カスタム検出ルールの作成
組織のセキュリティニーズと要件を満たすために、
CylanceOPTICS
のルールエディターを使用して、管理コンソールで使用可能な検出ルールを複製して変更したり、独自のカスタム検出ルールを作成したりすることができます。コンテキスト分析エンジン(CAE)の柔軟性とロジックを使用して、疑わしい、または悪意のあるアクティビティを検出できます。これには、広範囲の行動特性(特定の命名パターンを使用するファイルなど)や一連のターゲットイベント(たとえば、ファイルを作成し、ネットワーク接続を開始する特定のファイル署名サムプリントを持つプロセス)などが含まれます。カスタム検出ルールは、 BlackBerry
が提供する検出ルールと同じワークフローを使用するもので、カスタムルール用に自動応答アクション、ユーザー通知、およびパッケージプレイブックを設定できます。ルールエディターは JSON を使用しており、組み込みの検証ツールを提供します。ルールを検証する際、エディターは構文をチェックして問題を識別します。ルールが構文チェックに合格すると、
CylanceOPTICS
は CAE サービスを使用して、ルールがデバイス上でコンパイルおよび実行されることを確認します。いずれかの検証プロセスで問題が検出されると、修正する必要があるエラーに関する情報が提供されます。ルールが両方の検証チェックを通過すれば、ルールを公開して検出ルールセットに追加できます。このセクションでは、独自の CAE ルールを作成するためのガイダンスと参照情報を提供します。CAE ルールでは、次のデータとフィルターがサポートされています。
項目 | 説明 |
|---|---|
状態は CAE ルールのフローを定義し、 CylanceOPTICS がデバイスで発生する可能性のある一連のイベントをステートフルに監視できるようにします。状態は、「1、次に 2、次に 3」という発生の可能性があるシナリオを表します。 | |
関数は、状態を正常に満たすために必要なロジックを定義します。このロジックは、定義されたフィールド演算子に直接適用され、デバイス上で発生するイベントの属性を表します(たとえば、「A、および B、および C」または「A、および B、しかし C ではない」など)。 | |
フィールド演算子は、オペランド(ファセット値エクストラクタ)の評価方法を定義します。フィールド演算子には、equals、contains、および is true のようなアクションが含まれます。 | |
オペランドは、 CylanceOPTICS が比較する値です。オペランドを使用することにより、イベントに関する特定のデータ(ファイルパス、ファイルハッシュ、プロセス名など)を抽出し、リテラル値(文字列、小数値、ブール値、整数など)と比較できます。 | |
関心アーチファクトは、 CylanceOPTICS が自動応答アクション(プロセスの終了、ユーザーのログオフ、ファイルの削除など)を実行するときにターゲットにできるアーチファクトを定義します。 | |
パスは、ルール内の複数の状態オブジェクトのフローを CAE が解釈する方法を定義します。 | |
フィルターは、分析するイベントの数を増減するために、対象とする状態を狭くするか、拡張します。 |
異常時には多数のイベントを生成する環境で(サーバーシステムやソフトウェアエンジニアリングシステムなど)、パフォーマンスの問題に対処するため、CAE は
CylanceOPTICS
データパイプラインから特定のイベントを除外するために使用できる除外ルールをサポートしています。CylanceOPTICS
は除外されたイベントを分析または記録しません。管理コンソールで使用可能な事前定義済みの除外ルールを使用することも、ルールエディターを使用して、検出ルールと同じ JSON 構造を使用して独自の除外ルールを作成することもできます。除外ルールの目的は、除外するプロセスに基づいて、ルールを満たすことです。除外ルールを公開すると、検出ルールセットのホワイトリストプロセス応答アクションにそのルールを関連付けることができます。この応答アクションでは、CAE は、関連付けられたルールロジックに一致するイベントとプロセスを自動的に除外します。除外ルールにより、
CylanceOPTICS
デバイスの全体的なセキュリティが低下する可能性があるため、注意して使用してください。