YARA 警报处理建议
YARA 警报处理建议
在窗口的右侧部分,建议部分显示您可以遵循的建议,以及与您正在处理的警报具有共同属性的警报或事件的数量。
您可以遵循以下建议:
- 在分类下面,展开查找类似警报列表。
一个可用于查找类似警报的属性列表、以及每个属性的类似警报的数量将显示。
选择以下属性之一:
- 通过 MD5。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按详细信息列、MD5 哈希值筛选。您正在处理的警报中的文件的 MD5 哈希值以黄色突出显示。
- 通过 SHA256。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按详细信息列、SHA256 哈希值筛选。您正在处理的警报中的文件的 SHA256 哈希值以黄色突出显示。
- 通过主机名。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按源列筛选。您正在处理的警报中的主机名以黄色突出显示。
- 通过发件人地址。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按源列筛选。您正在处理的警报中的电子邮件的发件人地址以黄色突出显示。
- 通过收件人地址。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按目标列筛选。您正在处理的警报中的电子邮件的收件人地址以黄色突出显示。
- 通过 URL。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按详细信息列、您正在处理的警报的 URL 筛选。
- 在分类下面,选择通过主机名查找类似警报。单击链接在新浏览器选项卡中显示威胁搜索事件表。在搜索条件中,由RemoteIP、MD5、SHA256、URI等选择扫描: 检测处理结果事件类型和配置搜索筛选器。筛选值由您正在处理的警报的属性填充。例如,警报中文件的 MD5 哈希值。
仅当您使用 KEDR 功能并且已添加 KEDR 授权许可密钥时,该操作才可用。
- 在调查下面,选择查找类似事件。单击链接在新浏览器选项卡中显示威胁搜索事件表。在搜索条件中,搜索筛选器由RemoteIP、MD5、SHA256、URI等配置。筛选值由您正在处理的警报的属性填充。例如,警报中文件的 MD5 哈希值。
仅当您使用 KEDR 功能并且已添加 KEDR 授权许可密钥时,该操作才可用。
- 在快速响应部分,选择隔离<主机名>。这将打开网络隔离规则创建窗口。
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.