Ansichten:

Erfahren Sie, wie Sie Sigma-Regeln für die Umwandlung in TrendAI Vision One™ benutzerdefinierte Filter importieren können.

Wichtig
Wichtig
  • TrendAI Vision One™ ermöglicht Ihnen, Open-Source-Sigma-Regeln aus dem SigmaHQ-Hauptregel-Repository zu importieren, um sie in benutzerdefinierte Erkennungsfilter umzuwandeln. Die SigmaHQ-Community pflegt ein großes Repository mit einsatzbereiten Erkennungsregeln, die Endpunkt-, Netzwerk-, Cloud- und Drittanbieter-Protokollquellen abdecken. Regeln aus anderen Quellen können nicht unterstützte Syntax oder Feldnamen verwenden und könnten bei der Umwandlung fehlschlagen.
  • Viele Sigma-Regeln zielen auf Protokollquellen ab, die nicht automatisch konvertiert werden können. Die Konvertierung schlägt fehl, wenn die Regel logsource.category oder logsource.service nicht in der unterstützten Liste enthalten ist. Häufige Beispiele sind nicht unterstützte Kategorien (wie category: firewall, category: application) und anwendungsspezifische Dienste (wie service: okta, service: github und service: zeek). Wenn Ihre Regelprotokollquelle nicht unterstützt wird, können Sie überprüfen, ob relevante Protokolle verfügbar sind, bevor Sie manuell einen benutzerdefinierten Filter erstellen oder eine Filtervorlage verwenden von TrendAI Vision One™, um einen Filter zu erstellen.
  • Weitere Informationen zur nicht unterstützten Sigma-Regelsyntax finden Sie unter Nicht unterstützte Sigma-Regelsyntax.

Prozedur

  1. Navigieren Sie zu Agentic SIEM and XDRDetection Model ManagementCustom filters.
  2. Klicken Sie auf Filter hinzufügen und wählen Sie Import from computer im Dropdown-Menü aus.
  3. Im Fenster Import custom filters klicken Sie auf die Registerkarte ZIP oder YAML und dann auf Select file.
  4. Wählen Sie die ZIP- oder YAML-Datei mit Sigma-Regeln von Ihrem lokalen Computer aus.
  5. Auf der Unable to import-Registerkarte können Sie Dateien mit unterstützten Formaten bearbeiten und validieren. Entfernen Sie Dateien mit nicht unterstützten Formaten.
  6. Bearbeiten Sie im Fenster Edit Sigma rules and convert to TrendAI Vision One™ format die Sigma-Regel und klicken Sie auf Convert, um das Format zu konvertieren.
    Hinweis
    Hinweis
    • Metadatenfelder wie author, references und falsepositives werden in der konvertierten YAML-Datei zur Referenz beibehalten, beeinflussen jedoch nicht die Erkennungslogik.
    • Komplexe Modifikator-Ketten wie contains|all und windash könnten eine manuelle Anpassung erfordern.
    • Regeln aus anderen Repositories wie SOCPRIME und Elastic könnten das Format erfolgreich konvertieren, wenn das Standard-Sigma-Format und unterstützte logsource-Kategorien verwendet werden.
  7. Klicken Sie auf Speichern.
  8. Nachdem Sie alle Dateien, die nicht importiert werden können, bearbeitet oder entfernt haben, klicken Sie auf Import (number) files, um den Dateiimport zu starten.
    TrendAI Vision One™ speichert und aktiviert den benutzerdefinierten Filter. Diese Aktion kann einige Minuten dauern, bis sie wirksam wird.
Zugehörige Informationen