ビュー:
search-identifier要素は、 Trend Vision Oneがイベントの検出に使用する特定のパターンを定義します。フィルタには最大19個まで含めることができます。search-identifier要素。

コンポーネント

{search-identifier key}:
    {List or object}
    {List or object}
    ....
    {List or object}
次の表は、search-identifier要素のコンポーネントの概要を示しています。
コンポーネント
説明
検索識別子キー
検索識別子のキー。
リスト
検出ログでフィルターがローカライズしようとする文字列のリスト
リスト内のすべての要素はOR演算子を使用して一致します。リストを作成するには、検索メソッドデータソースで定義されたフィールド名を使用してください。
eventSub:
    eventSubId:
        - TELEMETRY_CONNECTION_CONNECT_OUTBOUND
        - TELEMETRY_CONNECTION_CONNECT_INBOUND
オブジェクト
オブジェクトはキーと値のペアで構成されます。オブジェクト内のすべての要素はAND演算子を使用して一致します。
データソースに定義されたフィールド名を使用してオブジェクトを作成します。
detection:
    selection:
        dpt:
            - 5650
            - 5655
        processCmd: '*-run_agent*'
    condition: selection

ガイドライン

次の表は、search-identifier要素を作成するためのガイドラインを示しています。
セクション
説明
文字列
  • 文字列では大文字と小文字が区別されません。
  • 文字列はアポストロフィ ( ' )。
    例: eventName: 'GetParameter'
  • 文字列をエスケープするには、バックスラッシュ (\) を使用します。
  • 文字列のエスケープは、次の文字に対してのみ必要です。
    • アポストロフィ ( ' )
      例:message: 'I don\'t know.'
    • 通常の文字として使用されるアスタリスク (*)
      例:string: '5 \* 2 = 10'
    • 通常の文字として使用されるバックスラッシュ (\)
      例: path: 'C:\\Windows\\notepad.exe'
    • 疑問符 ( ? )
      例:url: 'https://www.google.com/search\?q=weather'
ワイルドカード
  • アスタリスク ( * ) 文字列の不明な部分のワイルドカードとして使用します。アスタリスク ( ** ) をワイルドカードとして使用します。
  • Trend Micro Sigma仕様では、文字列検索のために次の特別な修飾子が使用できます。
    • 指定された文字で文字列が終了するかどうかを確認します: *string
    • 文字列が指定した文字で始まるかどうかを確認します。string*
    • 指定した文字が文字列に含まれているかどうかを確認します。*string*
dynamicとしてマークされたフィールドは、特別な*string*修飾子のみをサポートします。動的フィールドでは、完全一致文字列はサポートされません。
数値
数値にはアポストロフィは必要ありません。
値修飾子
カスタムフィルタでは値修飾子を使用できません。

特殊フィールド値

  • 次の特殊なフィールド値は使用しないでください。
    • 空の値 ( '' , null )
    • 1文字のワイルドカード (?)
  • eventIdおよびeventSubIdフィールドには、数値ではなくデータフィールドマッピング値を使用してください。
    eventSubId: TELEMETRY_PROCESS_OPEN # Instead of eventSubId: 1