検知アラートのフィルタリングルールの設定
[Settings]→[Detection alerts]ページの[Filtration]タブでは、Kaspersky CyberTrace から SIEM システムに送信される検知アラートのフィルタリングルールを指定できます。
![CyberTrace の[Settings]→[Detections page]ページ。[Filtration]タブ。](loc_settings_detections_for_tenant_filtration_new.png)
[Filtration]→[Settings]ページの[Detection alerts]タブ
Kaspersky CyberTrace が検知アラートを送信するのは、検知アラートを SIEM システムに送信するためのフラグ(インジケーターデータベースの ioc_supplier_send_match イベント属性)が true に設定されており、インジケーターと一致するフィードレコードのすべてのフィールドがフィルタリング基準を満たしている場合に限ります。フィルタリングルールで指定されている属性が検知インジケーターにない場合に、このインジケーターはフィルタリング基準を満たしていると判断されます。ただし、すべての検知アラートが統計情報に含まれ、[Dashboard]ページと[Detections]ページに表示されます。
検知アラートにフィルターを指定するには:
- [Field name]ドロップダウンリストで、フィルタリングルールが適用されるインジケーターデータベースのインジケーター属性名と一致する値を選択します。[Condition]ドロップダウンリストで、フィルタリング条件を選択します。
- [Value]テキストボックスで、フィルタリングの値を指定します。
このテキストボックス内の値を区切るには、セミコロン(「
;」)を使用しないでください。代わりに、[Condition]ドロップダウンリストで[value is one of (separated by a new line) OR field is not present]を選択し、改行文字(「\n」)を使用するか Enter を押します。この方法でないと、フィルターが正しく適用されません。 - 別のアラートフィルターを追加する場合は、[Add filter]をクリックします。
必要に応じて、フィルタリングルールを編集したり、削除したりできます。
ページのトップに戻る