Decoder:必要な手順

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、新しいDecoderまたはLog Decoderの構成ステップと、既存のDecoderの構成を変更するステップについて説明します。特に記載のない限り、Decoderは、Packet DecoderおよびLog Decoderを表します。以降のセクションに示されている順にステップを実行してください。

ステップ1:システム構成の検証

新しいサービスをSecurity Analyticsに追加したときに必要な最初のステップは、システム構成の検証です。 

システム構成パラメータの特定のデフォルト値がすでに有効になっています。これらの値は、パフォーマンスを最適化するために編集および調整できます。 

ステップ2:収集設定の構成 

次に、データ収集用のアダプタの構成、データ収集の自動開始の有効化、収集データに適用するParserの選択、収集設定の構成によるデータ収集の調整を行うことができます。 

ステップ3:Parserの有効化または無効化

どのParserがLiveからダウンロードされ、導入されているかを確認し、どれを有効化または無効化するかを管理します。

ステップ4:Decoderのルールの構成 

収集ルールを使用して、セッションまたはログにアラートやコンテキスト情報を追加できます。また、DecoderまたはLog Decoderのフィルタで除外するデータも定義できます。ルールは、特定のメタデータ パターンに対して作成され、この条件に合致するデータが検出されたときに事前定義されたアクションを実行します。たとえば、特定の条件に合致するすべてのトラフィックを保存し、その他のすべてのトラフィックを破棄するアクションを実行するルールを作成できます。ルールが適用されると、パケット キャプチャ ファイルのインポートおよび実環境での ネットワーク収集の両方で動作します。

デフォルトでは、Security Analyticsのインストール直後には、ルールは定義されていません。ルールを指定するまで、パケットはフィルタされません。Liveから最新のルールを導入できます。3種類のルールを定義できます。ネットワーク レイヤー ルール、アプリケーション レイヤー ルール、相関ルールの3タイプのルールを定義できます。

ステップ5:データ収集の開始と停止 

[収集の自動開始]が有効である場合、Decoderの起動時にデータの収集が自動的に開始します。自動開始が有効でない場合、データ収集を手動で開始および停止できます。

 

 

トピック

You are here
Table of Contents > 必要な手順

Attachments

    Outcomes