クリア

アラートプロファイルの管理

EventLog Analyzerでは、設定したアラートプロファイルを一元的に管理できます。

  • [アラートプロファイルの管理]をクリック後の画面では、アラートプロファイルを有効化、無効化、エクスポート、およびインポートできます。
    プロファイルの管理
  • ドロップダウンメニューから必要なオプションを選択して、特定のアラートプロファイルをフィルターすることもできます。これにより、相関(コリレーション)ベースのアラートプロファイルを有効または無効にすることもできます。
    プロファイルの管理

アラートプロファイルのインポート

import-export-alert-profiles.png

アラートプロファイルは、[オプションをさらに表示](三点リーダー)をクリックしてインポートまたはエクスポートできます。[インポートする]を選択すると、以下のメッセージが表示されます。

アラートプロファイルの閲覧およびインポート

[参照]をクリックして、インポートするアラートプロファイルのファイルを選択します。

インポートするアラートプロファイルが既存のアラートプロファイルと類似している場合、以下のメッセージが表示されます。インポートしたプロファイルで既存のプロファイルを上書きするには、対象のプロファイルを選択して[インポート]をクリックします。

アラートインポートアラートプロファイル

Sigmaルール

Sigmaは、ログデータ内のセキュリティイベントを記述するためのテキストベースの形式であり、セキュリティ脅威の検出を簡素化します。

EventLog Analyzerでは、アラートタブからSigmaルールをインポートできます。

  1. [アラート]タブに移動し、[アラートプロファイルの管理]を選択します。三点リーダーをクリック後、[インポートする]を選択します。
    sigma-rules-alerts.png
  2. EventLog Analyzerは、YMLファイルからのSigmaルールのインポートをサポートしています。
    sigma-rules-yml.png
  3. インポートプロセス中に、Sigmaルールに関連付けられたフィールドとログタイプをマップするオプションがあります。
    sigma-rules-save.png
  4. [保存]をクリックして、インポートプロセスを完了します。EventLog Analyzerは、インポートしたSigmaルールプロファイルを、定義された条件とともに保存します。
    sigma-rules-criteria.png

    5. 注記:Sigmaルールファイルに記載されている誤検知は基準に含まれません。ユーザーは、Sigmaルールファイルをインポートした後、それらの基準を手動で追加する必要があります。


アラートプロファイルのエクスポート

インポート-エクスポート-アラート-プロファイル

アラートプロファイルをエクスポートするには、必要なアラートプロファイルを選択し、三点リーダーから[エクスポート]をクリックします。

注記:デフォルトのアラートプロファイルはエクスポートできません。


アラートプロファイルのフィルタリング

表示-インポート-エクスポート-アラート-プロファイル

アラートプロファイルの状態に基づいてフィルタリングするには、[表示]の横にあるドロップダウンメニューをクリックして、必要なカテゴリーを選択します。


アラートの通知を設定する方法

アラートの通知を設定するためには、[設定する]をクリックします。アラートの編集画面に移動するので、そこで通知タイプを設定できます。


アラートプロファイルの削除

アラートプロファイルを削除するには、アラートプロファイルを選択し、[アラートプロファイルの削除](ゴミ箱)アイコンをクリックします。以下画像のようなポップアップ画面が表示されます。[はい]をクリックして続行します。

削除-表示-インポート-エクスポート-アラート-プロファイル
       概要