受信したアラートメールからアラートを確認する¶

アラートを確認する手順について説明します。

アラートメール下部に記載のリンクよりビジネスポータルに遷移します。

heuristic_detection_01

2. ビジネスポータルにログイン後、[ご契約中のサービスから選ぶ] ＞ [Smart Data Platform] ＞ [対象のワークスペースを選択] ＞ [メニュー] ＞ [ネットワーク] ＞ [docomo business RINK セキュアドWAN] ＞ [WANセキュリティ] ＞ [セキュリティ契約状況一覧／まとめて申込] の順に遷移して、「ふるまい検知利用数」の[詳細]ボタンを押下します。

heuristic_detection_02

3.「ふるまい検知のコンソールに遷移します。下記のリンクをクリックしてください。」のポップアップが表示されますので「ふるまい検知コンソール」を押下します。

heuristic_detection_31

4. ふるまい検知コンソールのホーム画面が表示されます。

heuristic_detection_04

5. 画面上部の「レポート／アラート」を選択します。

heuristic_detection_05

6. 「レポート／アラート」画面が表示されます。未確認のアラートを確認する場合は「未確認あり」を選択します。確認済みのアラートを確認する場合は「確認済みのアラートを確認する」の手順から確認します。

heuristic_detection_06

アラート詳細のポップアップが表示されます。

表3.4.3.1. アラート項目表¶
アラートカラム名	項目名
TimeStamp	検知日時
Start	開始日時
End	終了日時
Duration	通信の開始から終了までの時間
SrcIP	送信元IPアドレス
DstIP	宛先IPアドレス
SrcIPCountryName	送信元IPアドレスの所在国名
DStIPCountryName	宛先IPアドレスの所在国名
SrcPort	送信元ポート
DstPort	宛先ポート
Protocol	プロトコル
Bytes	データ量
Pkts	パケット数
Flows	フロー
BPS	1秒あたりに送れるデータ量
PPS	1秒あたりに送れるパケット数
BPP	1パケットあたりのビット数
ZIndex	回線番号

アラート内容を確認後、そのまま閉じる場合は画面下部の[閉じる]ボタンを押下します。「確認済み」にする場合は次の手順に進みます。

heuristic_detection_09

注釈

heuristic_detection_17

「確認済みにする」にした場合、「未確認アラート」列にある「未確認あり」の表示が「ー」に変わります。

画面下部の[確認済みにする]ボタンを押下します。

heuristic_detection_08

10. 「確認済みにします。よろしいですか？」のポップアップが表示されます。[OK]ボタンを押下します。

heuristic_detection_37

対象期間を選択してアラートを確認する¶

画面上部の「レポート／アラート」を選択します。

heuristic_detection_05

2.「レポート／アラート」画面が表示されます。「レポート名」の項目からレポートを選択します。

heuristic_detection_10

3. 「月次」レポートのポップアップが表示されます。

heuristic_detection_11

4. 「対象期間」を「週次」に変更する場合は[週次]ボタンを押下し、日付を選択します。

heuristic_detection_12

5. 「対象期間」を「日次」に変更する場合は[日次]ボタンを押下し、日付を選択します。

heuristic_detection_13

6. [閉じる]ボタンを押下します。

heuristic_detection_14

確認済みのアラートを確認する¶

画面上部の「検索」を選択します。「検索」画面が表示されます。

heuristic_detection_15

2. [期間]ボタンを押下します。

heuristic_detection_35

3. 期間画面が表示されます。「期間」の項目からラジオボタンを選択します。「曜日／休日」の項目はチェックボックスを選択してから、ラジオボタンを選択します。

heuristic_detection_16

4. [検索条件]ボタンを押下します。

heuristic_detection_36

5. 検索条件画面が表示されます。検索するアラートの種類を「対象レポート」の項目からプルダウンで選択します。

heuristic_detection_18

6. 上の「対象レポート」から選択した検索条件が検索欄に追加されます。検索クエリは追加もできます。
[検索]ボタンを押下します。

heuristic_detection_19

注釈

heuristic_detection_41

検索ボックス内でのクエリ記述方法については、「検索」画面の[?]ボタンを押下することで確認できます。

検索結果画面が表示されます。

heuristic_detection_20

通知メール設定を変更する¶

メール設定を変更する手順について説明します。ふるまい検知コンソールへログインする手順は「こちら」をご参照ください。

コンソールへログイン後、画面上部の「レポート／アラート」を選択します。「レポート／アラート」画面が表示されます。

heuristic_detection_21

2. [編集]ボタンを押下します。

heuristic_detection_22

3. 「編集」画面が表示されます。画面下部の[メール通知]ボタンを押下します。

heuristic_detection_23

下記表の説明に従って、変更箇所をご入力ください。

表3.4.2.1. 通知メール設定項目表¶
項目	説明	入力形式	ライトプラン	スタンダードプラン
有効／無効	通知メールを有効にする場合は「有効」を選択、無効にする場合は「無効」を選択します。	ラジオボタンより選択します。有効。無効。	○	○
件名	通知メールの件名を変更する場合は入力します。デフォルトでは「レポート名」を検知しましたとなります。	テキストボックスに入力します。	ー	○
送信元アドレス	通知メールの差出人を変更する場合は入力します。	テキストボックスに入力します。メールアドレス。	ー	○
送信先アドレス	通知メールの宛先を変更する場合は入力します。	テキストボックスに入力します。メールアドレス。	○	○
通知対象	通知メールにレポート内容を表示する場合は期間を選択、表示しない場合は選択解除します。	チェックボックスにチェックします。月次。週次。日次。	ー	○
ファイル添付 (PDF)	通知メールにレポートのファイル(PDF)を添付する場合は種類を選択、添付しない場合は選択解除します。	チェックボックスにチェックします。サマリー。詳細。	ー	○
メール本文	レポート通知のメール本文を変更する場合は入力します。デフォルトではアラートの概要などの説明が入力されています。	[編集]ボタンを押下し、テキストボックスに入力します。	ー	○
レポート名	通知メールの本文にレポート名を表示する場合は「表示」を選択、表示しない場合は「非表示」を選択します。	ラジオボタンより選択します。表示。非表示。	ー	○
URL	通知メールの本文にURL名を表示する場合は「表示」を選択、表示しない場合は「非表示」を選択します。	ラジオボタンより選択します。表示。非表示。	ー	○
アラート	アラート通知を有効にする場合は「アラート」の項目より「通知する」を選択します。アラートの通知を無効にする場合は選択解除します。	チェックボックスにチェックします。通知する。	ー	○
通知条件	アラート通知する際の条件を選択します。アラートが発生した際に初回のみ通知する場合は「初回のみ通知」を選択、毎回通知する場合は「常に通知」を選択します。	ラジオボックスより選択します。初回のみ通知。常に通知。	ー	○
ファイル添付 (PDF)	通知メールにアラートファイル(PDF)を添付する場合は選択、添付しない場合は選択解除します。	チェックボックスにチェックします。添付する。	ー	○
メール本文	アラート通知のメール本文を変更する場合は入力します。デフォルトではアラートの概要などの説明が入力されています。	編集ボタンを押下し、テキストボックスに入力します。	ー	○
レポート名	通知メールの本文にレポート名を表示する場合は「表示」を選択、表示しない場合は「非表示」を選択します。	ラジオボタンより選択します。表示。非表示。	ー	○

[OK]ボタンを押下します。

heuristic_detection_38

アラートの設定を変更する¶

アラート設定を変更する手順について説明します。ふるまい検知コンソールへログインする手順は「こちら」をご参照ください。

注釈

プラン（ライト／スタンダード）によって変更できるアラート設定に差分があります。詳細は「提供プラン」をご参照ください。

コンソールへログイン後、画面上部の「レポート／アラート」を選択します。「レポート／アラート」画面が表示されます。

heuristic_detection_29

2. [編集]ボタンを押下します。

heuristic_detection_30

下記表の説明に従って、変更箇所をご入力ください。

heuristic_detection_25

表3.4.3.1. アラート設定項目表¶
項目	説明	入力形式	ライトプラン	スタンダードプラン
状態	「レポート」、「アラート」、「AIアラート」を有効にする場合は「有効／無効」の項目から「有効」を選択、無効にする場合は「無効」を選択します。	ラジオボタンより選択します。有効。無効。	○	○
機能	有効にする機能を「レポート」、「アラート」、「AIアラート」より選択します。「レポート」、「アラート」を選択した場合は「AIアラート」は選択できません。 ※各機能の説明については「ふるまい検知コンソール機能サービス概要」をご参照ください。	チェックボックスにチェックします。レポート。アラート。 AIアラート。	ー	○
レポート名	アラートのレポート名を入力します。お申し込み時は既定値のアラート名となっています。	テキストボックスに入力します。	ー	○
概要説明	アラートの概要説明を入力します。お申し込み時は既定値のアラートの説明となっています。	テキストボックスに入力します。	ー	○
フィルター	フィルターを入力します。「レポート名」によってはアラート条件がフィルター欄に表示されます。	テキストボックスにクエリ形式で入力します。	ー	○
時間帯	アラートの時間帯を入力します。	[時計]ボタンを押下した後[↑][↓]ボタンを押下し時間を入力します。[+][-]ボタンを押下することで最大10件まで登録できます。	ー	○
曜日	アラートの曜日を選択します。	・チェックボックスにチェックします。月／火／水／木／金／土／日・ラジオボタンより選択条件を選択します。選択した曜日を対象にする。選択した曜日＋休日を対象にする。選択した曜日から休日を除外する。	ー	○
しきい値 ※1	アラートのしきい値を選択します。 ※アクセス数がこの値以上となる場合のログをレポートします。	チェックボックスにチェック後、時間をプルダウンから選択し、回数を[+]ボタンと[-]ボタンより選択します。	ー	○
しきい値の詳細設定	「集計キー」、「集計方法」を設定する場合は、[+]ボタンを押下します。初期値はデフォルトで設定されており、基本的に殆どのケースはそのまま使用できます。詳細設定を変更する場合は、「しきい値」に設定した値の判定方法をレポート全体の設定とずらす時です。	[+]ボタンを押下します。	ー	○
AIアラート	「AIアラート」の検知条件を選択します。	・ラジオボタンより選択します。詳細項目の値の変化を検知する。一定時間内のログ件数の変化を検知する。新しく現れた詳細項目の値を検知する。・対象のキーはプルダウンより選択します。 Start End Duration SrcIP DstIP SrcPort DstPort Protocol Bytes Pkts PPS BPS BPP VLAN Flows AppID ZIndex TenantID SrcIPCountryName DstIPCountryName ・「一定時間内のログ件数の変化を検知する」を選択した場合は時間もプルダウンより選択します。 1分 5分 10分 15分 30分 1時間 2時間 3時間 6時間 12時間 1日	ー	○
レポートの詳細設定「機能」で「レポート」を選択した場合	「表示形式」、「集計キー」、「集計方法」を設定する場合は[+]ボタンを押下します。	[+]ボタンを押下します。	ー	○
出力件数「機能」で「レポート」を選択した場合	レポートの出力件数を入力します。	直接入力、もしくは[+]ボタンと[-]ボタンより選択、もしくは「制限しない」のチェックボックスにチェックします。	ー	○
グラフ種別「機能」で「レポート」を選択した場合	レポートのグラフを「棒グラフ」「円グラフ」より選択します。表示しない場合は「なし」を選択します。	ラジオボタンより選択します。棒グラフ。円グラフ。なし。	ー	○
アクセスログの表示項目「機能」で「レポート」、「アラート」もしくは「AIアラート」を選択した場合	表示したい項目を「選択された項目」の項目名から左の「利用できる項目」に[←]ボタンで移動します。	[→][←]ボタンより押下します。 TimeStamp Start End Duration SrcIP DstIP SrcIPCountryName DstIPCountryName SrcPort DstPort Protocol Bytes Flows BPS PPS BPP ZIndex VLAN AppID TenantID Pkts	ー	○

注釈

ライトプランでは、レポート条件やアラート条件の変更、レポートの新規追加はできません。
ただし、下記のレポート条件については「状態」を有効／無効化することでアラートの調整をすることが可能となっています。
①短時間の大量アクセス
②通常使わないプロトコルの通信
③海外からのアクセス

heuristic_detection_42

①～③のアラート条件については「早期警戒」、「バランス」、「厳密」を用意しており、それぞれ異なるアラート条件を設定しているため検知されるレベルが異なります。
既定値では「バランス」設定のみ有効 となっています。
各レポート条件の詳細は上記レポート画面の「概要説明」または「編集」の内容をご参照ください。

全てのアラート条件を選択することも可能ですが、同じ内容のアラートが重複して通知する仕様となっておりケースによっては大量のアラートが通知されることになりますので、いずれか1つのみを有効化することを推奨します。

※1 ふるまい検知サービス開通時の、レポート／アラート／AIアラートの共通ルールについては「サービス共通ルール」をご参照ください。

[OK]ボタンを押下します。

heuristic_detection_39

「更新します。よろしいですか？」のポップアップが表示されます。 [OK]ボタンを押下します。

heuristic_detection_26

「更新しました」と表示されますので [×]ボタンを押下します。

heuristic_detection_27