La risposta automatica potrebbe non funzionare come previsto quando:
- È possibile creare una risposta automatica con un set di filtri per valutare le proprietà di un evento con il Non contiene o il È diverso da confronto
E
- Si utilizza il OPPURE operatore
Esempio di criteri di filtraggio:
Attiva l'evento se si applica una delle seguenti opzioni:
- Nome minaccia Non contiene ' Patterna '
O
- Nome minaccia Non contiene 'PatternB'
Un obiettivo comune con questo criterio di filtro è quello di attivare la risposta per ogni evento, a meno che il nome della minaccia non contenga uno dei pattern specificati. Ad esempio, un nome di minaccia di Patterna o PatternB potrebbe essere considerato a basso rischio, ma comune in un determinato ambiente. In base a questa situazione, potrebbe essere auspicabile escludere le minacce con uno di questi nomi.
Si tratta di un errore comune che la risposta valuta tutti i confronti nel suo complesso quando si utilizza il OPPURE operatore. Il risultato previsto è che un evento con un nome di minaccia di PatternB non attiva questa risposta automatica. Il pensiero è che causa uno dei confronti da valutare a falso e che non attiva la risposta.
La risposta viene invece valutata individualmente da ciascuno dei criteri. Se uno qualsiasi dei confronti restituisce true, l'intero confronto restituisce true e la risposta viene attivata.
In questo esempio, quando viene ricevuto un evento con un nome di minaccia Patterna, il filtro valuta l'evento come indicato di seguito:
- Il nome della minaccia non contiene ' Patterna ' = Falso
- Il nome della minaccia non contiene ' PatternB ' =Vero
Poiché il nome della minaccia non contiene PatternB, l'intero confronto tra i nomi delle minacce viene valutato
Vero.
Questo comportamento è previsto. In genere, se sono presenti più nomi di minacce
non desidera attivare la risposta, utilizzare il
E operatore nel modo seguente:
L'evento viene attivato quando si applicano le seguenti operazioni:
- Nome minaccia Non contiene ' Patterna '
E
- Nome minaccia Non contiene 'PatternB'