ビュー:
search-identifier要素は、 Trend Vision Oneがイベントの検出に使用する特定のパターンを定義します。フィルタには最大19個まで含めることができます。search-identifier要素。

コンポーネント

 {search-identifier key}: {List or object} {List or object} .... {List or object}
次の表は、search-identifier要素のコンポーネントの概要を示しています。
コンポーネント
説明
検索識別子キー
検索識別子のキー。
リスト
検出ログでフィルタがローカライズを試みる文字列のリスト。リスト内のすべての要素は、「OR」演算子を使用して照合されます。
検索方法データソースで定義されているフィールド名を使用してリストを作成します。
 eventSub: eventSubId: - TELEMETRY_CONNECTION_CONNECT_OUTBOUND - TELEMETRY_CONNECTION_CONNECT_INBOUND
オブジェクト
オブジェクトはキーと値のペアで構成されます。オブジェクト内のすべての要素は、「AND」演算子を使用して照合されます。
検索方法データソースで定義されているフィールド名を使用してオブジェクトを作成します。
 detection: selection: dpt: - 5650 - 5655 processCmd: '*-run_agent*' condition: selection
注意
注意
次のフィールド名クラウドアクティビティデータソースは使用できませんカスタムフィルタ:
  • requestParameters
  • resources
  • responseElements
  • userIdentity

ガイドライン

次の表は、search-identifier要素を作成するためのガイドラインを示しています。
セクション
説明
文字列
  • 文字列では大文字と小文字が区別されません。
  • 文字列はアポストロフィ ( ' )。
    例: eventName: 'GetParameter'
  • バックスラッシュ (\\ ) 文字列をエスケープします。
  • 文字列のエスケープは、次の文字に対してのみ必要です。
    • アポストロフィ ( ' )
      例:message: 'I don\'t know.'
    • アスタリスク ( * ) 通常の文字として使用する場合
      例:string: '5 \* 2 = 10'
    • バックスラッシュ (\\ ) 通常の文字として使用する場合
      例: path: 'C:\\Windows\\notepad.exe'
    • 疑問符 ( ? )
      例:url: 'https://www.google.com/search\?q=weather'
ワイルドカード
  • アスタリスク ( * ) 文字列の不明な部分のワイルドカードとして使用します。アスタリスク ( ** ) をワイルドカードとして使用します。
  • トレンドマイクロのシグマ仕様では、文字列の検索を容易にするために、次の特別な修飾子を使用できます。
    • 文字列が指定された文字で終わるかどうかを確認します。*string
    • 文字列が指定した文字で始まるかどうかを確認します。string*
    • 指定した文字が文字列に含まれているかどうかを確認します。*string*
重要
重要
dynamicとしてマークされたフィールドは、特別な*string*修飾子のみをサポートします。動的フィールドでは、完全一致文字列はサポートされません。
数値
数値にはアポストロフィは必要ありません。
値修飾子
カスタムフィルタでは値修飾子を使用できません。

特殊フィールド値

  • 次の特殊なフィールド値は使用しないでください。
    • 空の値 ( '' , null )
    • 1文字のワイルドカード (?)
  • イベントIDそしてeventSubId [エンドポイントアクティビティデータ] および [モバイルアクティビティデータ] のフィールドでは、数値の代わりにデータフィールドのマッピング値を使用します。
    eventSubId: TELEMETRY_PROCESS_OPEN # Instead of eventSubId: 1