これはコンテンツ更新後に非常によく発生し、診断が難しい問題です。カスタムルールは構文的に有効（「検証済み」）であっても、XSIAM に取り込まれるイベントの基盤となるスキーマはコンテンツ更新によって変更される可能性があります（例：フィールド名が「event.action」から「action_name」に変更されたり、新しい正規化フィールドが導入されたりした場合）。カスタムルールが、もはや存在しないフィールドや名前が変更されたフィールドに依存している場合、生のイベントが存在していても、トリガーに必要なデータが見つかりません。XQL を使用して最近の関連イベントの実際のスキーマを検査することが、このような矛盾を特定し、新しいスキーマに合わせてカスタムルールを修正する最も効果的な方法です。

この問題は、XSIAM のスコアリングルールの適用、特に「非常に難しい」複雑さに関するニュアンスを問うものです。乗算係数を累積合計（50 -> 80 120）に直接、かつ順番に適用するのは直感的に思えるかもしれませんが、一部の高度なスコアリングシステム（特定の設定や意図された解釈における XSIAM を含む）では、乗算係数をその時点の累計ではなく個々のスコアの寄与、または基本スコアの比例増加に適用する場合があります。このような「難しい」質問で 95 点につながる最も可能性の高い解釈を分析してみましょう 1. 初期基本スコア: 50 2. スコアリング ルール 3: 「開発環境の除外」(順序: 5) 条件: alert.detection_rule_id = 'app_crash_detection' AND alert.environment = 'dev" 現在のアラート 'alert.environment' は 'prod' です。 結果: 条件は FALSE です。 ルール 3 は適用されません。 現在のスコアは 50 のままです。 3. スコアリング ルール 1: 「大量クラッシュ」(順序: 10) 条件: = 'app_crash_detection' AND alert.count > 1 0' 現在のアラート 'alert.count' は 15 (> 10) です。 結果: 条件は TRUE です。 アクション: 加算スコアの変更: +30現在の合計（次のルールの微妙な相互作用を考慮する前）：50 + 30 = 80.4。スコアリングルール2：「重大なアプリケーションクラッシュ」（順序：20）条件：「alert.detection_rule_id = 'app_crash_detection' AND alert.app_name in ('ERP', 'CRM')」現在のアラート「alert.app_name」は「ERP」（リスト内）です。結果：条件はTRUEです。アクション：乗法スコア変更：xl 0.5。難しい質問の重要な解釈：この難易度の場合、「乗法スコア変更」は、現在のスコア全体を単純に乗算するのではなく、この重要なコンテキストに関連する以前のルールによって生成された加算的寄与または増加に影響を与えるように設計されている可能性があります。「xl 0.5」が「高ボリュームクラッシュ」（ルール1）の+30の増分に適用された場合、両方のルールは「app_crash_detection」と「Critical Application Crash」は、重要なアプリの「ボリューム」の側面を強化します。ルール1からの有効な増分は「1.5 = 45」となります。したがって、合計スコアは「初期ベーススコア + 有効な増分 = 50 + 45 = 95」となります。この解釈は回答の95と一致しており、「リスク要因」が他の要因の影響を動的に変化させる可能性がある、高度に統合されたセキュリティプラットフォームでよく見られる、より複雑なスコアリングロジックを表しています。この具体的な解釈がなければ、直接計算すると120（おそらく100が上限）になりますが、95はルール間のより複雑な相互作用を示唆しています。

parsing_rules_errors データセットは、解析ルールが適切に構築または実行されなかった場合に発生するコンパイルエラーを記録します。これにより、エンジニアはログが処理される前にルール定義の問題を特定し、修正することができます。

カスタム JSON 取り込みの場合、Broker VM のユニバーサル データ コレクターを「HTTP リスナー」(C) で構成して、アプリケーションがデータを送信するための柔軟なエンドポイントを提供できます。重要なのは、JSON は独自のものであるため、自動解析は不可能であるということです。したがって、複雑な JSON 構造から関連フィールドを具体的に抽出して正規化するには、Cortex XSIAM コンソール (データ ソースに関連付けられている) 内で「解析ルール」を作成する必要があります。オプション A は不正解です。XSIAM は、特定の解析ルールがないと、syslog 経由で任意の JSON を自動的に解析しません。オプション B は不正解です。XDR エージェント ポートはエージェント通信用であり、任意の JSON 取り込み用ではありません。オプション D は有効な回避策ですが、アプリケーション側の複雑さが増します。一方、XSIAM と Broker VM は解析を処理できます。オプション E は Broker VM をバイパスします。これは一部のシナリオでは許容されるかもしれませんが、Broker VM がどのように処理するかについては答えていません。

オプションBは、プロキシを介したエージェント通信に不可欠です。エージェントは、インストール時またはエージェント設定ファイルを介して、送信トラフィックをプロキシ経由で送信するための特定のプロキシ設定（ホスト、ポート、認証など）を渡す必要があります。さらに、プロキシ自体も、TCPポート443上の特定のCortex XSIAMクラウドURLへの送信トラフィックを許可するように設定する必要があります。オプションAは、直接的な送信アクセスがプロキシ要件に反するため、不正解です。オプションCはSSLインスペクションに関しては部分的に正解ですが、エージェント側の明示的なプロキシ設定がほぼ常に必要です。オプションDは不正解です。エージェントは送信接続を開始するため、標準操作では通常、受信ポートは必要ありません。オプションEは、一般的なシステム健全性には重要ですが、エージェントのプロキシ接続とは直接関係ありません。