事前構築されたフィルターテンプレートの1つを使用して、環境内のイベントを検出するカスタムフィルターを作成します。

手順

  1. XDR Threat InvestigationDetection Model Management[カスタムフィルタ][Use a template]
  2. フィルターテンプレートカタログを参照し、テンプレートを選択してください。
    Detection Model ManagementはYAML形式でカスタムフィルターを表示します。
  3. [次へ] をクリックします。
  4. フィルターの一般設定をニーズに合わせて調整してください:
    • [フィルタ名]
    • [説明]
    • [重大度]
      中、高、または重大な深刻度は、Executive DashboardおよびOperations Dashboardのサイバーリスク指標に影響を与えます。モデルをテストまたは調整する際には、指標に影響を与えないようにを選択してください。
  5. フィルターのイベント設定をニーズに合わせて調整してください:
    1. [クエリを検証]をクリックしてクエリを検証します。
      クエリが有効な場合は、[検索結果をプレビュー]をクリックして、クエリの検索結果を表示できます。
    2. 最大10個のカスタムタグを指定してください。
      カスタムタグは、WorkbenchObserved Attack Techniques、およびSearchでカスタムフィルターによって検出されたイベントを識別するのに役立ちます。
      タグは64文字まで使用できます。
  6. [保存] をクリックします。
Trend Vision Oneはカスタムフィルターを保存して有効にします。この操作が有効になるまでに数分かかる場合があります。
ヒント
ヒント
カスタムフィルターを使用して、検出に基づいてWorkbenchアラートを生成する検出モデルを作成できます。