Shieldの脅威検出ルールの設定

Shieldの脅威検出ルールの設定は、検出ルールの構成に使用されます。 各種検出ルールには、すべてのルールに共通の設定とルールごとに固有の設定があります。 このトピックのセクションは以下のとおりです。

• ルールの詳細
• 脅威検出ルールの固有設定
  • 異常なダウンロードのルールの設定
    • 異常なダウンロードのルールのアクション
  • 悪意のあるコンテンツのルールの設定
    • 悪意のあるコンテンツのルールの条件
    • 悪意のあるコンテンツのルールのアクション
  • 不審な場所のルールの設定
    • 不審な場所のルールの条件
    • 不審な場所のルールのフィルタ
    • 不審な場所のルールのアクション
  • 不審なセッションのルールの設定
    • 不審なセッションのルールのフィルタ
    • 不審なセッションのルールのアクション

ルールの詳細

[ルールの詳細] は、脅威検出ルールのすべての種類に共通する設定です。

ルール名

一意の短くてわかりやすい名前を入力します。 最大文字数は80文字です。

説明

ルールの目的や機能をまとめた説明を入力します (省略可)。 最大文字数は255文字です。

デフォルトのアラート優先度

アラート優先度を以下から選択します。

• 参考情報
• 低
• 中 (デフォルト)
• 高
• 重要

アラート優先度の選択を使用して、優先するアラートを決定します。 アラート優先度は、Shieldダッシュボードビューにフィルタをかける際に使用できる1つの選択肢です。

脅威検出ルールの固有設定

各種ルールの設定には、条件、フィルタ、アクションを含めることができます。 このセクションでは、脅威検出ルールの種類ごとに、条件、フィルタ、アクションの設定について説明します。

異常なダウンロードのルールの設定

異常なダウンロードの脅威検出ルールは、全面的に機械学習に基づいているため、ユーザーが構成できる、ルール固有の条件設定はありません。 このルールにはフィルタもありません。

異常なダウンロードのルールのアクション

Boxイベントストリームへのアラートの発行

有効にすると、このルールによるアラートをBoxイベントストリームを介してサードパーティ製ツール (SIEMツールやCASBツールなど) に転送できます。

デフォルトでは無効になっています。

通知の送信

アラートのメール通知を受信するメールアドレスまたは管理対象ユーザー名を1つ以上入力します。

注

このフィールドに入力できるメールアドレスまたは管理対象ユーザー名は、ユーザーアカウント設定で少なくとも1つのShield権限が有効になっている共同管理者のみです。

悪意のあるコンテンツのルールの設定

悪意のあるコンテンツの脅威検出ルールに固有の設定は以下のとおりです。

悪意のあるコンテンツのルールの条件

Microsoft Office用ディープスキャン

有効にすると、Box Shieldは、Microsoft Officeファイル (.docx、 .xlsx、.pptxファイルなど) に対してディープスキャンを実行し、悪意のあるペイロードを検出できます。

デフォルトでは無効になっています。

悪意のあるコンテンツのルールのアクション

ダウンロードの制限

有効にすると、このルールによって悪意のあるコンテンツを含むことが判明したすべてのファイルのダウンロードが制限されます  (プレビューとオンラインでの編集は引き続き可能です)。

デフォルトでは無効になっています。

Boxイベントストリームへのアラートの発行

有効にすると、このルールによるアラートをBoxイベントストリームを介してサードパーティ製ツール (SIEMツールやCASBツールなど) に転送できます。

デフォルトでは無効になっています。

通知の送信

アラートのメール通知を受信するメールアドレスまたは管理対象ユーザー名を1つ以上入力します。

注

このフィールドに入力できるメールアドレスまたは管理対象ユーザー名は、ユーザーアカウント設定で少なくとも1つのShield権限が有効になっている共同管理者のみです。

不審な場所のルールの設定

不審な場所の脅威検出ルールに固有の設定は以下のとおりです。

不審な場所のルールの条件

監視する場所

必須。 脅威検出ルールで監視する場所を決定します。 以下のような場所を選択します。

• 既知のリスクがある場所
• 組織が取引を行っていない場所
• 未確認の場所

有効な国名またはShieldの場所リストを1つ以上入力します。 フィールド内で名前の入力を開始すると、ドロップダウンリストに有効な国名とShieldの場所リストがすべて表示されるので、そのリストから選択できます。

また、ルールがトリガーされたときにアラートを送信するかどうかも設定できます。

デフォルト値は [選択した場所のいずれかが確認対象である場合に警告する] です。

監視するアクティビティ

ルールで監視する、コンテンツのアクティビティを決定します。 次のいずれかを選択します。

• [すべてのアクティビティ] (デフォルト)
• [次の分類が適用されたコンテンツのアクティビティのみを監視する] を選択し、Shieldの分類を1つ以上入力する。 フィールド内で名前の入力を開始すると、ドロップダウンリストに有効な分類名がすべて表示されるので、そのリストから選択できます。

不審な場所のルールのフィルタ

ルールフィルタを使用すると、信頼できるコンテキストを除外して、ルールの精度を高めることができます。 これらのフィルタのいずれかに一致するアラートは自動的に無視され、ダッシュボードまたはBoxイベントストリームには表示されません。

公開共有リンクを除外する (推奨)

公開共有リンクをこのルールで無視するかどうかを定義します。

デフォルトではオンになっています。

IPアドレスを除外する

ルールで無視するIPアドレスを定義します。 信頼できることがわかっているIPアドレスを入力してください。

1つ以上の有効なIPアドレス、CIDR (Classless Inter-Domain Routing) ブロック、ShieldのホストIPアドレスリストをコンマで区切って入力します。

デフォルトではオフになっています。

統合を除外する

ルールで無視する統合を定義します。

統合名を1つ以上入力します。 フィールド内で名前の入力を開始すると、ドロップダウンリストに有効な統合名がすべて表示されるので、そのリストから選択できます。

デフォルトではオフになっています。

ユーザーまたはユーザーグループを除外する

ルールで無視するユーザーおよびグループを定義します。

ユーザーを1人以上入力します。 ユーザーの名前の入力を開始すると、一致するすべての名前がドロップダウンリストに表示されるので、そのリストから選択できます。

デフォルトではオフになっています。

ドメインを除外する

ルールで無視するドメインを定義します。

ドメインを1つ以上入力します。 ドメイン名の入力を開始すると、一致するすべての名前がドロップダウンリストに表示されるので、そのリストから選択できます。

デフォルトではオフになっています。

不審な場所のルールのアクション

ターゲットユーザーのアクセス制限

不審な場所のルールをトリガーする管理対象ユーザーに対して自分のBoxアカウントへのアクセスを制限するかどうかを決定します。 この設定を有効にした状態でこのルールをトリガーした管理対象ユーザーは、以下のようになります。

• 制限されている場所からアクセスしようとしても、Boxにログインできなくなります。
• Boxにログインしている場合は、すべてのアクティブなセッションから自動的にログアウトされます (これにはウェブ統合、Box Drive、モバイル統合が該当します)。
• ウェブ統合ではエラーメッセージが表示されません (Driveとモバイルでは標準的なログアウトメッセージが表示されます)。
• アカウントで発生した不審な場所のアクティビティについて警告し、メッセージの受信理由が不明な場合はBox管理者まで問い合わせるように記載されたメールを受信します。

アクセスの制限は、ユーザーがこの不審な場所のルールで定義されていない場所からログインを試みるまで維持されます。

注

• 管理者は、制限されている場所にいるユーザーでもコンテンツへのアクセスを許可したい場合、そのユーザーをルールのユーザー除外リストに追加できます。リストに追加されたユーザーはすぐにBoxにログインできるようになります。
• 管理者が、特定の分類ラベルが適用されたコンテンツのみを監視するよう不審な場所のルールを設定した場合、Shieldでは、制限されている国からのユーザーのログインがブロックされません。
• [ターゲットユーザーのアクセス制限] の設定を有効にしても、制限されている場所にいる受信者は、自分のメールからアクセスすれば、Box Signから送信された署名リクエストを完了できます。 ただし、署名リクエストでBoxアカウントへのログインが求められる場合、受信者は制限される可能性があります。
• 外部ユーザーはこの設定の影響を受けません。 外部ユーザーは、制限されている場所から組織のコンテンツにアクセスする場合にも不審な場所のルールをトリガーできますが、Shieldによってアクセスが制限されることはありません。

重要

[ターゲットユーザーのアクセス制限] の設定が有効になっている場合は、不審な場所のルールからShieldの共同管理者 ([会社のShield構成を作成、編集、削除する] 権限が有効になっている共同管理者) を1人以上除外することをお勧めします。 これにより、他のすべての管理者/共同管理者がこの設定を有効にして不審な場所に関するアラートをトリガーした場合でも、組織は引き続きBoxにアクセスすることができます。

Boxイベントストリームへのアラートの発行

有効にすると、このルールによるアラートをBoxイベントストリームを介してサードパーティ製ツール (SIEMツールやCASBツールなど) に転送できます。

デフォルトでは無効になっています。

通知の送信

アラートのメール通知を受信するメールアドレスまたは管理対象ユーザー名を1つ以上入力します。

注

このフィールドに入力できるメールアドレスまたは管理対象ユーザー名は、ユーザーアカウント設定で少なくとも1つのShield権限が有効になっている共同管理者のみです。

不審なセッションのルールの設定

不審なセッションの脅威検出ルールは、全面的に機械学習に基づいているため、ユーザーが構成できる、ルール固有の条件設定はありません。 このルールの種類用にフィルタを構成できます。

不審なセッションのルールのフィルタ

IPアドレスを除外する

ルールで無視するIPアドレスを定義します。 信頼できることがわかっているIPアドレスを入力してください。

1つ以上の有効なIPアドレス、CIDR (Classless Inter-Domain Routing) ブロック、ShieldのホストIPアドレスリストをコンマで区切って入力します。

デフォルトではオフになっています。

統合を除外する

ルールで無視する統合を定義します。

統合名を1つ以上入力します。 フィールド内で名前の入力を開始すると、ドロップダウンリストに有効な統合名がすべて表示されるので、そのリストから選択できます。

デフォルトではオフになっています。

不審なセッションのルールのアクション

Boxイベントストリームへのアラートの発行

有効にすると、このルールによるアラートをBoxイベントストリームを介してサードパーティ製ツール (SIEMツールやCASBツールなど) に転送できます。

デフォルトでは無効になっています。

通知の送信

アラートのメール通知を受信するメールアドレスまたは管理対象ユーザー名を1つ以上入力します。

注

このフィールドに入力できるメールアドレスまたは管理対象ユーザー名は、ユーザーアカウント設定で少なくとも1つのShield権限が有効になっている共同管理者のみです。