Erfahren Sie mehr über die Sigma-Erkennungskonstrukte, die dazu führen, dass die Formatkonvertierung fehlschlägt, selbst wenn eine Logquelle unterstützt wird.
Unterstützte Feldmodifikatoren
Nur die folgenden Feldmodifikatoren (der Teil nach | in einem Feldnamen) werden unterstützt:
contains, startswith, endswith, re und exists.Jeder andere Modifikator (einschließlich
all, windash, base64offset, fieldref und re|i) verursacht Fehler. Sie müssen die betroffene Bedingung entfernen oder bearbeiten,
bevor Sie importieren.Schlüsselwort-Erkennung wird nicht unterstützt
Die
keywords-Konstruktion führt eine Volltextsuche über alle Protokollfelder durch, ohne ein spezifisches
Feld anzusprechen, und wird in benutzerdefinierten Filtern nicht unterstützt.# Keyword detection is not supported
detection:
keywords:
- '/Basic/Command/Base64/'
- '/Basic/ReverseShell/'
condition: keywords
Andere Syntaxfehler
Die folgenden Feldbedingungen im
Erkennungs-Sperren führen ebenfalls dazu, dass die Formatkonvertierung fehlschlägt:|
Bedingung:
|
Fehler
|
Hashes oder Imphash verwendet ohne md5, sha1 oder sha256 |
Die Felder
Hashes und Imphash werden nicht unterstützt, wenn die Logik nur diese hashbezogenen Felder enthält. |
Beschreibung oder Produkt ohne Bild verwendet |
Die Felder
Description und Product werden nicht unterstützt, wenn Image nicht in der Logik enthalten ist. |
|
Felder:
Protokoll, requestParameters*, responseElements*, resources*, userIdentity* |
<field> kann im XDR-Daten-Explorer nicht abgefragt werden. |
SourceIp oder SourcePort zusammen mit DestinationHostname in network_internet-Regeln verwendet |
<field> wird nicht unterstützt, wenn DestinationHostname ebenfalls in der Regel vorhanden ist. |
|
Details:
Binärdaten in Registrierungsregeln |
Binäre Daten werden im TELEMETRY_REGISTRY nicht unterstützt. |
|
Ereignistyp:
RenameKey in Registrierungsregeln |
Registry-Umbenennungsereignisse werden nicht unterstützt.
|