お客様の環境における検出要件に対応するために、カスタム相関ルールを追加してください。
手順
- [相関ルール] タブで、[追加] をクリックします。
- ルールの名前を指定し、必要に応じて[基本プロパティ]エリアに説明を入力してください。名前は、検出したい異常を明確に識別するのに役立ちます。
- ルールを構成する1つ以上のステートメントを定義してください。ステートメントは検出信号とAND演算子を組み合わせます。
- ドロップダウンリストから検出信号タイプを選択して利用可能な信号をフィルタリングし、次のドロップダウンリストから希望する信号を選択してください。
注意
このリリースでは、あらかじめ定義された検出シグナルのみが利用可能です。 - もう1つのシグナルが必要な場合は、[シグナルの追加]をクリックしてください。
- 前の手順を繰り返して、ステートメントにさらにシグナルを追加します。必要ない信号を削除するには、
アイコンをクリックしてください。 - ステートメントの定義が完了したら、[ルールにステートメントを追加]をクリックしてください。
- ドロップダウンリストから検出信号タイプを選択して利用可能な信号をフィルタリングし、次のドロップダウンリストから希望する信号を選択してください。
- 必要に応じてさらにステートメントを定義し、手順3を繰り返して[ルールの定義]エリアに追加します。
- ルール定義が要件を満たしていることを確認してください。ルールはステートメントとOR演算子を組み合わせて、環境内の必要な異常をタグ付けして検出します。ルールは、いずれかのステートメントが満たされたときに一致します。
- [保存]をクリックします。