ESET Inspect – 目次

ルール

ルールは、ESET Inspectが受信したイベントとメタデータから識別できる動作およびレピュテーションベースの説明です。

セキュリティエンジニアはルールを追加および編集できますが、ESETが提供するルールには変更できないものがあります。

ルールは、XMLベースの言語を使用して定義されます。ルールはサーバー上で非同期的に照合されるため、最近のイベントがクライアントからサーバーに送信され、ルールによって処理される期間があります。一致したルールは、検出を発生させることによってのみセキュリティエンジニアに通知できます。

検出は[検出]ビューに表示され、ESET PROTECT通知メカニズムを使用して検出がトリガーされると、電子メールが自動的に送信されます。

セキュリティエンジニアは、調査の結果に基づいて手動の修復アクションを実行できます。

注意

重大度が22以下のルールはテレメトリルールです。これらは、通常、インシデントを調査するための追加情報としてのみ使用され、多くの場合、正当な行動によってトリガーされる可能性があります。これらのルールの一部が環境内で過剰なトラフィックを生成する場合は、オフにすることを検討できます。

ESET Inspect ServerとESET Inspect Connectorの間の接続が中断された場合:

ESET Inspect Connectorで評価を実行し、トリガーされた検出と収集された未加工のイベントを、接続が復元された後にESET Inspect Serverに送信します

ESET Inspect Connectorで未加工のイベントと、応答アクションが割り当てられている検出ルールとの間の一致が検索され、プロセスの強制終了のみがすぐに実行されます

誤検出と誤った実行ファイルが処理された場合は、設定 > 検出ルールで、ルールで指定された修復アクションを自動的に実行のチェックを外して、自動修復アクションを無効にすることができます。

フィルタリング、タグ、およびテーブルオプション

画面上部のフィルターを使用して、表示される項目を絞り込みます。タグは、特定のコンピューター、検出、インシデント、実行ファイル、またはスクリプトを検索するときに強力な機能です。メインテーブルを管理するには、テーブルオプション歯車歯車アイコンをクリックします。

ルールウィンドウは、次の部分で構成されています。

ルール詳細

ルールの概要。

ルール - ルールの名前。

作成者 - ルール作成時にログインしていたユーザーの名前。

前回編集日時 - ルールが最後に編集された日付。

カテゴリ - ルールの編集セクションのカテゴリタグで見つかったカテゴリ名。

重大度 -検出の重大度を示します。脅威重大度・脅威、警告重大度・警告または情報重大度・情報

重大度スコア - 正確な重大度の定義。1–39 > 情報 重大度・情報 ; 40–69 > 警告 重大度・警告 ; 70–100 > 脅威 重大度・脅威

修復アクション - ユーザーアクションの選択をクリックしてルールオプションを開き、アクションを選択します。

説明 - ファイルの動作の説明。

悪意のある原因 - ファイル実行の結果として考えられるもの。

無害の原因 - 無害な可能性のあるアクティビティに関する詳細。

MITRE ATT&CK™ TECHNIQUES - MITRE ATT&CK™ TECHNIQUE ID (含まれている場合)。

タスクの再実行 - このルールを使用して再実行されたタスクの数。

除外 - このルールに対して作成された除外の数。

タグ - 既存のリストから検出タグを割り当てるか、カスタムタグを作成します。

ルールの編集

ルールを追加または編集できます。横には、構文リファレンスがあります。下部には、ルールガイドへのリンクがあります。

ターゲット

このウィンドウでは、コンピューターまたはグループを表示したり、割り当てたり、割り当てを解除したりできます。

再実行タスク

詳細タブのタスクサブタブと同様の情報を提供しますが、ルールのタスクのみが表示される点が異なります。

除外

その他タブの除外サブタブと同じオプションを提供します。[検出]をクリックすると、検出の詳細にリダイレクトされます。

ルール名をクリックすると、さらにアクションを実行できます。

詳細

概要を開きます。

検出

ルールの検出ビューが開きます。

除外

ルールの除外ビューが開きます。

ルールの編集

検出がルールによって発生した場合は、ルールの編集セクションに移動します。

ユーザーアクションの編集

ルールのユーザーアクションの編集セクションに移動します。

割り当ての変更

ルールの[ターゲット]ビューに移動します。

再実行タスク

ルールのタスクの再実行ビューに移動します。

除外の作成

選択したルールの除外タスクを作成します。ルール除外の作成にリダイレクトされます。

有効

 

無効

 

削除

 

名前を付けて保存

任意の名前で新しいルールを作成し、ルールエディターを開きます。

アクセスグループ

現在割り当てられているアクセスグループが表示されます。移動をクリックして、アクセスグループを再割り当てします。

タグ

既存のリストから検出タグを割り当てるか、カスタムタグを作成します。

フィルター

コンテキストメニューをアクティブにした列にクイックフィルターを表示します(これのみを表示し、これを非表示にする)。

ルール再実行

再実行タスクの作成ウィンドウに移動します。

エクスポート

ルールのXMLファイルへのエクスポートプロセスを開始します(Webブラウザーによって異なります)。

インポート

XMLルールファイルのインポートウィンドウを開きます。