テンプレートで用意されているログサーチおよびログサーチを用いたメールアラート機能について案内します。

■ISGCのアクセスログから検索

ISGC accesslog
	Search Account
	7日間でアクセスしたユーザの最終日を検索できます。
	Search Category
	15分間でアクセスした回数を検索できます。 カテゴリ/フィルタリング結果/ドメイン/アクセス回数
	Search URL
	15分間でアクセスした回数を検索できます。 グループ/アカウント/フィルタリング結果/カテゴリ/URL/メソッド/アクセス回数

■ISGCのアクセスログからCrowd Strikeに照合し検索

Crowd Strike for ISGC
	High Malicious Domain Threats
	15分間でアクセスした脅威レベルが"高"のドメイン情報を検索します。
	High Malicious IP Threats
	15分間でアクセスした脅威レベルが"高"のIPアドレス情報を検索します。
	High Malicious URL Threats
	15分間でアクセスした脅威レベルが"高"のURL情報を検索します。

■メールアラート機能
収集したログの集計結果からのメールアラートはログサーチにスケジュールを登録することで実施できます。

例1）"Crowd Strike for ISGC"のログサーチ（High Malicious Domain Threats）でアラート設定する場合

1.	対象のログサーチ"High Malicious Domain Threats"を開きます。
2.	"Save As"をクリックします。
3.	"Schedule this search"を開きます。 ※事前に名前や検索時間範囲、保存先フォルダなどを指定してください。
4.	"Run Frequency"を指定します。
5.	"Alert Type"を"Email"にします。
6.	"Recipients"に送信先アドレスを入力します。
7.	"Save"をクリックします。
8.	15分間でアクセスした脅威レベルが"高"のドメイン情報を検索します。

例2）セキュリティカテゴリでアラート設定する場合。

1.	ログサーチの新規タブを開きます。
2.	検索クエリのテキストボックスに以下を挿入します。
	//SOURCE_SETUP 対象ISGCログのソースカテゴリを指定してください。 | parse "*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*\t*" as date,time,scheme,source_ip,group_info,account,user_agent,action,destination_ip,status_code, domain,connection_time,fwd_time,res_time,file_type,content_type,filtering_result,matching_category, category_1,category_2,category_3,url,http_version,method,referer 対象のカテゴリを指定してください。 | where matching_category matches "セキュリティ*" ※大分類でセキュリティカテゴリを指定する場合は"セキュリティ*"、小分類でマルウェアカテゴリを指定する場合は"セキュリティ*マルウェア"となります。
3.	"Save As"をクリックします。
4.	"Schedule this search"を開きます。 ※事前に名前や検索時間範囲、保存先フォルダなどを指定してください。
5.	"Run Frequency"を指定します。
6.	"Alert Type"を"Email"にします。
7.	"Recipients"に送信先アドレスを入力します。
8.	"Save"をクリックします。