ビュー:

特定のイベントがWorkbenchアラートをトリガーするようにカスタムモデルを作成します。

重要
重要
最大50個のカスタムモデルを作成できます。

手順

  1. XDR Threat InvestigationDetection Model Management[カスタムモデル][追加]
  2. モデルの一般設定を指定します。
    • [モデル名]
    • 説明
    • [重大度]
      重要
      重要
      [中]以上の重大度を選択すると、Cyber Risk OverviewおよびThreat and Exposure Managementのリスク指標に影響します。
      モデルのテストおよびチューニング時には、インデックスに誤って影響を与えないように、 [低] の重大度を選択します。
  3. モデルのフィルタリングモードを選択してください。
    3つのフィルタリングモードがあります:
    • [単一フィルタ]: カスタムモデルは1つのフィルタのみを適用します。
    • [複数のフィルタ]: カスタムモデルはANDまたはOR論理演算子を使用して複数のフィルターを適用します。
    • [複数のフィルタ (順序通り)]: カスタムモデルは、指定された順序で複数のフィルタを適用します。
  4. フィルター設定の指定:
    • [フィルタ名]: カスタムモデルが使用するフィルター
      注意
      注意
      [カスタムフィルタを作成]は新しいブラウザタブで[カスタムフィルタ設定]を開きます。新しいカスタムフィルターを作成した後、[カスタムモデル][フィルタ名]からフィルターを選択できます。
    • [Threshold]: アラートをトリガーするために発生しなければならないイベントの数。閾値は0より大きくなければなりません。
  5. [複数のフィルタ]または[複数のフィルタ (順序通り)]を選択した場合、[Add filter]をクリックして別のフィルターを追加できます。
    フィルターは最大5つまで使用できます。各フィルターには独立したしきい値設定があります。
  6. [複数のフィルタ]を選択した場合、論理演算子を選択してください:
    • [および]: モデルはすべてのフィルターが指定されたしきい値を満たした場合にのみアラートをトリガーします
    • [OR]: モデルは、任意のフィルターが指定されたしきい値に達したときにアラートをトリガーします
    重要
    重要
    すべてのフィルターに対して1つのオペレーターしか使用できません。フィルター間でオペレーターを混在させることはできません。
  7. イベントのグループ化を指定します。
    • [会社]: 組織内のいずれかの場所でしきい値に達したときにイベントをトリガーします。
    • [エンドポイント]: 閾値に達したときにイベントをトリガーし、単一のエンドポイントに関連付けます。イベントには、最も一致したイベントが多い10のエンドポイントのみが含まれます。
    • [ユーザアカウント]: しきい値に達したときにイベントをトリガーし、単一のユーザアカウントに関連付けます。
    アラート疲れを軽減するために、Workbenchアラートには一致したイベントのある上位のターゲットのみが含まれます。例えば、エンドポイントでグループ化すると、一致したイベント数が最も多い上位10件のエンドポイントのみがアラートに含まれます。
  8. モデルのスケジュールを指定します。
    • [頻度]: モデルがアクティビティデータを照会する頻度
    • [期間]: モデルが使用されるたびにクエリされる時間の範囲
      期間が頻度より長い場合、フィルターは以前にクエリされたデータに適用されます。これにより、同じイベントが複数のアラートに表示される可能性があります。
    • [ステータス]: 設定を保存した後にカスタム検出モデルを有効にするかどうか。
  9. [保存] をクリックします。
有効にすると、カスタムモデルは一致するイベントを継続的に検索します。