アラート:エンリッチメント ソースとしてのイン メモリ テーブルの構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、イン メモリ テーブルを構成する手順について説明します。イン メモリ テーブルを構成する場合、テーブルへの入力用のCSVファイルをアップロードします。このテーブルをエンリッチメント ソースとしてルールに設定することができます。設定したルールによってアラートが生成されると、ESAはイン メモリ テーブルから関連する情報を取得し、アラートに付加します。

たとえば、ユーザーがフリーウェアのダウンロードを試みたときにそれを検出し、そのユーザーのユーザーIDをアラートで通知するように、ルールを構成することができます。氏名、役職、オフィス所在地、従業員番号などの詳細情報が含まれたイン メモリ テーブルから追加情報を取得して、アラートに付加することができます。

イン メモリ テーブルは軽量なデータを取り扱う場合に最適です。簡単に設定でき、データベースよりもメンテナンスの手間がかかりません。たとえば、AllTech Companyという小さな会社があるとします。規模が小さいため、システム管理者はCSVファイルで従業員情報を管理できます。このAllTechが大企業に成長したとすると、管理者は外部データベース参照をエンリッチメントとして構成し、そのデータベースにルールを関連づける必要が出てきます。

前提条件

CSVファイルの列名に空白文字は使えません。

CSVファイルの1行目は、すべての列で次の形式にする必要があります。
name_of_column_1 type_of_column_1

たとえば、次の3列は正しい形式になっています。
Last_Name string
First_Name string
Phone integer

手順

アドホック イン メモリ テーブルの構成

  1. Security Analyticsメニューで、[アラート]>[構成]を選択します。
    [構成]ビューが表示され、[ルール]タブが開きます。
  2. 設定タブをクリックします。
  3. [オプション]パネルで、[エンリッチメント ソース]を選択します。
    EnrSources2.png
  4. エンリッチメント ソース]セクションで、addList.PNG>[イン メモリ テーブル]をクリックします。
    IMTblAdhoc.png
  5. イン メモリ テーブルを記述するには、次の手順を実行します。
    1. アドホック]のチェックボックスをオンにします。
    2. デフォルトでは、[有効化]が選択されています。ルールにイン メモリ テーブルを追加すると、アラートにはイン メモリ テーブルのデータが付加されます。
      イン メモリ テーブルをルールに追加して、アラートに付加情報を追加しない場合には、チェックボックスをオフにします。
    3. ユーザー定義テーブル]フィールドに、イン メモリ テーブル構成の名前(Student Informationなど)を入力します。
    4. アラートに追加するエンリッチメントの情報を説明する場合には、[説明]に次のような説明を記入します。
      アラートがRollnoでグループ化されると、このエンリッチメントによって名前やマークなどの生徒の情報が追加されます。 
  6. インポート データ]フィールドで、イン メモリ テーブルにデータをフィードするCSVファイルを選択します。
  7. EPLクエリーを記述して、高度なイン メモリ テーブルの構成を定義する場合は、[エキスパート モード]を選択します。
    [テーブル列]は[クエリー]フィールドにより置換されます。
  8. ESAサービスが停止した場合に、サービスの再開時にテーブルのデータを再投入するには、[永続的]を選択して、イン メモリ テーブルをディスクに保存します。
  9. テーブル]セクションで、[追加]アイコンをクリックして、列をイン メモリ テーブルに追加します。 
  10. [インポート データ]フィールドで有効なファイルが選択されている場合は、自動的に列にデータが入力されます。

注:[エキスパート モード]を選択した場合には、[テーブル列]ではなく、[クエリー]フィールドが表示されます。

  1. キー]ドロップダウン メニューで、エンリッチメントとしてCSVベースのイン メモリ テーブルを使用する場合に、入力イベントとイン メモリ テーブルを結合するためにデフォルトのキーとして使用するフィールドを選択します。デフォルトでは最初の例が選択されています。また、エンリッチメント ソースでイン メモリ テーブルを開いている場合、後でキーを変更することもできます。
  2. 最大行数]ドロップダウン メニューで、個々のインスタンスがイン メモリ テーブルに格納できる行数を選択します。
  3. Saveをクリックします。
    アドホック イン メモリ テーブルが構成されました。これをエンリッチメントまたはルール条件の一部としてルールに追加することができます。「ルールへのエンリッチメントの追加」を参照してください。

イン メモリ テーブルを追加する場合は、イン メモリ ルールをエンリッチメントまたはルール条件の一部としてルールに追加できます。たとえば、次のルールでは、イン メモリ テーブルをルール条件の一部として使用してホワイトリストを作成します。また、user_dstファイルで詳細のイン メモリ テーブルを使用して表示されているアラートのエンリッチメントを設定します。 

ルールでは、イン メモリ テーブルをホワイトリスト ルール条件として表します。

in-rule-enrichment.png

次に、User_listイン メモリ テーブルによりアラートのエンリッチメントを設定します。

post_alert_enrichment.png

そのため、user_dstイン メモリ テーブルは、ホワイトリストの作成に使用されます。また、アラートがトリガーされた場合は、アラートのデータにエンリッチメントを設定する場合にも使用されます。 

繰り返しイン メモリ テーブルの追加

  1. Security Analyticsメニューで、[アラート]>[構成]を選択します。
    [構成]ビューが表示され、[ルール]タブが開きます。
  2. 設定タブをクリックします。
  3. [オプション]パネルで、[エンリッチメント ソース]を選択します。
  4. addList.PNG>[イン メモリ テーブル]をクリックします。
  5. イン メモリ テーブルを記述するには、次の手順を実行します。
    1. 繰り返し]をクリックします。
    2. デフォルトでは、[有効化]が選択されています。ルールにイン メモリ テーブルを追加すると、アラートにはイン メモリ テーブルのデータが付加されます。
      イン メモリ テーブルをルールに追加して、アラートに付加情報を追加しない場合には、チェックボックスをオフにします。
    3. ユーザー定義テーブル]フィールドに、イン メモリ テーブル構成の名前(Student Informationなど)を入力します。
    4. アラートに追加するエンリッチメントの情報を説明する場合には、[説明]に次のような説明を記入します。
      アラートがRollnoでグループ化されると、このエンリッチメントによって名前やマークなどの生徒の情報が追加されます。
  6. イン メモリ テーブルにデータをフィードするCSVファイルのURLを入力します。[確認]をクリックして、リンクを検証し、CSVファイルの列を設定します。 プラスまたはマイナス ボタンを使用して列を追加または削除できます。 
  7. プロキシ経由でサーバにアクセスする必要がある場合には、[プロキシを使用]を選択します。
  8. ログインが必要な場合には、[認証情報]を選択します。
  9. 繰り返し間隔]では、ESAが最新のCSVファイルを確認する間隔を指定します。
    1. [分]、[時間]、[日]、[週]を選択します。
    2. [週]を選択した場合には、曜日を選択します。 
    3. 日付範囲]をクリックして、繰り返しの[開始日]と[終了日]を選択します。
      DateStartEnd.png
  10. ESAサービスが停止した場合に、サービスの再開時にテーブルのデータを再投入するには、[永続的]を選択して、イン メモリ テーブルをディスクに保存します。
  11. キー]ドロップダウン メニューで、エンリッチメントとしてCSVベースのイン メモリ テーブルを使用する場合に、入力イベントとイン メモリ テーブルを結合するためにデフォルトのキーとして使用するフィールドを選択します。デフォルトでは最初の例が選択されています。また、エンリッチメント ソースでイン メモリ テーブルを開いている場合、後でキーを変更することもできます。
  12. 最大行数]ドロップダウン メニューで、個々のインスタンスがイン メモリ テーブルに格納できる行数を選択します。
  13. Saveをクリックします。
    繰り返しイン メモリ テーブルが構成されました。これをエンリッチメントまたはルール条件の一部としてルールに追加することができます。次のトピックを参照してください: ルールへのエンリッチメントの追加.
You are here
Table of Contents > データ エンリッチメント ソースの追加 > エンリッチメント ソース > エンリッチメント ソースとしてのイン メモリ テーブルの構成

Attachments

    Outcomes