查看自定义 TAA (IOA) 规则详细信息

要显示有关 TAA (IOA) 规则的信息：

1. 在应用程序 Web 界面的窗口中，选择自定义规则部分，TAA子部分。

   这将打开 TAA (IOA) 规则表。

2. 选择您想查看信息的规则。

这将打开一个窗口，其中包含有关规则的信息。

该窗口包含以下信息：

• 单击警报链接即可在新的浏览器选项卡中显示警报表。警报根据针对性攻击分析器技术和您正在处理的TAA (IOA) 规则的名称进行筛选。
• 单击查找活动链接以在新的浏览器选项卡中显示事件表。该表按规则名称筛选。
• 单击运行查询链接以在新的浏览器选项卡中显示事件表。该表按规则名称筛选。事件搜索条件将使用您正在处理的 TAA (IOA) 规则中的信息进行填充。例如，EventType=进程已启动 AND FileName CONTAINS <您正在处理的规则的名称>。您可以编辑事件搜索查询。
• 单击IOA ID链接显示应用程序分配给每个规则的 ID。

  ID 无法修改。您可以单击复制值到剪贴板按钮复制 ID。

• 状态– 在事件数据库扫描中使用规则。

详细信息选项卡包含以下信息：

• 名称是您在添加规则时指定的规则的名称。
• 描述是有关您指定的规则的任何附加信息。
• 重要级别是对添加规则时用户指定的事件对计算机或公司 LAN 安全的可能影响的估计。
• 置信是取决于添加规则时用户定义的误报可能性的置信度。
• 类型是规则的类型，取决于生成它的服务器的角色：
  • 全球—在 PCN 服务器上创建。这些规则用于扫描此 PCN 服务器以及连接到此 PCN 服务器的所有 SCN 服务器上的事件。扫描的事件属于用户在程序 Web 界面中管理的租户。
  • 本地—在 SCN 服务器上创建。这些规则用于扫描此 SCN 服务器上的事件。扫描的事件属于用户在程序 Web 界面中管理的租户。
• 应用到– 服务器的名称，包含在其上应用规则的中央节点组件。

查询选项卡显示正在被检查的查询的源代码。单击窗口上部的运行查询链接可转到威胁搜索部分并运行事件搜索查询。