ビュー:
フィルタの構造は次のとおりです。
title
description [optional]
tags [optional]
logsource
   category
   product [optional]
   definition [optional]
detection
   {search-identifier}
      {List or object}
   ...
   condition
level
taxonomy
次の表は、 トレンドマイクロ Sigma仕様でサポートされているコンポーネントの概要を示しています。
コンポーネント
説明
title
フィルターの簡単な説明 (最大256文字)
説明
フィルターの詳細説明 (最大1024文字)
タグ
フィルターを分類するためのタグ
  • フィルタには最大10個のタグを設定できます。
  • タグの長さは最大64文字です。
  • タグにスペースを含めることはできません。
  • タグには名前空間を持たせることができます。名前空間を区切るにはドット (.) を使用します。
    例:
    network.attack.123
logsource
フィルターが適用されるデータの起源または種類
このセクションには3つの属性があります:
  • [カテゴリ]: データソース
  • [製品]: 情報を収集するプラットフォーム
  • [定義]: イベントタイプ
category
フィルターがクエリするデータの種類
サポートされる値:
  • CLOUD_ACTIVITY
  • CONTAINER_ACTIVITY
  • DETECTION
  • ENDPOINT_ACTIVITY
  • MESSAGE_ACTIVITY
  • MOBILE_ACTIVITY
  • NETWORK_ACTIVITY
  • IDENTITY_ACTIVITY
  • サードパーティログ
製品
データが発信されるプラットフォーム
サポートされる値:
  • ENDPOINT_ACTIVITY: windowslinuxmacunix
  • MOBILE_ACTIVITY: android, ios, chromeos
  • CLOUD_ACTIVITY: aws
  • CONTAINER_ACTIVITY: linux
  • THIRD_PARTY_LOG: 対応するサードパーティのログイベントを検出するために、サードパーティのログベンダーを指定します。
定義
フィルターがクエリするデータの特定のサブタイプ
警告
警告
AMAZON_SECURITY_LAKEイベントに一致させるには、定義をAMAZON_SECURITY_LAKEとして指定する必要があります。
detection
複数のsearch-identifier要素とcondition要素で構成されます
フィルタには最大19個まで指定できます。search-identifier要素。
search-identifier
イベントを検出するための特定のパターン
condition
Trend Vision Oneがsearch-identifier要素を処理する方法を定義する論理演算子と記号
サポートされている演算子:
  • 論理演算子 AND/OR
    keyword1 or keyword2
    keyword1 and keyword2
  • NOTによる否定
    keyword and not keyword 2
  • 1つを選択します (1 of them) またはすべて (all of them) を定義します。
  • 指定した要素の1つまたはすべてを選択します。
    all of selection*
    1 of selection* and keywords
    1 of selection* and not 1 of filter*
  • 括弧()
    selection1 and (keywords1 or keywords2)
level
このフィルターが検出するイベントに関連する重大度
サポートされる値:
  • info
  • low
  • medium
  • high
  • critical
taxonomy
Sigmaルールの分類
重要
重要
tm-v1タクソノミーでサポートされている値は のみです。