ueba7.0 触发器配置使用

1. 打开客户端安装目录 /studio 目录 /UBPAStudio.exe, 根据需求拾取元素触发，设置触发动作。每个拾取和触发都要点击保存，确定左侧已经添加成功才有效。设置完点击保存导出策略

2. 添加多个策略一定要点击新建按钮。

要新增另外一个策略需要先点击左上角的新建按钮产生一个新的策略名称。否则上传到服务器只有一个策略

3. 把生成的策略上传到服务器。（标签状态是开启有效）

4. 标签策略下载

标签策略再第二天关机重启机器的时候下载。手动测试的话删除客户端本地的config/UEBAServer.ini文件，托盘重启客户端标签策略会下载。策略文件是config/PolicyTrigger.json

5. 标签策略生效

策略已经下载之后，关闭客户端的ie浏览器重新打开ie。触发策略生效

6. 触发动作中有消息动作，触发响应后会发送标签到服务器。触发动作中有机器人和提示消息。则会在客户端辅助界面弹出提示。

标签日志再服务器搜索页面，可以搜索action:tag

7. 如果没有触发，先查看策略文件是否是设置的策略。然后查看 logs 目录下的 iexplore.log 文件
查看加载策略日志 ：

UpdateLocalConfig 点击触发事件数 = 1 移开触发事件数 = 0 页面加载触发事件数 = 0

查看触发状态：

8. 如果没有触发，也没有相关日志, 检查 IE 插件是否加载并启用。由于我们的触发器目前是基于 IE 的，因此在 IE 的加载项中查看下 UEBA 的插件是否已加载，并且是启用的状态。

如果没有加载，右击启用或者管理员运行 cmd，进入安装目录下的 bin 目录，执行以下命令

regsvr32 UEBAIEWatcher.dll