规则字段
编辑规则字段
编辑规则字段用于捕获任何观察者或代理规则的详细信息,这些规则会生成警报或其他值得注意的事件。
填充规则字段的数据源示例包括:网络准入控制平台、网络或主机 IDS/IPS、网络防火墙、Web 应用防火墙、URL 过滤器、端点检测和响应 (EDR) 系统等。
规则字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
创建用于生成此事件的规则的作者或作者的姓名、组织或笔名。 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
使用该规则的实体用于检测此事件的分类值关键字。 类型:keyword 示例: |
扩展 |
|
|
生成事件的规则的描述。 类型:keyword 示例: |
扩展 |
|
|
在使用该规则检测此事件的代理、观察者或其他实体的范围内唯一的规则 ID。 类型:keyword 示例: |
扩展 |
|
|
用于生成此事件的规则可用的许可证名称。 类型:keyword 示例: |
扩展 |
|
|
生成事件的规则或签名的名称。 类型:keyword 示例: |
扩展 |
|
|
指向有关用于生成此事件的规则的其他信息的参考 URL。 该 URL 可以指向供应商关于该规则的文档。如果不可用,它也可以是链接到描述此类警报的更通用页面。 类型:keyword 示例: |
扩展 |
|
|
规则集、策略、组或父类别名称,其中用于生成此事件的规则是其成员。 类型:keyword 示例: |
扩展 |
|
|
在使用该规则检测此事件的一组或一组代理、观察者或其他实体的范围内唯一的规则 ID。 类型:keyword 示例: |
扩展 |
|
|
用于分析的规则的版本/修订版。 类型:keyword 示例: |
扩展 |