2025年4月25日 - カスタム検出フィルターでMicrosoft Defenderログのサポート
Trend Vision Oneは、カスタム検出モデルでMicrosoft Defenderログをサポートするようになりました。新機能をテストするために、次のカスタム検出フィルターをtm-v1-detection-models GitHubリポジトリに追加しました。
- Active Directory (AD) 偵察活動
- Bloodhound攻撃後ツール
- 可能なOverpass-The-Hashに使用されたコマンドライン
- DLL検索順序ハイジャック
- イベントログがクリアされました
- 実行可能ファイルが予期しないDLLを読み込みました
- ファイルバックアップが削除されました
- リモート場所からドロップされて起動されたファイル
- AMSI経由でPowerShellスクリプト内のハックツールの実行が防止されました
- ストレージアカウントに悪意のあるファイルがアップロードされました
- 不正プログラムが防止されました
- コマンドラインでの不正プログラムの実行が防止されました
- Microsoft Defender Antivirusの改ざん
- Microsoft Defenderが不正プログラムを検出しました
- サイドロードスティーラーの活動の可能性
- プロセスメモリダンプ
- 可能なAD偵察に関連するプロセス
- セキュリティソフトウェアが無効化されました
- Sticky Keysバイナリハイジャックが検出されました
- 潜在的に盗まれた認証情報を使用したOverpass-the-Hashによるログオン成功
- Gootkit不正プログラムの配信が疑われます
- 疑わしいOverpass-the-Hash攻撃
- 不審なAzureロール割り当てが検出されました
- 不審なキー保管庫の復旧が検出されました
- 不審なLsassプロセスアクセス
- 疑わしいPowerShellコマンドライン
- 不審なスクリプトが起動されました
- 不審な探索活動の連続
- Windows Defender AVが検出しました
これらの検出モデルをTrend Vision One環境にインポートして、新しい統合をテストできます。
カスタム検出フィルターの詳細については、カスタムフィルタを参照してください
2025年4月25日 - カスタム検出フィルターでのFortinetログのサポート
Trend Vision Oneは、カスタム検出モデルでFortinetログをサポートするようになりました。この新機能をテストするために、次のカスタム検出フィルターをtm-v1-detection-models GitHubリポジトリに追加しました。
-
DHCPクライアントブロックログ
-
インラインブロックによって感染が報告されたファイル (警告)
-
IPプールPBAブロックが枯渇しました
-
インラインブロックによって感染が報告されたMIMEデータ (警告)
-
スキャンエラー - トラフィックがブロックされました
-
SSHチャネルがブロックされています
-
ホストキーが信頼されていないため、SSH接続がブロックされました
-
SSHシェルコマンドが検出されました
-
SSL接続はSSLネゴシエーションのためにブロックされています
-
サーバ証明書とSNIの不一致によりSSL接続がブロックされています
-
SSL接続はサーバの証明書を取得できないためブロックされています
-
ICAPサーバが感染を検出したためトラフィックがブロックされました
-
VoIP SCCP 通話がブロックされました
-
VoIP SIP ブロックされました
-
ウェブコンテンツ禁止活動が見つかりました
これらの検出モデルをTrend Vision One環境にインポートして、新しい統合をテストできます。
カスタム検出フィルターの詳細については、カスタムフィルタ を参照してください