環境内のイベントを検出するためのフィルタを作成、インポート、および管理します。

カスタムフィルターは、特定の脅威や疑わしい行動の検出を環境の独自のニーズに合わせて調整できるユーザ定義のフィルターです。Trend Vision Oneはカスタムフィルターを使用してObserved Attack Techniquesに表示されるセキュリティイベントを検出します。その後、これらのフィルターをカスタム検出モデルに組み込んでWorkbenchでアラートやインサイトを生成し、イベント検出を完全な脅威監視ワークフローに変換できます。
[カスタムフィルタ]画面 (XDR Threat InvestigationDetection Model Management[カスタムフィルタ]) では、カスタムフィルターの作成と管理ができます。カスタムフィルターには以下が含まれます:
  • 基本情報
  • イベントの種類
  • イベントIDまたはベンダー
  • 環境内のイベントを検出するためのクエリ
イベントタイプとイベントID/ベンダーは、フィルターによってクエリされるデータのタイプを定義します。例えば、ENDPOINT_ACTIVITYはEndpoint Sensorのようなエンドポイントベースのデータソースからエンドポイントデータをクエリします。TELEMETRY_FILEを選択すると、エンドポイントアクティビティデータ内のファイルイベントのみにクエリが絞り込まれます。イベントタイプとデータソースの詳細については、検索方法のデータソースを参照してください。
重要
重要
50個までカスタムフィルターを追加できます。さらにフィルターを追加する必要がある場合は、サポートプロバイダに連絡してください。
次の表は[カスタムフィルタ]で利用可能なアクションを示しています:
処理
説明
カスタムフィルターを追加
カスタムフィルターを追加する方法はさまざまです。
カスタムフィルタのエクスポート
  • カスタムフィルターの一部をエクスポートする場合は、1つ以上のフィルターを選択し、[選択済みフィルタをエクスポート]をクリックしてください。
  • すべてのカスタムフィルターをエクスポートするには、export_button=GUID-C683DEEE-C19C-484D-A5B1-4CA9D1794756=1=ja-jp=Low.jpgをクリックしてください。
Trend Vision Oneは、すべてのカスタムフィルター (フィルターごとに1つのYAMLファイルを含む) を含むパスワード保護されたZIPファイルを生成します。エクスポートが完了したら、[カスタムフィルタをエクスポート]の下にあるdddna_summary_detection_copy=GUID-4DE35BE5-57A5-4919-BF9C-5EC95F9CA8FD=1=ja-jp=Low.pngをクリックして、ZIPファイルのパスワードをコピーしてください。
フィルターリストを検索およびフィルター
次のオプションを使用して特定のカスタムフィルターを見つけてください:
  • [重大度]: 低、高、または重大な深刻度でフィルタ
  • [Event type]: データソースの種類でフィルタリング (例: ENDPOINT_ACTIVITY)
  • [最終更新]: フィルターが最後に変更された日時でフィルター
  • 検索バー: フィルターID、名前、またはクエリ内容で検索
フィルタの詳細を表示する
フィルター名をクリックして、カスタムフィルターの詳細情報を表示します。
カスタムフィルタを編集する
クリックedit_icon=GUID-1F1D1164-5310-4D6D-ACD0-6049C86960AF.pngをクリックしてカスタムフィルタを編集します。
警告
警告
カスタムフィルターを変更すると、そのフィルターを使用するモデルがWorkbenchアラートをトリガーする方法に影響します。
カスタムフィルタを削除する
カスタムフィルターを削除するにはtrash_icon=GUID-47cf6867-6315-438e-8670-86ff36f22a28.pngをクリックしてください。
どのモデルにも含まれていないカスタムフィルタのみ削除できます。
関連情報