Es posible que la respuesta automática parezca que no funciona según lo esperado cuando:
- Puede crear una respuesta automática con un conjunto de filtros para evaluar las propiedades de un evento con la opción No contiene o la No es igual a comparación
ASÍ
- Se utiliza la O signo
Criterios de filtrado de ejemplo:
Active el evento si se aplica alguna de las siguientes acciones:
- Nombre de amenaza No contiene ' Patróna '
BIEN
- Nombre de amenaza No contiene 'PatternB'
Un objetivo común con estos criterios de filtrado es activar la respuesta para cada evento a menos que el nombre de la amenaza contenga cualquiera de los patrones especificados. Por ejemplo, un nombre de amenaza de Patróna o PatternB podría considerarse de riesgo bajo, pero común en un entorno determinado. Dada esta situación, podría ser deseable excluir las amenazas con cualquiera de estos nombres.
Existe un concepto erróneo común de que la respuesta evalúa todas las comparaciones como un todo al utilizar la O signo. El resultado esperado es que un evento con el nombre de amenaza PatternB no active esta respuesta automática. La idea es que provoca que una de las comparaciones se evalúe como false y no activaría la respuesta.
En su lugar, la respuesta se evalúa de forma individual en cada uno de los criterios. Si alguna de las comparaciones se evalúa como true, toda la comparación se evalúa como true y se activa la respuesta.
En este ejemplo, cuando se recibe un evento con el nombre de amenaza Patróna, el filtro evalúa el evento como sigue:
- El nombre de la amenaza no contiene el ' patrón a ' = Falso
- El nombre de la amenaza no contiene ' PatternB ' =Verdadero
Dado que el nombre de la amenaza no contiene PatternB, toda la comparación de nombres de amenazas se evalúa en
Verdadero.
Este es el comportamiento esperado. Por lo general, si hay varios nombres de amenaza,
no desea activar la respuesta, utilice la
Y operador como sigue:
El evento se activa cuando se aplica lo siguiente:
- Nombre de amenaza No contiene ' Patróna '
ASÍ
- Nombre de amenaza No contiene 'PatternB'