信頼性係数設定によるフォールス・ポジティブのチューニング

信頼性係数を使用して、トリガーされたルールによって作成されるオフェンスの数を制限します。 必要な保護のレベルに応じて、現在のネットワーク環境にとって最適なレベルに信頼性の値を調整します。

このタスクについて

ルールをチューニングする場合は、50 が転換点となる尺度を設定してください。 重要度が低いアセットでは、スパムなどの特定のカテゴリーに対して、より高い信頼度係数でトリガーするように X-Force ルールを重み付けすることができます。 例えば、信頼度75にルールをチューニングするということは、X-Forceが信頼度75以上のIPアドレスを見たときにのみ、ルールがトリガーされることを意味します。 このようにチューニングすることで、優先順位の低いシステムと重要度の低いアセットで生成されるオフェンスの数が少なくなります。 ただし、信頼性係数が 50 になっている重要なシステムやビジネス・アセットの場合、低いレベルでオフェンスがトリガーされ、より早い段階で問題に対する注意を喚起します。

DMZ については、高い信頼性の値を選択します (95% 以上など)。 DMZ 領域では、多くのオフェンスを調査する必要はありません。 高い信頼性レベルを設定すると、リストされているカテゴリーに IP アドレスが一致する可能性が高くなります。 あるホストがマルウェアを提供していることが 95% 確実である場合、ユーザーはそのことを認識する必要があります。

サーバー・プールなど、安全度の高いネットワーク領域の場合、信頼性の値を低くします。 これにより、より多くの潜在的な脅威が検出されるようになります。これらの脅威は特定のネットワーク・セグメントに関連する脅威であるため、調査に費やされる労力は少なくて済みます。

フォールス・ポジティブの最適なチューニングのためには、ルール・トリガーをセグメントごとに管理します。 ネットワーク・インフラストラクチャーを調べ、高いレベルの保護が必要なアセットとそうではないアセットを判断してください。 ネットワーク・セグメントごとに異なる信頼値を適用できます。 ビルディング・ブロックを使用して、使用頻度の高いテストをグループ化すると、それらのテストをルール内で使用することができます。

手順

  1. 「ログ・アクティビティー」 タブをクリックします。
  2. ツールバーで、 ルール > 「ルール」をクリックします。
  3. 任意のルールをダブルクリックしてルール・ウィザードを起動します。
  4. フィルター・ボックスに、次のテキストを入力します。

    when this host property is categorized by X-Force as this category with confidence value equal to this amount

  5. 「テストをルールに追加 (+)」 アイコンをクリックします。
  6. 「ルール」セクションで、this amountリンク。
  7. 信頼性の値を入力します。
  8. 「実行」をクリックします。
  9. 「終了」 をクリックして、ルール・ウィザードを終了します。