檢視次數:
過濾器的結構如下:
title
description [optional]
tags [optional]
logsource
   category
   product [optional]
   definition [optional]
detection
   {search-identifier}
      {List or object}
   ...
   condition
level
taxonomy
下表概述了趨勢科技 Sigma 規範中支援的組件。
元件
說明
標題
篩選器的簡要描述(最多 256 個字元)。
描述(可選)
過濾器的詳細描述(最多 1024 個字元)。
標籤(可選)
用於分類篩選器的標籤。
注意
注意
  • 一個篩選器最多可以有 10 個標籤。
  • 標籤最多可以包含 64 個字元。
  • 標籤不能有空格。
  • 標籤可以有命名空間。使用點 (.) 來分隔命名空間。
    範例:
    network.attack.123.
logsource
應用過濾器的資料來源或類型。
此部分包含三個屬性:資料來源(類別)、收集資訊的平台(產品)和事件類型(定義)。
類別
篩選器查詢的資料類型。
支援的值:
  • 雲端活動
  • 容器活動
  • 偵測
  • 端點活動
  • 訊息活動
  • MOBILE_ACTIVITY
  • 網路活動
產品(可選)
資料來源的平台。
支援的值:
  • 對於 ENDPOINT_ACTIVITYwindowslinuxmacunix
  • 對於 MOBILE_ACTIVITYandroidioschromeos
  • 對於 CLOUD_ACTIVITYaws
  • 對於 CONTAINER_ACTIVITYlinux
定義(可選)
篩選器查詢的特定資料防護子類型
偵測
包含多個 search-identifier 元素和一個 condition 元素。
篩選器最多可以有 19 個 search-identifier 元素。
search-identifier
檢測事件的特定模式。
條件
邏輯運算符和符號定義了 Trend Vision One 如何處理 search-identifier 元素。
支援的運算子:
  • 邏輯運算子 AND/OR
    keyword1 或 keyword2
    keyword1 和 keyword2
  • 使用 NOT 進行否定
    關鍵字且非關鍵字2
  • 選擇單個(其中 1 個)或所有(全部)定義的搜尋識別元素。
  • 選擇 1 個或所有指定的元素。
    所有選擇*
    選擇* 和關鍵字的 1
    1 個選擇* 並且不是 1 個篩選*
  • 括號 ()
    selection1 和 (keywords1 或 keywords2)
層級
此篩選器檢測到的事件嚴重性。
支援的值:
  • 資訊
  • 嚴重
分類法
Sigma 規則的分類法。
重要
重要
tm-v1 是分類法唯一支援的值。