Создание правила TAA (IOA) на основе условий поиска событий
06 сентября 2024
ID 247643_1
Чтобы создать правило TAA (IOA) на основе условий поиска событий:
- В окне веб-интерфейса приложения выберите раздел Поиск угроз.
Откроется форма поиска событий.
- Выполните поиск событий в режиме конструктора или режиме исходного кода.
- Нажмите на кнопку Сохранить как правило TAA (IOA).
Откроется окно Новое правило TAA (IOA).
- В поле Имя введите имя правила.
- Нажмите на кнопку Сохранить.
Условие поиска событий будет сохранено. В таблице правил TAA (IOA) раздела Пользовательские правила, в подразделе TAA веб-интерфейса отобразится новое правило с заданным именем.
Не рекомендуется в условиях поиска событий, сохраняемых как пользовательское правило TAA (IOA), использовать следующие поля:
- IOAId.
- IOATag.
- IOATechnique.
- IOATactics.
- IOAImportance.
- IOAConfidence.
На момент сохранения пользовательского правила TAA (IOA) в приложении может не быть событий, содержащих данные для этих полей. Когда события с этими данными появятся, пользовательское правило TAA (IOA), созданное ранее, не сможет разметить события по этим полям.
Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция создания правила TAA (IOA) на основе условий поиска событий недоступна.