ESET Inspect – 目次

しきい値ルールの例

しきい値ルールの定義

サポートルール

1.ルールPB000 (メモ帳)

2.ルールPB001 (cmd)

上記のルールの例で注意すべき点:

このしきい値ルールは、特定の期間内に特定の条件が満たされたときにインシデントをトリガーします。

トリガーの説明:

1.しきい値の数と期間:

oしきい値ルールは、900秒以内に3つの検出が発生した場合にトリガーされます(インシデントが作成されます)。

2.検出

oプロセスセクションでは、監視対象のプロセス(notepad.exeとcmd.exe)を指定します。

oこの例では、特定のルール(PB000とPB001)によって監視対象のプロセスが既に定義されているため、プロセスセクションはオプションです。

o操作セクションでは、ルール名(PB000とPB001)に基づいて条件を指定します。

3.AggregateOn (オプション):

oこの例では、aggregateOnParentProcessに設定されています。すべての種類の集約はコンピューター集約を意味するため、検出は同じParentProcessを持つ同じコンピューターで行う必要があります。

4.カーディナリティ(オプション):

oカーディナリティは、検出が少なくとも2つの異なるルール(ruleName値は2)から発生する必要があることを指定します。

5.アクション

oサポートされているアクションはReportIncidentのみです。他のすべてのパラメーター(aggregateOnとaggregationParameter) は無視されるため、しきい値ルールでは使用しないでください。

oこのアクションがないと、しきい値ルールはインシデントを作成しません。

シナリオの例:

PB000が1回、PB001が2回検出されました。

PB000が2回、PB001が1回検出されました。

PB000が3回、PB001が10回検出されました。

条件を満たすその他の組み合わせ:

o合計検出回数は3以上である必要があります。

o少なくとも2つの異なるルールをトリガーする必要があります。