誤検知の管理

このセクションでは、［Feeds］タブの［False Positives］リストを管理する方法について説明します。ウィンドウの左上領域で、使用可能なテナントがすべて含まれているドロップダウンリストから、［General］テナントが選択されていることを確認します。

誤検知リストの管理

誤検知リストにアクセスするには、［Filtering rules for feeds］セクションの［Manage False Positives］をクリックします。

［False Positives］ウィンドウが表示されます：

誤検知リスト

インジケーターの誤検知リストを編集するには、次のようにします：

• ［URL］［Hash］または［IP address］タブを選択して、対象のグループを管理します。

  ［URL］タブでは、ワイルドカード記号 * を含む URL を指定できます（たとえば、example.com/testpage/* は、example.com/testpage/test1 や example.com/testpage/test/long_url などの URL に一致します）。

  URL 内の * 記号はワイルドカードとして使用されません。* は単に「アスタリスク」を意味します。

  Kaspersky CyberTrace は、［URL］タブで追加してまだインジケーターデータベースに含まれていない URL に正規化ルールを適用します。このため、これらの URL の表現は変更される場合があります。たとえば、ポートを含む URL を追加する場合、このポート値は削除されます。Kaspersky CyberTrace が URL を正規化する方法の手順は、「URL 正規化ルール」セクションを参照してください。

• テキストボックスでは、すべてのインジケーターを別の行に置く必要があります。

誤検知リストが確認されるのは、受信イベントがすべてのフィードに対して照合された後にのみです。誤検知リストの主な目的は、Kaspersky CyberTrace を有効にして、信頼できるインジケーターの検知を無視することです。いずれかのフィードで検知が発生したが、指定したインジケーターは誤検知リストにある場合、Kaspersky CyberTrace は検知イベントを生成しません。この場合、［Dashboard］タブの［Supplier statistics］テーブルで、検知を発生させた脅威インジケーターに対応する［False positives］列の値が 1 だけ増分されます。［False positives］列の値は、各脅威インジケーターが発生させた誤検知数を示しています。ダッシュボードの詳細は、「［Kaspersky CyberTrace］ダッシュボード」セクションを参照してください。

URL 正規化ルール

［URL］タブで誤検知リストに追加された URL はすべて、「URL 正規化ルール」セクションで指定したルールに従って正規化されます。