アラートルールを作成する

ポリシー > ルールエリアで、特定のイベントが発生した場合にメール通知を自動的に送信するルールを設定し、アクティブ化することで、適切な対策を速やかに講じることができます。履歴エリアのイベントページに記録されたイベントに基づいてルールを作成できます。

盗難デバイスの場合、盗難捜査がオープンである間は、ジオロケーション関連イベントは記録されません。

アラートルールのコンテキストでは、2 種類のイベントがあります：

イベントタイプ	例
デバイスレベル	ディスクがデバイスから削除されたデバイスの OS のビルド番号が変更された Reach スクリプトがデバイスで実行できなかったルール作成プロセスの間に、デバイスグループを選択することで、デバイスレベルのルールをデバイスに適用します。
アカウントレベル	Application Resilience ポリシーが非アクティブ化されたユーザーアカウントが作成されたスマートグループが削除された

イベントタイプ

例

デバイスレベル

ディスクがデバイスから削除された
デバイスの OS のビルド番号が変更された
Reach スクリプトがデバイスで実行できなかった

ルール作成プロセスの間に、デバイスグループを選択することで、デバイスレベルのルールをデバイスに適用します。

アカウントレベル

Application Resilience ポリシーが非アクティブ化された
ユーザーアカウントが作成された
スマートグループが削除された

イベントタイプが同じイベントを単独のルールにまとめて、複数のイベントが所定の日数の間に発生した場合にアラートを受信するように設定できます。

デバイスの接続ステータスによっては、メール通知が遅れる場合があります。デバイスレベルのイベントの発生時にデバイスがオフラインであった場合、デバイスがオンラインに戻り、Absolute モニタリングセンターにチェックインするまで、ルールはトリガーされません。

ルールを使用してイベントを監視する方法を確認するには、Learning Hub にアクセスしてください。Learning Hub にアクセスするには、クイックアクセスツールバーの (ヘルプとサポート) をクリックし、その後リソース > Learning Hubをクリックします。

ルールを作成する

ルールを作成するには:

ルールを管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
ナビゲーションバーでポリシー > ルールをクリックします。
ルールを作成をクリックし、アラートルールをクリックします。
ルールのタイトルをクリックして名前を入力します。
[オプション] 説明を追加をクリックし、このルールの説明を入力します。

以下を実行することで、該当するイベント条件を入力します。

イベントを選択フィールドをクリックし、リストからイベントを選択します。アイコンを伴うイベントでは、イベントに関連するより具体的なデータを選択できます。

たとえば、デバイスのユーザー情報が更新されたイベントでは、以下のオプションを選択できます。
- ドメイン
- ユーザー名
2番目のフィールドが表示されたら、そのフィールドをクリックし、以下の条件から1つを選択します：

利用できる条件のリストは、選択したイベントによって異なります。
- 変更済み
- 次の値に等しい:
- 次の値に等しくない:
- 次の値を含む:
- 次の値を含まない:
- 空欄である
- 空欄でない
- 次の値で始まる:
- 次の値で終わる:
- が X 値と Y 値の間にある
- が X 値と Y 値の間にない
- 次の値より大きい:
- 次の値以上:
- 次の値より小さい:
- 次の値以下:

3番目のフィールドが表示されたら、値を入力します。このフィールドに入力された値は検証されませんので、注意してください。選択したイベントに対して有効な値を入力していることを確認します。

前のステップで次の値に等しい:または次の値を含む:条件を選択した場合、複数の値をフィールドに入力できることにご注意ください。各値の後に Enter を押下します。この場合、任意の値がイベント記録に含まれたときにイベントがトリガーされます。次の例を参照してください。

変更済み、空欄である、空欄でないの条件を選択した場合、3番目のフィールドは表示されません。

ルールイベントの例

以下の場合にルールをトリガーする...	イベントを選択...	条件を選択...	値を入力...
デバイスユーザーのドメインが想定値から変更された	デバイスのユーザー情報が更新されました > ドメイン	次の値に等しくない:	<想定されるドメイン名>
デバイスがオフラインフリーズルールまたは計画フリーズリクエストによってフリーズされている	デバイスがフリーズされました > デバイスフリーズのタイプ	次の値に等しい:	オフライン、スケジュール済み
デバイスの登録解除に失敗した	デバイスの登録解除に失敗しました	該当なし	該当なし
デバイスのオペレーティングシステムのバージョンが変更された	オペレーティングシステムが更新されました > バージョン	変更済み	該当なし

2番目のイベントを追加するには、AND をクリックして、表示されたフィールドで該当する条件を指定します。

イベントのリストは、ステップ 7 で選択したイベントのタイプに応じてフィルタリングされます。つまり、ボリュームが削除されましたのようなデバイスレベルのイベントを選択した場合、デバイスレベルのイベントのみを追加できます。同様に、ロールが作成されましたのようなアカウントレベルのイベントを選択した場合、アカウントレベルのイベントのみを追加できます。イベントリストをリセットしてすべてのイベントを一覧表示するには、最初のイベントの隣にあるアイコンをクリックします。
追加したいイベントごとに、これまでのステップを繰り返します。最大 20 個のイベントを追加できます。
複数のイベントを追加した場合、最初のイベントフィールドの上に 7 日間フィールドが表示されるようになります。このフィールドをクリックし、ルールをトリガーするために最大何日以内にイベントが発生する必要があるのかを指定します。1～29日間から選べます。たとえば、すべてのイベントが2日間以内に発生したときのみアラートを受信したい場合、2 日間を選択します。
メールを送信フィールドにはお使いのメールアドレスが事前に入力されています。以下の1つを実行します：
- 他のユーザーにメール通知を送信するには:
  1. 編集をクリックしてフィールドをクリックすると、アカウントに関連付けられているメールアドレスの選択リストが開きます。
  2. 各メールアドレスの入力を開始し、リストから選択します。コンソールユーザー以外の人物にアラートを送信する場合、その人物のメールアドレスを入力し、メールアドレスの入力が終わるたびに Enter を押します。メールアドレスを削除するには、アイコンをクリックします。完了したら、閉じるをクリックします。
- メール通知を完全に無効にするには、編集をクリックしてこのフィールドからすべてのメールアドレスを削除します。完了したら、閉じるをクリックします。
  
  ルールがトリガーされると、履歴エリアのイベントページにイベントが記録されますが、メールは送信されません。このオプションは、Absolute がSIEM アプリケーションと統合されている場合に便利です。
1つ以上のデバイスレベルのイベントを追加した場合、適用先セクションが表示されます。以下の点に注意してください。
- すべてのデバイスを管理できる場合、このセクションにすべてのアクティブなデバイスが表示されます。
- 単一のデバイスグループ内のデバイスのみを管理できる場合、割り当てられているデバイスグループが表示されます。
変更するには、編集をクリックして以下を実行します：
1. フィールドをクリックし、ルールを割り当てたい各デバイスグループを選択します。デバイスグループを削除するには、その "x" アイコンをクリックします。
  
  単一のデバイスグループ内のデバイスのみを管理できる場合、警告メッセージが表示されます。もっと見る
2. 前のステップですべてのアクティブなデバイスを選択した場合、1 つ以上のデバイスグループを除外できます。デバイスグループを除外チェックボックスを選択し、フィールドをクリックして除外したい各デバイスグループを選択します。追加したデバイスグループを削除するには、その "x" アイコンをクリックします。
3. 完了したら、フィールドの外側をクリックし、閉じるをクリックします。
ルールを今すぐアクティブ化するには、ページ上部近くにあるスライダーをオン (緑色) にセットしたままにします。後でアクティブ化するには、スライダーをクリックしてオフ (グレー) にします。
保存をクリックします。

ルールが作成され、「ルールが作成されました」イベントがイベント履歴に記録されます。

アカウントレベルのルールをアクティブ化した場合、そのルールはアカウントに適用されます。デバイスレベルのルールをアクティブ化した場合、そのルールは指定したデバイスグループ内のデバイスに適用されます。その後、このルールで設定した条件を満たすイベントが発生すると、メール通知が指定した受信者全員に送信され、ルールがトリガーされましたイベントが履歴ページのイベントページに記録されます。