Vous pouvez utiliser des filtres pour réduire ou étendre la portée d'un état afin de prendre en compte un nombre plus ou moins important d'événements à analyser. Les filtres d'événements utilisent les mêmes catégories, sous-catégories et types d'événements que ceux décrits dans la section Structures de données qu'utilise Aurora Focus pour identifier les menaces.

Exemple 1 : l'exemple suivant limite les événements inspectés pour traiter les événements de démarrage.

"Filters": [
    {
        "Type": "Event",
        "Data": {
            "Category": "Process",
            "SubCategory": "",
            "Type": "Start"
        }
    }
]

Exemple 2 : l'exemple suivant examine tous les types d'événements de fichier (créer, écrire, supprimer).

"Filters": [
    {
        "Type": "Event",
        "Data": {
            "Category": "File",
            "SubCategory": "",
            "Type": "*"
        }
    }
]