ビュー:

ユーザ定義のイベントフィルタに基づいてWorkbenchアラートをトリガーします。

[カスタムモデル] (XDR Threat InvestigationDetection Model Management[カスタムモデル]) には、組織のカスタム検出モデルが一覧表示されます。
カスタムモデルは以下で構成されています:
  • 基本情報
  • ユーザ定義のカスタムフィルタ
  • アラートをトリガーするために必要なイベントの数
  • アクティビティデータにフィルタークエリを適用する頻度
  • その他のパラメーター
次の表は、[カスタムモデル] で実行可能な操作を示しています。
処理
説明
カスタムモデルを追加
[追加] をクリックして、カスタムモデルを作成する
重要
重要
最大50個のカスタムモデルを作成できます。
カスタムモデルをエクスポート
  • すべてのカスタムモデルをエクスポートするには、export_button=GUID-C683DEEE-C19C-484D-A5B1-4CA9D1794756=1=ja-jp=Low.jpgをクリックしてください。
  • カスタムモデルをエクスポートするには、1つ以上のモデルを選択して [選択済みモデルをエクスポート] をクリックします。
カスタムモデルをインポート
[モデルを追加]をクリックし、ドロップダウンメニューから[コンピュータからインポート]を選択してZIPファイルをインポートします。
カスタムモデルをフィルタリング
次のオプションを使用して特定のモデルを検索します。
  • [重大度]: 検出モデルの重大度レベル
  • [ステータス]: 検出モデルのステータス
  • [最終更新]: 検出モデルが最後に更新された期間
  • [検索]: モデルID、名前、またはフィルタの部分一致を提供します。
モデルの有効化または無効化
検出モデルの有効/無効を切り替えます。
カスタムモデルを編集
edit_icon=GUID-1F1D1164-5310-4D6D-ACD0-6049C86960AF.pngをクリックしてモデルを編集します。
重要
重要
カスタムモデルによって以前にトリガーされたWorkbenchアラートは、モデルの名前や説明の変更を反映しません。
カスタムモデルの削除
モデルを選択して[削除]をクリックしてください。
カスタムモデルを削除しても、そのモデルで使用されているカスタムフィルタは削除されません。