特定のイベントがWorkbenchアラートをトリガーするようにカスタムモデルを作成します。
 |
重要最大50個のカスタムモデルを作成できます。
|
カスタムモデルは、基本情報、ユーザ定義のカスタムフィルタ、アラートをトリガーするために必要なイベントの数、アクティビティデータにフィルタクエリを適用する頻度、その他のパラメータで構成されます。
手順
- Detection Model Managementで、[カスタムモデル]に移動します。
- [Add] をクリックします。
- モデルの一般設定を指定します。
-
[モデル名]
-
説明
-
[重大度]
重要
[中] 以上の重大度を選択すると、 Executive DashboardおよびOperations Dashboardのリスク指標に影響します。モデルのテストおよびチューニング時には、インデックスに誤って影響を与えないように、 [低] の重大度を選択します。
-
- イベントフィルタを設定します。
- フィルタモードを選択します。
-
[単一フィルタ]: カスタムモデルは1つのフィルタのみを適用します。
-
[複数のフィルタ]: カスタムモデルは複数のフィルタを適用します。
-
[複数のフィルタ (順序通り)]: カスタムモデルは、指定された順序で複数のフィルタを適用します。
-
- [フィルタ名]からカスタムフィルターを選択してください。[カスタムフィルタを作成]は新しいタブで[カスタムフィルタ設定]を開きます。新しいカスタムフィルターを作成した後、[カスタムモデル]の[フィルタ名]からフィルターを選択できます。
- [複数のフィルタ]または[複数のフィルタ (順序通り)]を選択した場合、前の手順を繰り返してフィルターを追加してください。フィルターは最大で5つまで追加できます。
- [Single Filter]を選択した場合、アラートをトリガーするために発生する必要があるイベントの数を決定するために[Threshold]を指定してください。しきい値は0より大きい必要があります。
- フィルタモードを選択します。
- イベントのグループ化を指定します。
-
[会社]: 組織内のいずれかの場所でしきい値に達したときにイベントをトリガーします。
-
[エンドポイント]: 閾値に達したときにイベントをトリガーし、単一のエンドポイントに関連付けます。イベントには、最も一致したイベントが多い10のエンドポイントのみが含まれます。
-
[ユーザアカウント]: しきい値に達したときにイベントをトリガーし、単一のユーザアカウントに関連付けます。
注意
アラート疲れを軽減するために、Workbenchアラートには一致したイベントの上位ターゲットのみが含まれます。例えば、エンドポイントでグループ化すると、アラートには一致したイベント数が最も多い上位10のエンドポイントのみが含まれます。 -
- モデルのスケジュールを指定します。
- [頻度]: モデルがアクティビティデータを照会する頻度を決定します。
- [期間]: モデルが使用されるたびにクエリされる時間の範囲を決定します。頻度よりも長い期間を指定すると、フィルターが以前にクエリされたデータに適用されます。これにより、同じイベントが複数のアラートに表示される可能性があります。
- [ステータス]: 設定を保存した後にカスタム検出モデルを有効にするかどうか。
- [保存] をクリックします。
有効にすると、カスタムモデルは一致するイベントを継続的に検索します。