ESM:グループの作成/編集フォーム

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

イベント ソース グループの作成フォームは、イベント ソース グループを作成または編集するときに表示されます。

このフォームに関連する手順については、次のトピックを参照してください: イベント ソース グループの作成 、 イベント ソース グループの編集または削除.

パラメータ

次の表は、イベント グループの作成/編集フォームのフィールドについて説明しています。

                             
フィールド説明
グループ名

このフィールドは必須です。グループの識別子としてSecurity Analytics UI全体に表示されます。

説明

グループの目的やそのグループに関する詳しい説明(オプション)。

ツール

esm_grpRules.png

ツールバーでは、次のアイテムを使用できます。

  • 追加(+]:[追加]をクリックするとメニューが表示され、条件またはグループを追加できます。
  • 削除(-]:選択したルールをリストから削除します。

新しいグループを追加すると、ネストされた条件のレベルが作成されます。

条件

以下の「ルールの条件」の表で説明します。

キャンセル/保存

キャンセル]オプションと[保存]オプションはフォームで使用できます。

ルールの条件

指定したルールによって、このイベント ソース グループに含めるイベント ソースが決まります。ルールの内容は次のとおりです。

  • グループ化:ルール間の連携方法
  • 属性:ルールの照合対象の属性
  • 演算子:ルールによる属性の照合方法
  • 値:ルールで使用される属性値

次の表は、このルールの構成要素について詳しく説明しています。

                         
ルールの構成要素詳細
グループ化

イベント ソース グループに複雑なルールを作成する場合に、条件をグループ化できます。ルールをグループ化する場合の選択肢を次に示します。

  • すべてに合致:論理的にはANDと同等です
  • いずれかに合致:論理的にはORと同等です
  • いずれにも合致しない:論理的にはNOTと同等です

シンプルなグループを作成する場合や、1つの条件しか指定しない場合は、デフォルト値(すべてに合致)を選択したままにします。

属性

すべてのイベント ソース属性がドロップダウン リストに表示されます。この属性は、自身が属するセクションごとに表示されています。たとえば、先頭にIdentification属性すべてが表示され、その後にPropertiesImportanceと続きます。

演算子

次のいずれかのオプションを選択します。

  • 次に等しい:属性値が指定された値と一致するイベントソースを返します。

  • 次に等しくない:属性値が指定された値と一致しないイベント ソースを返します

  • 次に含まれる(in):コンマ区切り形式で値リストを指定し、属性値がいずれかの値と一致するイベント ソースが返されます。例:

    IP in 10.25.50.146, 10.25.50.248

    この条件は、IP属性の値が10.25.50.146または10.25.50.248のいずれかのイベント ソースを返します。

  • 次に含まれない(not in):[次に含まれる(in)]と似ていますが、属性値が指定されたどの値とも等しくないイベント ソースが返されます。

  • 次で始まる:属性値が指定された文字列で始まるイベント ソースを返します。例:

    Event Source Type Like Apache

    この条件は、Event Source TypeがApacheで始まるイベント ソースを返します。

  • 次で始まらない:[次で始まる]と似ていますが、指定された文字列で始まらない属性値を持つイベントソースを返します。

  • 次より大きい:指定された値よりも大きな属性値を持つイベントソースを返します。たとえば、「Priorityが5より大きい」という条件の場合、この条件と一致するのはPriorityが6以上のイベントソースです。

  • 次より小さい:[次より大きい]と似ています。指定された値よりも小さな属性値を持つイベントソースを返します。

値または値のセットを入力します。値のタイプは、条件の属性によって異なります。たとえば、IPv6の場合は、IPv6形式で指定する必要があります。

You are here
Table of Contents > 参考情報 > グループの作成/編集フォーム

Attachments

    Outcomes