レポート:NetWitnessデータ ソースを使用したルールの定義

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、NetWitnessデータ ソースからデータまたはイベントをフェッチするためのルールを定義する手順について説明します。NetWitnessデータ ソースからデータまたはイベントをフェッチするルールを定義できます。Archiverデータ ソースからデータまたはイベントをフェッチするためのルールを定義する場合と同じ手順を使用します。

Archiverデータ ソースを追加するには、Reporting Engineサービスの[構成]ビューを使用します。詳細については、「ホストおよびサービスの構成ガイド」の「(オプション)Reporting EngineへのArchiverデータ ソースの追加」を参照してください。

前提条件

以下について確認します。

  • ルール タイプについて理解している必要があります。ルール タイプの詳細については、次のトピックを参照してください:ルール タイプ.
  • NWDBルールの構文を理解していること。詳細については、次のトピックを参照してください:NWDBルールの構文
  • [ルール]ビューのコンポーネントについて理解している必要があります。詳細については、次のトピックを参照してください:[ルール]ビュー.
  • [ルールのビルド]ビューのコンポーネントについて理解している必要があります。詳細については、次のトピックを参照してください:[ルールのビルド]ビュー.
  • カスタムFeedを使用したカスタム メタ キーの作成方法について理解している必要があります。詳細については、「ホストおよびサービスの構成ガイド」の「カスタムFeedを使用したカスタム メタ キーの作成」トピックを参照してください。 

手順

NetWitnessデータ ソースからデータまたはイベントをフェッチするルールを定義するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[レポート]をクリックします。

    [管理]タブが表示されます。

  2. [ルール]ツールバーで、>[NetWitnessDB]をクリックします。

    [ルールのビルド]ビューのタブが表示されます。

    105_add_rule-tabbd.png

  3. ルール タイプ]フィールドで[NetWitness DB]が選択されています。
  4. 名前]フィールドに、アラートやレポート内でルールを識別または分類するための名前を入力します。
  5. サマリライズ」フィールドで、ルールの要約や集計のタイプを決定します。定義するルールのタイプに基づいて、次のいずれかを選択する必要があります。
    • グループ化をせずに集計を行わないルールを定義する場合は、次を選択します。なし
    • コレクション(セッション/イベント/パケット)関連の集計など、特別な集計を使用する集計ルールを定義するには、次のいずれかを選択します。

      • イベント数
      • パケット数
      • セッション サイズ
    • メタ値やsum()、count()などのカスタム集計を使用する集計を定義するには、次を選択します。カスタム

      サマリライズ]フィールドで[カスタム]を選択すると、Select句で選択した内容の集計機能を定義できます。たとえば、ip.src、countdistinct(ip.dst)、distinct(ip.dst)を選択します。サポートされている集計関数は次のとおりです。

      • sum(<meta>) 
      • count(<meta>)
      • countdistinct(<meta>)
      • min(<meta>)
      • max(<meta>)
      • avg(<meta>)
      • first(<meta>)
      • last(<meta>)
      • len(<meta>)
      • distinct(<meta>)

      集計ルールおよび集計を行わないルールの詳細については、次のトピックを参照してください:NWDBルールの構文.

  6. Select]フィールドで、メタを入力するか、メタ ライブラリに用意されている利用可能なメタ タイプのリストからメタを選択します。詳細については、次のトピックにある「メタ パネル」トピックを参照してください:[ルールのビルド]ビューrawログをフェッチするメタ名はrawです。rawは[Select]フィールドのみで使用できます。[Where]および[Then]フィールドでは使用できません。[Select]フィールドのカスタム集計ルールの場合は複数の集計機能をサポートしています。

    注:Security Analyticsの以前のバージョンでは、Select句でのカスタム集計ルールでサポートされている集計機能は1つだけでした。このバージョン以降ではSelect句で複数の集計機能をサポートしています。たとえば、「Select: ip.src, username、service, distinct(country.src), sum(payload)」と指定できます。

  7. Where]フィールドで、メタを入力するか、利用可能なメタ タイプのリストからメタを選択し、演算子を使用してルールのクエリー条件を指定したWhere句を作成します。
  8. Group By]フィールドは読み取り専用のフィールドで、Select句で定義されたメタが設定されます。集計を行わない機能では、このフィールドは表示されません。[Group By]フィールドでは最大で6個のメタがサポートされています。

    注:Security Analyticsの以前のバージョンでは、Group By句でのカスタム集計ルールでサポートされているメタは1つだけでした。このバージョン以降ではGroup By句で最大6つのメタをサポートしています。

  9. Then]フィールドでは、レポートの出力をより具体的にしたり、または結果からFeedを作成するなどデータの検索や表示以外の機能を追加するために、ルールの元の結果セットをさらに処理するルール アクションを入力します。使用可能なルール アクションの一覧については、次のトピックを参照してください:NWDBルールの構文.

    注:Archiverデータ ソースに対してルールを実行する場合、lookup_and_add()やshow_whats_new()などのクエリーが集中するルール アクションを使用しないことを推奨します。

  10. Order By]フィールドで、次の操作を実行します。

    1. 列名]列に、結果をソート化するための基準となる列の名前を入力します。デフォルトでは、この値は空です。この値は[サマリライズ]フィールドで選択した値に基づいて設定されます。

      • [サマリライズ]が[なし]の場合、[Order By]が選択されていないときはデフォルトでセッションまたは収集時間の順にソートされます。
      • [サマリライズ]がその他の値の場合、[Order By]が定義されていないときには、選択された最初の[Group By]メタに基づいてデフォルトのソートが行われます。[イベント数]、[パケット数]、[セッション サイズ]の場合、使用できる値は[合計]と[値]です。
    2. 整列]列で、結果のソート方法を次のいずれかから選択します。

      • 昇順
      • 降順
  11. セッション閾値]フィールドに、選択したメタの各一意値を確認する一致セッションのスキャンを停止するための最適化設定を入力します。閾値は0(デフォルト)~2147483647の範囲の整数です。

    注:これはNWDB集計ルールのみに適用されます。デフォルト値を指定した場合、すべての一致セッションがスキャンされ、正確な値が返されます。セッションの閾値を高くすると、計算値が正確になります。ただし、この値を高くするとルール実行時間が長くなります。たとえば、ip.srcに対するセッションの閾値を1000に設定すると想定します。5000の一致セッションが存在する場合、1000を超えるセッションに存在するあるip.src値に対し、NWDBは1000セッションをスキャンした後にスキャンを停止し、推定集計値を返します。これによりクエリーの実行時間が最適化されます。値が存在するセッションの数が1000未満の場合、実際の値が返されます。

  12. 件数]フィールドに、データベースからデータをフェッチするときのクエリー件数の上限を入力します。結果セットがイベント数、パケット数、セッション サイズによってソートされる場合、件数(=N)を指定すると、上位(下位)N個の値が返されます。結果セットをソートしない場合は、最初のN個の値が返されます。
  13. Saveをクリックします。

    注:パース済みメタとは異なり、rawログはDecoderからフェッチされます。1つのルールでrawログとパース済みメタの両方に対するクエリーを実行する場合、保存期間の違いにより、同じセッションでもパース済みメタは利用でき、rawログは利用できないことがあります。そのため、そのようなセッションでは結果にパース済みメタの値と空のrawの値が含まれます。たとえば、ルール「Select ip.src, ip.dst, service, username, raw」を実行した場合、セッションによっては、パース済みメタは値が表示され、rawメタが空である場合があります。

次のステップ 

ルールのテスト]をクリックしてルールが正しいかどうかをテストできます。操作手順については、次のトピックを参照してください:ルールのテスト.

You are here
Table of Contents > レポート ルールの操作 > ルール グループおよびルールの定義 > ルールの定義 > NetWitnessデータ ソースを使用したルールの定義

Attachments

    Outcomes