在特定情况下,选择以下协议之一:
– 对于数据库数据或结构操作事件,请选择“TNS”或“TDS”。
– 对于文件事件,请根据文件类型选择“HTTP”、“DELTAV”、“SMB”或“FTP”。
– 对于包下载事件,请选择“HTTP”。
– 对于打开的端口(已删除)事件,请选择“TCP”或“UDP”,具体取决于端口类型。
若要创建规则来跟踪 OT 协议之一(如 S7 或 CIP)中的特定更改,请使用在该协议中找到的任何参数,如 tag 或 sub-function。
例如,你可能希望包含检测到的源和目标地址。 使用大括号 ({}) 将变量添加到警报消息中。
– 选择 + 符号可以创建具有多个使用 AND 运算符的条件的条件集。 只有在选择“警报协议”值后,才会启用 + 符号。
– 如果选择 MAC 地址或 IP 地址作为变量,必须将值从点分十进制地址转换为十进制格式。
必须至少添加一个条件才能创建自定义警报规则。
让 Defender for IoT 创建具有指定严重性的警报或事件。
