相関インテリジェンスによる異常検出に使用できる、定義済みおよびカスタムの相関ルールと検出シグナルを管理します。
手順
- に移動します。
- [相関ルール]をクリックして、相関インテリジェンスが異常検出に使用する事前定義およびカスタムルールを表示します。
- [相関ルール]タブで、ルール名をクリックして、定義済みルールの詳細を表示するか、カスタムルールを変更します。トレンドマイクロは、一連の相関ルールと検出シグナルを定義し、継続的に新しいルールとシグナルを導入しています。各事前定義されたルールは、1つまたは複数の事前定義された検出シグナルで構成されています。ルールの詳細を確認して、そのルールが何についてのものか、どの検出シグナルが使用されているか、そしてルールがどのように一致するかを理解してください。トレンドマイクロは、異常検出のための事前定義された相関ルールを3つの積極的なレベルに分類しています: [中]、[積極的]、および[Extra aggressive]。
-
中: このレベルは効率的な異常検知と比較的低い誤検出の間での均衡を求めて設計されています。日常的な監視、および通常のメールフローへの著しい中断なくより安全なアプローチをとりたいユーザに適しています。
-
積極的: このレベルにより異常検知の感度レベルが上昇し、検出機能がより厳密なものになるため、誤検出の数が増加する場合があります。高度な攻撃に対抗するためにセキュリティ対策を厳しくする必要があり、引き換えとして発生する誤った警告について同意意思のあるユーザ向けのものです。
-
Extra aggressive: 最高レベルの攻撃は、能動攻撃またはセキュリティ違反が確認された後のような重大な状況に推奨されています。最も強力な対策を講じますが、誤検出の可能性が高まるため、通常のメールの送受信に著しい影響を与える可能性があります。
お使いの環境での検出要件に対応するために、カスタム相関ルールを追加できます。詳細については、カスタム相関ルールを追加を参照してください。 -
- [検出シグナル]をクリックして、異常検出のための相関ルールで使用される事前定義およびカスタム検出信号を表示します。
- [検出シグナル]タブで、信号名をクリックして、定義済みの信号の詳細を表示するか、カスタム信号を変更します。事前定義された条件を使用して、独自の要件を満たすカスタム検出シグナルを追加できます。詳細については、カスタム検出シグナルを追加を参照してください。