Ansichten:
Die Struktur der Filter ist wie folgt:
title
description [optional]
tags [optional]
logsource
   category
   product [optional]
   definition [optional]
detection
   {search-identifier}
      {List or object}
   ...
   condition
level
taxonomy
Die folgende Tabelle zeigt die in der Trend Micro Sigma-Spezifikation unterstützten Komponenten.
Komponente
Beschreibung
title
Die kurze Beschreibung des Filters (max. 256 Zeichen)
description
Die detaillierte Beschreibung des Filters (max. 1024 Zeichen)
tags
Die Tags zur Kategorisierung eines Filters
  • Ein Filter kann bis zu 10 Tags haben.
  • Ein Tag kann bis zu 64 Zeichen lang sein.
  • Tags dürfen keine Leerzeichen enthalten.
  • Tags können Namensräume haben. Verwenden Sie Punkte (.), um die Namensräume zu trennen.
    Beispiel:
    network.attack.123.
logsource
Der Ursprung oder Typ der Daten, auf die der Filter angewendet wird
Dieser Abschnitt besteht aus drei Attributen:
  • Kategorie: Die Datenquelle
  • Produkt: Die Plattform, die die Informationen sammelt
  • Definition: Der Ereignistyp
category
Der Typ der Daten, die der Filter abfragt
Unterstützte Werte:
  • CLOUD_ACTIVITY
  • CONTAINER_ACTIVITY
  • DETECTION
  • ENDPOINT_ACTIVITY
  • MESSAGE_ACTIVITY
  • MOBILE_ACTIVITY
  • NETWORK_ACTIVITY
  • IDENTITY_ACTIVITY
  • THIRD_PARTY_LOG
product
Die Plattformen, von denen die Daten stammen
Unterstützte Werte:
  • ENDPOINT_ACTIVITY: windows, linux, mac, unix
  • MOBILE_ACTIVITY: android, ios, chromeos
  • CLOUD_ACTIVITY: aws
  • CONTAINER_ACTIVITY: linux
  • THIRD_PARTY_LOG: Geben Sie die Drittanbieter-Log-Anbieter an, um entsprechende Drittanbieter-Log-Ereignisse zu erkennen.
definition
Der spezifische Subtyp der Daten, den der Filter abfragt
Warnung
Warnung
Um AMAZON_SECURITY_LAKE-Ereignisse abzugleichen, müssen Sie die Definition als AMAZON_SECURITY_LAKE angeben.
detection
Besteht aus mehreren search-identifier-Elementen und einem condition-Element
Ein Filter kann bis zu 19 search-identifier-Elemente haben.
search-identifier
Die spezifischen Muster zur Erkennung von Ereignissen
condition
Die logischen Operatoren und Symbole, die definieren, wie Trend Vision One die search-identifier-Elemente verarbeitet
Unterstützte Operatoren:
  • Logische Operatoren UND/ODER
    keyword1 or keyword2
    keyword1 and keyword2
  • Negation mit NICHT
    keyword and not keyword 2
  • Wählen Sie ein einzelnes (1 of them) oder alle (all of them) der definierten Suchkennzeichenelemente aus.
  • Wählen Sie 1 oder alle der angegebenen Elemente aus.
    all of selection*
    1 of selection* and keywords
    1 of selection* and not 1 of filter*
  • Klammern ()
    selection1 and (keywords1 or keywords2)
level
Die Schwere des Ereignisses, das dieser Filter erkennt
Unterstützte Werte:
  • info
  • low
  • medium
  • high
  • critical
taxonomy
Taxonomie der Sigma-Regel
Wichtig
Wichtig
tm-v1 ist der einzige unterstützte Wert für Taxonomie.