Decoder:[ネットワーク ルール]タブ

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、[サービス]の[構成]ビュー>[ネットワーク ルール]タブでネットワーク ルールの作成と管理を行うための機能について説明します。

[ネットワーク ルール]タブでは、ネットワーク ルールを管理することができます。Security Analyticsは、パケット レベルにネットワーク ルールを適用します。ネットワーク ルールは、レイヤー2、レイヤー3、レイヤー4のルール セットで構成されます。複数のルールをDecoderに適用できます。ルールは、複数のレイヤーに適用できます(たとえば、ネットワーク ルールで、特定のIPアドレスの特定のポートをフィルターする場合)。ネットワーク ルールはPacket Decorderにのみ適用されます。

ステップ4:Decoderのルールの構成 では、補足情報について説明しています。ネットワーク ルールの構成 では、ネットワーク ルールを作成する方法について説明します。

[ネットワーク ルール]タブのツールバーは、すべてのタイプのルールに共通します。[サービス]の[構成]ビュー:[ルール]タブ では、共通のルール ツールバーおよびアクションに関する情報を提供します。

[ネットワーク ルール]タブにアクセスするには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Decoderサービスを選択し、Actions menu cropped[表示]>[構成]の順に選択します。
    選択したサービスの[構成]ビューが表示されます。
  3. ネットワーク ルール]タブを選択します。

次の図に[ネットワーク ルール]タブを示します。

NetRulesTb.png

次の図は、ネットワーク ルールの[ルール エディタ]ダイアログを示しています。

NetRuleEditorEx2.png

機能

次の表は、[ネットワーク ルール]グリッドの各列を説明したものです。

                                 
説明
保留中 この列には、ルールに保留中の変更がないかどうかが示されます。Decoderでアクティブなルールには、インジケータが付きません。新しいルール、またはルールが変更された場合、列にはが表示されます。ルールが適用されると、保留中のインジケータは削除されます。
名前 ルールを識別するためのルール名です。
条件 条件が一致したときにアクションをトリガーする条件の定義です。
パケットデータ パケットがルールに一致した場合の[セッション データ]アクションが表示されます。表示される値は、[フィルタ]、[保持]、[トランケート]です。
アラート この列は、メタデータがルールに一致したとき、Decoderがカスタム アラートを生成するかどうかを示します。表示される値は、[有効]または[無効]です。
ステータス この列には、ルールの有効/無効が示されます 丸が緑色で塗りつぶされている場合、ルールは有効です。丸が塗りつぶされていない場合、ルールは無効です。

ルール エディタ]ダイアログには、ネットワーク ルールを定義するために必要なフィールドやオプションがあります。

次の表に、[ルール定義]フィールドを示します。

                     
フィールド説明
ルール名 ルールを識別する名前。
条件

条件が一致したときにアクションをトリガーする、条件の定義。フィールドに直接入力することも、Intellisenseのウィンドウ アクションからメタを使用してこのフィールドで条件をビルドすることもできます。ルール定義をビルドするとき、Intellisenseは構文エラーと警告を表示します。

条件では、すべての文字列リテラルとタイム スタンプを引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。 ルールとクエリーのガイドライン で、詳細を参照してください。

ネットワーク ルールでサポートされるメタ キー では、ネットワーク ルールの条件で使用できるメタ キーについて説明しています。

以下の表に、セッション データ アクションを示します。

                         
アクション説明
ルール処理の停止 チェックボックスがオンの場合、ルールが一致するとその後のルール評価は終了し、セッションはアクションの設定に従って処理されます。チェックボックスがオフの場合、すべてのルールが評価されるまで、ルール評価は続行されます。
保持 ルールに一致したとき、パケット ペイロードおよび関連するメタが保存されます。
フィルタ ルールに一致したとき、パケットは保存されません。
トランケート ルールに一致したとき、パケット ペイロードは保存されませんが、パケット ヘッダと関連するメタは保持されます。

次の表は、セッション オプションについて説明しています。 

                         
オプション説明
アセンブル チェックボックスがオンの場合、ルールに一致すると、アセンブラはパケット チェーンをアセンブルします。
ネットワーク メタ ルールに一致したとき、パケットはネットワーク メタデータを生成します。
アプリケーション メタ ルールに一致したとき、パケットはアプリケーション メタデータを生成します。
アラート メタデータがルールに一致したとき、パケットはカスタム アラートを生成します。

以下の表に、[ルール エディタ]ダイアログのアクションを示します。 

                         
アクション説明
リセット ダイアログのコンテンツを編集前の値にリセットします。変更は廃棄されます。
キャンセル すべての編集をキャンセルして、[ルール エディタ]ダイアログを閉じます。
OK 新しいルールまたは編集されたルールを保存し、ルール グリッドに追加します。[ルール エディタ]ダイアログが閉じます。
保存 (廃止された構文を使用するルールのみ)修正したルールをDecoderサービスに個別に適用します。次のトピックを参照してください:廃止された構文を使用したルールの修正.
You are here
Table of Contents > 参考資料 > [サービス]の[構成]ビュー:[ルール]タブ > [ネットワーク ルール]タブ

Attachments

    Outcomes