Decoder:ステップ4:Decoderのルールの構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、DecoderまたはLog Decoderにおいて[サービス]の[構成]ビュー>[ルール]タブで、トラフィック収集のためのルールを作成し、管理する手順について説明します。 

収集ルールを使用して、セッションまたはログにアラートやコンテキスト情報を追加できます。また、DecoderまたはLog Decoderのフィルターで除外するデータも定義できます。ルールは、特定のメタデータ パターンに対して作成され、この条件に合致するデータが検出されたときに事前定義されたアクションを実行します。たとえば、特定の条件に合致するすべてのトラフィックを保存し、その他のすべてのトラフィックを破棄するアクションを実行するルールを作成できます。ルールが適用されると、パケット キャプチャ ファイルのインポートおよび実環境での ネットワーク収集の両方で動作します。

ルールとクエリーのガイドライン Security Analytics Coreサービスのすべてのクエリーとルール条件が従う必要があるガイドラインを示します。

デフォルトでは、Security Analyticsを最初にインストールした時点では、ルールは定義されていません。ルールを指定するまで、パケットはフィルタされません。Liveから最新のルールを導入できます。3種類のルールを定義できます。ネットワーク レイヤー ルール、アプリケーション レイヤー ルール、相関ルールの3タイプのルールを定義できます。

ネットワーク レイヤー ルール

ネットワーク レイヤー ルールはパケット レベルで適用され、レイヤー2、レイヤー3、レイヤー4のルール セットから構成されます。複数のルールをDecoderに適用できます。ルールは、複数のレイヤーに適用できます(たとえば、ネットワーク ルールで、特定のIPアドレスの特定のポートをフィルタする場合)。ネットワーク ルールはPacket Decoderでのみ使用できます。

アプリケーション レイヤー ルール

アプリケーション レイヤー ルールは、セッション レベルで適用されます。Decoderでは、リスト内のルールを順に評価し、一致が検出されるまでルールの照合を試みていきます。

相関ルール

相関ルールは、構成可能なスライド タイム ウィンドウに基づいて適用されます。相関ルールのある条件に一致するセッションが検出された場合、サービスはスーパー セッションを作成し、ルールに一致する他のセッションを識別します。その後、解析用のセッション リストが作成されます。

一般的な使用法

ルールの最も一般的な使用法は次の2つです。

  • 特定の条件のセッションが検出された時にアラートを生成し、それによってカスタム アラート メタ データを生成する。
  • フィルタを設定し、データ解析には使用されないトラフィック タイプを除外する。

ルール セット

収集ルールをグループ化し、ルール セットを構成できます。ルール セットでまとめてインポートおよびエクスポートができます。この機能により、さまざまなシナリオで複数のルール セットの使用が可能になります。たとえば、エクスポートされたルール セットを.nwrファイルの形式で他のSecurity Analyticsサービスにインポートできるため、複数のサービスを導入し構成するような場合に手順を効率化することができます。

ルール処理

収集ルールの処理に関する基本的な事項を次に示します。

  • 複数のルールをDecoderに適用できます。
  • 収集ルールは、順番に実行されます。
  • すべてのルールが処理されたとき、またはルール処理を停止するようなルールが合致したときに、ルール処理が停止します。
  • デフォルト ルールを設定することができます。他のどのルールにも合致しないすべてのトラフィックを含めるか、除外するかを指定できます。デフォルト ルールを使用する場合、常にルール リストの最後に配置する必要があります。さもないと、すべてのトラフィックがデフォルト ルールによって選択され、デフォルトのルールが評価されるとすぐに、ルール処理が停止します。
  • ルール処理が停止すると、指定されたセッション オプションおよびデバッグ オプションを使用してセッションが保存されます。

ルールの構成

DecoderおよびLog Decoderのルールは、[サービス]の[構成]ビューで編集可能です。ルールの各タイプ(ネットワーク、アプリケーション、相関)について独自のタブがありますが、いずれのタイプのルールでも類似した機能が提供されています。このページでは、以下の項目について説明します。

  • ルールの追加、編集、削除
  • ルールの有効化と無効化
  • ルールの実行順序の変更
  • ファイルからのルールのインポート
  • ファイルへのルールのエクスポート
  • 別のサービスへのルールのプッシュ
  • ルールの変更の適用またはキャンセル
  • ルール構成のリストア(ルール構成の直近の10バージョンまで履歴を保持し、いずれかにリストア可能)

収集ルールの構文

収集ルールを記述するための構文では、比較演算子を使用してフィールドを値と比較します。サポートされている比較演算子は、「等しい(=)」と「等しくない(!=)」です。

値は、個別の値、値の範囲、上限また下限、これらの組み合わせとして表すことができます。「次より大きい(>)」と「より少ない(<)」の比較は、範囲を使用して行います。「より多い」または「より少ない」の比較を作成するには、値の範囲または上限/下限に対して合致するかしないかを評価します。

次の表に、サポートされている比較演算子と、値を評価するための構文を示します。

                                                 
構文説明
* デフォルトのルール。ルールの文字としてアスタリスクのみ(*)を使用すると、すべてのトラフィックが選択されます。
= 等しい
!= 等しくない
&& 論理積
|| 論理和
-u 範囲の上限。たとえば、40000より大きい数値のすべてのTCPポートを選択する場合、構文は以下のようになります。tcp.port = 40000-u
l - 範囲の下限。たとえば、40000より小さい数値のすべてのTCPポートを選択する場合、構文は以下のようになります。tcp.port = l-40000
-(ダッシュ)範囲を表します。これは、数値のみに適用されます。範囲の下限と上限の間にダッシュ(-)を使用します。たとえば、25~443のTCPポートを選択する場合、構文は以下のようになります。tcp.port = 25-443
,(コンマ)値のリストを表します。個別の値のほか、範囲や上限、下限を組み合わせて使用できます。たとえば、以下は有効な構文です。tcp.port = 1-10,25,110,143-225,40000-u
( ) グループ化演算子。式をかっこで囲んで、新しい論理式を作成できます。たとえば、以下の式では、ポート80の192.168.1.1への送受信トラフィックか、ポート443の10.10.10.1への送受信トラフィックが選択されます。(ip.addr=192.168.1.1 && tcp.port=80) || (ip.addr=10.10.10.1 && tcp.port=443)

ルールとクエリーのガイドライン Security Analytics Coreサービスのすべてのクエリーとルール条件が従う必要があるガイドラインを示します。 

手順

収集ルールの構成

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]ビューで、Decoderサービスを選択し、Actions menu cropped>[表示]>[構成]を選択します。
  3. [サービス]の[構成]ビューで、[ネットワーク ルール]、[アプリケーション ルール]、[相関ルール]のいずれかのルール タブを選択します。
    選択したルール タイプのルール グリッドが表示されます。

各ルール タイプごとに、表示されるグリッドの列とパラメータは、多少異なっています。すべてのタイプのルールについて、次の共通のガイドラインが適用されます。

  • ルールは、グリッドの表示順に実行されます。ルールの実行順序を変更するには、グリッド内の適切な場所にルールをドラッグ アンド ドロップするか、コンテキスト メニューのオプションを使用してグリッド内でルールを配置します。
  • 単一の行を選択するには、該当する行をクリックします。
  • 隣接する行から成る複数のルールを選択するには、最初の行をクリックした後、Shiftキーを押しながら選択する範囲の最後の行をクリックします。
  • 複数の隣接していない行を選択するには、最初の行をクリックした後、Ctrlキーを押しながら他の行をクリックします。
  • [ルール]タブでルールを編集した場合、ルールを有効化するためには構成変更を適用する必要があります。
  • 変更を適用するまでは、グリッドへの編集を破棄し、編集前のルールに戻すことができます。
  • ルールが適用された後でも、[アクション]メニューの[履歴]オプションを使用して、直近10バージョンまでのいずれかの状態にルール構成をリストアできます。

ルールの追加

[ルール]タブで[ルール]を追加するには、以下のいずれかの操作を行います。

  • Icon-Add.pngをクリックします。
  • ルールを右クリックし、コンテキスト メニューから[上に挿入]または[下に挿入]を選択します。
    該当するタイプの[ルール エディタ]ダイアログが表示されます。

詳細については、次のいずれかのセクションを参照してください。

ルールの削除

  1. 任意の[ルール]タブで、ルール グリッドから削除するルールを選択します。
  2. Icon_Delete_sm.pngをクリックします。
    選択したルールがグリッドから削除されますが、[適用]が実行されるまで、ルールはサービス上に存在しています。

ルールの編集

  1. 任意の[ルール]タブで、編集するルールを選択します。
  2. icon-edit.pngをクリックするか、ルール行をダブル クリックします。
    該当するタイプの[ルール エディタ]ダイアログが表示されます。詳細については、次のいずれかのセクションを参照してください。

ルールの無効化

  1. [ルール]タブから、無効化するルールを選択します。
  2. 104Disable.pngをクリックします。
    グリッドでステータスが無効に変更されますが、[適用]が実行されるまで、ルールはサービス上で有効のままです。

ルールの有効化

  1. [ルール]タブから、有効化するルールを選択します。
  2. 104Enable.pngをクリックします。
    グリッドでステータスが有効に変更されますが、[適用]が実行されるまで、ルールはサービス上で無効のままです。

ファイルからのルールのインポート

同じタイプのルールを含むファイルからDecoderにネットワーク ルール、アプリケーション ルール、相関ルールをインポートできます。ルールがインポートされた後、他のルールと同様に、ルールの編集と管理を行うことができます。

複数のルールが含まれるファイルからインポートを試みると、Security Analytics Administrationではインポートするルールのタイプがチェックされます。成功した場合、インポートされたルールの数を示すメッセージが表示されます。インポート ファイル内のルール タイプが表示しているタブのルール タイプと異なる場合、ルールはインポートされません。該当するタブでルールを再度インポートするか、またはインポートする別のファイルを選択する必要があります。

サービスにルールをインポートする方法

  1. 任意の[ルール]タブで、Icon_ActionsMenu-rule.png>[インポート]を選択します。
    [インポート]ダイアログが表示されます。
    104RulesImportDialog.png
  2. Icon-Add.pngをクリックします。
    ローカルのディレクトリが表示されます。
  3. インポートする1つ以上のNetWitnessルール(.nwr)ファイルを選択し、[開く]をクリックします。
    [インポート]ダイアログのリストにファイルが追加されます。
    104ImportRuleFile.png
  4. インポートをクリックします。
    ルールがユーザー インタフェースにインポートされます。インポートされたルールの編集された各列には、隅に赤い三角印が表示されます。
  5. 必要な場合は、ルールを編集するか順序を変更します。
  6. サービスにルールを保存するために、[適用]をクリックします。
    サービス上でルールに対する変更が有効になります。

ファイルへのルールのエクスポート

  1. ルールのサブセットをエクスポートするには、エクスポートするルールを選択します。
  2. 次のいずれかを実行します。
    • ツールバーで、Icon_ActionsMenu-rule.png>[エクスポート]>[選択]を選択します。([エクスポート]>[すべて]を選択すると、エクスポートするサブセットを選択していても、グリッド内のすべてのルールがエクスポートされます)。
    • 選択したルールを右クリックし、[選択範囲のエクスポート]を選択します。

ファイル名の入力を求めるプロンプトが表示されます。
104ExportRules.png

  1. ファイル名を入力し、[エクスポート]をクリックします。
    .nwrファイルがダウンロードされます。

別のサービスへのルールのプッシュ

すべてのルールまたは選択したルールを他のサービス(DecoderまたはLog Decoder)やサービス グループに適用(プッシュ)することができます。

選択したルールのプッシュ

あるDecoderから別のDecoderに選択したルールをプッシュするには、次の手順を実行します。

  1. 任意の[ルール]タブで、別のDecoderにプッシュするルールを選択します。
  2. 次のいずれかを実行します。
    • Icon_ActionsMenu-rule.png>[プッシュ]>[選択]を選択します。
    • 選択したルールを右クリックし、[選択したルールのプッシュ]を選択します。
      [選択したルールのプッシュ]ダイアログが表示されます。
      PushSelectionSrv.png
  3. プッシュ オプションを選択します。
    • ターゲット サービス上のすべてのルールを削除し、選択したルールに置き換える場合は、[置換]を選択します。このオプションはデフォルトで選択されています。
    • 選択したルールとターゲット サービス上の既存のルールをマージする場合は、[マージ]を選択します。
  4. サービス]タブでプッシュされたルールを受信するターゲット サービスを選択するか、[グループ]タブからサービスのグループを選択します。
  5. プッシュをクリックします。
    ルールは選択したサービスにプッシュされ、直ちに有効になります。

すべてのルールのプッシュ

他のサービスにすべてのルールをプッシュする場合は、ターゲット サービス上のすべてのルールが削除され、ソース サービス上のすべてのルールに置き換えられます。 

あるDecoderから別のDecoderにすべてのルールをプッシュするには、次の手順を実行します。

  1. 任意の[ルール]タブで、Icon_ActionsMenu-rule.png>[プッシュ]>[すべて]を選択します。
    [プッシュ]>[すべて]を選択すると、プッシュするサブセットを選択していても、グリッド内のすべてのルールがプッシュされます)。[選択したルールのプッシュ]ダイアログが表示されます。
    PushAllSrv.png
  2. サービス]タブでプッシュされたルールを受信するターゲット サービスを選択するか、[グループ]タブからサービスのグループを選択します。
  3. プッシュをクリックします。
    ターゲット サービスからすべてのルールが削除され、ソース サービスのすべてのルールに置き換えられます。ルールは直ちに有効になります。

ルールの実行順序の変更

収集ルールは、グリッド内の表示順に適用されます。ルールの順序を変更するには、次のいずれかの方法を使用します。

  • ルールをドラッグし、グリッド内の適切な場所にドロップします。
  • ルールを右クリックしてコンテキスト メニューを表示し、[切り取り]オプションと[貼り付け]オプションを使用します。

履歴からのルール スナップショットのリストア

Security Analyticsでは、サービスに適用されたルール構成のうち、直近10バージョンまでのいずれかの状態にルール構成をリストアできます。履歴からルールのスナップショットをリストアするには、次の手順を実行します。

  1. Icon_ActionsMenu-rule.png>[履歴]を選択します。
    スナップショットのサブメニューが表示されます。
  2. サブメニューからスナップショットの日時を選択します。
    スナップショットに保存されているルールがグリッドにロードされ、現在のセットと置き換えられます。ただし、[適用]が実行されるまで、まだ現在のルール セットはサービス上で有効となっています。
  3. サービスにルールを適用するために、[適用]をクリックします。
    ルールがサービスに適用されます。
You are here
Table of Contents > 必要な手順 > ステップ4:Decoderのルールの構成

Attachments

    Outcomes