事前定義されたカスタム相関ルールを使用して、セキュリティリスクと異常を検出するための相関インテリジェンススキャン基準を設定します。
相関インテリジェンスは、ウイルス検索とスパムフィルタリングからの疑わしい信号を相関させ、単一のセキュリティフィルターでは見逃される可能性のあるセキュリティリスクや異常を検出します。
 |
注意
|
定義済みおよびカスタムの相関ルールと検出シグナルを表示および管理するには、に移動します。詳細については、相関ルールおよび検出シグナルを管理するを参照してください。
手順
- [検索条件] をクリックします。
- セキュリティリスク検出設定を指定します。セキュリティリスクは、相関インテリジェンスによる高信頼の検出です。セキュリティリスクは通常、単一の保護層では検出が困難な高度な攻撃です。
- [フィッシング]および/または[スパム]チェックボックスを選択して、相関インテリジェンスによるフィッシングまたはスパム検出を有効にします。
- 必要に応じてチェックボックスを選択し、疑わしいファイルを仮想アナライザに送信してさらに観察と分析を行います。仮想アナライザは、サンドボックス環境でサンプルに対して監視と分析を実行します。分析してファイルのリスクを検出するまでの所要時間は平均3分ですが、ファイルによっては最長で30分ほどかかることもあります。[Virus Scan]の下で[Virtual Analyzer scan exception]と[Virtual Analyzer submission quota exception]に設定されたアクションは、相関インテリジェンスポリシーにも適用されます。
注意
仮想アナライザにファイルを24時間で送信できる回数には割り当て上限があります。この割り当て上限は、24時間のスライディングウィンドウに基づいて計算されます。-
ファイル送信回数の割り当て上限 = シート数 * 0.1
-
座席数が50未満の場合、デフォルトの割り当ては5になります。
-
割り当て上限に達した場合、スライディングウィンドウがスライドするまで、それ以上のファイルを仮想アナライザに送信することはできません。
クォータを超えたファイル送信に対する検索除外アクションを設定できます。詳細については、検索除外処理を設定を参照してください。 -
- 異常検出設定を指定します。
重要
異常検出は必ずしも悪意のある活動を示すわけではありません。より強力な対策を適用する前に、結果をモニタするために最初は[件名にタグを挿入]または[本文にスタンプを挿入]に設定することをお勧めします。- [事前定義された異常]を選択して、事前定義された相関ルールを使用してTrendAI™で指定された異常を検出します。[すべての事前定義のルール]を選択すると、既存および将来のすべてのルールが適用されます。[指定した事前定義のルール]を選択すると、個別のルールを選択できます。定義済みのルールは、[中]、[強力]、[超攻撃的]の3つの攻撃的なレベルに分類されています。詳細については、相関ルールおよび検出シグナルを管理するを参照してください。
- 必要に応じて[カスタム相関インテリジェンス]を選択して、環境に合わせて作成したカスタム相関ルールを使用した異常検出を有効にします。
- [事前定義された異常]を選択して、事前定義された相関ルールを使用してTrendAI™で指定された異常を検出します。
- [送信する] をクリックします。ポリシーリスト内でポリシールールが適切な優先順位を持っていることを確認してください。相関インテリジェンスのポリシールールは上から下に順に評価されます。