Decoder:[アプリケーション ルール]タブ

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、[サービス]の[構成]ビュー>[アプリケーション ルール]タブでアプリケーション ルールの作成と管理を行うための機能について説明します。

[アプリケーション ルール]タブでは、アプリケーション ルールを管理することができます。Security Analyticsは、セッション レベルにアプリケーション ルールを適用します。

ステップ4:Decoderのルールの構成 では、補足情報について説明しています。アプリケーション ルールの構成 では、アプリケーション ルールを作成する手順ついて説明しています。

[アプリケーション ルール]タブのツールバーは、すべてのタイプのルールに共通します。[サービス]の[構成]ビュー:[ルール]タブ では、共通のルール ツールバーおよびアクションに関する情報を提供します。

[アプリケーション ルール]タブにアクセスするには:

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. DecoderまたはLog Decoderのサービスを選択し、ic-actns.png>[表示]>[構成]を選択します。
    選択したサービスの[構成]ビューが表示されます。
  3. アプリケーション ルール]タブをクリックします。

次の図に[アプリケーション ルール]タブを示します。

LogDecAppRulesTb.png

[アプリケーション ルール]タブの列

                                 
説明
保留中 この列には、ルールに保留中の変更がないかどうかが示されます。Decoderでアクティブなルールには、インジケータが付きません。新しいルール、またはルールが変更された場合、列にはic-pending2.pngが付けられます。ルールが適用されると、保留中のインジケータは削除されます。
名前 ルールを識別するためのルール名です。
条件 条件が一致したときにアクションをトリガーする条件の定義です。
セッションデータ パケットがルールに一致した場合の[セッション データ]アクションが表示されます。表示される値は、[フィルタ]、[保持]、[トランケート]です。
アラート この列は、メタデータがルールに一致したとき、Decoderが生成するカスタム アラートの名前を表示します。
ステータス この列には、ルールの有効/無効が示されます 丸が緑色で塗りつぶされている場合、ルールは有効です。丸が塗りつぶされていない場合、ルールは無効です。

[ルール エディタ]ダイアログ

次の図は、アプリケーション ルールの[ルール エディタ]ダイアログを示しています。

NetworkRuleEditor.png

ルール エディタ]ダイアログには、アプリケーション ルールを定義するために必要なフィールドやオプションが表示されます。 

                 
フィールド説明
ルール名 ルールを識別する名前。
条件 条件が一致したときにアクションをトリガーする、条件の定義。フィールドに直接入力することも、Intellisenseのウィンドウ アクションからメタを使用してこのフィールドで条件をビルドすることもできます。ルール定義をビルドするとき、Intellisenseは構文エラーと警告を表示します。

すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。ルールとクエリーのガイドライン で、詳細を参照してください。

次の表に、セッション データのアクションとオプションを示します。

                                     
アクション説明
ルール処理の停止 チェックボックスがオンの場合、ルールが一致するとその後のルール評価は終了し、セッションはアクションの設定に従って処理されます。チェックボックスがオフの場合、すべてのルールが評価されるまで、ルール評価は続行されます。
保持 ルールに一致したとき、パケット ペイロードおよび関連するメタデータが保存されます。
フィルタ ルールに一致したとき、パケットは保存されません。
トランケート ルールに一致したとき、パケット ペイロードは保存されませんが、パケット ヘッダと関連するメタデータは保持されます。
アラート設定先アラートのチェックボックスがオンの場合、メタデータがルールに一致したとき、パケットはカスタム アラートを生成します。アラートの名前は、[設定先]フィールドで選択できます。
転送 ログがルールと一致した場合にSyslog転送のパフォーマンスを有効化します。
一時的 作成されたアラート メタデータがディスクに書き込まれないようにします。


以下の表に、[ルール エディタ]ダイアログのアクションを示します。 

                         
アクション説明
リセット ダイアログのコンテンツを編集前の値にリセットします。変更は廃棄されます。
キャンセル すべての編集をキャンセルして、[ルール エディタ]ダイアログを閉じます。
OK 新しいルールまたは編集されたルールを保存し、ルール グリッドに追加します。[ルール エディタ]ダイアログが閉じます。
保存 (廃止された構文を使用するルールのみ)修正したルールをDecoderサービスに個別に適用します。次のトピックを参照してください:廃止された構文を使用したルールの修正.
You are here
Table of Contents > 参考資料 > [サービス]の[構成]ビュー:[ルール]タブ > [アプリケーション ルール]タブ

Attachments

    Outcomes