アラート:[ルール ビルダー]タブ

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

[ルール ビルダー]タブを使用して、ルール ビルダー ルールを定義することができます。

[ルール ビルダー]タブを開くには、次の操作を行います。

  1. Security Analyticsメニューで、[アラート]>[構成]を選択します。

    [構成]ビューが表示され、デフォルトで[ルール]タブが開きます。

  2. ルール ライブラリ]ツールバーで、addList.PNG>[ルール ビルダー]を選択します。

    [ルール ビルダー]タブが表示されます。

次の図に[ルール ビルダー]タブを示します。

NwBasRuleTb.png

機能

次の表に、[ルール ビルダー]タブのパラメータを示します。

                            
パラメータ説明
ルール名ESAルールの目的などを示した名前。
説明 ESAルールの検出対象のサマリー。
評価版ルールルールが効率的に実行されているかどうかを確認するための導入モード。
重大度 ルールによってトリガーされるアラートの脅威レベル。

[ルール ビルダー]には、次のコンポーネントが含まれます。

  • [条件]セクション
  • [通知]セクション
  • [エンリッチメント]セクション

[条件]セクション

[ルール ビルダー]タブの[条件]セクションで、ルールの検出対象を定義します。

次の図に、[条件]セクションを示します。

RBCond5F1S.png

次の表に、[条件]セクションのパラメータを示します。

                                                 
パラメータ説明
[追加]アイコン ステートメントを追加します。
削除アイコン 選択したステートメントを削除します。
編集アイコン 選択したステートメントを編集します。
ステートメント条件の論理グループ。
発生アラートの条件に合致する頻度。ここでは、アラートをトリガーするのに最低限必要なイベント(ステートメントの条件に合致するイベント)の発生回数を指定します。一定期間内(分)に発生する必要があります。
コネクタステートメント間の関係を指定します。次のコネクタがあります。
  • followed by
  • not followed by
  • AND
  • OR
コネクタは、「AND」、「OR」、「followed by」、「not followed by」のいずれかを使用して2つのステートメントを結合します。「followed by」を使用すると、2つのイベントの順序を指定できます。ANDとORでは、条件を結合して1つの大きい条件を構成します。「followed by」では、順番に発生する別々の条件を作成します。
相関タイプ「not followed by」コネクタのオプション。シーケンスが後に続いていないことを確認するためのフィールドのメタ キーを指定します。
期間条件が発生する必要のある期間。 
イベント シーケンス

パターンの一致が厳格な一致または非厳格な一致のどちらかを選択します。厳格な一致とは、指定したパターンと完全に同じ順序でイベントが発生し、間に別のイベントが一切発生しないことを意味します。たとえば、5回のログイン失敗(F)の後にログインが1回成功(S)するシーケンスを指定すると、ユーザーが 「F,F,F,F,F,S」のシーケンスを実行した場合にのみ一致と見なされます。非厳格な一致の場合、シーケンス内に別のイベントが発生しても、指定されたイベントがすべて発生していればルールはトリガーされます。たとえば、5回のログイン失敗(F)が発生する途中で、任意の回数のログイン成功(S)が発生し、その後で1回ログインが成功する場合、「F,S,F,S,F,S,F,S,F,S」のようなパターンになります。非厳格な一致では、このように途中でログインが成功していても、ルールがトリガーされます。 

Group By

ドロップダウン リストから結果をグループ化する際の基準となるメタ キーを選択します。たとえば、Joe、Jane、Johnという3人のユーザーがいて、Group Byにuser_dstメタを使用するとします(user_dstはユーザー宛先アカウントのメタ フィールドです)。その結果として、Joe、Jane、Johnでグループ化されたイベントが表示されます。

複数のキーでグループ化することもできます。たとえば、ユーザーとマシンでグループ化し、同じマシンからログインしている1人のユーザーが1つのアカウントに複数回ログインしていないか確認します。 これを行うには、device_classとuser_dstでグループ化します。

通知

[通知]セクションでは、ESAによってルールのアラートが生成されたときの通知方法を選択することができます。

アラート通知の詳細については、次のトピックを参照してください: 通知方法をルールに追加.

次の図に、[通知]セクションを示します。

NotificationAdded.png

                                            
パラメータ説明
アラート通知のタイプを追加します。
選択したアラート通知を削除します。
出力アラート通知タイプ。次のタイプがあります。
  • メール
  • SNMP
  • Syslog
  • スクリプト
通知メール配布リストなど、事前に構成された出力の名前。
通知サーバ出力を送信するサーバの名前。
テンプレートアラート通知のテンプレートの名前。
出力抑制の間隔    アラートの頻度を指定するオプション。
アラート頻度を分単位で指定します。

エンリッチメント

[エンリッチメント]セクションでは、データ エンリッチメント ソースをルールに追加できます。

エンリッチメントの詳細については、次のトピックを参照してください:ルールへのエンリッチメントの追加.

次の図は、[エンリッチメント]セクションを示しています。

RuleEnrSec.png

                                 
パラメータ説明
ic-addList.PNG エンリッチメントを追加します。
選択したエンリッチメントを削除します。
出力エンリッチメント ソースのタイプ。次のタイプがあります。
  • インメモリ テーブル
  • 外部データベース参照
  • Warehouse Analytics
  • GeoIP
エンリッチメント ソース事前に構成したエンリッチメント ソースの名前。たとえば、イン メモリ テーブルの場合はCSVファイル名など。
ESAイベント ストリーム メタ結合条件の一方のオペランドとして値を使用するESAメタ キー。
エンリッチメント ソース列名 結合条件のもう一方のオペランドとして値を使用するエンリッチメント ソースの列名。

CSVベースのイン メモリ テーブルを作成する時にキーを構成した場合は、この列に選択したキーが自動的に入力されます。ただし、このキーは必要に応じて変更できます。 

GeoIPエンリッチメント ソースでは、ipv4が自動的に選択されます。 
You are here
Table of Contents > 参考資料 > [ルール ビルダー]タブ

Attachments

    Outcomes