インシデントの管理:[新しいルール]タブ

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、新しいルールの作成に必要なパラメータについて説明します。

[新しいルール]タブ ビューにアクセスするには:

  1. Security Analyticsメニューで、[インシデント]>[構成]>[統合ルール]を選択します。

    [統合ルール]ビューが表示されます。

  2. をクリックします。

    新しいルール]タブが表示されます。

    add_rule_dialog_im.png

[新しいルール]ビューには、新しいルールをカスタマイズできるフィールドがいくつか用意されています。

次の表に、新しい統合ルールを作成するときに指定する必要があるパラメーターを示します。

                                                            
パラメータ説明
有効ルールを有効にする場合に選択します。
名前ルールの名前。これは必須入力フィールドです。 
説明ルールの説明。
一致条件*

クエリー ビルダー - グループ化を行うためのさまざまなクエリーを使用して条件を構築する場合に選択します。条件のグループをネストすることもできます。

一致条件 - [すべてに合致]、[いずれかに合致]、[いずれにも合致しないく]から選択できます。選択した値に応じて、条件および条件グループで指定されている基準のタイプが照合され、アラートがグループ化されます。

たとえば、条件の一致を[すべて]に設定した場合、条件および条件グループで指定されている基準と一致するアラートが1つのインシデントにまとめられます。
<>をクリックして、一致条件を追加します。
<>をクリックして条件のグループを追加し、<>をクリックして条件を追加します。
条件セットを基準に一致する複数の条件および条件のグループを含め、受信アラートをインシデントにグループ化できます。

詳細 - 高度なクエリー ビルダーを使用する場合に選択します。照合する必要のある条件を詳細に指定して追加できます。

例:重大度4を上回るアラートをグループ化するための条件ビルダーの形式を次のように入力できます:{"$and": [{"alert.severity" : {"$gt":4}}]}

高度な構文については、http://docs.mongodb.org/manual/reference/operator/query/またはhttp://docs.mongodb.org/manual/reference/method/db.collection.find/を参照してください

アクション

インシデントに統合 - 有効にすると、基準セットと一致するアラートが1つのインシデントにまとめられます。

アラートを抑制 - 有効にすると、基準と一致するアラートが抑制されます。

グループ化オプション*

グループ化:指定したカテゴリに従ってアラートをグループ化する基準です。属性なし(一致するすべてのアラートがグループ化されます)、1つの属性、または2つの属性でアラートをグループ化することができます。属性別のグループ化は、属性に同じ値を持つすべてのアラートが、同じインシデントで互いにグループ化されることを意味します。

タイム ウィンドウ:アラートをグループ化するよう指定された時間範囲。
たとえば、タイム ウィンドウが1時間に設定されている場合は、[グループ化基準]フィールドで設定した基準に一致するアラートのうち、受信時刻が互いに1時間以上離れていないアラートがすべて1つのインシデントにまとめられます。

インシデント オプション

タイトル:(オプション)インシデントのタイトルです。グループ化した属性に基づいてプレースホルダーを指定することができます。プレースホルダーはオプションです。プレースホルダーを使用しない場合は、ルールによって作成されるすべてのインシデントに同じタイトルが付けられます。

たとえば、ソースに基づいてグループ化した場合は、結果として生成されるインシデントに「${groupByValue1}のアラート」という名前を付けることができます。この場合、ECATからのすべてのアラートのインシデントに「ECATのアラート」という名前が付けられます。

サマリー - (オプション)インシデントのサマリー。
カテゴリー - (オプション)作成されたインシデントのカテゴリー。インシデントの分類には、複数のカテゴリーを使用できます。
割り当て先 - (オプション)インシデントを割り当てられる担当者の名前。
優先順位

すべてのアラートの平均リスク スコア - すべてのアラートのリスク スコアの平均に基づいて、作成されるインシデントの優先度を設定します。

すべてのアラートで最高のリスク スコア - すべてのアラートのうちの最高のリスク スコアに基づいて、作成されるインシデントの優先度を設定します。

タイム ウィンドウのアラートの数 - 選択されたタイム ウィンドウに含まれるアラートの数に基づいて、作成されるインシデントの優先度を設定します。

インシデントの優先度は、スライダーを動かして調整できます。

通知このルールによってインシデントが作成されたときに通知を受け取るユーザーのメール アドレス。
You are here
Table of Contents > インシデント管理の参考情報 > [Configure]ビュー > [統合ルール]タブ > [新しいルール]タブ

Attachments

    Outcomes