アラート:データ エンリッチメント ソースの追加

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、構成したエンリッチメント ソースをルールに追加する方法について説明します。ESAがアラートを生成する時、アラートにソースから取得した情報が追加されます。

エンリッチメントを使用すると、相関ロジックとアラート出力にコンテキスト情報を含めることができます。エンリッチメントがない場合、ESAアラートに含まれる情報はすべて、Security Analyticsコア サービスから取得されます。エンリッチメントを使用すると、さまざまなソースに検索を実行し、その結果を送信するアラートに含めることができます。次の図に、エンリッチメント機能の概要を示します。

enrichment_overview.jpg


エンリッチメント構成は最大2個の論理ユニットから成ります

  • エンリッチメント ソース :コンテキスト情報のデータストアです
  • エンリッチメント接続:アラートのメタとソース列の間のコネクタとして機能します

ESAを使用すると、EPL(Event Processing Language)ステートメントとエンリッチメント ソースの間の接続を確立できます。接続が確立されると、システムはアラート内の選択されたフィールドをソースの情報と結合して、一致したデータを送信するアラートのエンリッチメント(付加情報)として設定します。ESAは次のソースと接続できます。

  • Esper名前付きウィンドウ
  • リレーショナル データベース テーブル
  • MaxMindGeoIPデータベース
  • RSA Warehouse Analyticsウォッチリスト

注:geoIPエンリッチメント ソースは作成することも、削除することもできません。このソースはデフォルトで使用可能になっています

エンリッチメントのサンプル ルール

次のサンプル ルールは、ESAのエンリッチメント機能を示しています。

@RSAAlert @Name("simple") SELECT * FROM CoreEvent(ec_theme='Login Failure')

このルールでは、ログオンが失敗するたびにアラートが生成されます。たとえば、次のイベント ストリームをESAで受け取ったとします(イベント ストリームは簡略化されています)。

  
sessionidec_themeusernameip_srcip_dsthost_dst
1Login Successdshrute23.xx.23x.16  
2Login Failurejhalpert23.xx.23x.1631.1x.x9.1x8www.facebook.com

 

この場合、次のeventsで構成されるアラートが、2番目のセッションに応答して生成されます。

{
    "events": [
        {
            "username": "jhalpert",
            "host_dst": "www.facebook.com",
            "ip_dst": "31.1x.x9.1x8",
            "sessionid": 2,
            "ec_theme": "Login Failure",
            "esa_time": 1406148964130,
            "ip_src": "23.xx.23x.16"
        }
    ]
}

このJSON出力は、適切なFreeMarkerテンプレートを使用してESA通知に含めることのできるすべての情報を
示しています。たとえば、テンプレートの式${events[0].username}jhalpertと評価されます。

エンリッチメントを使用すると、これと同じモジュールと同じイベント ストリームで次のようなアラートを生成できます。システム
は複数のエンリッチメント接続を確立し、コンテキスト情報をプルして、アラートをより分かりやすくすることができます。

例:
${events[0]["RSADataScienceLookup"][0].score}は、RSA Warehouse Analyticsモジュールによって計算される宛先ドメインの「リスク」スコアを提供するのに対し、${events[0]["orgchart"][0].supervisor}は、アラートの対象である従業員の上司の名前を提供し(HRデータベースからプルされる)、${events[0]["LoginRegister"][0].username}は、同じip_srcからのログインに最後に成功したユーザーの名前を提供します(ストリーム ベースのNamed Windowを使用)。

{"events": [
    {
        "username": "jhalpert",
        "host_dst": "www.facebook.com",
        "GeoIpLookup": [
        {
            "city": "Cambridge",
            "longitude": -71,
            "countryCode": "US",
            "areaCode": 617,
            "metroCode": 506,
            "region": "MA",
            "dmaCode": 506,
            "ipv4Obj": "/23.62.236.16",
            "countryName": "United States",
            "postalCode": "02142",
            "ipv4": "23.62.236.16",
            "latitude": 42,
            "organization": "Verizon Business"
        }
    ],
    "RSADataScienceLookup": [
        {
            "model_id": "suspiciousDomains_1",
            "_id": "EXEC_BATCH_1_20140630153740_facebook.com",
            "score": 10,
            "key": "www.facebook.com"
        }
    ],
    "orgchart": [
        {
            "supervisor": "mscott",
            "name": "James Halpert",
            "extension": 3692,
            "location": "Scranton",
            "department": "Sales",
            "id": "jhalpert"
        }
    ],
    "ip_dst": "31.13.69.128",
    "sessionid": 2,
    "LoginRegister": [
        {
            "username": "dshrute",
            "ip_src": "23.62.236.16"
        }
    ],
    "ec_theme": "Login Failure",
    "esa_time": 1406155218912,
    "ip_src": "23.62.236.16"
    }
]}

You are here
Table of Contents > データ エンリッチメント ソースの追加

Attachments

    Outcomes