サポートされていないSigmaルール構文

ビュー:

ログソースがサポートされていても、フォーマット変換が失敗する原因となるSigma検出構造について学びます。

次のフィールド修飾子 (フィールド名の後の | の部分) のみがサポートされています: contains、startswith、endswith、re、およびexists。

他の修飾子 (all、windash、base64offset、fieldref、re|iを含む) はエラーを引き起こします。インポートする前に影響を受けた条件を削除または編集する必要があります。

keywords構文は、特定のフィールドを対象とせずにすべてのログフィールドに対して全文検索を行いますが、カスタムフィルターではサポートされていません。

# Keyword detection is not supported
detection:
  keywords:
    - '/Basic/Command/Base64/'
    - '/Basic/ReverseShell/'
  condition: keywords

detectionブロック内の次のフィールド条件もフォーマット変換の失敗を引き起こします。

条件	エラー
`Hashes`または`Imphash`は`md5`、`sha1`、`sha256`なしで使用	`Hashes`フィールドと`Imphash`フィールドは、ロジックがこれらのハッシュ関連フィールドのみを含む場合はサポートされません。
`Image`なしで使用された`Description`または`Product`	`Image`がロジックに含まれていない場合、`Description`および`Product`フィールドはサポートされません。
フィールド: `Protocol`,`requestParameters`, `responseElements`, `resources`, `userIdentity`	`<field>`はXDR Data Explorerでクエリできません。
`SourceIp`または`SourcePort`が`network_internet`ルールで`DestinationHostname`と共に使用されます	`<field>`は、ルールに`DestinationHostname`が含まれている場合はサポートされません。
詳細: レジストリルール内の`バイナリデータ`	`バイナリデータ`はTELEMETRY_REGISTRYでサポートされていません。
イベントタイプ: レジストリルール内の`RenameKey`	レジストリの名前変更イベントはサポートされていません。