ビュー:

SigmaルールをTrendAI Vision One™のカスタムフィルターに変換する方法を学ぶ。

重要
重要
  • TrendAI Vision One™は、SigmaHQメインルールリポジトリからオープンソースのSigmaルールをインポートして、カスタム検出フィルターに変換することができます。SigmaHQコミュニティは、エンドポイント、ネットワーク、クラウド、サードパーティのログソースをカバーする、すぐに使用できる検出ルールの大規模なリポジトリを維持しています。他のソースからのルールは、サポートされていない構文やフィールド名を使用している可能性があり、変換に失敗することがあります。
  • 多くのSigmaルールは、自動変換できないログソースを対象としています。変換は、ルールのlogsource.categoryまたはlogsource.serviceがサポートされているリストにない場合に失敗します。一般的な例として、サポートされていないカテゴリ (例: category: firewallcategory: application) やアプリケーション固有のサービス (例: service: oktaservice: githubservice: zeek) が含まれます。ルールのログソースがサポートされていない場合、関連するログが利用可能であることを確認した上で、手動でカスタムフィルターを作成するか、TrendAI Vision One™からフィルターテンプレートを使用してフィルターを作成することができます。
  • サポートされていないSigmaルール構文の詳細については、サポートされていないSigmaルール構文を参照してください。

手順

  1. Agentic SIEM and XDRDetection Model Managementカスタムフィルタ の順に選択します。
  2. [フィルタを追加] をクリックし、ドロップダウンメニューから [コンピュータからインポート] を選択します。
  3. [Import custom filters]ウィンドウで、[ZIP]または[YAML]タブをクリックし、[ファイルを選択]をクリックします。
  4. Sigmaルールを含むZIPまたはYAMLファイルをローカルコンピュータから選択してください。
  5. [Unable to import]タブで、サポートされている形式でファイルを編集して検証してください。サポートされていない形式のファイルは削除してください。
  6. [Edit Sigma rules and convert to TrendAI Vision One™ format]ウィンドウでSigmaルールを編集し、[Convert]をクリックしてフォーマットを変換します。
    注意
    注意
    • メタデータフィールドは、authorreferencesfalsepositivesのように、変換されたYAMLファイル内で参照情報として保持されますが、検出ロジックには影響を与えません。
    • contains|allwindashのような複雑な修飾子チェーンは手動で調整が必要になる場合があります。
    • SOCPRIMEやElasticなどの他のリポジトリのルールは、標準のSigmaフォーマットとサポートされているlogsourceカテゴリが使用されている場合、フォーマットを正常に変換する可能性があります。
  7. [Save] をクリックします。
  8. ファイルの編集またはインポートできないすべてのファイルを削除した後、ファイルのインポートを開始するには[Import (number) files]をクリックしてください。
    TrendAI Vision One™はカスタムフィルターを保存して有効にします。この操作が有効になるまでに数分かかる場合があります。
関連情報