檢視次數:

了解如何匯入 Sigma 規則以轉換為 TrendAI Vision One™ 自訂篩選器。

重要
重要
  • TrendAI Vision One™ 允許您從 SigmaHQ 主規則庫 匯入開源 Sigma 規則,以轉換為自訂偵測過濾器。SigmaHQ 社群維護了一個大型的現成偵測規則庫,涵蓋端點、網路、雲端和第三方日誌來源。來自其他來源的規則可能使用不受支持的語法或欄位名稱,可能會轉換失敗。
  • 許多 Sigma 規則針對無法自動轉換的日誌來源。當規則中的logsource.categorylogsource.service不在支援清單中時,轉換會失敗。常見的例子包括不支援的類別(例如category: firewallcategory: application)和特定應用程式的服務(例如service: oktaservice: githubservice: zeek)。如果您的規則日誌來源不受支援,您可以在手動建立自訂篩選器或從TrendAI Vision One™使用篩選器範本來建立篩選器之前,確認相關日誌是否可用。
  • 如需有關不支援的 Sigma 規則語法的詳細資訊,請參閱 不支援的 Sigma 規則語法

步驟

  1. 移至「Agentic SIEM and XDRDetection Model ManagementCustom filters」。
  2. 點擊「Add filters」,然後從下拉式功能表中選取「Import from computer」
  3. 「Import custom filters」視窗中,點擊「ZIP」「YAML」標籤,然後點擊「Select file」
  4. 從您的本地電腦中選擇包含 Sigma 規則的 ZIP 或 YAML 檔案。
  5. 「Unable to import」標籤上,編輯並驗證支援格式的檔案。移除不支援格式的檔案。
  6. 「Edit Sigma rules and convert to TrendAI Vision One™ format」視窗中,編輯 Sigma 規則並點擊「Convert」以轉換格式。
    注意
    注意
    • 像是authorreferencesfalsepositives等元數據欄位會在轉換後的 YAML 檔案中保留以供參考,但不會影響檢測邏輯。
    • 像是 contains|allwindash 這類複雜的修飾符鏈可能需要手動調整。
    • 如果使用標準 Sigma 格式和支援的logsource類別,來自其他存儲庫如 SOCPRIME 和 Elastic 的規則可能會成功轉換格式。
  7. 按一下「儲存」。
  8. 在編輯或移除所有無法匯入的檔案後,點擊「Import (number) files」以開始檔案匯入。
    TrendAI Vision One™ 儲存並啟用自訂篩選器。此操作可能需要幾分鐘才能生效。
相關資訊