アラート:[ステートメントのビルド]ダイアログ

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

[ステートメントのビルド]ダイアログを使用して、ルール ビルダーの新しいルールを作成する際に条件のステートメントを作成できます。

[ステートメントのビルド]ダイアログにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[アラート]>[構成]を選択します。

    [構成]ビューが表示され、[ルール]タブが開きます。

  2. ルール ライブラリ]ツールバーで、追加ドロップダウン>[ルール ビルダー]を選択します。

    Security Analyticsに[新しいルール]タブが表示されます。

  3. 条件]セクションで、[追加]アイコンをクリックします。

    [ステートメントのビルド]ダイアログが表示されます。

BldStmntSimple.png

機能

次の表に、[ステートメントのビルド]ダイアログのパラメータの説明を示します。

                                                 
パラメータ説明
名前ステートメントの目的など、分かりやすい名前。
選択

ドロップダウン リストから、ルールの適合条件を選択します。2つの選択肢があります。

  • すべての条件を満たす場合
  • いずれかの条件を満たす場合
キー ESAがルールのステートメント内でチェックするキー。
演算子

メタ キーとキー値の関係。

  • 等しい
  • 等しくない
  • NULLでない
  • 次より大きい(>)
  • 次の値以上(>=)
  • 次より小さい(<)
  • 次の値以下(<=)
  • 次の値を含む
  • 次の値を含まない
  • 次の値で始まる
  • 次の値で終わる
ESAが検索するキーの値。
大文字と小文字を区別しない

 

このフィールドは、文字列および文字列配列で使用するために設計されています。[大文字と小文字を区別しない]フィールドを選択すると、クエリーはすべての文字列テキストを小文字の値として扱います。 これにより、Johnsonという名前のユーザーを検索するルールは、イベントに「johnson」、「JOHNSON」、または「JoHnSoN」が含まれている場合にトリガーします。

 配列

[値]フィールドの内容が1つの値か複数の値かを示すための選択肢。

  • 複数の値を指定する場合はこのボックスをオンにします。
  • 1つの値を指定する場合はこのボックスをオフにします。
[追加]アイコン ステートメントを追加します。メタの条件、ホワイトリスト条件、またはブラックリスト条件を追加できます。 
選択されたステートメントを削除します。
保存[ルール ビルダー]タブの[条件]セクションにステートメントを追加します。

次の表は、ルール ビルダーで使用できる演算子を示しています。

                                                                                                               
演算子値のタイプ使用方法意味
等しい(is)単一の文字列値 メタ キーはフィールドと一致します。 user_dst is John Doe. user_dstは、文字列「John Doe」と一致します。
等しい(is)文字列値の配列 メタ キーはフィールドの要素の1つと一致します。 user_dst is John, Doe, Smith.

user_dstは、文字列「John」、「Doe」、「Smithのいずれかと一致します(スペースは削除されます)。

等しくない(is not)単一の文字列値 メタ キーはフィールドと一致しません。 size is not 200. sizeは数値200ではありません(sizeは数値です)。
等しくない(is not)文字列値の配列 メタ キーはフィールドの要素のいずれにも一致しません。 size is not 200, 300, 400. sizeは、200300400のいずれにも一致しません。
NULLでない(is not null)N/A(任意の値を探します) メタ キー値はnullではありません。 user_dst is not null. user_dstは値を含むメタです。 
次より大きい(>)数値 メタ キーの数値がフィールドの数値を超えています。 payload is greater than 7000. payloadは7000より大きい数値です。
次の値以上(>=)数値 メタ キーの数値がフィールドの数値以上です。 payload is greater than or equal to 7000. payloadは7000以上の数値です。
次より小さい(<)数値 メタ キーの数値がの数値未満です。 ip_dstport is less than 1024. ip_dstportは数値1024未満の数値です。
次の値以下(<=)数値 メタ キーの数値がフィールドの数値以下です。 ip_dstport is less than or equal to 1024. ip_dstportは、数値1024以下の数値です。
次の値を含む(contains)文字列

フィールドは、メタ キーのサブ文字列です(この演算子は文字列値のメタ キーでのみ使用できます)。

ec_outcome contains failure. ec_outcomeはサブ文字列「failure」を含む文字列です。
次の値を含まない(not contains)文字列

フィールドは、メタ キーのサブ文字列ではありません(この演算子は文字列値のメタ キーでのみ使用できます)。

ec_outcome not contains failure. ec_outcomeは、サブ文字列「failure」が含まれない文字列です。
次の値で始まる(begins with)文字列

フィールドはメタ キーの始まりです(この演算子は文字列値のメタ キーでのみ使用できます)。

ip_dst begins with 127.0. ip_dstは、「127.0」で始まる文字列です。
次の値で終わる(ends with)文字列

フィールドはメタ キーの終わりです(この演算子は文字列値のメタ キーでのみ使用できます)。

user_dst ends with son. user_dstは「son」で終わる文字列です。
注:太字の斜体は、メタ キーを表します。お客様の環境によって、これらのメタキーが存在しない場合があります。
You are here
Table of Contents > 参考資料 > [ステートメントのビルド]ダイアログ

Attachments

    Outcomes