ビュー:

クエリ文字列を使用して、環境内のイベントを検出するカスタムフィルターを作成し、カスタムモデルがWorkbenchアラートをトリガーできるようにします。

カスタムフィルターは、基本情報、イベントタイプ、イベントIDまたはベンダー、および環境内のイベントを検出するためのクエリ文字列で構成されます。最大50個のカスタムフィルターを作成できます。イベントタイプとイベントIDまたはベンダーは、フィルターによってクエリされるデータの種類を定義します。たとえば、ENDPOINT_ACTIVITYはEndpoint Sensorなどのエンドポイントベースのデータソースからエンドポイントデータをクエリします。TELEMETRY_FILEを選択すると、クエリがエンドポイントアクティビティデータ内のファイルイベントのみに絞り込まれます。イベントタイプとデータソースの詳細については、検索方法のデータソースを参照してください。

手順

  1. [XDR Threat Investigation][Detection Model Management][カスタムフィルタ] に移動します。
  2. [追加] をクリックします。
  3. [フィルタ名]を指定します。
  4. フィルターの[Description ]を入力してください。
  5. このフィルターが検出するイベントに関連付けられた[重大度]を指定してください。
    中、高、または重大の重大度は、Executive DashboardおよびOperations Dashboardのリスク指標に影響を与えます。モデルをテストまたは調整する際には、指標に影響を与えないように低を選択してください。
  6. [イベントの種類]を選択してください。
    • THIRD_PARTY_LOGに対して、一致させたいイベントに関連する[ベンダー]を提供してください。
    • 他のすべてのイベントタイプについては、[イベントID]を選択してください。
  7. アクティビティデータ内の対象イベントを検索するには、 [クエリ] を指定します。
    フィルタークエリの書式設定に関する詳細は、フィルタークエリ形式 および カスタムフィルタでの正規表現の使用 を参照してください。
  8. [クエリを検証] をクリックして、クエリ文字列を検証します。クエリ文字列が有効な場合は、 [検索結果をプレビュー] をクリックすると、そのクエリを使用して検索した結果のプレビューが表示されます。
  9. WorkbenchObserved Attack Techniques、およびSearchでカスタムフィルターによって検出されたイベントを識別するために、最大10個の[Custom tags]を指定してください。
    タグの長さは64文字を超えることはできません。
  10. [保存] をクリックします。