Ansichten:
search-identifier-Elemente definieren die spezifischen Muster, die Trend Vision One zur Erkennung von Ereignissen verwendet. Ein Filter kann bis zu 19 search-identifier-Elemente enthalten.

Komponenten

{search-identifier key}:
    {List or object}
    {List or object}
    ....
    {List or object}
Die folgende Tabelle skizziert die Komponenten der Suchkennzeichnungs-Elemente:
Komponente
Beschreibung
Suchidentifikatorschlüssel
Schlüssel des Suchidentifikators.
Liste
Liste von Zeichenfolgen, die der Filter in den Erkennungsprotokollen zu lokalisieren versucht
Alle Elemente in einer Liste werden mit dem OR-Operator abgeglichen. Verwenden Sie die im Suchmethoden-Datenquellen definierten Feldnamen, um Listen zu erstellen.
eventSub:
    eventSubId:
        - TELEMETRY_CONNECTION_CONNECT_OUTBOUND
        - TELEMETRY_CONNECTION_CONNECT_INBOUND
Objekt
Objekte bestehen aus Schlüssel-Wert-Paaren. Alle Elemente in einem Objekt werden mit dem AND-Operator abgeglichen.
Verwenden Sie die für jede Datenquelle definierten Feldnamen, um Objekte zu erstellen.
detection:
    selection:
        dpt:
            - 5650
            - 5655
        processCmd: '*-run_agent*'
    condition: selection

Richtlinien

Die folgende Tabelle skizziert die Richtlinien zur Erstellung von Suchkennzeichnungs-Elementen.
Abschnitt
Beschreibung
Zeichenfolgen
  • Bei den Zeichenfolgen wird zwischen Groß- und Kleinschreibung unterschieden.
  • Schließen Sie Zeichenfolgen mit Apostrophen ein (').
    Beispiel: eventName: 'GetParameter'
  • Verwenden Sie Rückstriche (\), um Zeichenfolgen zu maskieren.
  • Das Maskieren von Zeichenfolgen ist nur für die folgenden Zeichen erforderlich:
    • Apostrophe (')
      Beispiel: message: 'I don\'t know.'
    • Sterne (*), wenn sie als reguläre Zeichen verwendet werden
      Beispiel: string: '5 \* 2 = 10'
    • Rückwärtsschrägstriche (\), wenn sie als reguläre Zeichen verwendet werden
      Beispiel: path: 'C:\\Windows\\notepad.exe'
    • Fragezeichen (?)
      Beispiel: url: 'https://www.google.com/search\?q=weather'
Platzhalter
  • Verwenden Sie ein Sternchen (*) als Platzhalter für unbekannte Teile der Zeichenfolge. Verwenden Sie keine mehrfachen Sternchen (**) als Platzhalter.
  • Trend Micro Sigma-Spezifikation erlaubt die folgenden speziellen Modifikatoren zum Suchen von Zeichenfolgen:
    • Überprüfen Sie, ob ein String mit den angegebenen Zeichen endet: *string
    • Überprüfen Sie, ob ein String mit den angegebenen Zeichen beginnt: string*
    • Überprüfen Sie, ob eine Zeichenfolge die angegebenen Zeichen enthält: *string*
Felder, die als dynamic markiert sind, unterstützen nur den speziellen Modifikator *string*. Dynamische Felder unterstützen keine exakten Übereinstimmungszeichenfolgen.
Zahlenwerte
Zahlenwerte benötigen keine Apostrophe.
Wertmodifikatoren
Wertmodifikatoren sind in benutzerdefinierten Filtern nicht erlaubt.

Spezielle Feldwerte

  • Vermeiden Sie die Verwendung der folgenden speziellen Feldwerte:
    • Leere Werte ('', null)
    • Einzelzeichen-Platzhalter (?)
  • Für die Felder eventId und eventSubId verwenden Sie den Datenfeldzuordnungswert anstelle des numerischen Werts.
    eventSubId: TELEMETRY_PROCESS_OPEN # Instead of eventSubId: 1