Como criar regras de filtro personalizadas para filtrar eventos inofensivos
Última modificação: 2021-04-23 02:03:08 Etc/GMT
Aviso de isenção de responsabilidade
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas:
Veja como um ecossistema XDR que está sempre se adaptando pode energizar sua empresa.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
Faça download do relatório Magic Quadrant, que avalia os 19 fornecedores com base na capacidade de execução e na abrangência de visão.
De acordo com a Gartner, “o XDR é uma tecnologia emergente que pode oferecer melhor prevenção, detecção e resposta a ameaças”.
Quais ameaças à segurança cibernética devem estar no radar das empresas em 2022?
A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
Duas líderes confiáveis em segurança cibernética se uniram para criar um mundo digital resiliente.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Como criar regras de filtro personalizadas para filtrar eventos inofensivos
Artigos técnicos ID:
KB74834
Última modificação: 2021-04-23 02:03:08 Etc/GMT Ambiente
McAfee o receptor de eventos do SIEM (receptor) 11.x ResumoO ESM usa expressões regulares (PCRE) compatíveis com Perl ao criar regras de filtro (descarte) específicas. Este artigo descreve como criar regras de filtro que marcam eventos correspondentes a partir de uma regra personalizada com um Não analisar inserir. Essa marca impede que o evento seja adicionado à arquivo de dados da origem de dados para análise.
OBSERVAÇÃO: Este artigo presume que você esteja familiarizado com o Regex e criando regras personalizadas no editor de políticas.
A expressão PCRE a seguir procura um dos códigos de evento listados dentro dos colchetes e, em seguida, outro campo no texto da mensagem que contém uma de duas cadeias de caracteres. As cadeias específicas são Nome da conta ou Nome do usuário. Eles são seguidos por uma cadeia de caracteres, espaços ou tabulações antes do sinal $ final no fim do nome do usuário ou da conta. O sinal $ indica que os eventos são eventos de logon gerados pelo computador que ocorrem todo dia, todos os dias, em sistemas Windows. Elas não são úteis em relatórios forenses. É mais útil pesquisar nomes de conta de usuário que contenham o nome da estação de trabalho de origem ou endereço IP no texto da mensagem do evento.
A expressão PCRE a seguir procura Microsoft Windows código de evento 4771 e uma cadeia de texto de caracteres após 4771 foi detectada. Esta expressão de Regex procura o ID de evento 4771 e a cadeia de texto Windows Firewall não forneceu a regra a seguir nos campos de cabeçalho do evento:
A expressão PCRE a seguir procura por uma cadeia de texto específica listada no texto da mensagem de um evento de Windows. No exemplo a seguir, ele procura Plataforma de filtragem de Windows no texto da mensagem e toma a rota apropriada. (Enviar para o ELM ou considerar. Sem rota):
A expressão PCRE a seguir procura uma cadeia de caracteres de texto ' Outside ' seguida de qualquer número de caracteres até os três primeiros octetos de um endereço IP 64.39.111 são detectados. No exemplo a seguir, ele incluiria todos os eventos com a cadeia de caracteres de texto ' Outside ' e qualquer endereço IP que corresponda aos três primeiros octetos:
Informações relacionadas
Esses sites são úteis para testar as expressões de Regex e para pesquisar detalhes de códigos de eventos WMI específicos.
Aviso de isenção de responsabilidadeO conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetadosIdiomas:Este artigo está disponível nos seguintes idiomas: |
|