檢視次數:
search-identifier 元素定義了 Trend Vision One 用於檢測事件的特定模式。篩選器最多可以包含 19 個 search-identifier 元素。

元件

{search-identifier key}:
    {List or object}
    {List or object}
    ....
    {List or object}
下表概述了搜尋識別元件的組成部分:
元件
說明
搜尋識別碼
搜尋識別碼的鍵。
清單
過濾器在檢測日誌中嘗試本地化的字串列表
列表中的所有元素都是使用 OR 運算符進行匹配的。使用 search 方法資料來源 中定義的欄位名稱來創建列表。
eventSub:
    eventSubId:
        - TELEMETRY_CONNECTION_CONNECT_OUTBOUND
        - TELEMETRY_CONNECTION_CONNECT_INBOUND
物件
物件由鍵值對組成。物件中的所有元素使用 AND 運算符進行匹配。
使用為每個資料來源定義的欄位名稱來創建物件。
detection:
    selection:
        dpt:
            - 5650
            - 5655
        processCmd: '*-run_agent*'
    condition: selection

指南

下表概述了創建搜索標識符元素的指南。
部分
說明
字串
  • 字串不區分大小寫。
  • 用撇號 (') 括住字串。
    範例:eventName: 'GetParameter'
  • 使用反斜杠 (\\) 來跳脫字串。
  • 僅需對以下字符進行字符串轉義:
    • 撇號 (')
      範例: 訊息: \'我不知道。\'
    • 當星號 (*) 作為常規字符使用時
      範例:字串:'5 \* 2 = 10'
    • 反斜杠 (\\) 當作普通字符使用時
      範例:path: 'C:\\Windows\\notepad.exe'
    • 問號 (?)
      範例:url: 'https://www.google.com/search\?q=weather'
萬用字元
  • 使用單個星號 (*) 作為字串中未知部分的萬用字元。不要使用多個星號(**)作為萬用字元。
  • 趨勢科技 Sigma 規範允許以下特殊修飾符來搜尋字串:
    • 檢查字串是否以指定的字元結尾:*string
    • 檢查字串是否以指定的字元開頭:string*
    • 檢查字串是否包含指定的字符:*string*
欄位標記為動態僅支援特殊修飾符*string*。動態欄位不支援精確匹配字串。
數值
數值不需要使用撇號。
數值修飾符
自訂過濾器中不允許使用值修飾符。

特殊欄位值

  • 避免使用以下特殊欄位值:
    • 空值(''null
    • 單字元萬用字元 (?)
  • 對於 eventIdeventSubId 欄位,請使用資料防護欄位映射值,而不是數值。
    eventSubId: TELEMETRY_PROCESS_OPEN # Instead of eventSubId: 1