コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=detection-rules

検出ルール

検出ルールを使用すると、脅威検出の処理方法を指定できます。

この機能を使用するには、スーパー管理者の権限が必要です。

現時点では、検出ルールを使用して不要な検出を抑制することのみが可能です。

検出の抑制

誤検知や頻繁に繰り返される検出を抑制する必要がある場合があります。これを行うためのルールを作成できます。

ルールを使用すると、ルールに一致する検出で次の処理が実行されないようにできます。

  • 検出」ページのリストに表示されます。
  • さらなる調査のためにケースを作成します。

ルールを使用すると、顧客が管理する XDR ケースを抑制できます。MDR ケースを抑制することはできません。

検出ルールの作成

次のように、既存の検出からルールを作成できます。

  1. 脅威解析センタ- > 検出」に移動します。

  2. リスト内の検出名の横にある 3つのドット 3つのドットアイコン。 をクリックし、「検出ルールの追加」を選択します。

    「検出ルールの追加」を表示しているその他のメニュー。

  3. 検出ルール設定で、次の手順を実行します。

    1. ルールの詳細」に、ルール名と説明を入力します。デフォルトでは、ルールは「有効」です。

    2. アクション」で、検出に対して実行するアクションを選択します。

      現在、「抑制」のみを選択できます。これにより、検出が検出リストに表示されたり、ケースが生成されたりするのを防ぐことができます。

    検出ルールの詳細とアクション。

  4. 条件」には、検出された脅威の特性 (重要度など) が表示されます。ルールをトリガする条件として使用する特性を選択します。

    ルールをトリガできる条件。

  5. 保存」をクリックします。

新しい検出ルールが有効になるまでに 20分かかる場合があります。

ルールは、ルールの作成後に発生した検出にのみ適用されます。

検出ルールのオンとオフの切り替え

検出ルールをオンまたはオフにするには、次の手順を実行します。

  1. 脅威解析センタ- > 検出ルール」に移動します。
  2. 検出ルールの名前をクリックすると、その詳細が表示されます。

  3. ルールの詳細」で、トグルをクリックしてルールをオンまたはオフにします。

    検出ルールが有効になっています。

検出ルールの重複と編集

既存のルールを変更することはできません。

ルールの重複を作成し、重複に対して次のように変更を加えることができます。

  1. 脅威解析センタ- > 検出ルール」に移動します。
  2. ルールを見つけて、右端の列にある 3つのドット 3つのドットアイコン。 をクリックします。

  3. 重複」を選択します。

    元のルールに対して選択した条件とアクションと同じ新しいルールが表示されます。

  4. 新しいルールの名前と説明を入力します。

  5. ルールを編集する条件の横にあるチェックボックスをオンまたはオフにします。
  6. 保存」をクリックします。

検出ルールの削除

ルールを削除するには、次の手順を実行します。

  1. 脅威解析センタ- > 検出ルール」に移動します。
  2. ルールを見つけて、右端の列にある 3つのドット 3つのドットアイコン。 をクリックします。
  3. 削除」を選択します。

抑制された検出の表示

デフォルトでは、抑制した検出は「検出」ページに表示されません。

抑制された検出を表示するには、次の手順を実行します。

  1. 脅威解析センタ- > 検出」に移動します。
  2. 検出リストの上にある「フィルターの表示」をクリックします。

  3. 検出の可視性」 の下で、「抑制された検出を非表示」のチェックボックスの選択を解除します。

    "抑制された検出を非表示" フィルタ。

  4. 適用」をクリックします。