アラート:構成可能なRSA Live ESAルールのダウンロード

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、構成可能なルールをSecurity Analytics Liveコンテンツ管理システムからダウンロードする方法について説明します。ダウンロードしたルールは、ニーズに合わせてカスタマイズすることができます。

RSA Liveには、ルールのカタログがあります。ルールごとに構成可能なパラメーターがあるため、ルールはご使用の環境に合わせてカスタマイズできます。例えば、自社のネットワークで検出したいイベントを検出するためのルールがRSA Liveで提供されている場合は、そのルールをダウンロードして時間を節約できます。構成可能なパラメータを編集して、ルールをルール ライブラリに保存できます。 

次の表は、RSA Liveで公開されるRSA Live ESAルールとルールの説明のサンプルです。

ルール名説明
Logins across Multiple ServersDetects logins from the same user across 3 or more separate servers within 5 minutes.

The time window and number of unique destinations are configurable.

 

As the name shows, the rule looks for logins across multiple servers. ルールの説明には、ルールの条件についての詳細な記述と、変更できるパラメータが記載されています。

注:ルールの説明に構成可能なパラメータが記載されている場合、そのパラメータにはデフォルト値が設定されています。このサンプル ルールでは、説明に5分と記述されています。ただし、タイム ウィンドウは構成可能であるため、5分はデフォルトの分数です。

前提条件

構成可能なRSA Live ESAルールをダウンロードするための前提条件は次のとおりです。

  • ルールを管理する権限が必要です。
  • Liveアカウントを作成します。詳細については、「Liveサービス管理ガイド」を参照してください。
  • Security AnalyticsでLiveを設定します。詳細については、「Liveサービス管理ガイド」を参照してください。

手順

構成可能なRSA Live ESAルールをダウンロードするには、次の手順を実行します。

  1. Security Analyticsメニューで、[アラート]>[構成]を選択します。
    [ルール]タブが表示されます。
  2. [オプション]パネルで、[RSA Liveからルールを取得]をクリックします。
    [検索]タブが表示されます。
    RSALvSrch.png
  3. 検索条件]で、[リソース タイプ]に[RSA Event Stream Analysis Rule]を選択します。
  4. 目的のルールを探すため、検索条件として次のいずれかを指定します。 
    検索条件の詳しい説明については、「Liveサービス管理ガイド」の「Liveの[検索]ビュー」を参照してください。
    1. キーワード
    2. タグ
    3. 必要なメタ キー
    4. 生成されるメタ値
    5. リソース作成日
    6. リソース更新日
  5. 検索]をクリックします。検索条件に一致するルールが[一致するリソース]に表示されます。
  6. ダウンロードするルールをそれぞれ選択して、[導入]をクリックします。 
    導入ウィザードが表示されます。
  7. ウィザードの手順に従います。詳細については、「Liveサービス管理ガイド」の「Liveでのリソースの導入」を参照してください。

ウィザードのステップが完了すると、選択したルールは、ルール ライブラリに表示されます。

You are here
Table of Contents > ルール ライブラリへのルールの追加 > 構成可能なRSA Live ESAルールのダウンロード

Attachments

    Outcomes