Decoder:廃止された構文を使用したルールの修正

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

Security Analytics 10.6に更新すると、廃止された構文を使用しているルールがユーザー インタフェースでハイライト表示されます。あいまいな構文が含まれているために予期しない結果が発生する可能性があるため、ハイライト表示されているルールの構文を修正することが重要です。ルール エディタでは追加のツールチップを提供します。ルールを修正した後は、ハイライト表示が消えます。

ルールとクエリーのガイドライン このトピックでは、Security Analyticsのすべてのクエリーとルール条件が従う必要があるガイドラインを示します。厳密モード構成と、有効な構文、廃止された構文に関する情報も提供されています。

手順

廃止された構文を使用しているルールを修正するには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]ビューで、Decoderサービスを選択し、Actions menu cropped>[表示]>[構成]を選択します。
  3. [サービス]の[構成]ビューで、[ネットワーク ルール]、[アプリケーション ルール]、[相関ルール]のいずれかのルール タブを選択します。
    選択したルール タイプの[ルール]タブには、廃止された構文を使用しているルールの数と、廃止されたルールがハイライト表示されて示されます。
    RulesTabDeprRules-D.png
  4. 廃止されたルールを選択し、をクリックします。
    ルール エディタには、廃止されたルールに関する追加情報が表示され、これには追加の保存オプションが含まれます。
    DeprAppRuleEditor-D.png
  5. 条件]フィールドで、ルール構文を修正します。
    すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。 ルールとクエリーのガイドライン のトピックで詳細を確認してください。
    たとえば、廃止されたルール条件がip.src="10.30.30.30"である場合、ip.src=10.30.30.30と引用符を削除することで構文を修正します。
  6. 次のいずれかの操作を実行します。
    • ルールを個別に修正するには、[保存]をクリックします。
      修正されたルールはDecoderサービスに個別に適用されます。修正されたルールはハイライト表示されずに[ルール]タブに表示されます。 
    • ルールを修正し、他のルールとともに後でDecoderサービスにルールを適用するには、[OK]をクリックします。
      修正されたルールはハイライト表示されずに[ルール]タブに表示されます。ルールはDecoderサービスに適用されていません。
You are here
Table of Contents > 追加の手順 > 廃止された構文を使用したルールの修正

Attachments

    Outcomes