アラート：ルール ビルダ ルールの追加

このトピックでは、ルール ビルダ タイプのルールを追加するための全体的な手順について説明します。

ESAの各ルールは、ネットワークで以下のような事象を検出し、それに関するアラートを生成するよう設計されています。

• 許可されていないユーザ アクティビティ（認可されていないソフトウェアのダウンロード試行など）
• 疑わしい挙動（監査の一括クリアなど）
• 悪意のある既知の脅威（ワームの伝播、パスワード解析ツールなど）

ESAでは、次の2つの方法でルールを設計できます。

• ルール ビルダは使いやすいインタフェースです。メタ キーとメタ値を指定し、リストから値を選択して条件を完成させます。
• 詳細EPLを使用すると、イベント処理言語でクエリを記述できます。EPL構文を理解している必要があります。

EPLを理解している場合は、いずれの方法でもルールを設計できます。EPLを理解していない場合は、ルール ビルダを使用する必要があります。これらのトピックでは、ルール ビルダについて説明します。