則
您不能更改現有規則。
您可以複製規則並對複製規則進行變更,如下所示:
- 移至威脅分析中心 > 偵測規則。
- 找到規則,然後單擊
最右側列中的三個點。 -
選擇 復制。
您將看到一個新規則,其條件和操作與您為原始規則選擇的條件和操作相同。
-
輸入設備的名稱和說明。
- 選中或清除條件旁邊的復選框以編輯規則。
- 按一下儲存。
已刪除偵測規則
若要刪除使用者,請依照以下步驟操作:
- 移至威脅分析中心 > 偵測規則。
- 找到規則,然後單擊 最右側列中的三個點。
- 選取 删除。
查看抑制的檢測
預設情況下,您已禁止的檢測不會顯示在" 檢測 "頁面中。
如您要移除授權,請執行以下操作:
- 移至威脅分析中心 > 偵測。
- 單擊 **** 檢測列表上方的顯示過濾器。
-
在 檢測可見性下,清除 隱藏抑制檢測 復選框。
-
按一下应用。