A resposta automática pode parecer não funcionar como esperado quando:
- Você cria uma resposta automática com um conjunto de filtros para avaliar as propriedades de um evento com o Não contém ou o Não é igual a comparação
EM
- Você usa o OU operador
Exemplo de critérios de filtragem:
Disparar o evento se uma das seguintes opções for aplicável:
- Nome da ameaça Não contém ' Patterna '
Quanto
- Nome da ameaça Não contém 'PatternB'
Uma meta comum com esse critério de filtro é disparar a resposta para cada evento, a menos que o nome da ameaça contenha qualquer um dos padrões especificados. Por exemplo, um nome de ameaça de padrão ou PatternB pode ser considerado de baixo risco, mas em comum em um determinado ambiente. Considerando essa situação, pode ser desejável excluir ameaças com um desses nomes.
Há uma concepção equivocada comum de que a resposta avalia todas as comparações como um todo ao usar o OU operador. O resultado esperado é que um evento com o nome de uma ameaça PatternB não dispare essa resposta automática. O raciocínio é que ele faz com que uma das comparações seja avaliada como falsa e não dispararia a resposta.
Em vez disso, a resposta é avaliada em relação a cada um dos critérios individualmente. Se qualquer uma das comparações for avaliada como verdadeira, toda a comparação será avaliada como verdadeiro e os gatilhos de resposta.
Neste exemplo, quando um evento é recebido com um nome de ameaça de Patterna, o filtro avalia o evento da seguinte maneira:
- O nome da ameaça não contém ' Patterna ' = Falso
- O nome da ameaça não contém ' PatternB ' =Verdadeiro
Como o nome da ameaça não contém PatternB, a comparação de nome da ameaça inteira é avaliada como
Verdadeiro.
Este comportamento é esperado. Geralmente, se houver vários nomes de ameaças que você fizer
not deseja disparar a resposta, use o
E como a seguir:
O evento é disparado quando o seguinte se aplica:
- Nome da ameaça Não contém ' Patterna '
EM
- Nome da ameaça Não contém 'PatternB'