Decoder:アプリケーション ルールの構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、アプリケーション ルールの概要と、アプリケーション ルールを作成するための手順を説明します。

アプリケーション レイヤー ルールは、セッション レベルで適用されます。

サンプル アプリケーション ルール

SMB(Server Message Block)プロトコルによって実行されるパケットをトランケートするために、次のようなルールを作成します。

  • ルール名:Truncate SMB
  • Condition: service=139
  • ルール アクション:トランケート

個別のメール アドレスに対するメール パケットをフィルタするために、次のようにルールを作成します。

手順

[アプリケーション ルール]タブへの移動

アプリケーション ルールを定義するには、[アプリケーション ルール]タブに移動します。[アプリケーション ルール]タブにアクセスするには:

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. DecoderまたはLog Decoderのサービスを選択し、Actions menu cropped>[表示]>[構成]を選択します。 
    選択したサービスの[システム]の[構成]ビューが表示されます。
  3. アプリケーション ルール]タブを選択します。

    DecAppRulesTab.png

アプリケーション ルールの追加または編集

[アプリケーション ルール]タブで、次の手順を実行します。

  1. 次のいずれかを実行します。
  • 新しいルールを追加する場合は、Icon-Add.pngをクリックします。
  • ルールを編集する場合は、ルール グリッドからルールを選択し、icon-edit.pngをクリックします。
  1. [ルール エディタ]ダイアログが開き、アプリケーション ルール パラメータが表示されます。AppRuleEditDg.png
  2. ルール名]フィールドに、ルールの名前を入力します。たとえば、すべてのSMBをトランケートするルールでは、「Truncate SMB」と入力します。
  3. 条件]フィールドに、条件が一致したときにアクションをトリガーするルール条件を記述します。フィールドに直接入力することも、ウィンドウ アクションからメタを使用して条件を記述することもできます。ルール定義をビルドするとき、Security Analyticsは構文エラーと警告を表示します。たとえば、すべてのSMBパケットをトランケートするには、「service=139」と入力します。
    すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。詳細については、「 ルールとクエリーのガイドライン 」トピックを参照してください。
  4. このルールでルール評価を終了する必要がある場合は、[ルール処理の停止]チェックボックスをオンにします。
  5. セッション データ]セクションで、一致するパケットが検出されたときに適用するアクションとして次のいずれかを選択します。
  • 保持:ルールに一致したとき、パケット ペイロードおよび関連するメタが保存されます。
  • フィルタ:ルールに一致したとき、パケットは保存されません。
  • トランケート:ルールに一致したとき、パケット ペイロードは保存されませんが、パケット ヘッダと関連するメタは保持されます。
  1. セッションのオプション]セクションで、次のいずれかの操作を行います。
  • セッションのメタデータがルールに一致したときにカスタム アラートを生成する場合は、[アラート]フラグを有効にして、[設定先]ドロップダウン リストからアラート メタの名前を選択します。
  • ログがルールに一致したときにSyslogに転送する場合は、[転送]フラグを有効にします。

    注: 以下の項目について確認します。
    - syslog転送を実行するために、[アラート]と[転送]の両方のフラグを有効化している。
    -[ルール エディタ]ダイアログで指定したルールの名前が、[Log Decoder]>[表示]>[エクスプローラ]>[/decoder/config/logs.forwarding.destination]パラメーターで指定したsyslog転送の宛先名と一致している。

  • 作成されたアラート メタデータがディスクに書き込まれないようにする場合は、[一時的]フラグを有効にします。
  1. ルールを保存しグリッドに追加するには、[OK]をクリックします。
    ルールは、グリッドの最後に追加されるか、コンテキスト メニューで指定した場所に挿入されます。[ペンディング]列にプラス記号が表示されるか、グリッド内でルールの各セルに赤い三角印のフラグが付けられています。
  2. ルールがグリッド内の他のルールと正しい実行順序であることを確認します。必要に応じて、ルールを移動します。
  3. 更新されたルール セットをDecoderまたはLog Decoderに適用するには、[適用]をクリックします。
    Security Analyticsは、現在適用されているルールのスナップショットを保存してから、更新されたセットをDecoderに適用し、保留中のルールから保留インジケータを解除します。
You are here
Table of Contents > 必要な手順 > ステップ4:Decoderのルールの構成 > Decoder:アプリケーション ルールの構成

Attachments

    Outcomes