レポート:ルールの概要

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、ルールの概要について説明します。ルールは、Reportsモジュールの基本的かつ重要なビルディング ブロックです。レポート、チャート、アラートで使用できるルールを作成する必要があります。

ルールのビルディング ブロック

ルールはクエリーで構成され、データ ソース内で要求した情報に一致する結果を検索して返します。たとえば、ユーザーが毎日アクセスする上位20個のWebアドレスを表示するルールや、高価値の資産に対してクリア テキストの認証が存在するかどうかを調べるルールを記述できます。

ルールの構文は、SELECT句、WHERE句、ソートおよびグループ オプション、結果セットの制限を使用できるという点で、SQL(Standard Query Language)の構文とよく似ています。ルールの内容は次のとおりです。

                                           
プロパティ説明
名前ルールの名前。Windows System Account Activity
Select結果セットで返されるメタ タイプのリストです。メタ タイプのリストは、メタ ライブラリに含まれています。ルール ビルダーのメタ ライブラリは、Security Analyticsが接続されているSecurity Analyticsホストのインデックス構成と常に同期されています。このプロパティで表示できるメタ タイプの数は、ルールのソートの方法によって異なります。集計プロパティがオフの場合、ルールは複数のselectフィールドを持つことができます。セッション カウント、セッション サイズ、パケット サイズのいずれかで集計するようにルールを設定している場合、selectフィールドは1つのみ設定できます。 
Whereルールのクエリー条件を指定する句。alert='cleartext_ftp_passwords'
Then(ルール アクション)ルールの結果セットを処理する一連の関数。レポートの出力を絞り込んだり、データのクエリーや表示以外の機能をルールに追加したりすることができます。lookup_and_add ('username','ip.src',10);

整列

結果セットのデータを分類してカウントする方法を指定します。以下を使用できます。

  • 合計

合計

件数ルールに対する結果セットの上限サイズを指定します。結果セットがカウントまたはサイズによってソートされる場合、件数(=N)を指定すると、上位(下位)N個の結果が返されます。結果セットをソートしない場合は、最初のN個の値が返されます。20

注:ユーザー インタフェース(UI)に表示される日付または時刻は、ユーザーが選択したタイム ゾーンによって異なります。

You are here
Table of Contents > レポート ルールの操作 > ルールの概要

Attachments

    Outcomes