新增對您環境獨特且關鍵的自訂偵測信號。
步驟
- 在Detection Signals標籤上,點擊新增。
- 在Basic Properties區域指定信號名稱,並可選擇性地提供描述。名稱可以幫助清楚識別您想要檢測的異常行為信號。
- 在Signal Definition區域中,定義信號。
- 從下拉清單中選擇條件欄位。
- 從下拉清單中選擇所需的運算符。可用的運算子包括整數值比較運算子和字串值匹配運算子。例如,≤ 表示條件欄位包含小於或等於指定整數值的整數。
- 如果需要,請輸入或選擇所需的字串或整數值。下表描述了支援的條件條件欄位操作員說明寄件者地址
-
在
-
不在
電子郵件的發件人地址是否在指定的電子郵件地址列表中。最多支援 50 個電子郵件地址。星號 (*) 萬用字元支援在電子郵件地址的本地部分和域中表示零個或多個字符,例如,*@example.com、name@*.com 和 *@*.example.com寄件者網域註冊年齡≤電子郵件的From標頭欄位中的發件人域名註冊時間小於或等於指定的天數。預設值:7。範圍:1 - 366。單位:天。例如,將值設置為 1 表示發件人域名在過去 24 小時內剛剛註冊。過去 30 天內的發件人域活動≤電子郵件的From標頭欄位中的發件人域名在過去30天內的活動天數小於或等於指定的天數。預設值:5。範圍:0 - 30。單位:天。例如,將值設為 0 表示發件人網域在過去 30 天內沒有任何活動。寄件者地址在過去30天內的活動≤電子郵件From標頭欄位中的發件人地址在過去30天內的活動天數小於或等於指定的天數。預設值:5。範圍:0 - 30。單位:天。例如,將值設為 0 表示發件人地址在過去 30 天內沒有任何活動。回覆域名在過去30天內的活動≤電子郵件Reply-To標頭欄位中的收件者網域在過去30天內的活動天數小於或等於指定的天數。預設值:5。範圍:0 - 30。單位:天。例如,將值設為 0 表示回覆域在過去 30 天內沒有任何活動。過去 30 天內的回覆地址活動≤電子郵件的Reply-To標頭欄位中的收件者地址在過去30天內的活動天數小於或等於指定的天數。預設值:5。範圍:0 - 30。單位:天。例如,將值設為 0 表示回覆地址在過去 30 天內沒有任何活動。電子郵件中的 URL 網域註冊年齡≤任何電子郵件中任何 URL 的網域註冊時間少於或等於指定的天數。預設值:30。範圍:1 - 366。單位:天。例如,將值設為 1 表示電子郵件中至少有一個 URL 的網域是在過去 24 小時內註冊的。 -
注意
目前,您只能在信號定義中配置一個條件。 - 檢視並確認信號定義符合您的需求。
- 請點選「儲存」。