検出ルールの管理

共有

この記事は役に立ちましたか?

最終更新:

検出ルールガイド

SecurityCoachの[検出ルール]サブタブでは、検出ルールを作成および管理できます。検出ルールとは、統合されたベンダーから提供されるデータを使用して、どのようなリスクの高いアクティビティを追跡するかを定めます。例えば、ユーザーがリスクの高いWebサイトや禁止されているWebサイトにアクセスしたとき、悪意のある添付ファイルをダウンロードしたとき、また、フィッシングリンクをクリックしたときなどを検出しなければならない場合があります。

KnowBe4は、統合されたベンダーのデフォルトポリシーに基づくシステム検出ルールを提供します。これらのルールはデフォルトで有効になり、特に設定する必要はありません。利用可能なシステム検出ルールについては、「ベンダー別のシステム検出ルール」の記事を参照してください。また、ベンダーのプラットフォームで設定したカスタムポリシーに準ずるカスタム検出ルールを作成することも可能です。

ユーザーが検出ルールをトリガーした場合、ユーザーのタイムラインにイベントが表示されます。また、検出ルールを使用して、リアルタイムコーチングキャンペーンを作成することも可能です。

SecurityCoachの一般情報については「SecurityCoach製品マニュアル」を参照してください。

検出ルールの準備

検出ルールの作業を開始する前に、以下のステップを実行することをお勧めします。

  1. サードパーティベンダーとSecurityCoachを統合します。詳細については、「インテグレーションの設定」のセクションを参照してください。
  2. SecurityTipsの配信方法を追加します。詳細については、以下の「ベンダーインテグレーションガイド」を参照してください。

カスタム検出ルールの作成

SecurityCoachでカスタム検出ルールを使用するには、セキュリティベンダーのプラットフォームでそのルールに対応するカスタムポリシーを最初に設定します。カスタム検出ルールを正しく動作させるためには、セキュリティベンダーのカスタムポリシーと一致させる必要があります。

注:カスタム検出ルールに対するKnowBe4のサポートには制約があり、カスタムルールを作成することはできません。

カスタム検出ルールを作成するには、以下のステップに従って操作します。

  1. KnowBe4セキュリティ意識向上トレーニング(KSAT)コンソールにログインして、[SecurityCoach]タブ > [検出ルール]サブタブに移動します。
  2. ページの右上隅にある[+ 検出ルールの作成]ボタンをクリックします。
  3. [新しい検出ルールの作成]ページの各フィールドに情報を入力します。これらのフィールドの詳細については、以下のスクリーンショットとリストを参照してください。
    1. [名前]:検出ルールの名前を入力します。
    2. [検出ルールの有効化]:このチェックボックスを選択すると、ルールを作成した時にルールが有効になります。ユーザーのタイムラインにイベントを追加し、リアルタイムコーチングキャンペーンで使用するには、検出ルールを有効にする必要があります。

    3. [ベンダー]:検出ルールのベンダーを選択します。

      注:このドロップダウンメニューにベンダーを表示するには、ベンダーをSecurityCoachと統合しておく必要があります。KSATベンダーはデフォルトで統合されています。ベンダー統合の詳細については、「インテグレーションの設定」のセクションを参照してください。
    4. [カテゴリ]:検出ルールのカテゴリを選択します。
    5. [リスクレベル]:検出ルールのリスクレベルを選択します。
    6. [説明]:検出ルールの説明を入力します。例えば、ルールの目的を説明したり、他の管理者がそのルールについて把握しておくべき情報を説明に含めることができます。
    7. [新しい基準]:3つのドロップダウンリストを使用して、検出ルールの基準を作成します。次に、[基準の追加]をクリックして、検出ルールに基準を追加します。必要に応じて、このプロセスを繰り返して、検出ルールの基準を追加できます。検出ルールの基準に使用できる演算子の詳細については、以下の「検出ルールの演算子」のセクションを参照してください。
    8. [このルールは、ユーザーがイベントの条件を満たしている場合に必ずトリガーする]:このオプションを選択すると、設定された条件を満たすイベントが発生すると、必ずルールがトリガーされます。

    9. [設定した期間(日数)内にユーザーが最低限必要な数のイベントを満たした場合に、このルールをトリガーする]:このオプションを選択すると、設定した日数の間に指定した回数だけ基準を満たしている場合にのみ、検出ルールがトリガーされます。例えば、この設定を使用して、30日以内に対象のイベントが3回発生したユーザーについて検出ルールをトリガーできます。

      [最小回数][長さ(日数)]フィールドの詳細については、以下を参照してください。

      • [最小回数]:このルールをトリガーする条件となる、対象イベントの最小回数を入力します。
      • [長さ(日数)]:このルールをトリガーする条件となる、ユーザーが最小回数の対象イベントを発生させた日数を入力します。
    10. [ルールの作成]:設定を確認して、新しい検出ルールを作成します。
    11. [キャンセル]:検出ルールの作成をキャンセルして、前のページに戻ります。
  4. [ルールの作成]をクリックします。

検出ルールの演算子

検出ルールの基準を作成するときには、以下の演算子を使用できます。

演算子 詳細
一致 この演算子は、フィールドと値が一致しているかどうかをチェックします。この演算子を使用する場合、入力できる値は1つだけです。
一致しない この演算子は、フィールドと値が一致していないかどうかをチェックします。この演算子を使用する場合、入力できる値は1つだけです。
含む この演算子は、フィールドに値が含まれているかどうかをチェックします。この演算子を使用する場合、入力できる値は1つだけです。
含まない この演算子は、フィールドに値が含まれていないかどうかをチェックします。この演算子を使用する場合、入力できる値は1つだけです。
で始まる この演算子は、フィールドが値から始まっているかどうかをチェックします。この演算子を使用する場合、入力できる値は1つだけです。
で終わる この演算子は、フィールドが値で終わっているかどうかをチェックします。この演算子を使用する場合、入力できる値は1つだけです。
以下のいずれかで始まる この演算子は、フィールドがこれらの値のいずれかから始まっているかどうかをチェックします。
以下のいずれかで終わる この演算子は、フィールドがこれらの値のいずれかで終わっているかどうかをチェックします。
以下のいずれかを含む この演算子は、フィールドにいずれかの値が含まれているかどうかをチェックします。
以下のいずれも含まない この演算子は、フィールドにいずれの値も含まれていないかをチェックします。
以下のいずれか この演算子は、フィールドがいずれかの値と一致しているかどうかをチェックします。
以下のいずれでもない この演算子は、フィールドがいずれの値とも一致していないかをチェックします。

検出ルールの管理と編集

検出ルールを管理および編集するには、[SecurityCoach]タブ > [検出ルール]サブタブに移動します。

[検出ルール]サブタブのオプションの詳細については、以下のスクリーンショットとリストを参照してください。

  1. [ステータス]:このドロップダウンメニューをクリックすると、検出ルールをステータス別にフィルタリングできます。[全て][アクティブ][非アクティブ]、または[メンテナンス]を選択できます。
  2. [タイプ]:このドロップダウンメニューをクリックすると、検出ルールをタイプ別にフィルタリングできます。[全て][カスタム]、または[システム]を選択できます。
  3. [ベンダー]:このドロップダウンメニューをクリックすると、検出ルールをベンダー別にフィルタリングできます。
  4. [カテゴリ]:このドロップダウンメニューをクリックすると、検出ルールをカテゴリ別にフィルタリングできます。
  5. [検索]:このフィールドにキーワードを入力し、特定の検出ルールを検索します。
  6. 表:この表には、検出ルールのリストが含まれます。各検出ルールについて、[名前][ルールの説明][タイプ][ベンダー][カテゴリ][変更日]、および実行できる [アクション]を参照できます。
  7. トグル:このトグルを使用して、検出ルールを有効または無効に切り替えます。トグルがオフの場合、検出ルールは無効になります。トグルをオンの場合、検出ルールは有効になります。
  8. のアイコン:このアイコンをクリックして、システム検出ルールを表示します。このアイコンをクリックすると、[検出ルールの表示]ページが開き、システム検出ルールの詳細が表示されます。
  9. プラスアイコン:このアイコンをクリックして、検出ルールのリアルタイムコーチングキャンペーンを作成します。このアイコンをクリックすると、[リアルタイムコーチングキャンペーンの新規作成]ページが表示されます。リアルタイムコーチングキャンペーンの詳細については、「リアルタイムコーチングキャンペーンガイド」を参照してください。
  10. 点が3つ並んでいるアイコン:このアイコンをクリックすると、ドロップダウンメニューが開き、以下のオプションが表示されます。

    • [編集]:このアイコンをクリックして、[検出ルールの編集]ページを開きます。このページでは、必要に応じてカスタム検出ルールを編集できます。グレーアウトされているオプションは変更できません。次に、ページの左下隅にある[保存]ボタンをクリックして、変更内容を保存します。

      注:システムルールから検出ルールが複製されている場合、[デフォルト設定の復元]ボタンをクリックして、ルールをデフォルト設定に戻すこともできます。
    • [クローン]:このアイコンをクリックして、システム検出ルールのクローンを作成します。このアイコンをクリックすると、[検出ルールのクローン作成]ページが開きます。このページでは、ルールを変更して、カスタムルールとして保存できます。
    • [削除]:このアイコンをクリックして、カスタム検出ルールを削除します。
  11. [+ 検出ルールの作成]:このボタンをクリックして、新しい検出ルールを作成します。

検出ルールの例

検出ルールの例は、以下のスクリーンショットを参照してください。

この例では、検出ルールに以下の条件を追加しています。

  • [脅威カテゴリ][ユーザーによる一括転送]である。
  • [脅威カテゴリ][不信なメール転送操作]である。

この検出ルールは、どちらかの条件を満たしたときにトリガーされます。この設定でこのルールをトリガーするには、ユーザーが不信なメール転送操作またはメールの一括転送を行っている必要があります。

この記事は有用でしたか?

5人中4人がこの記事が役に立ったと言っています

お探しの情報が見つかりませんか?

サポートへの問い合わせ