Decoder:ネットワーク ルールの構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、ネットワーク ルールの概要とネットワーク ルールを構成するための手順について説明します。

ネットワーク レイヤー ルールはDecoderのパケット レベルで適用され、レイヤー2からレイヤー4のルール セットによって構成されます。ネットワーク ルールは、複数のネットワーク レイヤーに適用できます(たとえば、ネットワーク ルールで、特定のIPアドレスの特定のポートをフィルターする場合)。ネットワーク ルールはLog Decoderには適用されず、Packet Decoderにのみ適用されます。 

サンプル ネットワーク ルール

SSLソース ポートからのすべてのトラフィックをトランケートするには、次のようにルールを作成します。

  • ルール名:Truncate SSL
  • 条件:tcp.srcport=443
  • ルール アクション:トランケート

サブネット トラフィックをフィルタするには、次のようにルールを作成します。

  • ルール名:Subnet Filter
  • 条件:ip.addr=192.168.2.0/24
  • ルール アクション:フィルタ

手順

[ネットワーク ルール]タブへの移動

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Decoderサービスを選択し、ic-actns.png>[表示]>[構成]の順に選択します。 
    選択したサービスの[構成]ビューが表示されます。
  3. ネットワーク ルール]タブを選択します。
    [ネットワーク ルール]タブが表示されます。
    104NetRulesTab.png

ネットワーク ルールの追加または編集

  1. ネットワーク ルール]タブで、次のいずれかを実行します。
  • 新しいルールを追加する場合は、Icon-Add.pngをクリックします。
  • ルールを編集する場合は、ルール グリッドからルールを選択し、icon-edit.pngをクリックします。
    [ルール エディタ]ダイアログが表示されます。
    NetRuleEditorEx.png
  1. ルール名]フィールドに、ルールの名前を指定します。たとえば、SSLソース ポートからのすべてのパケットをトランケートするルールでは、「SSL Truncate」と入力します。
  2. 条件]フィールドに、条件が一致したときにアクションをトリガーするルール条件を記述します。フィールドに直接入力することも、ウィンドウ アクションからメタを使用して条件を記述することもできます。ルール定義をビルドするとき、Security Analyticsは構文エラーと警告を表示します。たとえばSSLソース ポートからのすべてのパケットをトランケートする場合には、tcp.srcport=443とします。
    すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。詳細については、「 ルールとクエリーのガイドライン 」トピックを参照してください。 ネットワーク ルールでサポートされるメタ キー では、ネットワーク ルールの条件で使用するためにSecurity Analyticsでサポートされるメタ キーを示します。
  3. このルールでルール評価を終了する必要がある場合は、[ルール処理の停止]チェックボックスをオンにします。
  4. セッション データ]セクションで、一致するパケットが検出されたときに適用するアクションとして次のいずれかを選択します。
  • 保持:ルールに一致したとき、パケット ペイロードおよび関連するメタが保存されます。
  • フィルタ:ルールに一致したとき、パケットは保存されません。
  • トランケート:ルールに一致したとき、パケット ペイロードは保存されませんが、パケット ヘッダと関連するメタは保持されます。
  1. セッションのオプション]セクションで、次の4つのうち、適用するすべてのオプションを選択します。
  • アセンブル:アセンブラは、ルールに一致する場合にパケット チェーンをアセンブルします。
  • ネットワーク メタ:ルールに一致したとき、パケットはネットワーク メタデータを生成します。
  • アプリケーション メタ:ルールに一致したとき、パケットはアプリケーション メタデータを生成します。
  • アラート:メタデータがルールに一致したとき、パケットはカスタム アラートを生成します。
  1. ルールを保存しグリッドに追加するには、[OK]をクリックします。
    ルールは、グリッドの最後に追加されるか、コンテキスト メニューで指定した場所に挿入されます。
  2. ルールがグリッド内の他のルールと正しい実行順序であることを確認します。必要に応じて、ルールを移動します。
  3. 更新されたルール セットをDecoderに適用するには、[適用]をクリックします。

    Security Analyticsは、現在適用されているルールのスナップショットを保存してから、更新されたセットをDecoderに適用し、保留中のルールから保留インジケータを解除します。
You are here
Table of Contents > 必要な手順 > ステップ4:Decoderのルールの構成 > Decoder:ネットワーク ルールの構成

Attachments

    Outcomes