このトピックでは、RSA Security Analytics Reportsモジュールのレポートで変数を使用する方法について説明します。レポートのパラメータ機能により、ルール定義を変更しなくても実行時に値を動的に指定し、特定の値に基づいて結果を表示できます。レポートでパラメータ機能を使用するには、クエリーまたはルールで変数を使用します。ルールの追加の詳細については、 ルールの定義を参照してください。実行時に、変数の値を入力するか、リストから値を選択できます。
変数を指定する構文は次のとおりです。
説明 | サポートされる構文の例 |
---|---|
変数の前に 変数を中括弧で囲みます。 |
|
変数を定義する構文は、NetWitness DB、IPDB、Warehouse DBの各データ ソースで共通です。[構成の実行]で変数に値を代入するときには、'<value>'
のように値を一重引用符で囲む必要があります。
このセクションでは、変数を使用できる例をいくつか示します。
特定の宛先の国のソースIPアドレスの表示
次に示すのは、特定の宛先の国(country.dst)が含まれるソースおよび宛先IPアドレス(ip.srcおよびip.dst)を表示するNetWitness DBルールの例です。ここでは、宛先の国の名前が、${local_Country}
という変数で定義されています。
実行時に、この変数に値を入力するよう求められます。次の図は、local_Country
変数への値の入力を示しています。United Statesという値を入力すると、宛先の国(country.dst)に「United States」という値を含むデータのソースおよび宛先IPアドレス(ip.srcおよびip.dst)がすべて表示されます。
前述のルールを使用して、レポートをスケジュール設定できます。詳細は、レポートのスケジュール設定を参照してください。2種類のレポートをスケジュールできます。
- 動的変数を使用したレポート
- 反復レポート
動的変数を使用したレポート
動的変数を使用すると、レポートをスケジュール設定するときに、ルールに定義された変数の値を指定できます。
動的変数を使用してレポートをスケジュール設定するには、次の手順を実行します。
-
Security Analyticsメニューで、[レポート]をクリックします。
[管理]タブが表示されます。
-
[レポート]をクリックします。
[レポート]ビューが表示されます。
- [レポートのビルド]ページで、
をクリックしてレポートを作成します。
- [ルール]タブから、ユーザーが定義した変数を含むルールを追加します。
-
[スケジュール]をクリックします。
[レポートのスケジュール設定]ビューのタブが表示されます。
- スケジュールに従ってレポートを実行するには、[有効化]チェックボックスをオンにします。
- [スケジュール名]フィールドに、スケジュール レポート構成の名前を入力します。
-
[データ ソース]フィールドで、データ ソースを選択します。
注:データ ソースが表示されない場合は、そのデータ ソースに対する読み取り権限があることを確認します。これはNWDBおよびWarehouseデータ ソースの場合に該当します。詳細については、「Reporting Engine構成ガイド」の「データ ソースの権限の構成」を参照してください。
-
(オプション)レポートがプールまたはキューで実行されるようにスケジュール設定するには、[Warehouseリソース プール]ドロップダウンから、クラスタで使用できるプールまたはキューを選択します。このドロップダウンは、Warehouse DBレポートを選択した場合のみ使用できます。
注:[エクスプローラ]ページでReporting Engineに対して指定したすべてのキューまたはプールがリストに表示されます。[エクスプローラ]ページでプールまたはキューが構成されていない場合、このドロップダウンは無効になり、ジョブはキュー名またはプール名なしでクラスターに送信されます。
注:レポートのスケジュールに構成されているプールまたはキューがクラスタから削除された場合、Capacity Schedulerでキュー名は未定義のままになります。ただし、Fair Schedulerでは、プロパティ
mapred.fairscheduler.allow.undeclared.pool
を使用して、指定されているプール名が作成されます。 - [タイムゾーン]ドロップダウン メニューから、タイムゾーンを選択し、レポート出力に表示するすべての時間関連のデータのフォーマットを指定します。この設定は、Reporting Engineの[エクスプローラ]ビュー(/com.rsa.soc.re/configuration/reportoutputformatterconfig/reportoutputformatterconfig)で構成可能です。
-
[実行]フィールドから、実行スケジュールのタイプを選択します ([即時]、[毎時]など)。実行スケジュールのタイプによって、次のいずれかを実行します。
-
実行スケジュールに[指定日時]または[毎月]を選択した場合は、表示された各フィールドで日付の値を指定する必要があります。
-
実行スケジュールに[毎時]を選択した場合は、[分]フィールドに分を指定する必要があります。
-
実行スケジュールに[毎日]を選択した場合は、[時刻]フィールドに時刻を入力する必要があります。
-
実行スケジュールに[毎週]を選択した場合は、[時刻]フィールドに値を入力し、曜日を選択する必要があります。
注:レポートのスケジュール時に、[過去]オプションを選択した場合、または[範囲(特定/汎用)]オプションで終了時間を現在の時間に非常に近い時間に設定した場合、データ ソースから集計データを取得できることを確認してください。データ ソースでの集計が遅延する場合は、遅延を考慮した終了時間を選択する必要があります。そうでないと、レポートにはその時間範囲の未集計データが含まれません。
-
- [変数]フィールドで、
をクリックします。
-
次のいずれかを実行します。
- 変数の値を入力するか、または
- 変数の値のリストを選択します。
- [選択]をクリックします。
-
[スケジュール]をクリックします。
レポートがスケジュールに従って実行され、構成済みの出力アクションに従って結果が通知されます。
レポートがスケジュールに従って実行され、構成済みの出力アクションに従って結果が通知されます。
ソースIPアドレスに対応するすべての宛先IPアドレスの表示
次に示すのは、特定のソースIPからのすべての宛先IPアドレスを表示するWarehouseルールの例です。ソースIPアドレスip_src
は、変数${IP_Address}
として定義されています。
実行時に、ソースIPアドレスを入力するよう求められます。次の図は、IP_Address
変数を示しています。この変数に、有効なソースIPアドレスを入力できます。指定されたソースIPからのすべての宛先IPアドレスが表示されます。
変数と値のリストとの関連づけ
変数はリストに関連づけることができます。たとえば、Local_Country
というリストを作成し、すべての国名を値として入力できます。Local_Country
リストを、変数Local_Country
の値として選択できます。実行の構成で、Local_Country
リストを選択し、リストの国名に基づいた結果を表示することができます。
デバイス名に基づいてデバイスの詳細を表示するIPDBルール
次に示すのは、デバイス名に基づいてデバイスの詳細を表示するIPDBルールの例です。イベント ソースの指定で、デバイス名を変数${Device_Name}
で指定します。
実行時に、デバイス名Device_Name
を入力するよう求められます。次の図はDevice_Name
変数を示しています。イベント ソースとして、「NIC:ESIPDB:ESIPDB-ES:ciscopix:111.111.111.25
」のように入力できます。すべてのデバイスの詳細が表示されます。
反復レポート
反復レポートは、リストの値ごとにレポートを生成します。
反復レポートをスケジュール設定するには、次の手順を実行します。
-
Security Analyticsメニューで、[レポート]をクリックします。
[管理]タブが表示されます。
-
[レポート]をクリックします。
[レポート]ビューが表示されます。
- [レポートのビルド]ページで、
をクリックしてレポートを作成します。
- [ルール]タブから、ユーザーが定義した変数を含むルールを追加します。
-
[スケジュール]をクリックします。
[レポートのスケジュール設定]ビューのタブが表示されます。
- スケジュールに従ってレポートを実行するには、[有効化]チェックボックスをオンにします。
- [スケジュール名]フィールドに、スケジュール レポート構成の名前を入力します。
-
[データ ソース]フィールドで、データ ソースを選択します。
注:データ ソースが表示されない場合は、そのデータ ソースに対する読み取り権限があることを確認します。これはNWDBおよびWarehouseデータ ソースの場合に該当します。詳細については、「Reporting Engine構成ガイド」の「データ ソースの権限の構成」を参照してください。
-
(オプション)レポートがプールまたはキューで実行されるようにスケジュール設定するには、[Warehouseリソース プール]ドロップダウンから、クラスタで使用できるプールまたはキューを選択します。このドロップダウンは、Warehouse DBレポートを選択した場合のみ使用できます。
注:[エクスプローラ]ページでReporting Engineに対して指定したすべてのキューまたはプールがリストに表示されます。[エクスプローラ]ページでプールまたはキューが構成されていない場合、このドロップダウンは無効になり、ジョブはキュー名またはプール名なしでクラスターに送信されます。
注:レポートのスケジュールに構成されているプールまたはキューがクラスタから削除された場合、Capacity Schedulerでキュー名は未定義のままになります。ただし、Fair Schedulerでは、プロパティ
mapred.fairscheduler.allow.undeclared.pool
を使用して、指定されているプール名が作成されます。 - [タイムゾーン]ドロップダウン メニューから、タイムゾーンを選択し、レポート出力に表示するすべての時間関連のデータのフォーマットを指定します。この設定は、Reporting Engineの[エクスプローラ]ビュー(/com.rsa.soc.re/configuration/reportoutputformatterconfig/reportoutputformatterconfig)で構成可能です。
-
[実行]フィールドから、実行スケジュールのタイプを選択します ([即時]、[毎時]など)。実行スケジュールのタイプによって、次のいずれかを実行します。
-
実行スケジュールに[指定日時]または[毎月]を選択した場合は、表示された各フィールドで日付の値を指定する必要があります。
-
実行スケジュールに[毎時]を選択した場合は、[分]フィールドに分を指定する必要があります。
-
実行スケジュールに[毎日]を選択した場合は、[時刻]フィールドに時刻を入力する必要があります。
-
実行スケジュールに[毎週]を選択した場合は、[時刻]フィールドに値を入力し、曜日を選択する必要があります。
注:レポートのスケジュール時に、[過去]オプションを選択した場合、または[範囲(特定/汎用)]オプションで終了時間を現在の時間に非常に近い時間に設定した場合、データ ソースから集計データを取得できることを確認してください。データ ソースでの集計が遅延する場合は、遅延を考慮した終了時間を選択する必要があります。そうでないと、レポートにはその時間範囲の未集計データが含まれません。
-
-
[変数]フィールドで、次の操作を実行します。
-
[スケジュール]をクリックします。
レポートがスケジュールに従って実行され、構成済みの出力アクションに従って結果が通知されます。
次の図は、反復レポートの結果を示しています。