IOC (Indicator of Compromise) 告警是通过识别特定的恶意指示来监测网络安全威胁的一种方式，自定义IOC告警规则允许用户根据业务需求定义告警规则，如果XDR检测到与自定义规则匹配的IOC规则，就会触发相关告警，以帮助企业及时识别并处理安全威胁。

场景一：在重保场景中，防守方一般会共享一些实时威胁情报以便更好的进行防守工作，但对于该场景中，防守方需要面对多种多样的安全设备，需要对所有的安全设备逐个进行下发自定义情报，步骤繁琐，通过XDR平台可以实时联动安全设备下发自定义情报，实现一次下发所有联动设备均生效，简化了安全运营工作。

点击配置管理->自定义告警规则导航栏，点击新增，新增自定义IOC规则，规则名称填写为自定义情报-20221030，告警定性选择攻防演练，确定性等级选择高可信，告警等级为高危，告警三级分类为HTTP隧道，如下图所示

规则定义处所属分类为网络连接，网络属性为目的IP，将情报地址填入，支持批量导入。 

点击保存后，选择立即下发（立即生效，但30分钟内只能点击立即下发一次）或者周期下发（一个小时内生效）对应规则会实时下发到EDR控制端生效该规则。

当有业务用户终端（已安装agent）执行相关命令后，XDR平台检测到相关IOA告警，,并为告警打上"攻防演练"的威胁定性标签，提示您该主机可能存在风险。

场景二：

点击配置管理->自定义告警规则导航栏，点击新增，新增自定义IOC规则，规则名称填写为浏览器访问挖矿域名，告警定性选择病毒，确定性等级选择高可信，告警等级为高危，告警三级分类为挖矿，规则定义处所属分类为URL访问，将情报地址填入，支持批量导入，如下图所示

点击保存后，选择立即下发（立即生效，但30分钟内只能点击立即下发一次）或者周期下发（一个小时内生效）对应规则会实时下发到XDR引擎生效该规则。

当有业务用户终端（已安装agent）执行相关命令后，XDR平台检测到相关IOC告警，并为告警打上"病毒"的威胁定性标签，提示您该主机可能存在风险。