脅威の検出数のカウント動作について

「脅威の検出」通知における検出数のカウントは、本通知を有効化した時点から開始されます。

Deep Discovery Inspector は脅威の検出数が閾値に達したかどうかを 1 分間隔でチェックしています。
チェックのタイミングで脅威の検出数が閾値に達していた場合、通知メールが送信されます。
したがって、本通知のタイムラグは最大で 1 分程度となります。

脅威の検出数をカウントする間隔については固定の時間枠となります。
本通知の設定を保存した時刻を基準に [次の時間内:] に設定された時間間隔で 検出数のカウンタをリセットします。
閾値に達して通知メールが一度送信されると、カウンタがリセットされる次の時間枠までは 通知メールは送信されません。
 

カウント対象となった検出ログの特定方法

「脅威の検出数」の通知では、以下の検出が発生した場合にカウントを加算します。

　① 検出ルールID: 0 による検出（既知の不正ファイルの検出）
　② 検出ルールID: 0 に該当せず、かつ検出ルールの「確実性」が「High」の検出
　　
この為、「脅威の検出数」の通知を受信した場合は、まず検出ログをご確認いただき、
検出ルールID が「0」の通信が検出されていないかご確認ください。

該当する検出が見つからない場合は管理コンソールの［管理］＞［監視/検索］＞［検出ルール］画面にて、
検出ログに出力されている各検出ルールの確実性をご確認ください。

 

通知メール送信の具体例

以下の通り、検出が発生して通知メールが送信されるまでの具体例を記載します。

　1. 17時03分 に以下の設定を保存します。
　　- 「次の数以上:」⇒ 1
　　- 「次の時間内:」⇒ 5 分

　2. 17時04分に監視対象ホストに対する検出が発生します。

　3. 閾値に達したため通知メールが送信されます。

　4. 17時06分 に同じホストに対する検出が再度発生します。
　　 しかし、この監視時間枠 (17時03分 - 17時08分) では閾値にすでに 達しているため通知メールは送信されません。

　5. 17時09分 に脅威の検出数のカウンタがリセットされます。
　　 その後、監視対象ホストに対する検出が発生した場合、通知メールが送信されます。