ビュー:
フィルタの構造は次のとおりです。
title description [optional] tags [optional] logsource category product [optional] definition [optional] detection {search-identifier} {List or object} ... condition level taxonomy
次の表は、 トレンドマイクロ Sigma仕様でサポートされているコンポーネントの概要を示しています。
コンポーネント
説明
title
フィルタの簡単な説明 (最大256文字)。
description(オプション)
フィルタの詳細な説明 (最大1024文字)。
タグ(オプション)
フィルタを分類するためのタグ。
注意
注意
  • フィルタには最大10個のタグを設定できます。
  • タグの長さは最大64文字です。
  • タグにスペースを含めることはできません。
  • タグには名前空間を指定できます。ドット (. ) をクリックして名前空間を区切ります。
    例:
    network.attack.123
logsource
フィルタが適用されるデータの生成元または種類。
このセクションは、データソース (カテゴリ)、情報が収集されるプラットフォーム (製品)、およびイベントの種類 (定義) の 3 つの属性で構成されます。
category
フィルタがクエリするデータの種類。
サポートされる値:
  • CLOUD_ACTIVITY
  • CONTAINER_ACTIVITY
  • DETECTION
  • ENDPOINT_ACTIVITY
  • MESSAGE_ACTIVITY
  • MOBILE_ACTIVITY
  • NETWORK_ACTIVITY
product(オプション)
データの送信元のプラットフォーム。
サポートされる値:
  • 対象ENDPOINT_ACTIVITY :windows,linux ,mac ,unix
  • 対象MOBILE_ACTIVITY :android, ios ,chromeos
  • 対象CLOUD_ACTIVITY : aws
  • 対象CONTAINER_ACTIVITY : Linux
definition(オプション)
データの特定のサブタイプフィルタクエリ。
detection
複数で構成されるsearch-identifier要素とcondition要素。
フィルタには最大19個まで指定できます。search-identifier要素。
search-identifier
イベントを検出する特定のパターン。
condition
Trend Vision Oneでのデータの処理方法を定義する論理演算子と記号search-identifier要素。
サポートされている演算子:
  • 論理演算子 AND/OR
    keyword1 or keyword2
    keyword1 and keyword2
  • NOTによる否定
    keyword and not keyword 2
  • 1つを選択します (1 of them) またはすべて (all of them) を定義します。
  • 指定した要素の1つまたはすべてを選択します。
    all of selection*
    1 of selection* and keywords
    1 of selection* and not 1 of filter*
  • 括弧()
    selection1 and (keywords1 or keywords2)
level
このフィルタが検出するイベントに関連付けられた重大度。
サポートされる値:
  • info
  • low
  • medium
  • high
  • critical
taxonomy
シグマルールの分類。
重要
重要
tm-v1タクソノミーでサポートされている値は のみです。