跳至主要内容

自定义检测规则

使用 自定义检测规则 页面定义规则,将环境中特定行为标记为有效检测,并在 事件页面 .

合作伙伴可管理其他公司的规则,并可通过网格中的 公司 筛选器查看为各公司创建的规则。客户也可查看合作伙伴为其公司应用的规则。

但切换至新合作伙伴时,前合作伙伴创建的所有自定义规则将被禁用。新合作伙伴无法查看前合作伙伴应用的规则。

Custom detection rules - grid

  1. 点击 添加规则 按钮以创建新的自定义检测规则。更多详情请参阅 创建自定义检测规则 .

  2. 勾选全局复选框或单个规则复选框以选中它们。选中一个或多个规则后,您可以通过以下方式管理它们:

    • 要启用或禁用规则,请点击 更改状态 下拉菜单并选择所需操作。

    • 要删除规则,请点击 更多操作 下拉菜单并选择 删除 .

  3. 使用这些操作按钮自定义您的网格:

    • 点击 重置视图 按钮将网格重置为默认设置(包括显示的列和筛选器)。此选项还会清除现有筛选器及其值。

    • 点击 show_or_hide_filters.png 显示或隐藏筛选器 按钮以显示或隐藏筛选器栏。

    • 点击 open_settings.png 打开设置 按钮以添加或移除网格中的列。

  4. 点击规则名称进入编辑模式并更新规则。点击列表中的规则可展开其详情面板,查看规则详情、更新或删除它。更多详情请参阅 检测规则详情面板 .

注意

每条规则在24小时内对每个终端最多生成10个事件。

创建自定义检测规则

创建自定义检测规则,请按照以下步骤操作:

  1. 自定义检测规则 页面,点击 添加规则 按钮。

    您将被重定向至 添加规则 页面。

  2. 配置 步骤1:检测规则定义 :

    1. 将以下情况视为检测 下,选择该规则适用的实体类型:

      • 进程

      • 文件

      • 连接

      • 注册表

    2. 匹配以下条件 下,通过配置以下字段创建一个或多个规则:

      • 条件 - 选择要与 字段中输入内容进行比对的组件、实体、设置或值。

        注意

        可用选项会根据 将以下情况视为检测 字段中选择的实体而变化。

      • 运算符 - 选择 条件 下所选值与 下输入值之间所需的关系。可用选项包括:

        • 等于 - 条件 下的值与 字段中输入的精确值匹配。

        • 包含 - 条件 下的值包含 字段中输入的字符串(例如文件扩展名)。

          重要提示

          创建检测规则时请谨慎使用通配符,这会增加规则过于泛化的风险。泛化的规则可能导致大量误报事件。

        • 属于其中之一 - 条件 下的值与 字段中输入的任意值匹配(在值之间执行 运算)。

          输入每个值后必须按Enter键以完成操作。

      • - 输入一个字符串,用于与 条件 下的值进行比较。

      您可以使用 新增 按钮向规则添加新条件。

      重要提示

      仅当满足所有条件时(在已添加条件之间执行 AND 逻辑运算),规则才会触发事件。

    3. 点击 下一步 :

      EDR_creating_custom_detection_rule_step1.png

  3. 步骤2:检测规则设置 :

    1. 规则配置 部分设置参数:

      1. 规则名称 .

      2. 描述 栏简要说明规则功能。

      3. 选择要应用于规则的 规则标签

        规则标签可帮助您根据需要识别、分组和排序规则。若现有标签不适用,可点击 创建标签 按钮,并添加一个标签。

      4. 选择 实时扫描 复选框以在创建规则后立即激活。

        启用此选项后,当规则中列出的条件在任何特定终端上满足时,将生成警报。

    2. 配置 规则结果 部分的设置:

      1. 生成警报并设置严重级别 下,选择您希望为触发此规则生成的所有警报分配的严重级别。

      2. 勾选 生成安全事件 框以在触发此规则时自动生成事件。

        注意

        此设置为启用自动操作所必需。

    3. 点击 下一步 .

      EDR_creating_custom_detection_rule_step2.png

  4. 在步骤3中配置 检测规则目标 :

    1. 规则目标 部分,为 规则应用于目标来源 设置选择以下选项之一:

      • 选择您的公司 - 该规则适用于您公司管理的所有终端。

      • 终端标签 - 从以下列表中选择 终端标签 (适用于您公司的标签)。该规则仅适用于已应用所选标签的终端。这些标签的创建与管理位于 网络 > 标签管理 .

        当您选择 终端标签 选项时,可从左侧菜单的列表中选择标签,当前选中的标签将显示在右侧菜单中。

      • 公司 - 该规则仅适用于选定的托管公司。

        您可以从左侧菜单的列表中选择公司,所选内容将显示在右侧菜单中。

        rule-targets_p_319967_en.png

    2. 点击 下一步 .

  5. 步骤4:自动操作 :

    1. 勾选 启用自动操作 选框以激活自动操作。每次触发规则时,这些操作将应用于目标实体。

    2. 从下方列表中选择要为此规则启用的操作:

      detection_rule_step4_90805_en.png

      可用的自动操作包括:

      • 隔离

      • 收集调查包

      • 添加至沙箱

      • 反恶意软件扫描

      • 隔离区

      • 风险扫描

      • 终止进程

        重要提示

        根据您的平台、公司许可证以及终端安装的模块,某些特定操作可能不可用。

      您可以通过点击 编辑设置 按钮进一步自定义某些操作。

    3. 点击 保存 .

      新规则现已出现在 自定义检测规则 网格中。

管理自定义检测规则

更改规则状态

启用或禁用规则请按以下步骤操作:

  1. 勾选需修改规则旁的复选框。

    注意

    可同时选择多条规则。

  2. 点击网格顶部的 更改状态 按钮。

  3. 选择要执行的操作。

custom_exclusion_rules_change_status90854_en.png

或者,您也可以点击网格右侧的对应菜单项来选择操作。

删除规则

删除规则请按以下步骤操作:

  1. 勾选需修改规则旁的复选框。

    注意

    可同时选择多条规则。

  2. 点击 删除 点击网格顶部的

  3. 点击 删除 按钮再次确认请求。

您可以选择多条规则。

编辑规则

要编辑规则,请点击 规则名称 列下的规则名称。您也可以从 编辑规则 侧边面板中点击 规则详情 按钮。

有关如何配置规则的详细信息,请参阅 创建自定义排除规则 .

检测规则详情面板

规则详情面板包含所选规则的信息、规则条件、规则标签、规则结果以及更新或删除选项。

Details panel

  1. 查看警报 查看事件 选项将分别跳转到 搜索 事件 部分。预填充查询会自动运行以检索由该规则触发的所有警报或事件。

  2. 编辑规则 按钮会弹出规则定义窗口,您可以在其中更改规则设置。

在本节中 :