ビュー:

環境内のイベントを検出するためのフィルタを作成、インポート、および管理します。

カスタムフィルターは、特定の脅威や疑わしい行動の検出を環境の独自のニーズに合わせて調整できるユーザ定義のフィルターです。Trend Vision Oneはカスタムフィルターを使用してObserved Attack Techniquesに表示されるセキュリティイベントを検出します。その後、これらのフィルターをカスタム検出モデルに組み込んでWorkbenchでアラートやインサイトを生成し、イベント検出を完全な脅威監視ワークフローに変換できます。
[カスタムフィルタ]画面 (XDR Threat InvestigationDetection Model Management[カスタムフィルタ]) では、カスタムフィルターの作成と管理ができます。カスタムフィルターには以下が含まれます:
  • 基本情報
  • イベントの種類
  • イベントIDまたはベンダー
  • 環境内のイベントを検出するためのクエリ
イベントタイプとイベントID/ベンダーは、フィルターによってクエリされるデータのタイプを定義します。例えば、ENDPOINT_ACTIVITYはEndpoint Sensorのようなエンドポイントベースのデータソースからエンドポイントデータをクエリします。TELEMETRY_FILEを選択すると、エンドポイントアクティビティデータ内のファイルイベントのみにクエリが絞り込まれます。イベントタイプとデータソースの詳細については、検索方法のデータソースを参照してください。
重要
重要
カスタムフィルターは最大50個まで追加できます。さらにフィルターを追加する必要がある場合は、サポートプロバイダに連絡してください。
次の表は[カスタムフィルタ]で利用可能なアクションを示しています:
処理
説明
カスタムフィルターを追加
カスタムフィルタのエクスポート
  • すべてのカスタムフィルターをエクスポートするには、export_button=GUID-C683DEEE-C19C-484D-A5B1-4CA9D1794756=1=ja-jp=Low.jpgをクリックしてください。
  • カスタムフィルターをエクスポートするには、1つ以上のフィルターを選択して、[選択済みフィルタをエクスポート] をクリックします。
Trend Vision Oneは、すべてのカスタムフィルターを含むパスワード保護されたZIPファイルを生成します (フィルターごとに1つのYAMLファイル)。エクスポートが完了したら、ZIPファイルのパスワードをコピーするには[カスタムフィルタをエクスポート]の下のdddna_summary_detection_copy=GUID-4DE35BE5-57A5-4919-BF9C-5EC95F9CA8FD=1=ja-jp=Low.pngをクリックしてください。
カスタムフィルターをインポート
[フィルタを追加]をクリックし、ドロップダウンメニューから[コンピュータからインポート]を選択して、1つのZIPファイルまたは複数のYAMLファイルをインポートします。
リストを検索およびフィルター
次のオプションを使用して特定のフィルターを見つけます。
  • [重大度]: 低、高、または重大な深刻度でフィルタ
  • イベントの種類: データソースタイプでフィルター
  • [最終更新]: フィルターが最後に変更された日時でフィルター
  • 検索バー: フィルターID、名前、またはクエリ内容で検索
フィルターの詳細を表示
フィルター名をクリックして、カスタムフィルターの詳細情報を表示します。
カスタムフィルターを編集
edit_icon=GUID-1F1D1164-5310-4D6D-ACD0-6049C86960AF.pngをクリックしてカスタムフィルターを編集します。
警告
警告
カスタムフィルターを変更すると、そのフィルターを使用するモデルがWorkbenchアラートをトリガーする方法に影響します。
カスタムフィルターを削除
カスタムフィルターを削除するにはtrash_icon=GUID-47cf6867-6315-438e-8670-86ff36f22a28.pngをクリックしてください。
どのモデルにも含まれていないカスタムフィルタのみ削除できます。
関連情報