アラート:新しい[詳細EPLルール]タブ

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、EPL(イベント処理言語)クエリーを使用してルール条件を定義するために使用する[詳細EPLルール]タブについて説明します。

[詳細EPLルール]タブにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[アラート]>[構成]を選択します。

    [構成]ビューが表示され、デフォルトで[ルール]タブが開きます。

  2. ルール ライブラリ]ツールバーで、addList.PNG>[詳細EPL]を選択します。

    [詳細EPLルール]タブが表示されます。

次の図は[詳細EPLルール]タブの画面イメージです。

NwAdvRuleTb.png

機能

次の表に、[詳細EPLルール]タブのパラメータを示します。

                             
パラメータ説明
ルール名ESAルールの目的などを示した名前。
説明 ESAルールの検出対象のサマリー。
評価版ルールルールが効率的に実行されているかどうかを確認するための導入モード。
重大度 ルールによってトリガーされるアラートの脅威レベル。
クエリールールの条件を定義するEPLクエリー。

通知

[通知]セクションでは、ESAによってルールのアラートが生成されたときの通知方法を選択することができます。

アラート通知の詳細については、次のトピックを参照してください: 通知方法をルールに追加.

次の図に、[通知]セクションを示します。

NotificationAdded.png

                                         
パラメータ説明
アラート通知のタイプを追加します。
選択されたアラート通知タイプを削除します。
出力アラート通知タイプ。次のタイプがあります。
  • メール
  • SNMP
  • Syslog
  • スクリプト
通知メール配布リストなど、事前に構成された出力の名前。
通知サーバ出力を送信するサーバの名前。
テンプレートアラート通知のテンプレートの名前。
出力抑制の間隔アラートの頻度を指定するオプション。
アラート頻度を分単位で指定します。

エンリッチメント

[エンリッチメント]セクションでは、データ エンリッチメント ソースをルールに追加できます。

エンリッチメントの詳細については、次のトピックを参照してください: ルールへのエンリッチメントの追加.

次の図は、[エンリッチメント]セクションを示しています。
RuleEnrSec.png

                                   
パラメータ説明

エンリッチメントを追加します。

選択したエンリッチメントを削除します。

出力

エンリッチメント ソースのタイプ。次のタイプがあります。

  • インメモリ テーブル
  • 外部データベース参照
  • Warehouse Analytics
  • GeoIP

エンリッチメント ソース

事前に構成したエンリッチメント ソースの名前。たとえば、イン メモリ テーブルの場合はCSVファイル名など。

ESAイベント ストリーム メタ

結合条件の一方のオペランドとして値を使用するESAメタ キー。

エンリッチメント ソース列名

結合条件のもう一方のオペランドとして値を使用するエンリッチメント ソースの列名。
Previous Topic:参考資料
You are here
Table of Contents > 参考資料 > 新しい[詳細EPLルール]タブ

Attachments

    Outcomes