クラウド脅威のカテゴリの概要

以下でサポートされています。

このドキュメントでは、Cloud 脅威カテゴリのルールセットの概要、必要なデータソース、これらのルールセットによって生成されるアラートの調整に使用できる構成について説明します。これらのルールセットは、 Google Cloud データを使用する Google Cloud環境と AWS データを使用する AWS 環境での脅威の特定に役立ちます。

ルールセットの説明

Cloud 脅威カテゴリには、次のルールセットがあります。

CDIR という略語は、Cloud Detection, Investigation, and Response の略です。

Google Cloud データのキュレートされた検出

Google Cloud ルールセットは、イベントデータとコンテキスト データを使用して Google Cloud 環境での脅威を識別するのに役立ちます。次のルールセットが含まれています。

  • 管理操作: 管理操作に関連するアクティビティ。不審なアクティビティであるものの、組織の使用状況に応じて潜在的に正当なものと考えられます。
  • CDIR SCC の高度な引き出し: Security Command Center の漏洩の検出結果を Cloud Audit Logs のログ、Sensitive Data Protection のコンテキスト、BigQuery のコンテキスト、Security Command Center の構成ミスのログなどの他のログソースに関連付けるコンテキストアウェア ルールが含まれます。
  • CDIR SCC の高度な防御回避: Security Command Center の回避または防御回避の検出結果を、Cloud Audit Logs などの他のGoogle Cloud データソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
  • CDIR SCC の高度なマルウェア: Cloud DNS のログなどの他のデータソースに加えて、Security Command Center のマルウェアの検出結果を IP アドレスとドメインの発生状況とその普及率スコアなどのデータと関連付けるコンテキストアウェア ルールが含まれています。
  • CDIR SCC の高度な永続性: Security Command Center の永続性の検出結果を、Cloud DNS ログや IAM 分析ログなどのソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
  • CDIR SCC の高度な権限昇格: Security Command Center 権限昇格の検出結果を Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
  • CDIR SCC 認証情報アクセス: Security Command Center 認証情報アクセスの検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
  • CDIR SCC の高度な検出: Security Command Center Discovery のエスカレーションの検出結果を、 Google Cloud サービスや Cloud Audit Logs などのソースのデータと関連付けるコンテキストアウェア ルールが含まれています。
  • CDIR SCC ブルート フォース: Security Command Center のブルート フォースのエスカレーションの検出結果を Cloud DNS ログなどのデータと関連付けるコンテキストアウェア ルールが含まれています。
  • CDIR SCC データ破棄: Security Command Center のデータ破棄の検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
  • CDIR SCC システム復旧の抑制: Security Command Center のシステム復旧の抑制 の検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
  • CDIR SCC 実行: Security Command Center の実行の検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
  • CDIR SCC 初期アクセス: Security Command Center の初期アクセスの検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
  • CDIR SCC Impair Defenses: Security Command Center の Impair Defenses の検出結果を Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
  • CDIR SCC の影響: 重大、高、中、低の重大度の分類で、Security Command Center から影響の検出結果を検出するルールが含まれています。
  • CDIR SCC Cloud IDS: 重大、高、中、低の重大度の分類で、Security Command Center から Cloud Intrusion Detection System の検出結果を検出するルールが含まれています。
  • CDIR SCC Cloud Armor: Security Command Center から Google Cloud Armor の検出結果を検出するルールが含まれています。
  • CDIR SCC カスタム モジュール: Security Command Center から Event Threat Detection のカスタム モジュールの検出結果を検出するルールが含まれています。
  • Cloud Hacktool: 既知の攻撃に利用されるセキュリティ プラットフォームから検出されたアクティビティ、またはクラウド リソースを特定の対象とした脅威アクターによって悪用され攻撃に利用されるツールやソフトウェアから検出されたアクティビティ。
  • Cloud SQL Ransom: Cloud SQL データベース内のデータ漏洩やランサムに関連するアクティビティを検出します。
  • Kubernetes の不審なツール: オープンソースの Kubernetes ツールによる偵察攻撃や悪用の動作を検出します。
  • Kubernetes RBAC の不正使用: 権限昇格やラテラル ムーブメントを試みるロールベースのアクセス制御(RBAC)の不正使用に関連する Kubernetes アクティビティを検出します。
  • Kubernetes 証明書に影響するアクション: 永続性の確立や権限の昇格に使用できる Kubernetes 証明書と証明書署名リクエスト(CSR)の動作を検出します。
  • IAM の不正使用: IAM のロールと権限を不正使用して、特定の Cloud プロジェクト内または Cloud 組織全体で潜在的に権限を昇格または移動させることに関連するアクティビティ。
  • 潜在的な引き出しのアクティビティ: 潜在的なデータの引き出しに関連するアクティビティを検出します。
  • リソース マスカレード: 別のリソースまたはリソースタイプの名前や特徴を使用して作成された Google Cloud リソースを検出します。これは、正当なリクエストであるように意図してリソースにより実行される、またはリソース内で実行される悪意のあるアクティビティをマスクするために使用できます。
  • サーバーレスの脅威 : Google Cloudのサーバーレス リソース(Cloud Run や Cloud Run 関数など)の潜在的な侵害や不正使用に関連するアクティビティを検出します。
  • サービスの中断: 正常に稼働している本番環境で行われた場合に、重大なサービス停止を引き起こす可能性がある破壊的または混乱を引き起こすアクションを検出します。検出された動作は一般的な動作であり、テスト環境と開発環境では無害である可能性があります。
  • 不審なアクティビティ: ほとんどの環境で、一般的ではなく疑わしいと考えられるアクティビティ。
  • 不審なインフラストラクチャ変更: 既知の永続性戦術に合わせて本番環境のインフラストラクチャに対する変更を検出します。
  • 脆弱な構成: セキュリティ制御の脆弱化または低下に関連するアクティビティ。不審と考えられ、組織の使用状況に応じて潜在的に正当と考えられます。
  • Chrome からの内部データの不正流出の可能性: データの不正流出や Google Workspace 組織外への機密データの損失など、潜在的な内部脅威の動作に関連するアクティビティを検出します。これには、30 日間のベースラインと比較して異常と見なされる Chrome の動作が含まれます。
  • ドライブからの内部データの不正流出の可能性: データの不正流出や、Google Workspace 組織の外部への機密データの損失など、潜在的な内部脅威の動作に関連するアクティビティを検出します。これには、30 日間のベースラインと比較して異常と見なされるドライブの動作が含まれます。
  • Gmail からの内部データの漏洩の可能性: データの漏洩や、Google Workspace 組織の外部への機密データの損失など、内部脅威の潜在的な行為に関連するアクティビティを検出します。これには、30 日間のベースラインと比較して異常と見なされる Gmail の動作が含まれます。
  • Workspace アカウントの不正使用の可能性: アカウントが不正使用された可能性があり、Google Workspace 組織内での権限の昇格や横方向への移動の試みにつながる可能性があることを示す内部脅威の動作を検出します。これには、30 日間のベースラインと比較してまれまたは異常と見なされる動作が含まれます。
  • Workspace の管理操作の不審な動作: 管理者などの上位権限を持つユーザーによる、回避、セキュリティのダウングレード、過去 30 日間に見られなかったまれな異常な動作を示す動作を検出します。

サポート対象のデバイスとログタイプ

以降のセクションでは、Cloud 脅威カテゴリのルールセットに必要なデータについて説明します。

Google Cloud サービスからデータを取り込むには、Google Security Operations への Cloud ログの取り込みをご覧ください。別の仕組みを使用してこれらのログを収集する必要がある場合は、Google Security Operations の担当者にお問い合わせください。

Google Security Operations には、 Google Cloud サービスから取得した未加工のログを解析し、正規化するデフォルトのパーサーが用意されており、これらのルールセットで必要なデータを使用して UDM レコードを作成します。

Google Security Operations がサポート対象とするすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。

すべてのルールセット

ルールセットを使用するには、 Google CloudCloud Audit Logs を収集することをおすすめします。一部のルールでは、お客様が Cloud DNS ロギングを有効にする必要があります。 Google Cloud サービスが、次のログにデータを記録するように構成されていることを確認します。

Cloud SQL ランサム ルールセット

Cloud SQL ランサム ルールセットを使用するには、次の Google Cloud データを収集することをおすすめします。

CDIR SCC 拡張ルールセット

CDIR SCC Enhanced で始まるすべてのルールセットは、次のような他の Google Cloud ログソースのコンテキスト情報に基づく Security Command Center Premium の検出結果を使用します。

  • Cloud Audit Logs
  • Cloud DNS のログ
  • Identity and Access Management(IAM)の分析
  • Sensitive Data Protection のコンテキスト
  • BigQuery のコンテキスト
  • Compute Engine のコンテキスト

CDIR SCC Enhanced ルールセットを使用するには、次の Google Cloud データを収集することをおすすめします。

  • [すべてのルールセット] セクションにリストされているデータをログに記録します。

  • 次のログデータがプロダクト名と Google Security Operations の取り込みラベルで一覧表示されています。

    • BigQuery(GCP_BIGQUERY_CONTEXT
    • Compute Engine(GCP_COMPUTE_CONTEXT
    • IAM(GCP_IAM_CONTEXT
    • Sensitive Data Protection(GCP_DLP_CONTEXT
    • Cloud Audit Logs(GCP_CLOUDAUDIT
    • Google Workspace のアクティビティ(WORKSPACE_ACTIVITY
    • Cloud DNS クエリ(GCP_DNS

  • 次の Security Command Center 検出結果クラスは、findingClass 識別子と Google Security Operations 取り込みラベルで一覧表示されています。

    • ThreatGCP_SECURITYCENTER_THREAT
    • MisconfigurationGCP_SECURITYCENTER_MISCONFIGURATION
    • VulnerabilityGCP_SECURITYCENTER_VULNERABILITY
    • SCC ErrorGCP_SECURITYCENTER_ERROR

CDIR SCC エンハンスト ルールセットは、 Google Cloud サービスのデータにも依存します。必要なデータを Google Security Operations に送信するには、次の操作が完了していることを確認してください。

次のルールセットは、Security Command Center Event Threat DetectionGoogle Cloud ArmorSecurity Command Center の Sensitive Actions ServiceEvent Threat Detection 用のカスタム モジュールからの検出結果が特定されると、検出を作成します。

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • CDIR SCC の影響
  • CDIR SCC のエンハンスト永続性
  • CDIR SCC のエンハンスト防御回避
  • CDIR SCC カスタム モジュール

Kubernetes の不審なツールのルールセット

Kubernetes の不審なツールのルールセットを使用するには、すべてのルールセット セクションに記載されているデータを収集することをおすすめします。 Google Cloudサービスが、Google Kubernetes Engine(GKE)ノードログにデータを記録するように構成されていることを確認します。

Kubernetes RBAC の不正行為のルールセット

Kubernetes RBAC の不正使用ルールセットを使用するには、すべてのルールセットセクションの一覧に記載されている Cloud 監査ログを収集することをおすすめします。

Kubernetes 証明書に影響するアクションのルールセット

Kubernetes 証明書に影響するアクションのルールセットを使用するには、すべてのルールセットセクションに一覧表示されているCloud 監査ログを収集することをおすすめします。

Google Workspace 関連のルールセット

次のルールセットは、Google Workspace データのパターンを検出します。

  • Chrome から内部データが漏洩している可能性がある
  • ドライブから内部データが漏洩している可能性
  • Gmail からの内部データの不正流出の可能性
  • Workspace アカウントの不正使用の可能性
  • ワークスペースの管理操作に関する疑わしい行為

これらのルールセットでは、プロダクト名と Google Security Operations の取り込みラベルで示されている次のログタイプが必要です。

  • Workspace アクティビティ(WORKSPACE_ACTIVITY
  • Workspace アラート(WORKSPACE_ALERTS
  • Workspace の ChromeOS デバイス(WORKSPACE_CHROMEOS
  • Workspace のモバイル デバイス(WORKSPACE_MOBILE
  • Workspace ユーザー(WORKSPACE_USERS
  • Google Chrome ブラウザ クラウド管理(CHROME_MANAGEMENT
  • Gmail のログ(GMAIL_LOGS

必要なデータを取り込む手順は次のとおりです。

サーバーレス脅威ルールセット

Cloud Run ログには、Google Security Operations で GCP_RUN ログタイプとして取り込まれるリクエストログとコンテナログが含まれます。GCP_RUN ログは、直接取り込みまたはフィードと Cloud Storage を使用して取り込むことができます。特定のログフィルタと取り込みの詳細については、 Google Cloud ログを Google Security Operations にエクスポートするをご覧ください。次のエクスポート フィルタは、直接取り込みメカニズムおよび Cloud Storage とシンクの両方を介するデフォルトログに加えて、 Google Cloud Cloud Run(GCP_RUN)ログをエクスポートします。

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

AWS ルールセットのキュレートされた検出

このカテゴリの AWS ルールセットは、イベントデータとコンテキスト データを使用して AWS 環境での脅威を識別するのに役立ちます。次のルールセットが含まれています。

  • AWS - コンピューティング: EC2 や Lambda などの AWS コンピューティング リソースに関する異常なアクティビティを検出します。
  • AWS - データ: 一般公開されている RDS スナップショットや S3 バケットなどのデータリソースに関連する AWS アクティビティを検出します。
  • AWS - GuardDuty: 行動、クレデンシャル アクセス、クリプトマイニング、検出、回避、実行、引き出し、影響、初期アクセス、マルウェア、ペネトレーション テスト、永続性、ポリシー、権限昇格、未承認アクセスに対するコンテキストアウェア AWS GuardDuty アラート。
  • AWS - ハックツール: スキャナ、ツールキット、フレームワークなどの AWS 環境でのハックツールの使用を検出します。
  • AWS - ID: 複数の地理位置情報からの異常なログイン、制限が緩すぎるロールの作成、不審なツールからの IAM アクティビティなど、IAM と認証アクティビティに関連する AWS アクティビティの検出。
  • AWS - ロギングとモニタリング: CloudTrail、CloudWatch、GuardDuty などのロギング サービスとモニタリング サービスの無効化に関連する AWS アクティビティを検出します。
  • AWS - ネットワーク: セキュリティ グループやファイアウォールなどの AWS ネットワーク設定に対する安全でない変更を検出します。
  • AWS - 組織: アカウントの追加や削除、リージョンの使用に関連する予期しないイベントなど、組織に関連する AWS アクティビティを検出します。
  • AWS - シークレット: KMS シークレットや Secrets Manager シークレットの削除など、シークレット、トークン、パスワードに関連する AWS アクティビティを検出します。

AWS でサポートされているデバイスとログタイプ

これらのルールセットはテスト済みであり、プロダクト名と取り込みラベルで一覧表示された次の Google Security Operations データソースでサポートされています。

AWS データの取り込みを設定するには、AWS データの取り込みの構成をご覧ください。

すべてのサポートされているデータソースのリストについては、サポートされているデフォルトのパーサーをご覧ください。

以下のセクションでは、データのパターンを識別するルールセットが必要とする必要なデータについて説明します。

ソースタイプとして Amazon Simple Storage Service(Amazon S3)バケットを使用して AWS データを取り込むことができます。また、必要に応じて、Amazon Simple Queue Service(Amazon SQS)で Amazon S3 を使用して取り込むこともできます。高レベルでは、以下を行う必要があります。

  • ログデータを収集するように Amazon S3 または Amazon S3 と Amazon SQS を構成します。
  • Amazon S3 または Amazon SQS からデータを取り込むように Google Security Operations フィードを構成します。

AWS サービスを構成し、AWS データを取り込むように Google Security Operations フィードを構成する詳細な手順については、AWS ログを Google Security Operations に取り込むをご覧ください。

AWS Managed Detection Testing テストルールを使用すると、AWS データが Google Security Operations SIEM に取り込まれていることを確認できます。これらのテストルールは、AWS ログデータが想定どおりに取り込まれているかどうかを確認するのに役立ちます。AWS データの取り込みを設定したら、テストルールをトリガーする必要がある AWS のアクションを行います。

AWS Managed Detection Testing テストルールを使用して AWS データの取り込みを検証する方法については、クラウド脅威のカテゴリについて AWS データの取り込みを検証するをご覧ください。

Azure データのキュレートされた検出

このカテゴリの特定のルールセットは、Azure データと連携して、イベントデータ、コンテキスト データ、アラートを使用して Azure 環境内の脅威を特定するように設計されています。たとえば、次のような場合です。

  • Azure - コンピューティング: Kubernetes や仮想マシン(VM)などの Azure コンピューティング リソースに関連する異常なアクティビティを検出します。
  • Azure - データ: Azure blob の権限、変更、テナントで Azure サービスを使用するための外部ユーザーへの招待など、データリソースに関連するアクティビティを検出します。
  • Azure - Defender for Cloud: すべての Azure クラウド サービス全体で、ユーザーの動作、認証情報のアクセス、クリプトマイニング、検出、回避、実行、引き出し、影響、初期アクセス、マルウェア、侵入テスト、永続性、ポリシー、権限昇格、不正アクセスに関連する、コンテキスト対応の Microsoft Defender for Cloud から受信したアラートを特定します。
  • Azure - ハックツール: Tor や VPN の匿名化ツール、スキャナ、レッドチーム ツールキットなど、Azure 環境でのハッキング ツールの使用を検出します。
  • Azure - ID: 認証と認可に関連するアクティビティを検出し、複数の地理的位置からの同時アクセス、過度に緩いアクセス管理ポリシー、不審なツールからの Azure RBAC アクティビティなどの異常な動作を示します。
  • Azure - ロギングとモニタリング: Azure 内のロギング サービスとモニタリング サービスの無効化に関連するアクティビティを検出します。
  • Azure - ネットワーク: セキュリティ グループやファイアウォール、Azure ウェブ アプリケーション ファイアウォール、サービス拒否ポリシーなど、Azure ネットワーク デバイスや設定に対する安全でない変更を検出します。
  • Azure - 組織: サブスクリプションやアカウントの追加や削除など、組織に関連するアクティビティを検出します。
  • Azure - シークレット: シークレット、トークン、パスワードに関連するアクティビティを検出します(Azure Key Vault またはストレージ アカウントのアクセスキーの変更など)。

Azure でサポートされているデバイスと必要なログタイプ

これらのルールセットはテスト済みであり、プロダクト名と Google SecOps 取り込みラベルで示されている次のデータソースでサポートされています。

Azure と Microsoft Entra ID のデータを取り込む

ルールカバレッジを最大限にするには、すべてのデータソースからデータを取り込む必要があります。各ソースからデータを取り込む方法については、次のドキュメントをご覧ください。

次のセクションでは、事前定義されたテストルールを使用して Azure データの取り込みを検証する方法について説明します。

Azure データの取り込みを確認する

Google SecOps の [データの取り込みと健全性] ダッシュボードでは、SIEM 取り込み機能を使用して Google SecOps に取り込まれるすべてのデータの種類、量、健全性に関する情報を確認できます。

Azure Managed Detection Testing テストルールを使用して、Azure データの取り込みを確認することもできます。取り込みを設定したら、テストルールをトリガーする必要がある Azure Portal のアクションを実行します。これらのチェックは、データが取り込まれ、Azure データのキュレートされた検出を使用するのに適切な形式であることを確認することを目的としています。

Azure Managed Detection Testing のテストルールを有効にする

  1. Google Security Operations で、[検出] > [ルールと検出] をクリックして、[キュレーションされた検出機能] ページを開きます
  2. [Managed Detection Testing] > [Azure Managed Detection Testing] を選択します。
  3. Broad ルールと Precise ルールでステータスアラートの両方を有効にします。

ユーザー アクション データを送信してテストルールをトリガーする

データが想定どおりに取り込まれることを確認するには、ユーザーを作成してログインし、これらのアクションがテストルールをトリガーすることを確認します。Microsoft Entra ID でユーザーを作成する方法については、ユーザーの作成、招待、削除方法をご覧ください。

  1. Azure で新しい Microsoft Entra ID ユーザーを作成します。

    1. Azure Portal に移動します。
    2. Microsoft Entra ID を開きます。
    3. [追加]、[新しいユーザーを作成] の順にクリックします。ユーザーを定義するには、次の操作を行います。
      1. 次の情報を入力します。
        • ユーザー プリンシパル名: GCTI_ALERT_VALIDATION
        • ユーザー プリンシパル名: GCTI_ALERT_VALIDATION
        • 表示名: GCTI_ALERT_VALIDATION
      2. [パスワードを自動生成する] を選択して、このユーザーのパスワードを自動生成します。
      3. [アカウントが有効] チェックボックスをオンにします。
      4. [レビュー + 作成] タブを開きます。
      5. 自動生成されたパスワードをメモします。このトークンは、次の手順で使用します。
      6. [作成] をクリックします。
    4. シークレット モードでブラウザ ウィンドウを開き、Azure Portal に移動します。
    5. 新しく作成したユーザーとパスワードでログインします。
    6. ユーザーのパスワードを変更します。
    7. 組織のポリシーに従って、多要素認証(MFA)に登録します。
    8. Azure Portal から正常にログアウトしたことを確認します。

  2. Google Security Operations でアラートが作成されていることを確認する手順は次のとおりです。

    1. Google Security Operations で、[検出] > [ルールと検出] をクリックして、[キュレーションされた検出機能] ページを開きます

    2. [ダッシュボード] をクリックします。

    3. 検出のリストで、次のルールがトリガーされたことを確認します。

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

  3. データが送信され、これらのルールがトリガーされたことを確認したら、ユーザー アカウントを無効にするか、プロビジョニング解除します。

サンプル アラートを送信してテストルールをトリガーする

Azure でサンプル セキュリティ アラートを生成してテストルールがトリガーされることを確認するには、次の操作を行います。Microsoft Defender for Cloud でサンプル セキュリティ アラートを生成する方法については、Microsoft Defender for Cloud でのアラートの検証をご覧ください。

  1. Azure ポータルで、[すべてのサービス] に移動します。
  2. [セキュリティ] で [Microsoft Defender for Cloud] を開きます。
  3. [セキュリティ アラート] に移動します。
  4. [サンプル アラート] をクリックして、次の操作を行います。
    1. 定期購入を選択します。
    2. [Defender for Cloud プラン] で [すべて] を選択します。
    3. [サンプル アラートを作成] をクリックします。
  5. テストアラートがトリガーされたことを確認する
  6. Google Security Operations で、[検出] > [ルールと検出] をクリックして、[キュレーションされた検出機能] ページを開きます
  7. [ダッシュボード] をクリックします。
  8. 検出のリストで、次のルールがトリガーされたことを確認します。
    • tst_azure_activity
    • tst_azure_defender_for_cloud_alerts

Microsoft Graph Explorer で GET API リクエストを実行してテストルールをトリガーする

Azure でサンプル セキュリティ アラートを生成するとテストルールがトリガーされることを確認するには、次の操作を行います。

  1. Microsoft Graph Explorer に移動します。
  2. 右上隅で適切なテナントが選択されていることを確認します。
  3. [クエリを実行] をクリックします。
  4. テストアラートがトリガーされたことを確認する
  5. Google Security Operations で、[検出] > [ルールと検出] をクリックして、[キュレーションされた検出機能] ページを開きます
  6. [ダッシュボード] をクリックします。
  7. 検出のリストで、tst_microsoft_graph_api_get_activity ルールがトリガーされたことを確認します。

Azure Managed Detection Testing のルールセットを無効にする

  1. Google Security Operations で、[検出] > [ルールと検出] をクリックして、[キュレーションされた検出機能] ページを開きます
  2. [Managed Detection Testing] > [Azure Managed Detection Testing] のルールを選択します。
  3. Broad ルールと Precise ルールでステータスアラートの両方を無効にします。

ルールセットから返されるアラートの調整

ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。

ルールの除外では、ルールセットまたはルールセット内の特定のルールによる評価対象からイベントを除外するために使用される条件を定義します。1 つ以上のルールの除外を作成して、検出の量を減らします。これを行う方法については、ルール除外を構成するをご覧ください。

次のステップ