icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

アラートルールの設定

セキュリティとUEBAアラートに関する(構成を含む)ビデオを見ます

アラート ルールを構成して、各イベントの種類と脅威の重大度の高レベルの統計を取得できます。組織のトラフィックに基づいてアラート ルールを表示、管理、作成、および調整できます。詳細については、セキュリティ アラートについてを参照してください。

アラート ルールの追加

アラート ルールを追加する手順は次の通りです。

  1. [アラート]>[アラート ルール]に移動します。
  2. [アラート ルールの追加]をクリックします。

    [アラート ルールの追加]ウィンドウが表示されます。

  3. [アラート ルールの追加ウィンドウで、]次の操作を行います。
    1. [アラート定義]セクションで、適切なパラメーターを構成します。
      • アラート名:アラート名を入力します。 最大長は31文字です。
      • [アラート クラス]:ルールのアラート クラスを選択します。既定では、アラート クラスは[セキュリティ]に設定されています。
      • ステータス:ルールのステータスを選択します。
    2. [アラート トリガー条件]セクションで、適切なパラメーターを構成します。
        • [イベントの種類]:ルールのイベントの種類を選択します。[高度な脅威対策]、[マルウェア対策]、または[サンドボックス]のリストから選択します。
        • 時間間隔内:イベントの発生によってアラートがトリガーされる期間を選択します。10分、15分、30分、45分、1時間から選択できます。
        • [フィルターを追加]:セキュリティ アラートにフィルターを追加して、ルールをより具体的にすることができます。フィルターは、[ロケーション]、[ユーザー]、[部署]、および[影響を受けたシステム]に適用できます。
        閉じる
        • [イベントの種類]:ルールのイベントの種類を選択します。ドロップダウンから[アクセス]、[データ]、または[権限]を選択します。
        • [アラート タイプ]:ルールのアラート タイプを選択します。アラート タイプは、選択した[イベントの種類]によって異なります。各チャネル タイプには、選択できる異なるアラート タイプがあります。アラートの種類のリストには、次のものが含まれます。
          • アラートタイプ説明
            インボイスのアップロード短期間にインボイスをアップロードしたユーザーを特定します。
            税務文書のアップロード短期間に税務文書をアップロードしたユーザーを特定します。
            履歴書のアップロード短期間に履歴書をアップロードしたユーザーを特定します。
            医療文書のアップロード短期間に医療文書をアップロードしたユーザーを特定します。
            不動産文書のアップロード短期間に不動産文書をアップロードしたユーザーを特定します。
            法的文書のアップロード短期間に法的文書をアップロードしたユーザーを特定します。
            裁判所の様式文書のアップロード短期間に裁判所の様式文書をアップロードしたユーザーを特定します。
            技術文書のアップロード短期間に技術文書をアップロードしたユーザーを特定します。
            輸送および自動車関連の文書のアップロード輸送と自動車関連の文書を短期間にアップロードしたユーザーを特定します。
            出入国書類のアップロード短期間に出入国書類をアップロードしたユーザーを特定します。
            保険書類のアップロード短期間に保険書類をアップロードしたユーザーを特定します。
            企業の財務文書のアップロード短期間に企業の財務文書をアップロードしたユーザーを特定します。
            企業の法的文書のアップロード短期間に法的文書をアップロードしたユーザーを特定します。
            パスワードで保護または暗号化された文書によるデータ流出暗号化またはパスワードを適用した後にデータを共有したユーザーを特定して、コンテンツのインスペクションを回避します。
            高リスク国へのアップロード不審な国のロケーションにデータをアップロードしたユーザーを特定します。
            高リスク国からのアップロード不審な国のロケーションからデータをアップロードしたユーザーを特定します。
            一括アクティビティーアラート短期間に特定の一連のアクティビティーを実行したユーザーを特定します。このアラートを通じて、ユーザーについてSaaSセキュリティAPI用の複数のアクティビティーを追跡できます。
            サポートされているアクティビティー:アップロード、共有、作成、編集、削除、コメント、ダウンロード、名前の変更、フォーム共有、ファイル転送、チャット、投稿、Eメールの送信、添付ファイルの送信、コメント
            機密データの一括アップロード機密データを短期間にアップロードしたユーザーを特定します。
            機密データの一括ダウンロード機密データを短期間にダウンロードしたユーザーを特定します。
            閉じる
          • アラートタイプ説明
            不可能な移動短期間に異なるロケーションから組織のアプリケーションにアクセスするユーザーを特定します。
            複数の失敗ログイン短期間に組織のアプリケーションへのログイン試行が複数回失敗したユーザーを特定します。
            データの一括ダウンロード短期間に大量のダウンロード アクティビティーが発生するユーザーを特定します。
            データの一括アップロード短期間に大量のアップロード アクティビティーが発生するユーザーを特定します。
            外部共有のコード リポジトリー組織のコード リポジトリーにアクセスする外部ユーザーを特定します。
            コード リポジトリーが公開されました組織のコード リポジトリーが公開されているかどうかを特定します。
            ファイルの一括削除短期間に大量の削除アクティビティーが発生するユーザーを特定します。
            データの一括共有短期間に大量の共有アクティビティーが発生するユーザーを特定します。
            過剰な管理者アクティビティー短期間に高度な管理者アクティビティーを実行しているユーザーを特定します。
            閉じる
        • [チャネル]: [インライン]と[API]のいずれかからチャネルを選択します。デフォルトで、APIチャネルにのみ適用されるアラート ルールでは、チャネルは[API]に設定されます。
        • 時間間隔内:イベントの発生によってアラートがトリガーされる期間を選択します。
        • [失敗したログインの回数]:ログイン試行に失敗し、アラート ルールがトリガーされた回数を入力します。
        • [テナント]:アラート ルールを適用するテナントを選択します。
        • [ファイル数が次の値より大きい]:トリガーを設定するファイル数を入力します。このルールは、データの一括アップロードまたはダウンロードに使用され、ファイル数が設定された数よりも大きい場合にトリガーされます。
        • [ドキュメントの種類]:アラート ルールを適用するドキュメントの種類を選択します。
        • [DLPエンジン]:ルールのDLPエンジンを選択します。1つまたは複数のエンジンを選択できます。
        • [データ タイプ]:ルールのデータのタイプを選択します。デフォルトでは、データ タイプは[すべてのデータ タイプ]に設定されています。
        • [アクティビティー数が次の値より大きい]:トリガーを設定するアクティビティー数を入力します。このルールはデータの一括共有に使用され、アクティビティーの数が設定された数よりも大きい場合にトリガーされます。
        • [アクティビティー]:ルールを適用するアクティビティーのタイプを選択します。
        • []:ルールを適用する国を選択します。ドロップダウン メニューから、1つ、複数、またはすべての国を選択できます。
        閉じる
    3. セキュリティ アラートの場合、[評価ステータス]セクションで、アラート ルールをトリガーするには、[アラートの更新を__間隔ごとに送信]を有効にし、アラートをトリガーする回数を[間隔]フィールドに追加します。
    4. UEBAアラートの場合は、[アクション]で[アラート]、[多要素認証をトリガー]、[ユーザーをグループに配置する]のいずれかを選択して、アラート ルールをトリガーします。[アクション]の[ユーザーをグループに配置する]で、[ユーザー グループ]と[時間間隔]を選択します。
    5. [受信者]セクションで、適切なパラメーターを構成します。

      • ウェブフック:リストからウェブフックを選択します。
      • 電子メール アドレス:電子メール アドレス、アドレス、または電子メール エイリアスを追加して、ZIAアラートのアラート電子メール通知をトリガーします。

  4. 保存変更を有効にする をクリックします。

アラートルールの編集

既存のアラート ルールを編集するには、以下の操作を行います。

  1. [アラート]>[アラート ルール]に移動します。
  2. アラート テーブルで、[編集]アイコンをクリックして、選択した構成済みアラート ルールを編集します。

    [アラート ルールの編集]ウィンドウが表示されます。

  3. [アラート ルールの編集]ウィンドウで、次の操作を行います。
    1. [アラート定義]セクションで、適切なパラメーターを構成します。
      • アラート名:アラート名を入力します。 最大長は31文字です。
      • [アラート クラス]:ルールのアラート クラスを選択します。既定では、アラート クラスは[セキュリティ]に設定されています。
      • ステータス:ルールのステータスを選択します。
    2. [アラート トリガー条件]セクションで、適切なパラメーターを構成します。
        • [イベントの種類]:ルールのイベントの種類を選択します。[高度な脅威対策]、[マルウェア対策]、または[サンドボックス]のリストから選択します。
        • 時間間隔内:イベントの発生によってアラートがトリガーされる期間を選択します。10分、15分、30分、45分、1時間から選択できます。
        • [フィルターを追加]:セキュリティ アラートにフィルターを追加して、ルールをより具体的にすることができます。フィルターは、[ロケーション]、[ユーザー]、[部署]、および[影響を受けたシステム]に適用できます。
        閉じる
        • [イベントの種類]:ルールのイベントの種類を選択します。ドロップダウンから[アクセス]、[データ]、または[権限]を選択します。
        • [アラート タイプ]:ルールのアラートのタイプを選択します。アラート タイプは、選択した[イベントの種類]によって異なります。
        • [チャネル]: [インライン]と[API]のいずれかからチャネルを選択します。デフォルトで、APIチャネルにのみ適用されるアラート ルールでは、チャネルは[API]に設定されます。
        • 時間間隔内:イベントの発生によってアラートがトリガーされる期間を選択します。
        • [失敗したログインの回数]:ログイン試行に失敗し、アラート ルールがトリガーされた回数を入力します。
        • [テナント]:アラート ルールを適用するテナントを選択します。
        • [ファイル数が次の値より大きい]:トリガーを設定するファイル数を入力します。このルールは、データの一括アップロードまたはダウンロードに使用され、ファイル数が設定された数よりも大きい場合にトリガーされます。
        • [ドキュメントの種類]:アラート ルールを適用するドキュメントの種類を選択します。
        • [DLPエンジン]:ルールのDLPエンジンを選択します。1つまたは複数のエンジンを選択できます。
        • [データ タイプ]:ルールのデータのタイプを選択します。デフォルトでは、データ タイプは[すべてのデータ タイプ]に設定されています。
        • [アクティビティー数が次の値より大きい]:トリガーを設定するアクティビティー数を入力します。このルールはデータの一括共有に使用され、アクティビティーの数が設定された数よりも大きい場合にトリガーされます。
        • [アクティビティー]:ルールを適用するアクティビティーのタイプを選択します。
        • []:ルールを適用する国を選択します。ドロップダウン メニューから、1つ、複数、またはすべての国を選択できます。
        閉じる
    3. セキュリティ アラートの場合、[評価ステータス]セクションで、アラート ルールをトリガーするには、[アラートの更新を__間隔ごとに送信]を有効にし、アラートをトリガーする回数を[間隔]フィールドに追加します。
    4. UEBAアラートの場合は、[アクション]で[アラート]、[多要素認証をトリガー]、[ユーザーをグループに配置する]のいずれかを選択して、アラート ルールをトリガーします。[アクション]の[ユーザーをグループに配置する]で、[ユーザー グループ]と[時間間隔]を選択します。
    5. [受信者]セクションで、適切なパラメーターを構成します。

      • ウェブフック:リストからウェブフックを選択します。
      • 電子メール アドレス:電子メール アドレス、アドレス、または電子メール エイリアスを追加して、ZIAアラートのアラート電子メール通知をトリガーします。

  4. [保存]をクリックし、変更を有効にします

アラート ルールの例外

UEBAアラートには、アラート ルールから複数のユーザーを除外するオプションも用意されています。例外リストに特定のユーザーを残す場合、そのユーザーは選択したアプリケーションのトラフィックでアラートの評価から除外されます。

ユーザーの例外のリストを編集するには、次の操作を実行します。

  1. [アラート ルール]テーブルから既存のアラートを編集します。

    [アラート ルールを編集]ウィンドウが表示されます。

  2. [例外]をクリックします。

    評価から除外されたユーザーのリストが表示されます。

  3. リストからユーザーを削除するには、名前の横にある[削除]アイコン(xアイコン)をクリックします。

  4. [保存]をクリックし、変更を有効にします
関連記事s
セキュリティ アラートとUEBAアラートについて進行中のアラートについてアラートの履歴アラートルールについてアラートルールの設定WebhookについてWebhookの追加