直接参照用URL: https://www.runexy.co.jp/support/faq/mylogstar/68000002913
■ ファイルログにおいて特定拡張子を取得対象とする
(リアルタイムアラートの対象とするログを取れるようにする)
リアルタイムアラートを行うには、リアルタイムアラート条件の操作に該当するログが取得されている必要があります。
以下の手順で特定拡張子を取得対象とします。
ここではランサムウェア「Locky」を例にした設定とします。
以下の手順で特定拡張子を取得対象とします。
ここではランサムウェア「Locky」を例にした設定とします。
- MylogStar Consoleを起動し、[設定]-[ポリシー設定]を表示します。
- 編集するポリシーを[ポリシー一覧]から選択し、[フィルター]タブの[ファイル]をクリックします。
[ファイルフィルターリスト]は以下のような構成となっています。
----------破棄:①既存の破棄条件
(OSや、ウィルス対策ソフトが操作するログでユーザーにとって不要なログ群)取得:②既存の取得条件
(Officeのファイル拡張子とpdf)破棄:③既存の破棄条件
(末尾の破棄条件)
②と③の間に後述するフィルターを追加してください。
Release 6以降のバージョンをご利用の場合は、Default Policyで50行目と51行目の間となります。
※ ログ取得時はフィルターリストの上から順に条件照合を行い、条件に合致したと判定しますと、その行以降の条件照合は行いません。----------
[ファイルフィルターリスト]には以下のフィルターを追加します。
以下のフィルターを追加することで、指定した拡張子のファイルログを取得します。
----------
以下、条件例です。
※ 記載のない項目は初期値のままで結構です。※ 操作前と操作後でフィルター条件を1つずつ作成してください。
リスト上は2行になります。
例として追加する拡張子を「.locky」とします。
実際に設定する値は、取得対象としたい拡張子を指定してください。----------追加したフィルターは[上へ]で②と③の間まで順位を上げます。
拡張子(操作前):.locky
フィルター動作: ログを取得する
----------
拡張子(操作後): .locky
フィルター動作: ログを取得する
----------
Release 6以降のバージョンをご利用の場合は、任意の位置にフィルターを作成することができます。
「優先順位」に数字(Default Policyを元にしたポリシーであれば51)を入力のうえ、フィルターを作成するとフィルターを作成後に優先順位を移動させる操作を省くことができます。
詳しくは、こちらのFAQにて手順をご確認いただけますと幸いです。
----------
■ リアルタイムアラート設定手順
以下の手順でリアルタイムアラートを設定してください。
- MylogStar Consoleを起動し、[設定]-[ポリシー設定]を表示します。
- 編集するポリシーを[ポリシー一覧]から選択し、[リアルタイムアラート]タブの[ファイル]をクリックします。
ファイルリアルタイムアラートリストに以下設定を追加することで、特定の拡張子が操作された場合にアラートが表示・送信されます。
----------
以下、条件例です。
※ 記載のない項目は初期値のままで結構です。
例として追加する拡張子を「.locky」とします。
実際に設定する値は、取得対象としたい拡張子を指定してください。--------------------
拡張子(操作前): .locky
----------※ユーザーにメッセージを表示したい場合は、
「メッセージを表示する」を「有効(チェックオン)」にします。※アラートをメール通知したい場合は、
[設定]-[共通設定]-[メール設定]タブでメールの設定を行ってください。
以上の設定手順は、あくまでも設定例です。
運用環境に合わせて設定してください。
| キーワード |
|
この記事は役に立ちましたか?
それは素晴らしい!
フィードバックありがとうございます
お役に立てず申し訳ございません!
フィードバックありがとうございます
フィードバックを送信しました
記事の改善におけるご協力ありがとうございます。