印刷

Shieldの脅威検出ルールの設定

Shieldの脅威検出ルールの設定は、検出ルールの構成に使用されます。 各種検出ルールには、すべてのルールに共通の設定とルールごとに固有の設定があります。 このトピックのセクションは以下のとおりです。

脅威検出ルールの共通設定

脅威検出ルールのすべての種類に共通する設定は以下のとおりです。

設定 説明
ルールの詳細
ルール名 一意の短くてわかりやすい名前を入力します。 最大文字数は80文字です。
説明 ルールの目的や機能をまとめた説明を入力します (省略可)。 最大文字数は255文字です。
デフォルトのアラート優先度

アラート優先度を以下から選択します。

  • 参考情報
  • 中 (デフォルト)
  • 重要

アラート優先度の選択を使用して、優先するアラートを決定します。 アラート優先度は、Shieldダッシュボードビューにフィルタをかける際に使用できる1つの選択肢です。

ルールの操作
Boxイベントストリームへのアラートの発行

オンにすると、このルールによるアラートをBoxイベントストリームを介してサードパーティ製ツール (SIEMツールやCASBツールなど) に転送できます。

デフォルトではオフになっています。
通知の送信

アラートのメール通知を受信するメールアドレスまたは管理対象ユーザー名を1つ以上入力します。

このフィールドに入力できるメールアドレスまたは管理対象ユーザー名は、ユーザーアカウント設定で少なくとも1つのShield権限が有効になっている共同管理者のみです。

脅威検出ルールの固有設定

次のセクションでは、脅威検出ルールの種類ごとに固有の設定について説明します。

異常なダウンロードのルールの設定

異常なダウンロードの脅威検出ルールは、全面的に機械学習に基づいているため、ユーザーが構成できる、ルール固有の設定はありません。

悪意のあるコンテンツのルールの設定

悪意のあるコンテンツの脅威検出ルールに固有の設定は以下のとおりです。

設定 説明
ルールの条件
Microsoft Office用ディープスキャン

オンにすると、Box Shieldは、Microsoft Officeファイル (.docx、 .xlsx、.pptxファイルなど) に対してディープスキャンを実行し、悪意のあるペイロードを検出できます。

デフォルトではオフになっています。
ルールの操作
ダウンロードの制限

オンにすると、このルールによって悪意のあるコンテンツを含むことが判明したすべてのファイルのダウンロードが制限されます  (プレビューとオンラインでの編集は引き続き可能です)。

デフォルトではオフになっています。

不審な場所のルールの設定

設定 説明
ルールの条件
監視する場所

必須。 脅威検出ルールで監視する場所を決定します。 以下のような場所を選択します。

  • 既知のリスクがある場所
  • 組織が取引を行っていない場所
  • 未確認の場所

有効な国名またはShieldの場所リストを1つ以上入力します。 フィールド内で名前の入力を開始すると、ドロップダウンリストに有効な国名とShieldの場所リストがすべて表示されるので、そのリストから選択できます。

また、ルールがトリガーされたときにアラートを送信するかどうかも設定できます。

デフォルト値は [選択した場所のいずれかが確認対象である場合に警告する] です。
監視対象のコンテンツ

ルールで監視するコンテンツを決定します。 次のいずれかを選択します。

  • [すべてのコンテンツ] (デフォルト)
  • [次の分類が適用されたコンテンツのみを監視する] を選択し、Shieldの分類を1つ以上入力する。 フィールド内で名前の入力を開始すると、ドロップダウンリストに有効な分類名がすべて表示されるので、そのリストから選択できます。

ルールフィルタ

ルールフィルタを使用すると、信頼できるコンテキストを除外して、ルールの精度を高めることができます。 これらのフィルタのいずれかに一致するアラートは自動的に無視され、ダッシュボードまたはBoxイベントストリームには表示されません。
公開共有リンクを除外する (推奨)

公開共有リンクをこのルールで無視するかどうかを定義します。

デフォルトではオンになっています。
IPアドレスを除外する

ルールで無視するIPアドレスを定義します。 信頼できることがわかっているIPアドレスを入力してください。

1つ以上の有効なIPアドレス、CIDR (Classless Inter-Domain Routing) ブロック、ShieldのホストIPアドレスリストをコンマで区切って入力します。

デフォルトではオフになっています。
アプリを除外する

ルールで無視するアプリケーションを定義します。

アプリケーション名を1つ以上入力します。 フィールド内で名前の入力を開始すると、ドロップダウンリストに有効なアプリケーション名がすべて表示されるので、そのリストから選択できます。

デフォルトではオフになっています。
ユーザーまたはユーザーグループを除外する

ルールで無視するユーザーおよびグループを定義します。

ユーザーを1人以上入力します。 ユーザーの名前の入力を開始すると、一致するすべての名前がドロップダウンリストに表示されるので、そのリストから選択できます。

デフォルトではオフになっています。
ドメインを除外する

ルールで無視するドメインを定義します。

ドメインを1つ以上入力します。 ドメイン名の入力を開始すると、一致するすべての名前がドロップダウンリストに表示されるので、そのリストから選択できます。

デフォルトではオフになっています。

不審なセッションのルールの設定

不審なセッションの脅威検出ルールは、全面的に機械学習に基づいているため、ユーザーが構成できる、ルール固有の条件設定はありません。 このルールの種類用にフィルタを構成できます。

設定 説明
ルールフィルタ
IPアドレスを除外する

ルールで無視するIPアドレスを定義します。 信頼できることがわかっているIPアドレスを入力してください。

1つ以上の有効なIPアドレス、CIDR (Classless Inter-Domain Routing) ブロック、ShieldのホストIPアドレスリストをコンマで区切って入力します。

デフォルトではオフになっています。
アプリを除外する

ルールで無視するアプリケーションを定義します。

アプリケーション名を1つ以上入力します。 フィールド内で名前の入力を開始すると、ドロップダウンリストに有効なアプリケーション名がすべて表示されるので、そのリストから選択できます。

デフォルトではオフになっています。

 

関連記事