レポート:Warehouseデータ ソースを使用したルールの定義

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Warehouseイベント ソースからデータまたはイベントをフェッチするためのルールを定義する手順について説明します。ルールの定義は、次の2種類のモードで実行できます。

  • デフォルト モード
  • エキスパート モード

モードの詳細については、次のトピックを参照してください:Warehouseデータベースのルール定義モード.

前提条件

以下について確認します。

  • ルール タイプについて理解している必要があります。ルール タイプの詳細については、次のトピックを参照してください: ルール タイプ.
  • [ルール]ビューのコンポーネントについて理解している必要があります。詳細については、次のトピックを参照してください: [ルール]ビュー.
  • [ルールのビルド]ビューのコンポーネントについて理解している必要があります。詳細については、次のトピックを参照してください: [ルールのビルド]ビュー.
  • カスタムFeedを使用したカスタム メタ キーの作成方法について理解している必要があります。詳細については、「ホストおよびサービスの構成ガイド」の「カスタムFeedを使用したカスタム メタ キーの作成」トピックを参照してください。

手順

Warehouseデータ ソースからデータまたはイベントをフェッチするルールを定義するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[レポート]をクリックします。

    [管理]タブが表示されます。

  2. [ルール]ツールバーでadd_rule_button.png>[Warehouse DB]をクリックします。
  3. [ルールのビルド]ビューのタブが表示されます。
  4. ルール タイプ]フィールドでは、[Warehouse DB]が選択されています。

    デフォルト モードでルールを定義している場合、次の手順を実行します。

    1. 名前]フィールドに、アラートやレポート内でルールを識別または分類するための名前を入力します。
    2. SELECT]フィールドで、ドロップダウン リストからメタを選択するか、メタ パネルに用意されている利用可能なメタ タイプのリストからメタを選択します。詳細については、「[ルールのビルド]ビュー」の「メタ パネル」のトピックを参照してください。 
    3. From]ドロップダウン メニューから、次のいずれかを選択します。

      • セッション
      • ログ
    4. エイリアス]フィールドに、Select句で使用されている列のエイリアス名を入力します。
    5. Where]フィールドで、メタを入力するか、メタ パネルに用意されている利用可能なメタ タイプのリストからメタを選択します。Where句では、ルールのクエリー条件を指定します。
    6. Select句で選択したメタに基づいて結果セットをグループ化する場合には、[Group By]フィールドにそのメタを入力します。
    7. Having]フィールドに、集計されたクエリーの結果セットをフィルタするための条件を入力します。
    8. Order By]フィールドで、次の操作を実行します。

      1. 列名]列に、結果をグループ化するための基準となる列の名前を入力します。
      2. 整列]列で、結果のソート方法を次のいずれかから選択します。

        • 昇順 
        • 降順
    9. 件数]フィールドに、データベースからデータをフェッチするときのクエリー件数の上限を入力します。結果セットがセッション 数、パケット数、セッション サイズによってソートされる場合、件数(=N)を指定すると、上位(下位)N個の結果が返されます。結果セットをソートしない場合は、最初のN個の値が返されます。
    10. Saveをクリックします。
  5. エキスパート モードでルールを定義している場合、[エキスパート モード]チェックボックスを選択して次の操作を実行します。

    1. 名前]フィールドに、アラートやレポート内でルールを識別または分類するための名前を入力します。
    2. クエリー]フィールドに、データ ソースを検索するためのHiveクエリー ステートメントを入力します。
    3. エイリアス]フィールドに、Select句で使用されている列のエイリアス名を入力します。
    4. Saveをクリックします。

次のステップ 

ルールのテスト]をクリックしてルールが正しいかどうかをテストできます。操作手順については、次のトピックを参照してください:ルールのテスト.

You are here
Table of Contents > レポート ルールの操作 > ルール グループおよびルールの定義 > ルールの定義 > Warehouseデータ ソースを使用したルールの定義

Attachments

    Outcomes