さまざまなソースの信号を関連付けて、セキュリティリスクを検出し、異常を特定します。
強化された検出機能を提供するように設計された相関インテリジェンスは、さまざまなソースからの不審な信号を関連付けて、セキュリティリスクと異常を検出します。
注意現在、相関インテリジェンスは、高度スパム対策、不正プログラム検索、およびWebレピュテーションからの信号を収集します。
|
相関インテリジェンスの主な利点の1つは、複数のソースからの信号を確認および分析して、単一のセキュリティフィルタでは検出できない可能性のあるセキュリティリスクを特定できることです。このマルチソースアプローチでは、潜在的な脅威を検出するための保護レイヤが追加されます。
相関インテリジェンスのもう1つのハイライトは、異常を警告する機能です。この機能は、正常な動作とは異なる1つまたは複数の信号を示します。異常は、必ずしもセキュリティリスクを示すものではありませんが、注意が必要な程度の異常です。この機能を使用すると、セキュリティ環境をより包括的に把握できます。
相関インテリジェンスは、まずさまざまなセキュリティフィルタからシグナルを収集し、次にそのシグナルを事前定義されたルールやユーザ定義のルールと照合することで動作します。このプロセスの目的は、セキュリティリスクや異常を示す可能性のある一致を特定し、潜在的なセキュリティ脅威のより徹底的で微妙な分析を提供することです。
Cloud App Security には、事前定義された相関ルールと検出シグナル が含まれており、トレンドマイクロが指定したセキュリティリスクと異常 を検出します。また、環境に固有で重要なカスタム検出シグナルを定義し、それらをカスタム相関ルールに組み込むこともできます。これにより、実際のニーズに合った Correlated
Intelligence ポリシーを柔軟に構成することができます。
注意相関インテリジェンスは現在、Exchange Onlineで使用できます。
|
相関インテリジェンスの設定
さまざまなソース間で信号を相関させ、一致した信号に適用する処理を指定することで、セキュリティリスクと異常を検出できます。
手順
- [関連付けられたインテリジェンス]を選択します。デフォルトでは、このセキュリティフィルターは次の設定で有効になっています
-
セキュリティリスク検出のアクションは[隔離]に設定されています。
-
[すべての事前定義のルール] が異常検出のために選択されています。これにより、既存および将来のすべての事前定義された相関ルールが自動的に異常を検出するようになります。
デフォルト設定を使用するか、設定をカスタマイズして要件に合わせることができます。 -
- セキュリティリスクとして検出されたメールの [Action] 設定を行います。処理の詳細については、サービスごとに実行可能な処理を参照してください。
- Cloud App Security の通知をオンにして、セキュリティリスク検出時に通知メールを送信します。
- すべてまたは一部の事前定義された相関ルールを適用して異常を検出することを決定します。
- [All pre-defined rules]このオプションは、[関連付けられたインテリジェンス]トグルを有効にすると自動的に選択されます。トレンドマイクロは、異常検出のための事前定義された相関ルールを3つの攻撃的なレベルに分類しています:[中]、[積極的]、および[Extra aggressive]。これらのルールの詳細と各攻撃的レベルのルールが適しているシナリオについては、相関ルールと検出シグナルの表示を参照してください。
-
各アグレッシブレベルの横にある数字をクリックして、関連する事前定義ルールを表示します。
-
各攻撃レベルごとの各脅威タイプの異常検知のためのアクションを選択してください。特定の脅威タイプに対して特定の攻撃レベルのルールを適用したくない場合は、アクションとして[ログなしの放置]を選択してください。
-
異常検出中に特定の事前定義されたルールを除外したい場合は、[除外]エリアでルールを選択してください。
-
- [Specified pre-defined rules]1つまたは複数のルールを選択し、それぞれのルールに対してアクションを選択します。
処理の詳細については、サービスごとに実行可能な処理を参照してください。 - [All pre-defined rules]
- Cloud App Security の通知をオンにして、異常検出時に通知メールを送信します。
- 1つまたは複数のカスタム相関ルールを選択し、各ルールに対してアクションを選択します。トレンドマイクロによって事前定義された相関ルールに加えて、環境の検出要件に対応するためにカスタム相関ルールを追加できます。詳細については、カスタム相関ルールの追加を参照してください。
- Cloud App Security の通知をオンにして、異常検出時に通知メールを送信します。
- [通知] を設定します。管理者に通知する
-
受信者グループを選択するか受信者を個別に指定して、通知する管理者を指定します。[受信者グループを管理する] をクリックして、グループのメンバーを編集したり、グループをさらに追加したりできます。
-
セキュリティリスクが検出され、メールメッセージ、添付ファイル、またはファイルに対して処理が実行されたことを管理者に通知するメッセージの詳細を指定します。
-
通知のしきい値を設定し、送信する通知メッセージの数を制限します。しきい値の設定には次のものがあります。
-
一括通知を次の間隔で送信する: 特定期間のすべての通知をまとめたメールメッセージを送信します。ボックスに数字を入力して期間を指定し、時間または日を選択します。
-
一括通知を次の件数ごとに送信する: 設定したフィルタ処理数の通知をまとめたメールメッセージを送信します。ボックスに数字を入力して、ウイルス/不正プログラムの出現頻度を指定します。
-
個別通知を送信する: フィルタ処理を実行するたびにメールメッセージ通知を送信します。
-
ユーザに通知するセキュリティリスクが検出され、メールメッセージまたは添付ファイルに対して処理が実行されたことを受信者に通知するメッセージの詳細を指定します。 -
- [保存] をクリックします。