ビュー:

環境の検出要件に対応するためにカスタム相関ルールを追加します。

手順

  1. [相関ルール] タブで [ルールの追加] をクリックします。
  2. ルールの名前を指定し、オプションで[基本プロパティ]エリアに説明を入力してください。名前は、検出したい異常を明確に識別するのに役立ちます。
  3. ルールを構成する1つまたは複数のステートメントを定義します。
    ステートメントは検出信号とAND演算子を組み合わせます。
    1. ドロップダウンリストから検出信号タイプを選択して利用可能な信号を絞り込み、次のドロップダウンリストから希望する信号を選択します。
    2. もう1つのシグナルが必要な場合は、[シグナルを追加]をクリックしてください。
    3. 前の手順を繰り返して、ステートメントにさらにシグナルを追加します。
      不要な信号を削除するには、recipient_group_delete=GUID-42C3CD61-5E70-4549-9B92-59F3D2E47E6C=ja-jp=.png アイコンをクリックします。
    4. ステートメント定義が完了したら、[Add Statement to Rule] をクリックします。
  4. 必要に応じてさらにステートメントを定義し、ステップ3を繰り返して[ルールの定義]エリアに追加します。
  5. ルール定義が要件を満たしていることを確認してください。
    ルールはステートメントとOR演算子を組み合わせて、環境内で必要な異常をタグ付けおよび検出します。ルールは、いずれかのステートメントが満たされたときに一致します。
  6. [保存] をクリックします。