アラート
[アラート]タブでは、発生したすべてのアラートの概要がリスクスコアと検出された異常に基づいて表示されます。
アラートは、重大性の設定に基づいて、クリティカル、不具合、および注意に分類されます。各カテゴリのアラートを表示するには、対象のウィジェットをクリックします。例えば、不具合アラートをクリックすると、中程度のリスクがあることを示す、すべてのアラートのリストを表示できます。
注記:「アラートプロファイル」とは、アラートに設定された条件を指します。「アラート」とは、発報されたアラートを指します。アラートプロファイルで設定した条件が満たされると、アラートが発報されます。
アラートプロファイルの有効化、無効化、およびカスタマイズ
事前に定義されているデフォルトのアラートプロファイルを有効化したり、新しいアラートプロファイルを追加したりするには、 [アラート]タブの右上にある[権限管理]をクリックします。[権限管理]画面(アラートプロファイルの管理画面)が開きます。
アラートプロファイルの有効化と無効化
[権限管理]画面には、現在有効または無効になっているアラートプロファイルの概要が表示されます。[処理]列の緑色のチェックアイコンは、アラートが有効になっていることを示します。
アラートを有効化または無効化するには、以下を実施します。
- 対象のアラートプロファイルの緑色のチェックアイコンをクリックして無効化できます。
- アラートプロファイルの赤いスラッシュアイコンをクリックして有効化できます。
- アラートプロファイルを削除するには、削除(ゴミ箱)アイコンをクリックします。
[権限管理]画面には、利用可能なアラートプロファイルのリストも表示されます。これには、デフォルトのアラートプロファイルと作成したアラートプロファイルの両方が含まれます。各アラートプロファイルごとに、発生したアラートの数、アラートの種類、重大性、およびしきい値もテーブルに表示されます。
アラートの数
[アラート数]列には、各アラートプロファイルにおいて発生したアラートの数が表示されます。列の値をクリックすると、対象のアラートプロファイルのアラートが表示されます。各アラートが発生した時刻、メッセージ、エンティティの種類、状態、リスクスコアなどの情報を確認できます。
アラートプロファイルのカスタマイズ
既存のアラートプロファイルをカスタマイズするには、[処理]列の編集(鉛筆)アイコンをクリックします。アラートが発報されるための条件が設定された状態で[アラートプロファイルを追加]画面が表示されます。例えば、デフォルトのアラートプロファイルである「FTPログオンアラートプロファイル」の編集(鉛筆)アイコンをクリックすると、以下のような画面が表示されます。ここでは事前定義された条件を変更できます。
デフォルトのアラートプロファイル
Log360 UEBAは、9つのデフォルトアラートプロファイルを提供します。これらのアラートプロファイルは、有効化、無効化、またはカスタマイズできます。使用可能なデフォルトのアラートプロファイルのリストは、以下画像のとおりです。
発生したアラートの管理
発生したアラートを管理するには、対象のアラートをクリックします。[形式のメッセージ]が表示されます。また、アラートに関する詳細情報と管理オプションが表示されます。
- 割り当て:ドロップダウンメニューをクリックして、アラートを調査する技術者を割り当てることができます。
- 重大性:ドロップダウンメニューをクリックして必要なレベルを選択することで、アラートの重大性をクリティカル、不具合、または注意に変更できます。
- ステータス:ドロップダウンメニューをクリックして必要な状態を選択することで、アラートの状態を開く(オープン)、クローズ、または実行中に変更できます。
- 詳細:[詳細]をクリックすると、しきい値、しきい値間隔などのアラート詳細を確認できます。
- メモ:アラートのメモを追加するには、[メモを追加]をクリック後にメッセージを入力し、[メモを追加]をクリックします。アラートにメモが追加されると、チェックボックスの横にメモアイコンが表示されます。
- 関与する異常:[寄与した異常]または[異常の詳細]をクリックすると、アラートの発報に寄与した各インスタンスの詳細が表示されます。
アラートの割り当て、削除、およびステータス変更
個々のアラートをクリックするか、チェックボックスをクリックして複数のアラートを選択します。
アラートを選択すると、[割り当て]、[ステータス]、および[削除]オプションが表示されます。これらのオプションを使用して、アラートを一括で有効化または無効化できます。
アラートプロファイルの追加
アラートプロファイルを追加するには、[アラート]タブの右上にある[権限管理]をクリック後、画面右上にある[+アラートプロファイルを追加]をクリックします。[アラートプロファイルを追加]画面が表示されます。
- [アラートプロファイル名]と[説明]に、アラートの名前と説明を入力します。(説明の入力は任意です。)
- [重大性]にて、重大性レベルを選択します。
- [レポートの条件]にて、アラートの基となるレポート、エンティティ、またはリスクカードを選択します。
- [レポート]を選択した場合は、[レポート選択]の右端にある[+]をクリックして対象のレポートを選択します。
- [エンティティを選択]の右端にある[+]をクリックして、ユーザー、ホスト、またはActive Directoryグループを選択します。Active Directoryグループを選択した場合、グループ内のすべてのユーザーがアラートの対象として一括設定されます。
- [アラートメッセージ]に、[形式のメッセージ]に表示するアラートメッセージを指定します。
- [変更内容を保存]をクリックします。
選択したレポートにフィルターを追加
[レポート選択]でレポートを選択すると、[フィルタを追加]が表示されます。
レポートのフィールドを選択して値を設定することで、レポートに関連付けられた条件をきめ細かく調整できます。
注記:レポートのフィルター設定は任意です。
レポートおよびエンティティベースのアラートの詳細設定
レポートおよびエンティティベースのアラートの場合、しきい値と時間範囲を設定するオプションがあります。しきい値では、アラートが発報されるために特定の時間間隔内で発生する必要がある異常の数を指定できます。アラートプロファイルの設定時に、手動しきい値とスマートしきい値を選択できます。時間範囲では、業務時間と業務時間外を選択できます。
アラートのスマートしきい値
Log360 UEBAのスマートしきい値機能は、機械学習機能を用いて、異常発生時にアラートを発報するためのしきい値を学習して設定します。しきい値は、一定時間内に発生する異常の通常の発生数を分析して設定します。
アラートプロファイルでしきい値を設定する際に、ユーザーは手動で値(検知する異常の数)を入力する必要はありません。スマートしきい値は、機械学習アルゴリズムが異常な動作を継続的に観察し、しきい値を更新するため、誤検知の軽減に役立ちます。
アラートプロファイルでスマートしきい値を有効にする方法
- アラートプロファイルの追加画面で[詳細設定]を展開し、[しきい値]にチェックを入れた後、[スマート閾値]を選択します。
- 異常集計範囲を分単位で入力します。異常集計範囲に指定した時間間隔内で監視する異常の数は、機械学習によって自動的に割り当てられます。
注記:異常数の値は、十分なデータポイントが利用可能になった際に割り当てられ、更新されます。
アラート通知
[アラート通知]で通知テンプレートを指定することで、アラートプロファイルのメール通知を有効化できます。
メール通知を有効にするには、[このプロファイルに対応するすべてのアラートを通知する]にチェックを入れます。チェックボックスをクリックすると、通知テンプレートを選択できます。通知テンプレートの設定方法は、こちらのページをご参照ください。
注記:メールサーバーの設定方法は、こちらのページをご参照ください。
フィルターの設定
時間範囲に基づいたアラートのフィルタリング
特定の時間範囲のアラートを表示するには、画面右上にあるカレンダーアイコンをクリックします。時間範囲を指定すると、指定した期間に発生したアラートのみが表示されます。
重大性、ステータス、技術者、およびアラートプロファイルに基づいたアラートのフィルタリング
画面右上にあるフィルターアイコンをクリックすることで、重大度、ステータス、技術者、およびアラートプロファイルに基づいてアラートをフィルタリングできます。
チェックボックスをクリックしてアラートをフィルタリングするための条件を設定し、[適用]をクリックします。設定した条件を満たすアラートが表示されます。
アラートのエクスポート
画面右上の[エクスポート形式]をクリックすることで、アラートをCSV、PDF、XLS、HTML形式のレポートでエクスポートできます。これにより、経営陣にレポートを提出したり、聡明な意思決定を支援することができます。
アラートのエクスポート履歴を確認することもできます。
