リスクスコアリングの設定について
本記事ではリスクスコアリングの設定について解説していきます。
リスクスコアリング用レポートの設定
リスクスコアリング機能を利用するには、リスクスコアリング機能を有効にしたレポート設定を作成します。
リスクスコアリング機能を有効にしたレポート設定を作成すると、メニューバーに「リスクスコアリング」が表示されます。
リスクスコアリング機能を有効にしたレポート設定を作成すると、メニューバーに「リスクスコアリング」が表示されます。
レポート設定の作成
1. [レポート/アラート]画面で[新規作成]ボタンをクリックする
2. [新規作成₋テンプレート選択]画面でリスクスコアリングのテンプレートから作成したい内容に合わせて選択する
3. レポート設定の編集ダイアログで検索条件などを設定し、OKボタンをクリックする
4. レポートの一覧画面に作成したレポート設定が表示されることを確認する。メニューバーに[リスクスコアリング]が表示される
リスクスコアリング用テンプレート
リスクスコアリング用のレポートテンプレートは二種類用意されています。
テンプレートの種類 | 利用説明 | デフォルト設定 |
---|---|---|
異常なファイルアクセス | ユーザーが異常なファイルアクセスした場合などの検知 | 頻度スコア/パススコア両方有効、操作の種類がファイルアクセスログ系 |
異常なログオン | ユーザーが普段アクセスしない時間帯にアクセスした場合などの検知 | 頻度スコアのみ有効、操作の種類がログオンログ |
レポート設定の編集
ここでは、リスクスコアリングを有効にした場合の項目について説明します。
レポート機能、アラート機能に関連する説明は「レポート/アラート」を参照してください。
レポート機能、アラート機能に関連する説明は「レポート/アラート」を参照してください。
項目 | 説明 |
---|---|
基本設定 | レポート設定としての基本的な設定や検索条件をメイン画面で設定する |
条件タブ | 複雑な検索を行いたい場合に条件タブを追加する 条件を設定することでリスクスコアリングの対象とするアクセスログをあらかじめフィルターすることができる |
メール通知 | メール通知の設定を行うダイアログを表示する |
高度な設定 | チェックを入れると、レポートの詳細設定やしきい値の詳細設定など、細かい条件を指定するためのメニューを表示する リスクスコアリング機能のみ有効にしている場合、フィルター「しきい値」で高度な設定が可能 |
基本設定
レポート設定のリスクスコアリングに関する基本設定は以下の通りです。
項目 | 説明 |
---|---|
状態 | レポート設定を有効にするか、無効にするかを設定する |
機能 | レポート機能、アラート機能、リスクスコアリングの使用有無を指定する リスクスコアリングを利用時にはこの項目を有効にする 有効にするとメニューバーに「リスクスコアリング」項目が表示される |
レポート名 | レポートの名称を指定する |
概要説明 | レポートの概要を記載する |
リスクスコアリング スコア種別 |
頻度スコア、パススコアが選択可能で複数選択できる |
リスクスコアリング 学習期間 |
リスク学習タスク時に学習するアクセスログの期間を設定する リスク学習実行時の1日前~設定した期間まで遡った期間のアクセスログを学習する |
メール通知設定
リスクスコアリングのメール通知設定は以下の通りです。
項目 | 説明 |
---|---|
有効/無効 | メール通知の有効、無効を指定する |
件名 | メール通知で送信されるメールの件名を指定する |
送信元アドレス | メール通知の際に使用する送信元メールアドレスを指定する |
送信先アドレス | メール通知で送信されるメールの送信先メールアドレスを指定する |
テスト送信 | 入力した設定でメール送信ができるかテストする |
リスクスコアリング 通知 |
リスクスコアリングによる通知するスコア対象を指定する 頻度スコア、パススコアが選択可能で複数選択できる |
リスクスコアリング メール本文 |
リスクスコアリングメール本文の編集、レポート名/ユーザー/URLの付与を指定する |
リスクスコアリング 通知条件 |
リスクスコアリングによるメール通知の条件を指定する 通知するスコア値のしきい値を設定する。「0」を設定した場合、必ず通知される |
リスク学習タスクを実行する
ユーザーの異常な行動を検知するための準備として、リスク学習タスクを実行してアクセスログからユーザー毎の傾向をレポート毎に学習します。
ユーザー毎のリスクスコアを算出するには、当該ユーザーのアクセスログのインポート後にリスク学習タスクを最低限1回実行する必要があります。
すぐに学習を行いたい場合は手動実行してください。
ユーザー毎のリスクスコアを算出するには、当該ユーザーのアクセスログのインポート後にリスク学習タスクを最低限1回実行する必要があります。
すぐに学習を行いたい場合は手動実行してください。
リスク学習のタスクスケジュール設定
リスク学習タスクのスケジュール設定は、[管理]画面から[リスクスコアリング]を選択することで表示できます。
レポートタスクまたはレポート再作成を実行する
リスク学習タスクでユーザー毎にモデル化した後に、レポートタスクおよびレポート再作成にてリスクスコアリングを行います。
レポートタスクを実行するケース
対象サーバからイベントログを収集して、新たに変換されたアクセスログに対してリスクスコアリングを行います。
レポート再作成を実行するケース
過去のアクセスログに対してリスクスコアリングを行う場合は、レポート再作成を実行します。
レポート再作成の期間は、対象のアクセスログの期間を指定します。
レポート再作成の期間は、対象のアクセスログの期間を指定します。