検出ルールおよび除外の作成と管理

既存の検出ルールを複製して変更する場合、または独自のカスタムルールを作成する場合は、次のトピックおよびサンプル検出ルールを確認して、CAE ルールの形式とオプションを理解してください。
  1. 管理コンソールのメニューで、[Focus] > [設定]をクリックし、[ルール]タブをクリックします。
    使用可能な検出ルールを並べ替えてフィルタリングし、各ルールの情報を表示できます。
  2. 次の操作のいずれかを実行します。

    タスク

    手順

    ルールを .json ファイルにエクスポートします。

    検出ルールは、カスタム、Endpoint Defense 試験的、Endpoint Defense 除外、Endpoint Defense macOS 公式、Endpoint Defense Windows 公式のどのルールカテゴリからでも複製できます。

    ルールに対して エクスポートアイコン をクリックします。

    カスタム検出ルールを .json ファイルからインポートします。
    1. [ルールをインポート]をクリックします。
    2. .json ファイルを参照して選択するか、ドラッグアンドドロップします。[インポート]をクリックします。
    3. 必要に応じて、ルールの設定と構文を変更します。
    4. [検証]をクリックします。
    5. [公開]をクリックします。

    公開後にカスタムルールを編集するには、対象ルールの をクリックします。

    検出ルールを複製して変更します。

    検出ルールは、カスタム、Endpoint Defense 試験的、Endpoint Defense 除外、Endpoint Defense macOS 公式、Endpoint Defense Windows 公式のどのルールカテゴリからでも複製できます。

    1. ルールに対して クローンアイコン をクリックします。
    2. 必要に応じて、ルールの設定と構文を変更します。
    3. [検証]をクリックします。
    4. [公開]をクリックします。

    カスタムルールを削除します。

    ルールはカスタムカテゴリからのみ削除できます。

    1. ルールに対して ルールアイコンを削除 をクリックします。
    2. [削除を確認]をクリックします。