レポート:IPDBデータ ソースを使用したルールの定義

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、IPDBデータ ソースからデータまたはイベントをフェッチするためのルールを定義する手順について説明します。

前提条件

以下について確認します。

  • ルール タイプについて理解している必要があります。ルール タイプの詳細については、次のトピックを参照してください:ルール タイプ.
  • IPDBルールの構文を理解していること。詳細については、次のトピックを参照してください:IPDBルールの構文.
  • [ルール]ビューのコンポーネントについて理解している必要があります。詳細については、次のトピックを参照してください:[ルール]ビュー.
  • [ルールのビルド]ビューのコンポーネントについて理解している必要があります。詳細については、次のトピックを参照してください:[ルールのビルド]ビュー.

手順

IPDBデータ ソースからデータまたはイベントをフェッチするルールを定義するには、次のステップを実行します。

  1. Security Analyticsメニューで、[Administration]>[レポート]をクリックします。

    [管理]タブが表示されます。

  2. [ルール]ツールバーでadd_rule_button.png>[IPDB]をクリックします。

    [ルールのビルド]ビューが表示されます。

  3. ルール タイプ]フィールドで、[IPDB]が選択されています。
  4. 名前]フィールドに、アラートやレポート内でルールを識別または分類するための名前を入力します。
  5. Select]フィールドで、メタを入力するか、メタ パネルに用意されている利用可能なメタ タイプのリストからメタを選択します。詳細については、「[ルールのビルド]ビュー」の「メタ パネル」のトピックを参照してください。
  6. イベント ソース]フィールドで、イベント ソースを構成して同じルールにデバイスを動的に割り当てることができます。詳細については、「IPDBイベント ソースの指定」を参照してください。このフィールドにリストを挿入することもできます。これを行うには、[リスト]パネルでリストを選択して、[挿入]>[イベント ソース]に移動します。
  7. Where]フィールドで、メタを入力するか、メタ パネルに用意されている利用可能なメタ タイプのリストからメタを選択します。Where句では、ルールのクエリー条件を指定します。このフィールドにリストを挿入することもできます。これを行うには、[リスト]パネルでリストを選択して、[挿入]>[Where]に移動します。
  8. Select句で選択したメタに基づいて結果セットをグループ化する場合には、[Group By]フィールドにそのメタを入力します。
  9. Order By]フィールドで、次の操作を実行します。

    1. 列名]列に、結果をグループ化するための基準となる列の名前を入力します。
    2. 整列]列で、結果のソート方法を次のいずれかから選択します。

      • 昇順
      • 降順
  10. 件数]フィールドに、データベースからデータをフェッチするときのクエリー件数の上限を入力します。結果セットがセッション 数、パケット数、セッション サイズによってソートされる場合、件数(=N)を指定すると、上位(下位)N個の結果が返されます。結果セットをソートしない場合は、最初のN個の値が返されます。
  11. Saveをクリックします。

次のステップ 

ルールのテスト]をクリックしてルールが正しいかどうかをテストできます。操作手順については、次のトピックを参照してください:ルールのテスト.

Previous Topic:ルールの定義
You are here
Table of Contents > レポート ルールの操作 > ルール グループおよびルールの定義 > ルールの定義 > IPDBデータ ソースを使用したルールの定義

Attachments

    Outcomes