しきい値ルール

しきい値ルールを使用すると、特定の期間に定義された数の検出が発生した場合、インシデントを作成できます。しきい値ルール全体がどのように表示されるかを確認するには、しきい値ルールの例のトピックを参照してください。

定義

しきい値ルールは<threshold threshold="3" interval="10m">で定義されます

thresholdパラメーターは、インシデントを作成するために検出をトリガーする必要がある最小回数を指定します。

intervalパラメーターは、インシデントを作成するために検出が発生する必要がある期間を指定します。しきい値ルールには、条件に一致し、インシデントの期間内にあるすべての検出が含まれます。

インシデントが作成された後に他の一致する検出が受信され、まだ期間内にある場合は、インシデントはそれらの検出を含むように更新されます。

指定可能な期間の形式は次のとおりです。

•d - 日

•h - 時間

•m - 分

•s - 秒

•ms - ミリ秒

•us - マイクロ秒

検出の定義

検出定義では、operations、process、parentprocessタグを使用して、インシデント作成の条件を指定できます。ルールのこの部分はしきい値ルールに固有ではなく、他のルール定義と同様に評価されます。

評価された検出は、常にoperationsセクションで指定されます。このセクションには、InspectDetectionコンポーネントとEndpointコンポーネントを含めることができます。

しきい値ルールのこのセクションで意味のある演算子の種類はorのみです。

AggregateOn

AggregateOnは省略可能です。このタグを使用すると、使用されたプロパティに基づいて検出を集約できます。すべてのタイプの集約は、コンピューター集約を意味します。たとえば、プロセスを使用する場合、同じコンピューターと同じプロセスからの検出のみが一緒に評価されます。

可能な値は、以下のとおりです。

•コンピュータ

•ﾌﾟﾛｾｽ

•ParentProcess

カーディナリティ

カーディナリティはオプションです。検出の一意性がチェックされます。上記の例では、しきい値ルールをトリガーするには、少なくとも2つの異なるルール名からの検出が必要です。

可能な値は、以下のとおりです。

•computerName

•ruleName

アクション

サポートされているアクションはReportIncidentのみです。しきい値ルールは、このアクションが指定されていないとインシデントを作成または更新しません。name以外の引数(aggregateOnとaggregationParameter)は、しきい値ルールで使用される場合、無視されます。

有効期間

サーバーは後で古い検出を受信できるため、正しいインシデントが存在する場合は、それらを正しいインシデントに追加する必要があります。古い検出の評価は望ましくないため、有効期限は既定で24時間に設定されています。これは、.iniファイルのServer.EirExpirationInterval値で変更できます。

検出がEirExpirationIntervalより古い場合、評価されません。

インシデントがEirExpirationIntervalより古い場合、新しい検出は含まれません。

˄˅