Finderでのメトリックの例 (クラシック)

Nexthink FinderはWindows専用のデスクトップアプリケーションで、その機能は現在Nexthinkのwebインターフェース内で利用可能です。 Nexthinkは現在、ブラウザから直接利用でき、ほとんどの機能では追加のデスクトップアプリケーションが必要ありません。

概要

初めて指標を作成する方にとっては、多くのオプションがあるため、新しい指標の作成は気が遠くなる作業かもしれません。 指標作成をお手伝いするために、カウント、数量、トップという異なるタイプの3つの指標の作成をカバーする最初の例を見てみましょう。 次に、リモートアクションの出力に基づく数量指標の作成方法を探ります。

最初の例では、危険と見なされるバイナリに関する情報を取得します。 その目的のために、読者が後で精緻化および拡張できる3つの指標の作成を提案します。

  • 危険なバイナリを実行しているデバイス(カウント指標)

危険なバイナリを実行しているデバイスの数をカウントします。

  • 危険なバイナリの累積実行時間(数量指標)

危険なバイナリの実行にどれだけの時間デバイスがさらされているかを測定します。

  • 最も多く実行された危険な実行可能ファイル(トップ指標)

実行回数に基づいて危険なバイナリに関連する上位10の実行可能ファイルをリストします。

この例では、脅威レベルフィールドが_高い脅威_に設定されている場合、バイナリを危険と見なします。 Nexthinkはアプリケーションライブラリを通じてこのフィールドの値を自動的に設定します。 後で独自の危険なバイナリの定義を考案し、例示された指標の条件をそれに応じて適応させることができます。

2番目の数量指標の例では、ラップトップデバイスのバッテリーステータスに関する情報を取得します。 これはデフォルトではNexthinkが取得する情報ではないため、オンデマンドデータを返すリモートアクションが必要です。

  • リモートアクションの助けを借りたバッテリーの平均健康度(数量指標)は、すべてのデバイスのバッテリーの平均健康度を取得し、メーカー別に比較します。

オプションを選択することが必要な指標の作成プロセスのすべてのステップで、我々の決定を詳しく説明します。 しかし、指標の作成についての基本を理解していると仮定します。

カウント指標

最初の指標は、危険なバイナリの実行によって影響を受けたデバイスの数を反映します。

Finderでカウント指標を作成し、そのオプションを編集します。

  1. 指標の名前を入力します: 危険なバイナリを実行しているデバイス

  2. オプション: 指標の説明を入力します。

  3. 取得セクションで、デバイスをクリックします。

  4. 毎日計算セクションで:

    1. _カウント_指標を作成するために、すべてのデバイスの合計数があるオプションを選択します。

    2. 危険なバイナリを実行しているデバイスの状況に興味があると仮定すると、antivirus up-to-dateおよびantivirus RTPで分類するために、デバイスをアンチウイルスの更新状態とリアルタイム保護のアクティブ化状態で分類します。

  5. 該当セクションで:

    1. 条件バイナリ 脅威レベル であることを追加します。

    2. デフォルトのオプション 条件を満たすデバイスを ** 少なくとも1日** ** 以上期間中にカウントする** を残します。 我々は、観測されたインターバル内で(つまり、webインターフェースのナビゲーションツールで指標の結果を観るときに設定される期間で)危険なバイナリを実行したデバイスを数えたいと思います。 したがって、インベントリ機能を持つ指標を意図している_最終稼働日_というオプションを選択しません。

  6. オプションセクションで:

    1. 新しい条件を含めずに、比率を含むのチェックボックスをオンにします。 この方法で、影響を受けたデバイスの数とデバイスの総数を比較します。

    2. チェックボックスをオンにして、のみ変動指標を含むオプションを選択します。 しきい値を設定する必要はなく、変動の意味に対するデフォルトオプションを維持します:指標の値が増加することは悪い(赤い上矢印)で、その値が減少することは良い(緑の下矢印)。

    3. オプション: 追加の表示フィールドを追加したい場合、いずれかをチェックします。

数量指標

集計値から

2番目の指標として、危険なバイナリがデバイス上でどれだけの時間実行されているかを測定します。

新しい指標を作成し、そのオプションを編集します。

  1. 指標の名前を入力します: 危険なバイナリの累積実行

  2. オプション: 指標の説明を入力します。

  3. 取得セクションで、デバイスをクリックします。数量指標はデバイスにのみ選択できます。

  4. 毎日計算セクションで:

    1. 数量_指標を作成するために2番目のオプションを選択し、文章を構築します: アクティブデバイスの累積実行時間_****。

    2. 分類ごとのオプションで、デフォルトの**- なし -**を維持します。なぜなら、結果を分解する必要がないからです。

    3. 集計ごとのオプションで、すべてのデバイスと全期間にわたって合計を選択します。 我々はすべてのデバイスの合計実行時間に関心があり、デバイスごとの平均実行時間には関心がありません。これが他の利用可能なオプションです。

  5. 該当セクションで:

    1. 条件バイナリ 脅威レベル であることを追加します。

  6. オプションセクションで:

    1. チェックボックスをオンにし、変動指標と2つのしきい値を含むオプションを選択します。 危険なバイナリの累積実行時間がある値を超えた場合、警告とエラー条件を設定したいです。

    2. しきい値を示すバーでは、変動の意味を保持します(赤い矢印上, 緑の矢印下)そして、最初のしきい値を 10分、2番目を1時間に設定します。

リモートアクションの数値出力から

数値の値を生み出すリモートアクションの出力に直接基づく3番目の指標を構築します。 一般的に、スコアはリモートアクションの出力に基づいてデバイスの数量指標を構築することを許可しますが、数量指標に直接の値として許可されるのは数値の出力のみです。

すべてのデバイスのバッテリーの健康度の平均を測定し、メーカーごとに比較する数量指標を作成するには:

  1. 例のために必要なライブラリーパックをインストールします。

    1. お気に入りのwebブラウザーでバッテリーステータスパックのNexthink Libraryページを開きます。

    2. インストールボタンをクリックします。

  2. 指標を作成する権限を持つユーザーとしてFinderにログインします。

  3. 指標セクションを右クリックし、コンテキストメニューを表示します。

  4. メニューから新しい指標を作成を選択します。

  5. 指標の名前を入力します: 平均バッテリー健康度

  6. オプション: 指標の説明を入力します。

  7. 取得セクションで、デバイスをクリックします。数量指標はデバイスにのみ選択できます。

  8. 毎日計算セクションで:

    1. 数量_指標を作成するために2番目のオプションを選択し、文章を構築します: すべてのデバイスにおけるバッテリーステータス/バッテリー1健康度を取得_****。

    2. 分類ごとのオプションで、最初の基準としてデバイスメーカーを選択し、二番目の基準として**- なし -**を選択し、デバイスのメーカーによって結果を分解できるようにします。

    3. 集計ごとのオプションで、デバイスごとの平均値を選択します。

  9. 該当セクションで:

    1. Get Battery Status / Battery1 Health が 0.1以上の条件を追加し、ゼロを返すデバイスではなく、有効な値を返すデバイステータスを除外します。

トップ指標

最後に、危険なバイナリとみなされる実行可能ファイルの上位10の最も実行されたものを取得する指標を追加します。 Nexthink の実行可能ファイルは、プログラムのさまざまなバージョン(バイナリイメージ)を単一のオブジェクトにグループ化することを忘れないでください。 このケースでは、個別のバイナリを取得するトップ指標よりも、実行可能ファイルを取得する指標の方が便利な場合があります。 ほんとうは、異なるバイナリバージョンの同じ実行可能ファイルがリストで繰り返されるのを見るよりも、異なる実行可能ファイルのリストがある方が望ましいです。

新しい指標を作成し、そのオプションを編集します。

  1. 指標の名前を入力します: 最も実行された危険な実行可能ファイルのトップ

  2. オプション: 指標の説明を入力します。

  3. 取得セクションで、実行可能ファイルをクリックします。

  4. 毎日計算セクションで:

    1. トップ_指標を作成するために、2番目のオプションを選択し、文章を構築します: 最も多い実行回数を持つ上位10件の実行可能ファイル_****。

    2. 集計ごとのオプションで、1日当たりの最大値を選択します。 すべての期間にわたる合計実行数を見るために、全期間にわたる合計という完璧に有効なオプションもあります。 しかし、この例では、1日当たりの最大実行急増によって実行可能ファイルを分類し、その方法でより攻撃的に実行されている危険な実行可能ファイルを見つけたいと考えています。 極端なケースを検出したいので、_1日当たりの平均値_という他の利用可能な集計オプションには関心がありません。

  5. 該当セクションで:

    1. 条件バイナリ 脅威レベル であることを追加します。

  6. オプションセクションで:

    1. オプション: 追加の表示フィールドを追加したい場合、いずれかをチェックします。

結論

これらの例が、指標の作成の背後にある概念のいくつかを明確にするのに役立ったことを願っています。 webインターフェースで指標の値を表示するためのウィジェットを作成する方法を知るために読み続けてください。 webインターフェースが指標データを計算して提示する方法についての詳細は、集計とグループ化に関するこの記事をお読みください。

Last updated