[Rule Detection] ビューでのデータのフィルタリング

[Rule Detection] ビューには、ルールに添付されているメタデータと、最近のルール全体におけるルールの検出数を示すグラフが表示されます。

Chronicle で [Rule Detection] ビューにアクセスするには、次の手順を行います。

  1. 画面右上には、アプリケーション メニュー アイコン アプリケーション メニュー アイコン があります。アイコンをクリックすると、アプリケーションのプルダウン メニューを開きます。次の図に示すように、[Enterprise Insights] を選択します。

    ランディング ページのアプリケーション メニュー アプリケーション メニュー

  2. [View Rules] を選択します。[Rules Dashboard] ビューが表示されます。

    ルール ダッシュボード ルール ダッシュボード

  3. ルール名をクリックします。[Rule Detections] ビューが表示されます。

    [Rule Detections] ビュー [Rule Detections] ビュー

  4. 左側のナビゲーション パネルの [Detections] 列で、右矢印をクリックします。

    未加工ログイベントの詳細の検出 [Raw log detail] ポップアップ ウィンドウ

  5. Chronicle のユーザー インターフェースの右上にある フィルタ アイコン アイコンをクリックします。次の図に示すように、[Procedural Filtering] メニューを開きます。

    [Procedural Filtering] メニュー [Procedural Filtering] メニュー

    [Rule Detection] ビューには、次の [Procedural Filtering] オプションが表示されます(このリストには、すべてのフィルタリング オプションが含まれているわけではありません)。

    • METADATA.EVENT_TYPE
    • METADATA.PRODUCT_NAME
    • NETWORK.APPLICATION_PROTOCOL
    • NETWORK.DNS.QUESTIONS.CLASS
    • NETWORK.DNS.ANSWERS.DATA
    • NETWORK.DNS.ANSWERS.NAME
    • NETWORK.DNS.ANSWERS.TTL
    • NETWORK.DNS.ANSWERS.TYPE
    • NETWORK.DNS.QUESTIONS.CLASS
    • NETWORK.DNS.QUESTIONS.NAME
    • NETWORK.DNS.QUESTIONS.TYPE