フィードのフィルタリングルールの指定

このセクションでは、フィルタリングルールの内容およびその設定方法について説明します。

フィルタリングルールについて

フィルタリングルールはフィードの基準であり、フィードから特定のレコードを除外します。

Kaspersky CyberTrace は、更新時にフィルタリングルールを使用して、ダウンロードしたフィードファイルをフィルタリングします。指定したフィルタリングルールは、更新後にフィードに適用されますが、現在のフィードには適用されません。

出力ファイルには、指定したすべての基準に一致するレコードのみが含まれています。フィールドのフィルタリング基準は指定されているが、フィールドがレコードから欠落している場合、このレコードは出力ファイルには含まれません。

Cyber​​Trace の[Filtering rules]。

[Filtering rules]セクション

フィードのフィルタリングルールを指定するには:

  1. Settings]→[Feeds]ページの順に移動します。
  2. フィードリストの[Actions]列で、設定する必要があるフィードを選択します。

    InternalTI 脅威インジケーターのフィルタリングルールは指定できません。

  3. Filtering rules]セクションで、[Add rule]をクリックします。
  4. Field name]ドロップダウンリストで、フィードで使用可能なフィールドの 1 つの名前を選択します。

    フィードの各フィールドには、関連する 1 つのフィルタリングルールのみを含めることができます。1 つのフィールドに対して 2 つのフィルタリングルールを指定することはできません。

  5. Condition]ドロップダウンリストで、フィルタリング条件を選択します。

    使用可能なフィルタリング条件のリストは、下の「使用可能なフィルタリング条件」セクションを参照してください。

  6. Value]テキストボックスで、フィールドのフィルタリング条件を指定します。

    このテキストボックスでは、値の区切りにセミコロン(「;」)を使用しないでください。代わりに、[Condition]ドロップダウンリストで[value is one of (separated by a new line)]を選択し、改行文字(「\n」)を使用するか Enter を押して値を区切ります。そうしない場合、フィルタリングルールは正しく適用されません。

    特定のフィルタリング基準の定義方法の詳細は、「フィルタリングルール 」セクションの「数値のフィルタリング基準の定義 」「文字列のフィルタリング基準の定義 」および「日付のフィルタリング基準の定義 」サブセクションを参照してください。

  7. ページの下部までスクロールして、[Save]をクリックします。

使用可能なフィルタリング条件

下の表は、フィードに適用できるフィルタリング条件のリストです:

使用可能なフィルタリング条件

フィルタリング条件

説明

正確な値と一致する

指定した値と等しい値をフィールドに持つフィードが選択されます。

この条件を適用するには、[Condition]ドロップダウンリストの[value is equal to]を選択し、[Value]テキストボックスに単一の値を指定します。

複数の可能な値のうち 1 つ以上と一致する

フィードのフィールドには、指定した値の 1 つ以上が含まれる必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[value is one of (separated by a new line)]を選択し、[Value]テキストボックスに複数の値を指定します。

空の値を指定しないでください。新しい各値は、改行により区切る必要があります。

数値の範囲に属する

フィードのフィールドには、指定した範囲の値が含まれている必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[value is in range (inclusive)]を選択し、[Value]テキストボックスに値の範囲を指定します。範囲の境界が含まれることに注意してください。

これらの値は整数である必要があります。

指定した値以上の数値の範囲に属する

フィードのフィールドには、指定した値以上の値が含まれている必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[value is more than (inclusive)]を選択し、[Value]テキストボックスに単一の値を指定します。

値は整数である必要があります。

指定した値以下の数値の範囲に属する

フィードのフィールドには、指定した値以下の値が含まれている必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[value is less than (inclusive)]を選択し、[Value]テキストボックスに単一の値を指定します。

値は整数である必要があります。

日付の範囲に属する

インジケーター属性には、指定した範囲内の日付が含まれる必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[date is in range (inclusive) OR field is not present]を選択し、[Value]テキストボックスに日付の範囲を指定します。

両方の範囲境界に関する現在のシステム時間が含まれる %NOW% 値(このテンプレートでは大文字小文字が区別されます)を使用できます。この値に数値を足したり、この値から数値を引いたりできます(たとえば、左側の境界に %NOW%-7、右側の境界に %NOW% を指定できます)。

また、%NOW% に対する相対値として境界に対して任意の日数または次の事前設定値の 1 つを選択することもできます:

  • Day
  • Week
  • Month
  • 3 months

指定した値以上の日付の範囲に属する

インジケーター属性には、指定した値以上の日付が含まれる必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[date is more than (inclusive) OR field is not present]を選択し、[Value]テキストボックスに日付を指定します。

範囲の左側の境界に関する現在のシステム時間が含まれる %NOW% 値(このテンプレートでは大文字小文字が区別されます)を使用できます。この値に数値を足したり、この値から数値を引いたりできます。

また、境界に対して次の事前設定値の 1 つを選択することもできます(この値は %NOW% に対する相対値です):

  • 1 day ago
  • 7 days ago
  • 30 days ago

指定した値以下の日付の範囲に属する

インジケーター属性には、指定した値以下の日付が含まれる必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[date is less than (inclusive) OR field is not present]を選択し、[Value]テキストボックスに日付を指定します。

範囲の右側の境界に関する現在のシステム時間が含まれる %NOW% 値(このテンプレートでは大文字小文字が区別されます)を使用できます。この値に数値を足したり、この値から数値を引いたりできます。

また、境界に対して次の事前設定値の 1 つを選択することもできます(この値は %NOW% に対する相対値です):

  • 1 day ago
  • 7 days ago
  • 30 days ago

空でない値に一致

フィードのフィールドには、空でない値が含まれている必要があります。

この条件を適用するには、[Condition]ドロップダウンリストの[value is non-empty]を選択します。

ページのトップに戻る