この手順を使用して、データ フォワーダの基本フィルタを作成します。

前提条件

基本フィルタの詳細については、データ フォワーダ フィルタ を参照してください。

このタスクでは、以下を前提としています。

手順

  1. 基本フィルタを追加するデータ フォワーダにいることを確認します。必要な場合:
    1. 左側のナビゲーション ペインで [Settings (設定)] > [Data Forwarders (データ フォワーダ)] の順にクリックします。
    2. フィルタを追加するデータ フォワーダを選択し、Right carat (右カラット),を選択し、次に Edit (編集)を選択して、データ フォワーダを編集します。
  2. フィルタ データで、[Basic (基本)] を選択します。
  3. 使用可能な各フィールドで、データのフィルタリング方法を指定します。
    データのフィルタ基準 必須データ
    アラート ID あり N/A N/A
    イベントの発生元 等しい、等しくない、いずれかに一致 EDR, NGAV
    センサー アクション 等しい、等しくない、いずれかに一致 ACTION_ALLOW, ACTION_BLOCK, ACTION_BREAK, ACTION_SUSPEND, ACTION_TERMINATE
    タイプ 等しい、等しくない、いずれかに一致

    endpoint.event.apicall, endpoint.event.crossproc, endpoint.event.fileless_scriptload, endpoint.event.filemod, endpoint.event.moduleload, endpoint.event.netconn, endpoint.event.netconn_proxy, endpoint.event.procstart, endpoint.event.procend, endpoint.event.regmod, endpoint.event.scriptload
  4. さらにフィルタを追加するには、Add (追加) を選択して条件を指定します。
    注: 新しいフィルタが、既存のフィルタに追加されます。次の例を参照してください:

例: 基本的なフィルタ

フィルタ データ フィールド