独自の環境に固有で重要なカスタム検出シグナルを追加します。
手順
- [検出シグナル] タブで [シグナルの追加] をクリックします。
- 信号の名前を指定し、オプションで[基本プロパティ]エリアに説明を入力してください。名前は、通常の動作から逸脱する信号を識別するのに役立ちます。
- [シグナルの定義] エリアで、信号を定義します。
- 条件フィールドをドロップダウンリストから選択します。
- ドロップダウンリストから目的のオペレーターを選択します。使用可能な演算子には、整数値の比較演算子と文字列値の一致演算子の両方が含まれます。例えば、[≤] は、条件フィールドに指定された整数値以下の整数が含まれていることを意味します。
- 必要に応じて、文字列または整数として希望の値を入力または選択してください。サポートされている条件については、次の表を参照してください条件フィールドOperator説明過去30日間の送信者ドメインのアクティビティ≤メールの[開始日]ヘッダーフィールドにある送信者のドメインは、過去30日間に指定された日数以下の活動を示しています。デフォルト値: 5。 範囲: 0 - 30。 単位: 日。例えば、値を0に設定すると、送信者ドメインが過去30日間に何の活動も示していないことを意味します。送信者アドレスの過去30日間のアクティビティ≤メールの[開始日]ヘッダーフィールドにある送信者のアドレスは、過去30日間に指定された日数以下の活動を示しています。デフォルト値: 5。 範囲: 0 - 30。 単位: 日。例えば、値を0に設定すると、送信者アドレスが過去30日間に何の活動も示していないことを意味します。送信者ドメイン登録年齢≤メールの[開始日]ヘッダーフィールド内の送信者のドメインが指定された日数以下で登録されました。デフォルト値: 7。 範囲: 1 - 366。 単位: 日。例えば、値を1に設定すると、送信者ドメインが過去24時間以内に登録されたばかりであることを意味します。メールトラフィックの方向
-
が次と一致する
-
が次と異なる
異常を検出するためのメールトラフィックは、受信メール、送信メール、または内部メールです。条件 [Email traffic direction Is Incoming] を設定すると、組織外部の外部送信者からのメールを意味します。条件 [Email traffic direction Is Sent] を設定すると、組織外の外部ユーザや組織内の内部ユーザに送信されるメールを意味します。条件 [Email traffic direction Is Not Sent] を設定すると、組織外部の外部送信者または組織内部の内部送信者からのメールを意味します。過去30日間の返信先ドメインのアクティビティ≤受信者のドメインが、過去30日間に指定された日数以下の期間、[Reply-To] ヘッダーフィールドのメールで活動していました。デフォルト値: 5。 範囲: 0 - 30。 単位: 日。たとえば、値を0に設定すると、Reply-Toドメインが過去30日間にアクティビティを示していないことを意味します。過去30日間の返信先アドレスのアクティビティ≤メールの[Reply-To]ヘッダーフィールドにある受信者のアドレスは、過去30日間に指定された日数以下の活動を示しています。デフォルト値: 5。 範囲: 0 - 30。 単位: 日。例えば、値を0に設定すると、返信先アドレスが過去30日間にアクティビティを示していないことを意味します。メール内のURLドメイン登録年齢≤メール内の任意のURLのドメインが指定された日数以下で登録されました。デフォルト値: 30。範囲: 1 - 366。単位: 日。例えば、値を1に設定すると、メール内の少なくとも1つのURLのドメインが過去24時間以内に登録されたばかりであることを意味します。送信者アドレス-
あり
-
なし
メールの送信者アドレスが指定されたメールアドレスリストに含まれているかどうか。最大50個のメールアドレスを指定できます。アスタリスク (*) ワイルドカードは、メールアドレスのローカル部分およびドメインでゼロまたは複数の文字を表すためにサポートされています。例えば、*@example.com、name@*.com、および*@*.example.com -
注意
現在、シグナル定義では1つの条件のみを設定できます。 - 信号定義が要件を満たしていることを確認してください。
- [保存] をクリックします。