2025年4月25日 - 自訂偵測篩選器支援 Microsoft Defender 日誌

Trend Vision One 現在支援 Microsoft Defender 日誌於自訂偵測模型中。為了幫助您測試新功能,我們在 tm-v1-detection-models GitHub 儲存庫 中新增了以下自訂偵測過濾器:
  • Active Directory (AD) 偵察活動
  • Bloodhound 後漏洞利用工具
  • 用於可能的 Overpass-The-Hash 的命令行
  • DLL 搜尋順序綁架軟體
  • 事件日誌已清除
  • 可執行檔載入了意外的 DLL
  • 檔案備份已刪除
  • 檔案從遠端位置丟棄並啟動
  • 透過 AMSI 阻止了 PowerShell 腳本中的駭客工具執行
  • 惡意檔案已上傳至儲存帳戶
  • 已阻止惡意程式
  • 命令列中的惡意程式已被阻止執行
  • Microsoft Defender 防病毒篡改
  • Microsoft Defender 已偵測到惡意程式
  • 可能的側載竊取活動
  • 進程記憶體轉儲
  • 與可能的 AD 偵察相關的進程
  • 安全軟體已停用
  • 偵測到黏滯鍵二進位綁架軟體
  • 使用可能被盜用的憑證成功登錄並使用Overpass-the-Hash
  • 疑似傳送 Gootkit 惡意程式
  • 疑似 Overpass-the-Hash 攻擊
  • 偵測到可疑的 Azure 角色指派
  • 偵測到可疑的密碼保險箱恢復
  • 可疑的 Lsass 程序訪問
  • 可疑的 PowerShell 命令行
  • 可疑腳本已啟動
  • 可疑的探索活動序列
  • Windows Defender AV 偵測到
您可以將這些偵測模型匯入到您的 Trend Vision One 環境中,以測試新的整合。
如需有關自訂偵測過濾器的詳細資訊,請參閱 自訂過濾器

2025年4月25日 - 自訂偵測過濾器中支援Fortinet日誌

Trend Vision One 現在支援在自訂偵測模型中使用 Fortinet 日誌。為了幫助您測試這項新功能,我們在 tm-v1-detection-models GitHub 儲存庫 中新增了以下自訂偵測篩選器:
  • DHCP 用戶端已封鎖日誌
  • 檔案被內嵌封鎖報告為中毒(警告)
  • IP 池 PBA 封鎖已用盡
  • 內嵌封鎖(警告)報告的 MIME 資料中毒
  • 掃瞄錯誤 - 流量已封鎖
  • SSH 通道已封鎖
  • 由於主機密鑰不受信任,SSH 連接已封鎖
  • 檢測到 SSH Shell 命令
  • 由於其 SSL 協商,SSL 連接已封鎖
  • 由於伺服器憑證和SNI不匹配,SSL連接已封鎖
  • 由於無法檢索伺服器的憑證,SSL 連接已封鎖
  • 由於ICAP伺服器發現感染,流量已封鎖
  • VoIP SCCP 通話已封鎖
  • VoIP SIP 已封鎖
  • 發現 Web 內容被禁止的活動
您可以將這些偵測模型匯入到您的 Trend Vision One 環境中,以測試新的整合。
如需有關自訂偵測過濾器的詳細資訊,請參閱 自訂過濾器