规则字段
编辑规则字段编辑
规则字段用于捕获生成警报或其他重要事件的任何观察者或代理规则的详细信息。
会填充规则字段的数据源示例包括:网络准入控制平台、网络或主机 IDS/IPS、网络防火墙、Web 应用防火墙、URL 过滤器、端点检测和响应 (EDR) 系统等。
规则字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
创建用于生成此事件的规则的作者或作者的姓名、组织或化名。 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
使用该规则检测此事件的实体使用的类别值关键字。 类型:keyword 示例: |
扩展 |
|
|
生成事件的规则的描述。 类型:keyword 示例: |
扩展 |
|
|
在使用该规则检测此事件的代理、观察者或其他实体的范围内唯一的规则 ID。 类型:keyword 示例: |
扩展 |
|
|
用于生成此事件的规则可供使用的许可证的名称。 类型:keyword 示例: |
扩展 |
|
|
生成事件的规则或签名的名称。 类型:keyword 示例: |
扩展 |
|
|
有关用于生成此事件的规则的附加信息的参考 URL。 该 URL 可以指向供应商有关该规则的文档。如果该文档不可用,它也可以链接到描述此类警报的更通用页面。 类型:keyword 示例: |
扩展 |
|
|
用于生成此事件的规则所属的规则集、策略、组或父类别的名称。 类型:keyword 示例: |
扩展 |
|
|
在使用该规则检测此事件的一组代理、观察者或其他实体的范围内唯一的规则 ID。 类型:keyword 示例: |
扩展 |
|
|
用于分析的规则的版本/修订版。 类型:keyword 示例: |
扩展 |