クエリ文字列を使用してカスタムフィルタを作成し、環境内のイベントを検出し、カスタムモデルでWorkbenchアラートをトリガーできるようにします。
カスタムフィルタは、基本情報、イベントの種類とID、および環境内のイベントの検出に使用するクエリ文字列で構成されます。
注意最大50個のカスタムフィルタを作成できます。
|
手順
- 開始日 をクリックし、 [カスタムフィルタ] タブをクリックして、 [追加]をクリックします。
- [フィルタ名]を指定します。
- [説明]を記述します。 (オプション)
- このフィルタが検出するイベントに関連付けられた [リスクレベル] を指定します。
- [イベントの種類] と [イベントID]を選択します。イベントの種類とイベントIDは、フィルタでクエリを実行するデータの種類を定義します。たとえば、「 ENDPOINT_ACTIVITY "イベントタイプでは、 XDR Endpoint Sensorなどのエンドポイントベースのデータソースからエンドポイントデータをクエリします。" TELEMETRY_FILEクエリをさらに絞り込み、エンドポイントのアクティビティデータ内のファイルイベントにのみ適用されるようにします。
注意
「すべて"イベントIDは次のイベントタイプではサポートされていません:-
ENDPOINT_ACTIVITY
-
DETECTION
-
MOBILE_ACTIVITY
イベントの種類とデータソースの詳細については、検索方法のデータソースを参照してください。 -
- アクティビティデータ内の対象イベントを検索するには、 [クエリ] を指定します。Searchアプリで使用されているのと同じKibanaに似たクエリ言語を使用して、クエリ文字列の形式を設定します。検索クエリの書式設定の詳細については、次を参照してください。検索構文 。
重要
カスタムフィルタクエリには、Searchアプリクエリと比較していくつかの制限があります。-
すべてのクエリには、フィールド名と値が必要です。例:
-
エンドポイント-123 : クエリが無効です
-
endpointHostName:endpoint-123 : 有効なクエリ
-
-
クエリ文字列には、定義された値が少なくとも1つ含まれている必要があります。複合クエリでアスタリスクのワイルドカード (*) を使用できるのは、少なくとも1つの値が定義されている場合のみです。例:
-
endpointHostName:* : クエリが無効です
-
endpointHostName:endpoint-123 AND FileName:* : 有効なクエリ
-
ヒント
カスタムフィルタの実行時間が長くならないようにするには、次のヒントを参考にしてください。-
クエリ文字列の前に単純検索条件を入力します。
-
[objectRawDataStr] や [rawDataStr] などのデータ量の多いフィールドは、クエリ文字列の末尾に配置します。
-
ワイルドカードを多用しないようにするか、クエリ文字列の最後にワイルドカードを配置します。
-
- [クエリを検証] をクリックして、クエリ文字列を検証します。クエリ文字列が有効な場合は、 [検索結果をプレビュー] をクリックすると、そのクエリを使用して検索した結果のプレビューが表示されます。
- Workbench、 Observed Attack Techniques 、Searchなど、 Trend Vision One アプリのカスタムフィルタで検出されたイベントを識別しやすくするには、 [カスタムタグ] を指定します。
注意
カスタムタグは10個まで指定できます。 64文字以内で指定してください。 - [保存] をクリックします。