インシデント スコアリング ルールを作成する
インシデントのルールを作成するには、一致条件と、条件が満たされたときに実行する対応するアクションを定義します。
インシデントをスコアリングするためのルールを作成するには:
- Juniper Security Director Cloudにログインします。
-
[共有サービス] > [Insights > ルール ] > [インシデント スコアリング ルール] を選択します。
[インシデント スコアリング ルール] ページが表示されます。
-
[+] アイコンをクリックします。
[新しいインシデント スコアリング ルール] ページが表示され、ルールの条件とアクションを定義できます。
- [ルール名] フィールドに、ルールの一意の名前を入力し、リストから一致する条件を選択します。[いずれかに一致] または [すべてに一致] をクリックします。
- [条件] セクションで、次の操作を行います。
リストからインシデントのタイプを選択します。ファイル ハッシュ、脅威の送信元 IP、または URL
-
選択したインシデントについて、条件として [ 別のイベントによって軽減される ] または [ 別のイベントによって軽減されない ] を選択します。
注:複数の条件を追加するには、[ +] をクリックします。
-
[アクション] セクションで、次の操作を行います。
-
リストから必要なアクション (重大度の引き上げまたは引き下げ、重大度 (値) の設定、残りのルールのスキップなど) を選択します。
-
選択したアクションに基づいて、追加データを指定します。
注:複数のアクションを追加するには、[ +] をクリックします。
-
-
OK をクリックします。
新しいルールが作成され、[新しいインシデント スコアリング ルール] ページに一覧表示されます。
[ 有効 ] または [無効] をクリックして、インシデント スコアリング ルールを有効にするか無効にします。