ビュー:

クエリ文字列を使用してカスタムフィルタを作成し、環境内のイベントを検出し、カスタムモデルでWorkbenchアラートをトリガーできるようにします。

  • カスタムフィルターは、基本情報、イベントタイプ、イベントIDまたはベンダー、および環境内のイベントを検出するために使用されるクエリ文字列で構成されます。カスタムフィルターは最大50個作成できます。
  • イベントタイプとイベントIDまたはベンダーは、フィルターによってクエリされるデータの種類を定義します。例えば、ENDPOINT_ACTIVITYはXDR Endpoint Sensorなどのエンドポイントベースのデータソースからエンドポイントデータをクエリします。TELEMETRY_FILEを選択することで、エンドポイントアクティビティデータ内のファイルイベントにのみクエリを適用するようにさらに絞り込みます。
  • イベントの種類とデータソースの詳細については、検索方法のデータソースを参照してください。

手順

  1. [XDR Threat Investigation][Detection Model Management][カスタムフィルタ] に移動します。
  2. [追加] をクリックします。
  3. [フィルタ名]を指定します。
  4. フィルターの[Description ]を提供してください。
  5. このフィルターが検出するイベントに関連付けられた[重大度]を指定してください。
    中、高、または重大の重大度は、Executive DashboardおよびOperations Dashboardのリスク指標に影響を与えます。モデルをテストまたは調整する際には、指標に影響を与えないように低を選択してください。
  6. [イベントの種類]を選択してください。
    • THIRD_PARTY_LOGに対して、一致させたいイベントに関連する[ベンダー]を提供してください。
    • 他のすべてのイベントタイプについては、[イベントID]を選択してください。
  7. アクティビティデータ内の対象イベントを検索するには、 [クエリ] を指定します。
    フィルタークエリの書式設定に関する詳細は、フィルタークエリ形式 および カスタムフィルタでの正規表現の使用 を参照してください。
  8. [クエリを検証] をクリックして、クエリ文字列を検証します。クエリ文字列が有効な場合は、 [検索結果をプレビュー] をクリックすると、そのクエリを使用して検索した結果のプレビューが表示されます。
  9. 最大10個の[Custom tags]を指定して、Trend Vision Oneアプリ(Workbench、Observed Attack Techniques、Searchなど)でカスタムフィルターによって検出されたイベントを識別するのに役立ててください。
    タグの長さは64文字を超えることはできません。
  10. [保存] をクリックします。