Il se peut que la réponse automatique ne semble pas fonctionner comme prévu dans les cas suivants :
- Vous créez une réponse automatique à l’aide d’un jeu de filtres pour évaluer les propriétés d’un événement à l’aide des options Ne contient pas ou la N'est pas égal(e) à comparaison
ET
- Vous utilisez la OU opérateur
Exemples de critères de filtre :
Déclencher l’événement si l’une des conditions suivantes est appliquée :
- Nom de la menace Ne contient pas 'Patterna'
OR
- Nom de la menace Ne contient pas 'PatternB'
Un objectif courant avec ces critères de filtre est de déclencher la réponse pour chaque événement, à moins que le nom de la menace ne contienne l’un des modèles spécifiés. Par exemple, le nom d’une menace Patterna ou PatternB peut être considéré comme présentant un risque faible, mais courant dans un environnement donné. Etant donné cette situation, il peut être souhaitable d’exclure les menaces portant l’un de ces noms.
Il est fréquent que la réponse évalue toutes les comparaisons dans son ensemble lors de l’utilisation de la OU opérateur. Le résultat attendu est qu’un événement dont le nom de menace est PatternB ne déclenche pas cette réponse automatique. L’idée est qu’elle permet à l’une des comparaisons d’évaluer la valeur false et ne déclenche pas la réponse.
Au lieu de cela, la réponse est évaluée individuellement pour chaque critère. Si l’une des comparaisons donne la valeur true, la comparaison entière est évaluée sur true et la réponse se déclenche.
Dans cet exemple, lorsqu’un événement est reçu avec le nom de la menace Patterna, le filtre évalue l’événement comme suit :
- Le nom de la menace ne contient pas’Patterna' = Faux
- Le nom de la menace ne contient pas’PatternB' =Vrai
Etant donné que le nom de la menace ne contient pas PatternB, la comparaison complète du nom de la menace est évaluée sur
Vrai.
Ce comportement est attendu. En règle générale, s’il existe plusieurs noms de menace, vous devez le faire
pas souhaitez déclencher la réponse, utilisez la fonction
ET de l’opérateur comme suit :
L’événement se déclenche lorsque les conditions suivantes s’appliquent :
- Nom de la menace Ne contient pas 'Patterna'
ET
- Nom de la menace Ne contient pas 'PatternB'