特定の設定を使用してカスタムフィルターを定義し、基準に基づいて環境内のイベントを検出します。

手順

  1. XDR Threat InvestigationDetection Model Management[カスタムフィルタ][Create new filter]に移動します。
  2. フィルターの一般設定を指定してください:
    • [フィルタ名]
    • [説明]
    • [重大度]
      中、高、または重大な深刻度は、Executive DashboardおよびOperations Dashboardのサイバーリスク指標に影響を与えます。モデルをテストまたは調整する際には、指標に影響を与えないようにを選択してください。
  3. フィルターのイベント設定を指定してください:
    1. イベントタイプを選択してください。
    2. [THIRD_PARTY_LOG]を選択した場合、検出したいイベントに関連するベンダーを指定してください。それ以外の場合はイベントIDを選択してください。
    3. アクティビティデータ内のターゲットイベントを見つけるクエリを指定してください。
      フィルタークエリの書式設定の詳細については、フィルタークエリ形式およびカスタムフィルタでの正規表現の使用を参照してください。
    4. [クエリを検証]をクリックしてクエリを検証します。
      クエリが有効な場合は、[検索結果をプレビュー]をクリックして、クエリの検索結果を表示できます。
    5. 最大10個のカスタムタグを指定してください。
      カスタムタグは、WorkbenchObserved Attack Techniques、およびSearchでカスタムフィルターによって検出されたイベントを識別するのに役立ちます。
      タグは64文字まで使用できます。
  4. [保存] をクリックします。
Trend Vision Oneはカスタムフィルターを保存して有効にします。この操作が有効になるまでに数分かかる場合があります。
ヒント
ヒント
カスタムフィルターを使用して、検出に基づいてWorkbenchアラートを生成する検出モデルを作成できます。