ビュー:
フィルタの構造は次のとおりです。
title
description [optional]
tags [optional]
logsource
   category
   product [optional]
   definition [optional]
detection
   {search-identifier}
      {List or object}
   ...
   condition
level
taxonomy
次の表は、 トレンドマイクロ Sigma仕様でサポートされているコンポーネントの概要を示しています。
コンポーネント
説明
title
フィルタの簡単な説明 (最大256文字)。
description(オプション)
フィルタの詳細な説明 (最大1024文字)。
タグ(オプション)
フィルタを分類するためのタグ。
注意
注意
  • フィルタには最大10個のタグを設定できます。
  • タグの長さは最大64文字です。
  • タグにスペースを含めることはできません。
  • タグには名前空間を指定できます。ドット (. ) をクリックして名前空間を区切ります。
    例:
    network.attack.123
logsource
フィルタが適用されるデータの生成元または種類。
このセクションは、データソース (カテゴリ)、情報が収集されるプラットフォーム (製品)、およびイベントの種類 (定義) の 3 つの属性で構成されます。
category
フィルタがクエリするデータの種類。
サポートされる値:
  • CLOUD_ACTIVITY
  • CONTAINER_ACTIVITY
  • DETECTION
  • ENDPOINT_ACTIVITY
  • MESSAGE_ACTIVITY
  • MOBILE_ACTIVITY
  • NETWORK_ACTIVITY
  • IDENTITY_ACTIVITY
  • サードパーティログ
product(オプション)
データの送信元のプラットフォーム。
サポートされる値:
  • ENDPOINT_ACTIVITY: windowslinuxmacunix
  • MOBILE_ACTIVITY: android, ios, chromeos
  • CLOUD_ACTIVITY: aws
  • CONTAINER_ACTIVITY: linux
  • THIRD_PARTY_LOG: 指定したサードパーティのログベンダー
    注意
    注意
    この値は、対応するサードパーティのログイベントを正確に検出するために必要です。
definition(オプション)
データの特定のサブタイプフィルタクエリ。
警告
警告
AMAZON_SECURITY_LAKEイベントに一致させるには、定義をAMAZON_SECURITY_LAKEとして指定する必要があります。
detection
複数で構成されるsearch-identifier要素とcondition要素。
フィルタには最大19個まで指定できます。search-identifier要素。
イベントを検出する特定のパターン。
condition
Trend Vision Oneでのデータの処理方法を定義する論理演算子と記号search-identifier要素。
サポートされている演算子:
  • 論理演算子 AND/OR
    keyword1 or keyword2
    keyword1 and keyword2
  • NOTによる否定
    keyword and not keyword 2
  • 1つを選択します (1 of them) またはすべて (all of them) を定義します。
  • 指定した要素の1つまたはすべてを選択します。
    all of selection*
    1 of selection* and keywords
    1 of selection* and not 1 of filter*
  • 括弧()
    selection1 and (keywords1 or keywords2)
level
このフィルタが検出するイベントに関連付けられた重大度。
サポートされる値:
  • info
  • low
  • medium
  • high
  • critical
taxonomy
シグマルールの分類。
重要
重要
tm-v1タクソノミーでサポートされている値は のみです。