カスタムフィルタは、イベントを検出するためのパターンと条件を定義するキーと値のペアを含むYAMLファイルです。各ファイルに含めることができるフィルタは1つだけです。
カスタムフィルタを作成する場合は、次のガイドラインを考慮してください。
-
データにはスペース4つ分のインデントを使用する必要があります。例:
detection: operation: eventname: 'string'
-
キーには小文字を使用する必要があります。例:
title: id: description:
-
[トレンドマイクロの推奨事項]ファイル名には、スペースではなくアンダースコアを使用する必要があります。例:
file_name -
ファイル拡張子は
.yml。例:possible_brute_force_attack.yml