了解導致格式轉換失敗的 Sigma 偵測結構,即使支援日誌來源也是如此。
支援的欄位修飾符
僅支援以下欄位修飾符(欄位名稱中 | 之後的部分):
contains、startswith、endswith、re 和 exists。任何其他修飾符(包括
all、windash、base64offset、fieldref和re|i)都會導致錯誤。您必須在匯入之前移除或編輯受影響的條件。keywords 偵測不支援
keywords 結構執行全文搜尋,涵蓋所有日誌欄位而不針對特定欄位,且不支援自訂篩選器。# Keyword detection is not supported
detection:
keywords:
- '/Basic/Command/Base64/'
- '/Basic/ReverseShell/'
condition: keywords
其他語法錯誤
以下在
偵測封鎖中的欄位條件也會導致格式轉換失敗:|
狀況
|
錯誤
|
Hashes 或 Imphash 未使用 md5、sha1 或 sha256 |
如果邏輯僅包含這些與雜湊相關的欄位,則不支援
Hashes和Imphash欄位。 |
Description 或 Product 未使用 Image |
如果邏輯中未包含
Image,則不支援Description和Product欄位。 |
|
欄位:
通訊協定, requestParameters*, responseElements*, resources*, userIdentity* |
<field> 無法在 XDR 資料防護探索器中查詢。 |
SourceIp 或 SourcePort 與 DestinationHostname 一同使用於 network_internet 規則中 |
<field> 不支援在規則中同時存在 DestinationHostname。 |
|
詳細資訊:登錄規則中的
二進位資料 |
二進位資料在 TELEMETRY_REGISTRY 中不受支援。 |
|
事件類型:
RenameKey 在註冊表規則中 |
不支援登錄檔重新命名事件。
|