アラート:詳細EPLルールの追加

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、EPLクエリーを記述してルールの基準を定義する方法について説明します。EPLは、大量のイベントや時間ベースのイベント データを扱う宣言型言語です。この言語は、イベントのフィルタリングと集計を表現するために使われ、複数のイベント ストリームのスライディング ウィンドウを結合することもできます。EPLには、イベントの複雑な時間因果関係を表現するためのパターン セマンティックも含まれます。

ルールの基準がルール ビルダーで指定できるものよりも複雑な場合には、詳細なEPLルールを記述します。

EPL構文の説明は、このガイドの対象外です。 

前提条件

詳細なルールを追加するための前提条件を次に示します。

  • イベント処理言語(EPL)についての知識があること。
  • ESAアノテーションを使って、EPLステートメントをアラート生成用にマークすることを理解していること。

手順

詳細EPLルールを追加するには、次の手順を実行します。

  1. Security Analyticsメニューで、[アラート]>[構成]を選択します。
  2. ルール ライブラリ]でaddList.PNG>[詳細EPL]を選択します。

    NwAdvRuleTb.png

  3. ルール名]フィールドに、一意の分かりやすい名前を入力します。

    この名前はルール ライブラリに表示されるため、他のルールと区別しやすいものにしてください。

  4. 説明]フィールドに、ルールによって検出されるイベントの説明を入力します。

    説明の先頭部分はルール ライブラリに表示されます

  5. 評価版ルール全体でメモリの閾値を超えたときに、ルールが自動的に無効になるように、[評価版ルール]を選択します。

    評価版ルール モードは、ルールが効率的に実行されているかどうかを確認し、メモリ不足によるダウンタイムを回避するための安全措置として使用してください。詳細については、次のトピックを参照してください: 評価版ルールの使用.

  6. 重大度]で、ルールを[低]、[中]、[高]、[クリティカル]のいずれかに分類します。
  7. ルールの基準を定義するには、EPLでクエリーを記述します。

    注:メタ キー名では、ピリオドではなく、必ずアンダースコアを使用します。たとえば、ec_outcomeは正しい名前ですが、ec.outcomeは誤りです。

  8. ルールがアラートを生成する場所には、次のESAアノテーションを構文に含めます。

    @RSAAlert

    ESAには2つのアノテーションが用意されています。詳細については、次のトピックを参照してください: ESAアノテーション.

You are here
Table of Contents > ルール ライブラリへのルールの追加 > 詳細EPLルールの追加

Attachments

    Outcomes