管理ガイドアクション アラートアクション アラートのクエリのカスタマイズ重大なイベントだけを取得するためのクエリのカスタマイズ › 変更候補のクエリ

前のトピック: 重大なイベントだけを取得するためのクエリのカスタマイズ

次のトピック: アクション アラートに関する注意事項
変更候補のクエリ

アラートで使用するために、選択した事前定義済みクエリを変更することを検討します。 クエリをカスタマイズするには、CEG 分析に基づいた単純フィルタを追加します。 [日付範囲の選択]を事前定義済み範囲である[過去 5 分間]に設定して、速やかに通知されるようにします。 いくつかの例を以下に示します。

成功した設定エラー用のクエリ

  1. 「設定エラー アクティビティ詳細」クエリをコピーします。

    このクエリは失敗だけでなく成功も返します。 成功だけが必要です。

  2. 以下のように単純フィルタを設定します。

カテゴリ

クラス

アクション

結果

セキュリティ レベル

設定管理

設定管理

設定エラー

Success

6
  1. 「アラート: 成功した設定エラー」として保存します。

成功した制御ファイル作成用のクエリ

  1. 「データ操作アクティビティ詳細」クエリをコピーします。

    このクエリはデータ アクセス アクションをすべて取得します。

  2. 以下のように単純フィルタを設定します。

カテゴリ

クラス

アクション

結果

セキュリティ レベル

データ アクセス

オブジェクト管理

制御ファイル作成

Success

6
  1. 「アラート: 成功した制御ファイル作成」として保存します。

アンチウイルス スキャン失敗用のクエリ

  1. 「ウイルス アクティビティ(アクション別)」クエリをコピーします。

    このクエリは、すべてのアンチウイルス ホスト セキュリティ アクションをフィルタします。

  2. 以下の定義を参考にしてください。

カテゴリ

クラス

アクション

結果

セキュリティ レベル

ホスト セキュリティ

アンチウイルス アクティビティ

スキャン エラー

Success

6
  1. 以下のように単純フィルタを定義します。

    スキャン エラーの成功はウイルス スキャン失敗と同じです。

  2. 「アラート: ウイルス スキャン失敗」として保存します。

ウイルス駆除失敗用のクエリ

事前定義済みの「ウイルス検出/駆除アクティビティ詳細」クエリを使用すると、結果が成功の場合と失敗の場合の両方のアクションを取得できます。 これだけで十分な場合もありますが、 必要に応じて、重大なイベント用の CEG テーブルに示された結果を指定するこのクエリに基づいて、2 つのクエリを別途作成できます。

  1. 「ウイルス検出/駆除アクティビティ詳細」クエリをコピーします。
  2. 失敗の結果を指定する単純フィルタを作成します。

カテゴリ

クラス

アクション

結果

セキュリティ レベル

ホスト セキュリティ

アンチウイルス アクティビティ

ウイルス駆除

Failure

6
  1. 詳細フィルタを削除します。
  2. 「アラート: ウイルス駆除失敗」として保存します。

成功したウイルス検出用のクエリ

事前定義済みの「ウイルス検出/駆除アクティビティ詳細」クエリを使用すると、結果が成功の場合と失敗の場合の両方のアクションを取得できます。 これだけで十分な場合もありますが、 必要に応じて、重大なイベント用の CEG テーブルに示された結果を指定するこのクエリに基づいて、2 つのクエリを別途作成できます。

  1. 「ウイルス検出/駆除アクティビティ詳細」クエリをコピーします。
  2. ウイルス検出アクティビティ限定の成功の結果を指定する単純フィルタを作成します。

カテゴリ

クラス

アクション

結果

セキュリティ レベル

ホスト セキュリティ

アンチウイルス アクティビティ

ウイルス検出

Success

6
  1. 詳細フィルタを削除します。
  2. 「アラート: ウイルス検出」として保存します。