檢視次數:
過濾器的結構如下:
title
description [optional]
tags [optional]
logsource
   category
   product [optional]
   definition [optional]
detection
   {search-identifier}
      {List or object}
   ...
   condition
level
taxonomy
下表概述了趨勢科技 Sigma 規範中支援的組件。
元件
說明
標題
過濾器的簡要描述(最多 256 個字符)
描述
過濾器的詳細描述(最多 1024 個字符)
標籤
用於分類過濾器的標籤
  • 一個篩選器最多可以有 10 個標籤。
  • 標籤最多可以包含 64 個字元。
  • 標籤不能有空格。
  • 標籤可以有命名空間。使用點 (.) 來分隔命名空間。
    範例:
    network.attack.123.
logsource
過濾器適用的資料來源或類型
此部分包含三個屬性:
  • Category: 資料來源
  • Product: 收集資訊的平台
  • Definition: 事件類型
類別
過濾器查詢的資料類型
支援的值:
  • 雲端活動
  • 容器活動
  • 偵測
  • 端點活動
  • 訊息活動
  • MOBILE_ACTIVITY
  • 網路活動
  • 身份活動
  • 第三方日誌
產品
資料來源的平台
支援的值:
  • 端點活動: windows, linux, mac, unix
  • 行動活動: 安卓, iOS, Chrome OS
  • 雲端活動: aws
  • 容器活動: linux
  • THIRD_PARTY_LOG:指定第三方日誌供應商以檢測相應的第三方日誌事件。
定義
過濾器查詢的資料特定子類型
警告
警告
要匹配 AMAZON_SECURITY_LAKE 事件,您必須將定義指定為 AMAZON_SECURITY_LAKE
偵測
由多個 search-identifier 元素和一個 condition 元素組成
篩選器最多可以有 19 個 search-identifier 元素。
search-identifier
檢測事件的特定模式
條件
邏輯運算符和符號定義了 Trend Vision One 如何處理 search-identifier 元素
支援的運算子:
  • 邏輯運算子 AND/OR
    keyword1 或 keyword2
    keyword1 和 keyword2
  • 使用 NOT 進行否定
    關鍵字且非關鍵字2
  • 選擇單個(其中 1 個)或所有(全部)定義的搜尋識別元素。
  • 選擇 1 個或所有指定的元素。
    所有選擇*
    選擇* 和關鍵字的 1
    1 個選擇* 並且不是 1 個篩選*
  • 括號 ()
    selection1 和 (keywords1 或 keywords2)
層級
此過濾器檢測到的事件所關聯的嚴重性
支援的值:
  • 資訊
  • 嚴重
分類法
Sigma 規則的分類法
重要
重要
tm-v1 是分類法唯一支援的值。