跳至主内容

自定义检测规则

通过 自定义检测规则 页面定义规则,将您环境中的特定行为标记为有效检测,并在 事件页面 .

Custom detection rules - grid

  1. 点击 添加规则 按钮以创建新的自定义检测规则。更多详情请参阅 创建自定义检测规则 .

  2. 勾选全局复选框或单个规则复选框以选中它们。选中一个或多个规则后,您可以通过以下方式管理它们:

    • 要启用或禁用规则,请点击 更改状态 下拉菜单并选择所需操作。

    • 要删除规则,请点击 更多操作 下拉菜单并选择 删除 .

  3. 使用以下操作按钮自定义网格视图:

    • 点击 重置视图 按钮将网格恢复至默认的列显示和筛选设置。此操作还会清除现有筛选器及其值。

    • 点击 show_or_hide_filters.png 显示/隐藏筛选器 按钮以显示或隐藏筛选栏。

    • 点击 open_settings.png 打开设置 按钮可添加或移除网格中的列。

  4. 点击规则名称进入编辑模式并更新规则。点击列表中的规则可展开其详情面板,查看规则详情、更新或删除规则。更多详情请参阅 检测规则详情面板 .

注意

每条规则在24小时内对每个终端最多生成10个事件。

创建自定义检测规则

要创建自定义检测规则,请按照以下步骤操作:

  1. 自定义检测规则 页面中,点击 添加规则 按钮。

    您将被重定向至 添加规则 页面。

  2. 配置以下设置 步骤1:检测规则定义 :

    1. 将以下情况视为检测 下,选择您希望规则适用的实体类型:

      • 进程

      • 文件

      • 连接

      • 注册表

    2. 匹配以下条件 下,通过配置以下字段创建一个或多个规则:

      • 条件 - 选择您要对照 字段。

        注意

        可用选项会根据在 将每次 字段中的内容视为检测。

      • 运算符 - 选择 条件 下所选值与 下输入值之间所需的关系。可用选项包括:

        • 等于 - 条件 下的值与 字段中输入的值完全匹配。

        • 包含 - 条件 下的值包含 字段中输入的字符串(例如文件扩展名)。

          重要提示

          创建检测规则时请谨慎使用通配符,这会增加规则过于泛化的风险。泛化的规则可能导致大量误报事件。

        • 属于其中之一 - 条件 下的值与 字段(在值之间执行 “或” 操作)。

          输入每个值后必须按Enter键以完成操作。

      • - 输入您希望与 条件 进行比较的字符串。

      您可以使用 新增 按钮为规则添加新条件。

      重要提示

      仅当满足所有条件时规则才会触发事件(在已添加条件之间执行 “与” 操作)。

    3. 点击 下一步 :

      EDR_creating_custom_detection_rule_step1.png

  3. 步骤2:检测规则设置 :

    1. 规则配置 部分设置参数:

      1. 规则名称 .

      2. 描述 下简要说明规则功能。

      3. 选择 规则标签 以应用于该规则。

        规则标签可帮助您根据需要识别、分组和排序规则。若现有标签不适用,可点击 创建标签 按钮新增。

      4. 勾选 实时扫描 复选框可在创建后立即激活规则。

        启用此选项后,当任何终端满足规则条件时将生成警报。

        您可在 事件 > 搜索 页面通过查询中的 other.rule_id 字段查看警报。

    2. 配置 规则结果 部分的设置:

      1. 生成警报时设置严重级别 下选择触发此规则所生成警报的严重级别。

      2. 勾选 生成安全事件 框可在规则触发时自动生成事件。

        注意

        此设置为启用自动操作的必要条件。

    3. 点击 下一步 .

      EDR_creating_custom_detection_rule_step2.png

  4. 配置步骤3中的设置, 检测规则目标 :

    1. 规则目标 部分,为 对以下目标应用规则 设置选择其中一个可用选项:

      • 选择您的公司 - 该规则适用于您公司管理的所有终端。

      • 终端标签 - 从您公司可用的 终端标签 列表中选择。该规则仅适用于已应用所选标签的终端。这些标签在 网络 > 标签管理 .

        当您选择 终端标签 选项时,可以从左侧菜单的列表中选择标签,您当前选中的标签将显示在右侧菜单中。

        rule_targets_c_319967_en.png

    2. 点击 下一步 .

  5. 配置 步骤4:自动操作 :

    1. 勾选 启用自动操作 勾选此框以启用自动操作。每次规则触发时,这些操作将应用于目标实体。

    2. 从下方列表中选择要为此规则启用的操作:

      detection_rule_step4_90805_en.png

      可用的自动操作如下:

      • 隔离

      • 收集调查包

      • 添加至沙箱

      • 反恶意软件扫描

      • 隔离区

      • 风险扫描

      • 终止进程

        重要提示

        根据您的平台、公司许可证及终端安装的模块,某些特定操作可能不可用。

      您可以通过点击 编辑设置 按钮进一步自定义某些操作。

    3. 点击 保存 .

      新规则现已出现在 自定义检测规则 网格中。

管理自定义检测规则

更改规则状态

启用或禁用规则的步骤如下:

  1. 选中要修改规则旁的复选框。

    注意

    可同时选择多条规则。

  2. 点击网格顶部的 更改状态 按钮。

  3. 点击您要执行的操作。

custom_exclusion_rules_change_status90854_en.png

或者,您可以点击网格右侧的相应菜单项,然后选择要执行的操作。

删除规则

要删除规则,请按照以下步骤操作:

  1. 选中要修改规则旁边的复选框。

    注意

    您可以选择多个规则。

  2. 点击 删除 网格顶部的按钮。

  3. 再次点击 删除 以确认请求。

您可以选择多个规则。

编辑规则

要编辑规则,请点击 规则名称 列下的规则名称。或者,您也可以从 编辑规则 侧边面板中点击 规则详情 按钮。

有关如何配置规则的信息,请参阅 创建自定义排除规则 .

检测规则详情面板

规则详情面板包含所选规则的信息、规则条件、规则标签、规则结果以及更新或删除它的选项。

Details panel

  1. 查看警报 ”和 查看事件 选项会将您重定向至 搜索 事件 版块。预置查询将自动运行以检索该规则触发的所有警报或事件。

  2. 点击 编辑规则 按钮将弹出规则定义窗口,您可在此修改规则设置。

本节内容 :