カスタムモデルを作成して、 Workbenchアラートをトリガーする特定のイベントを定義します。
 |
重要最大50個のカスタムモデルを作成できます。
|
カスタムモデルは、基本情報、ユーザ定義のカスタムフィルタ、およびアラートのトリガーに必要なイベントの数やフィルタクエリがアクティビティデータに適用される頻度などのその他のパラメータで構成されます。
手順
- Detection Model Management アプリで、 [カスタムモデル]に移動します。
- [Add] をクリックします。
- モデルの一般設定を指定します。
-
[モデル名]
-
説明
-
[重大度]
重要
[中] 以上の重大度を選択すると、 Executive DashboardおよびOperations Dashboardのリスク指標に影響します。モデルのテストおよびチューニング時には、インデックスに誤って影響を与えないように、 [低] の重大度を選択します。
-
- イベントフィルタを設定します。
- フィルタモードを選択します。
-
[単一フィルタ]: カスタムモデルは1つのフィルタのみを適用します。
-
[複数のフィルタ]: カスタムモデルは複数のフィルタを適用します。
-
[複数のフィルタ (順序通り)]: カスタムモデルは、指定された順序で複数のフィルタを適用します。
-
- [フィルタ名] メニューでカスタムフィルタを選択します。選択中[カスタムフィルタを作成]新しいブラウザタブで [カスタムフィルタ設定] 画面が開きます。新しいカスタムフィルタを作成したら、前のブラウザタブに戻ってフィルタを選択します。
- [複数のフィルタ] または [複数のフィルタ (順序通り)]を選択した場合は、前の手順を繰り返して複数のフィルタを追加します。フィルタは5つまで追加できます。
- [単一フィルタ] モードを選択した場合は、アラートをトリガするために発生する必要があるイベントの数を決定するために、 [しきい値] を指定します。しきい値は0より大きくなければなりません。
- フィルタモードを選択します。
- イベントのグループ化を指定します。
-
[会社]: 組織内のいずれかの場所でしきい値に達したときにイベントをトリガーします。
-
[エンドポイント]: しきい値に達し、単一のエンドポイントに関連付けられたときにイベントをトリガーします。一致するイベントが最も多い10件のエンドポイントのみがイベントに含まれます。
-
[ユーザアカウント]: しきい値に達したときにイベントをトリガーし、単一のユーザアカウントに関連付けます。
注意
アラートの疲労を軽減するために、 Workbenchのアラートには、一致するイベントを持つ上位のターゲットのみが含まれます。たとえば、エンドポイントの場合、一致したイベントの数が多い上位10件のエンドポイントのみがアラートに含まれます。 -
- モデルのスケジュールを指定します。
- [頻度]: モデルがアクティビティデータをクエリする頻度を決定します。
- [期間]: モデルを使用するたびにクエリを実行する期間を指定します。頻度よりも長い期間を指定すると、以前にクエリを実行したデータにフィルタが適用されます。これにより、同じイベントが複数のアラートに表示される可能性があります。
- 設定の保存後にカスタム検出モデルを有効にするか [ステータス] かを選択します。
- [保存] をクリックします。
有効にすると、カスタムモデルは一致するイベントを継続的に検索します。