目前有客户认为XDR的安全事件是被XDR挑出来的,不是完整的,以及客户有自定义告警是需要关注需要生成事件,以及对于误报事件可以加白。针对以上三个痛点,新增自定义告警生成事件自定义规则。可以用户自定义规则,进行有效自定义配置。
用户可以在上图功能点所示页面上进行用户自定义告警规则的配置,目前支持配置字段为源IP、源端口、目的IP、目的端口、告警规则ID、日志规则ID、域名、URL、XFF、文件路径、文件MD5、告警等级、确定性等级、检测引擎、风险标签、攻击结果、ATTCK技术、数据源-原始、访问方向、威胁定性。
用户配置完成后即在页面列表上展示出一条对应的规则,该规则会被下发至能力引擎,当有对应的告警命中此规则时,即可根据用户配置生成对应的事件。
默认填充告警类型,日志规则ID(无日志规则ID填充告警规则ID),源IP,源端口,目的IP,目的端口,MD5,URL,域名,如果这些字段为空值则隐藏。
用户可以在上图功能点所示页面上进行用户自定义告警规则的配置,目前支持配置字段为源IP、源端口、目的IP、目的端口、告警规则ID、日志规则ID、域名、URL、XFF、文件路径、文件MD5、告警等级、确定性等级、检测引擎、风险标签、攻击结果、ATTCK技术、数据源-原始、访问方向、威胁定性。
用户配置完成后即在页面列表上展示出一条对应的规则,该规则会被下发至能力引擎,当有对应的告警命中此规则时,即可根据用户配置生成对应的事件。
建议使用Chrome浏览器访问!
