ルールと論理接続
ルールには、項目、論理コネクター(論理演算子)、定義済みの値があります。
[ルールの追加]をクリックすると、ウィンドウが開き、項目がカテゴリ別に一覧表示されます。例:
インストールされたソフトウェア > アプリケーション名
ネットワークアダプタ > MACアドレス
OSエディション > OS名
このESETナレッジベース記事で、すべての使用可能なルールの一覧を参照できます。
ルールを作成するには、項目を選択し、論理演算子を選択して、値を指定します。ルールは、指定した値と使用される論理演算子に従って評価されます。
指定できる値タイプには、数値、文字列、列挙型、IPアドレス、製品マスク、コンピューターIDがあります。各値タイプには、異なる論理演算子が関連付けられ、ESET PROTECT Webコンソールは自動的にサポートされたものだけを表示します。
等しい |
シンボル値とテンプレート値が一致する必要があります。文字列は大文字と小文字を区別せずに比較されます。 |
|||
より大きい |
シンボル値はテンプレート値よりも大きくなければなりません。IPアドレスシンボルの範囲比較を作成するために使用することもできます。 |
|||
以上 |
シンボル値はテンプレート値以上でなければなりません。IPアドレスシンボルの範囲比較を作成するために使用することもできます。 |
|||
より小さい |
シンボル値はテンプレート値よりも小さくなければなりません。IPアドレスシンボルの範囲比較を作成するために使用することもできます。 |
|||
less or equal |
シンボル値はテンプレート値以下でなければなりません。IPアドレスシンボルの範囲比較を作成するために使用することもできます。 |
|||
含む |
シンボル値はテンプレート値を含む必要があります。文字列の場合、サブ文字列を検索します。検索では大文字と小文字は区別されません。 |
|||
で始まる |
シンボル値にはテンプレート値と同じテキストプレフィックスがあります。文字列は大文字と小文字を区別せずに比較されます。例えば、「Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319」のプレフィックスは、「Micros」、「Micr」、「Microsof」などです。 |
|||
で終わる |
シンボル値にはテンプレート値と同じテキストポストフィックスがあります。文字列は大文字と小文字を区別せずに比較されます。検索された文字列から正確な最初の数文字を設定します。例えば、「Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319」のポストフィックスは、「319」、「0.30319」などです。 |
|||
マスク |
シンボル値はテンプレートで定義されたマスクと一致する必要があります。マスクの書式設定では、任意の文字と特殊記号「*」(ゼロ、1文字以上の文字)を使用できます。「?」は1文字を表します(例:"6.2.*"または"6.2.2033.?")。 |
|||
正規表現 |
シンボル値はテンプレートの正規表現(regex)と一致する必要があります。正規表現はPerlで記述される必要があります。
|
|||
のいずれか |
シンボル値はテンプレートのリストの任意の値と一致する必要があります。項目を追加するには、追加をクリックします。リストの新しい項目の各行。文字列は大文字と小文字を区別せずに比較されます。 |
|||
のいずれか(文字列マスク) |
シンボル値はテンプレートのリストの任意のマスクと一致する必要があります。文字列は大文字と小文字を区別して比較されます。例: *endpoint-pc*, *Endpoint-PC*。 |
|||
値があります |
|
時間ルールでは、経過時間を測定するチェックボックスを選択して、特定のイベントから経過した時間に基づいて、動的グループテンプレートを作成できます。 |
否定演算子:
否定演算子は注意して使用する必要があります。「インストールされたアプリケーション」などの複数行のログの場合には、すべての行がこれらの条件によって評価されます。本書の例(テンプレートルール評価および動的グループテンプレート - 例)を参照し、否定演算子または否定演算を使用して、想定された結果を得る方法について確認してください。 |
等しくない |
シンボル値とテンプレート値が一致していてはなりません。文字列は大文字と小文字を区別せずに比較されます。 |
含まない |
シンボル値にはテンプレート値が含まれません。検索では大文字と小文字は区別されません。 |
で始まらない |
シンボル値にはテンプレート値と同じテキストプレフィックスがありません。文字列は大文字と小文字を区別せずに比較されます。 |
で終わらない |
シンボル値にはテンプレート値と同じテキストポストフィックスがありません。文字列は大文字と小文字を区別せずに比較されます。 |
マスクがない |
シンボル値はテンプレートで定義されたマスクと一致していてはなりません。 |
正規表現ではない |
シンボル値はテンプレートの正規表現(regex)と一致していてはなりません。正規表現はPerlで記述される必要があります。否定演算は、再作成せずに、正規表現との一致を否定できるように提供されました。 |
のいずれかでない |
シンボル値はテンプレートのリストの任意の値と一致していてはなりません。文字列は大文字と小文字を区別せずに比較されます。 |
のいずれかでない(文字列マスク) |
シンボル値はテンプレートのリストの任意のマスクと一致しない必要があります。 |
値がありません |
|