アラート:ルール ビルダー ルールの追加

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、ルール ビルダー タイプのルールを追加するための全体的な手順について説明します。

ESAの各ルールは、ネットワークで以下のような事象を検出し、それに関するアラートを生成するよう設計されています。

  • 許可されていないユーザー アクティビティ(認可されていないソフトウェアのダウンロード試行など)
  • 疑わしい挙動(監査の一括クリアなど)
  • 悪意のある既知の脅威(ワームの伝播、パスワード解析ツールなど)

ESAでは、次の2つの方法でルールを設計できます。

  • ルール ビルダーは使いやすいインタフェースです。メタ キーとメタ値を指定し、リストから値を選択して条件を完成させます。
  • 詳細EPLを使用すると、イベント処理言語でクエリーを記述できます。EPL構文を理解している必要があります。

EPLを理解している場合は、いずれの方法でもルールを設計できます。EPLを理解していない場合は、ルール ビルダーを使用する必要があります。これらのトピックでは、ルール ビルダーについて説明します。 

You are here
Table of Contents > ルール ライブラリへのルールの追加 > ルール ビルダー ルールの追加

Attachments

    Outcomes