不審操作検出
異常なパターンの操作を自動検出する画面です。
概要
不審操作検出画面では、あらかじめ定義されたルールに基づいて、通常とは異なるパターンの操作を自動的に検出します。大量削除や時間外アクセスなど、セキュリティリスクとなり得る操作を早期に発見できます。
使い方
- 画面上部で開始日と終了日を指定します。
- 「検出」ボタンをクリックします。
- 検出されたアラートが一覧表示されます。アラートがない場合は「検出なし」と表示されます。
検出ルール一覧
以下のルールに基づいて不審な操作が検出されます。
| ルール名 | ルールID | 検出条件 |
|---|---|---|
| 大量削除 | bulk_delete |
1時間に10件以上の削除操作が行われた場合 |
| 時間外アクセス | off_hours_access |
22:00〜6:00の時間帯に操作が行われた場合 |
| 短時間大量操作 | rapid_operations |
1時間に50件以上の操作が行われた場合 |
| ログイン失敗多発 | login_failures |
1時間に5回以上のログイン失敗が発生した場合 |
| 不正アクセス試行 | unauthorized_access |
1時間に3回以上の403エラー(権限不足)が発生した場合 |
| アカウントロック | account_locked |
アカウントロックが発動した場合 |
パラメータのカスタマイズ
各検出ルールのしきい値は、設定画面の「異常検知パラメータ」セクションから変更できます。
運用環境や業務の特性に合わせてしきい値を調整することで、誤検知を減らし、本当に対応が必要なアラートに集中できます。
権限: パラメータの変更には
OPERATION_ADMIN 以上のロールが必要です。
結果の見方
検出結果には以下の情報が表示されます。
- ルール名: どの検出ルールに該当したか
- 件数: 該当する操作の件数
- 対象ユーザー: 操作を実行したユーザーのメールアドレス
- 日時: アラートが発生した日時
対応の推奨: アラートが検出された場合は、内容を確認し、必要に応じて「ログ検索」画面で該当ユーザーの操作詳細を調査してください。意図しない操作が確認された場合は、速やかに対象ユーザーへの確認やアカウントの制限を検討してください。