概要
Deep Discovery Inspector(以下DDI)からの通知メールの件数と、重大度フィールドが「高」となっているログの数に差異があります。これは何故ですか。
詳細
重大度「高」のログに対してメール通知が無い原因として、メールサーバ側にてDDIのメール通知がフィルタされている以外には、以下の事象が発生している可能性が考えられます。
対象のホストがネットワークグループにない
対象のホストが監視対象のネットワークグループにない場合、通知対象となりません。
ネットワークグループの追加方法は、管理者ガイドをご参照ください。
対象のホストが検索除外リストに登録されている
対象のホストが高リスクホストの検出通知の検索除外リストに含まれている場合、通知対象となりません。
高リスクホストの検出通知の検索除外リストは、DDI管理コンソールの[管理]>[通知]>[通知設定]>[高リスクホストの検出]>[検索除外リスト]タブで確認することができます。
仮想アナライザによる検出の重大度の更新
以下の状況に該当する場合「高リスクホストの検出」通知は送信されません。
※DDI 5.0 以降は本パターンには該当せず、DDI 3.8 が対象となります。
①高度な脅威検索エンジンにより重大度「中」、「低」、「情報」として検出される
※重大度が「高」ではないため「高リスクホストの検出」通知は送信されません
② ①で検出されたファイルが仮想アナライザに送信される
③仮想アナライザの解析により重大度「高」と判定され、①で検出されたログの重大度が
「高」に更新される
※重大度が更新されたタイミングでは「高リスクホストの検出」通知は
送信されません。また、①の検出ログについては重大度のみが更新され
検出名などは変更されません。
④「高リスクホストの検出」通知が送信されなかった重大度「高」の検出が
存在するように見える
DDI の製品仕様として、高度な脅威検索エンジンでの検出時の重大度と仮想アナライザ解析での重大度に差異(チェックタイミングの時間差)があることにより、このような事象が発生する場合がございます。
相関関係処理による検出ログの出現
相関関係のあるインシデント は、連続して発生するイベントなどをDDIが夜間に相関関係の計算処理を行なって、出力するものです。その結果にて、出力された検出ログについては、通知対象ではございません。