アラート:ルールへのエンリッチメントの追加

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、構成したエンリッチメント ソースをルールに追加する方法について説明します。ESAがアラートを生成する時、アラートにソースから取得した情報が追加されます。

エンリッチメントをルールに追加すると、さまざまなソースに検索を行い、その結果を送信アラートに追加して、より詳細なアラートを提供することができます。この手順には、Administratorロール、DPOロール、SOCManagerロールの権限が必要です。

手順

ルールにエンリッチメントを追加するには、次の手順を実行します。

  1. Security Analyticsメニューで、[アラート]>[構成]を選択します。
  2. ルール ライブラリ]ビューで、次のいずれかを実行します。
    • ルールをダブル クリックします。
    • ルールを選択し、[ルール ライブラリ]ツールバーで編集アイコンをクリックします。
    [ルール ビルダー]パネルが、新しいSecurity Analyticsタブに表示されます。
  3. エンリッチメント]セクションで、addList.PNGをクリックし、次のいずれかのエンリッチメント タイプを選択します。 
    • インメモリ テーブル
    • 外部データベース参照
    • Warehouse Analytics
    • GeoIP
    • 注: GeoIPソースを使用する場合、ipv4は自動的に設定され、編集できません。 

    選択したエンリッチメント タイプがテーブルに表示されます。
  4. 追加したエンリッチメント タイプについて、次の項目を指定します。
    • 出力]列には、構成したタイプが表示されます。
    • エンリッチメント ソース]ドロップダウン リストで、定義済みのエンリッチメント ソースを選択します。
    • ESAイベント ストリーム メタ]フィールドに、イベント ストリーム メタ キーを入力します。このメタ キーの値が、結合条件のオペランドの1つとして使用されます。
      RuleEnrSec.png
    • エンリッチメント ソース列名]フィールドに、エンリッチメント ソースの列名を入力します。この列名の値が、結合条件のもう1つのオペランドとして使用されます。
  5. デバッグ]を選択します。@Audit(stream)アノテーションがルールに追加されます。これは、esperルールをデバッグする際に役立ちます。
  6. 構文の表示]をクリックして、定義したESAルールが有効かどうかをテストします。
  7. Saveをクリックします。

パラメータとその詳細については、次のトピックを参照してください:[ルール ビルダー]タブ.

You are here
Table of Contents > データ エンリッチメント ソースの追加 > ルールへのエンリッチメントの追加

Attachments

    Outcomes