SharePointおよびOneDriveでの異常なダウンロード動作のフィルターとモデルの作成

手順

1. Trend Vision Oneコンソールで、[XDR Threat Investigation] → [Detection Model Management] → [カスタムフィルタ]に移動します。
2. [追加] をクリックします。
3. 説明的なフィルター名を指定してください。
4. フィルターの説明を提供してください。
5. イベントに関連付けられた重大度を指定してください。
6. イベントタイプに[MESSAGE_ACTIVITY]を選択します。
7. イベントIDには[COLLABORATION ACTIVITY]を選択してください。
8. クエリに対して actionName: FileDownloaded を入力してください。
9. [保存] をクリックします。
   フィルターは[カスタムフィルタ]タブに表示されます。
10. [XDR Threat Investigation] → [Detection Model Management] → [カスタムモデル]に移動します。
11. [追加] をクリックします。
12. モデル名と説明を指定してください。
13. 重大度を選択するには[高]を選択してください。
14. フィルターオプションには[シングルフィルタ]を選択してください。

    注意 [複数のフィルタ]または[複数のフィルタ (順序通り)]を選択して、最大5つのカスタムフィルターを追加できます。

15. フィルター名のドロップダウンメニューから作成したフィルターを選択してください。
16. しきい値として5を入力すると、5つのファイルダウンロードイベントがアラートをトリガーします。
17. イベントのグループ化には[ユーザアカウント]を選択してください。
18. 頻度に[15 minutes ]を選択します。
19. 期間の[過去15分間]を選択してください。
20. ステータスのために[保存後に有効にする]を選択してください。
21. [保存] をクリックします。
    お使いのモデルは[カスタムモデル]タブに表示されます。

    モデルとフィルターの条件がメールおよびコラボレーションアプリの検出で一致すると、関連するアラートをWorkbenchアプリで表示できます。