Decoder:[相関ルール]タブ

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、[サービス]の[構成]ビュー>[相関ルール]タブで相関ルールの作成と管理を行うための機能について説明します。

[相関ルール]タブでは、相関ルールを管理することができます。基本的な相関ルールは、セッション レベルで適用され、監視対象の環境で特定のアクティビティが発生した場合、ユーザーにアラートを通知します。Security Analyticsでは、構成可能なスライド タイム ウィンドウに基づいて相関ルールが適用されます。 

ステップ4:Decoderのルールの構成 では、補足情報について説明しています。相関ルールの構成 では、相関ルールを作成する方法について説明します。

[相関ルール]タブのツールバーは、すべてのタイプのルールに共通します。[サービス]の[構成]ビュー:[ルール]タブ では、共通のルール ツールバーおよびアクションに関する情報を提供します。

[相関ルール]タブにアクセスするには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービスを選択し、ic-actns.png[表示]>[構成]を選択します。
    選択したサービスの[構成]ビューが表示されます。
  3. 相関ルール]タブをクリックします。

次の図に[相関ルール]タブを示します。

次の図は、相関ルールの[ルール エディタ]ダイアログを示しています。

104CorrRuleEditor.png

次の表に、[相関ルール]タブの列の説明を示します。 

                                     
説明
保留中 この列には、ルールに保留中の変更がないかどうかが示されます。Decoderでアクティブなルールには、インジケータが付きません。新しいルール、またはルールが変更された場合、列にはic-pending2.pngが付けられます。ルールが適用されると、保留中のインジケータは削除されます。
名前 ルールの名前です。
条件 条件が一致したときにアクションをトリガーする条件の定義です。

条件では、すべての文字列リテラルとタイム スタンプを引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。 ルールとクエリーのガイドライン で、詳細を参照してください。
インスタンス キー イベントのベースとなるインジケータです。ip.srcのような単一のプライマリ キーにするか、ip.src,ip.dstのような複合プライマリ キーにできます。
閾値 これは、相関セッションをトリガーするのに必要な最小発生回数です。条件を満たすかどうかを判定するために関連キーをカウント対象に含めることができます。相関エンジンは、関連メタ タイプとしてIPv4またはIPv6を使用することはできません。次の3つの引数のいずれかを使います。
  • u_count(associated_key) =指定したキーの一意の値のカウントです。キーの指定が必須です。
  • sum(associated_key) = 指定したキーの値の合計です。キーの指定が必須です。
  • count() = セッションの数です。関連キーは使用されません。含まれる場合は無視されます。
タイム ウィンドウ タイム ウィンドウでは期間を指定し、この期間内に閾値の条件が満たされた場合に、相関セッションが作成されます。
ステータス この列には、ルールの有効/無効が示されます 丸が緑色で塗りつぶされている場合、ルールは有効です。丸が塗りつぶされていない場合、ルールは無効です。

ルール エディタ]ダイアログには、ネットワーク ルールを定義するために必要なフィールドやオプションがあります。[ルール エディタ]ダイアログでは、以下のオプションが提供されています。

                         
アクション説明
リセット ダイアログのコンテンツを編集前の値にリセットします。変更は廃棄されます。
キャンセル すべての編集をキャンセルして、[ルール エディタ]ダイアログを閉じます。
OK 新しいルールまたは編集されたルールを保存し、ルール グリッドに追加します。[ルール エディタ]ダイアログが閉じます。
保存 (廃止された構文を使用するルールのみ)修正したルールをDecoderサービスに個別に適用します。次のトピックを参照してください:廃止された構文を使用したルールの修正.
You are here
Table of Contents > 参考資料 > [サービス]の[構成]ビュー:[ルール]タブ > [相関ルール]タブ

Attachments

    Outcomes