レポート:[ルールのビルド]ビュー

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、[ルールのビルド]ビューの機能と、実行できるアクションについて説明します。関連づけられている手順については、「ルール」を参照してください。

ルール パネルでは次のアクションを実行できます。

  • ルールを定義して保存する。
  • ルールの値をリセットする。
  • ルールの正確さをテストする。
  • ルールをレポートに追加する。
  • ルールをアラート キューに追加する。
  • ルールをチャートに追加する。

[ルールのビルド]ビューにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、レポート]をクリックします。
    [管理]タブが表示されます。
  2. ルール ツールバーで、add_rule_button.png>[NetWitnessDB]をクリックします。
    [ルールのビルド]ビューのタブが表示されます。

次の図に、[ルールのビルド]ビューの例を示します。
106_build_rule_view.png

機能 

[ルールのビルド]ビューは次のパネルで構成されます。

  • ルール パネル
  • メタ パネル
  • リスト パネル

ルール パネル

ルール パネルでは、選択したデータベース タイプのルールを作成できます。

次の図は、[ルール]パネルを示しています。
105_build_rule_view1.png

次の表で、[ルール]パネルの各機能について説明します。

                                               
機能説明
ルールタイプルールを作成する際にサポートされるデータベース タイプのドロップダウン リスト。オプションは次のとおりです。NetWitness DB、IPDB、Warehouse DB。
名前作成または編集しているルールの名前。
サマライズサマライズ オプションのドロップダウン リスト。オプションは次のとおりです。なし、イベント数、パケット数、セッション数、カスタム。
Select値を集計したいメタ キー。たとえば、ip.dest。
whereルールの実行をトリガーする条件を定義するWhere句。たとえば、ip.dest = 127.0.0.1。
Group By結果をグループ化する方法。たとえば、ip.destを指定すると、ip.destの値がグループ化されたレポートが生成されます。
Then出力への追加処理に関するルール アクションを定義するThen句。
Order By結果の表示に使用される優先順位づけ方法。たとえば、[Order By]に[Total]列の値と昇順を指定すると、結果が[Total]列の値に基づいて昇順に格納されたレポートが生成されます。
セッション閾値セッション閾値を選択するリスト。セッション閾値は、集計関数で処理されるセッションの最大数を指定します。
件数取得される結果行の最大数を選択するリスト。
使用[使用]をクリックすると、ルールを使用してレポート、チャートのアラートを生成することができます。
保存[保存]をクリックすると、編集しているルールが保存されます。[ルールのビルド]パネルは開かれたままです。変更を維持する場合は、ルールをテストする前に保存する必要があります。
リセット[リセット]をクリックすると、フィールドのすべての情報がクリアされます。
ルールのテスト

[ルールのテスト]をクリックすると、[ルールのテスト]ダイアログが開きます。

[ルールのテスト]ダイアログ

[ルールのテスト]ビューにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[レポート]をクリックします。
    [管理]タブが表示されます。
  2. [ルール リスト]パネルで、次のいずれかを実行します。
    • ルールを選択し、[ルール]ツールバーのedit_button.pngをクリックします。
    • >[編集]をクリックします。
      [ルールのビルド]ビューのタブが表示されます。
  3. ルールのテスト]をクリックします。
    [ルールのテスト]ビューが表示されます。
    Test_rule_page.png

次の表で、[ルールのテスト]ダイアログの機能を説明します。

                          
機能説明
データ ソーステストしているルール タイプのデータ ソースを選択するドロップダウン リスト。選択可能なデータ ソースは次のとおりです。Concentrator、Broker、Decoder、Log Decoder。
形式ルールの結果を表示するための形式を選択するドロップダウン リスト。選択可能な形式は次のとおりです。表、面、横棒、バブル、カラム、折れ線、円、ステップ折れ線、ステップ面、スプライン面、スプライン。
時間範囲

時間範囲の指定方法を選択するドロップダウン リスト。

  • [過去]を選択すると、年、月、日、週、時間の数を指定できます。たとえば、時間、日、週、月、年。
  • [範囲]を選択すると、日付と時刻の範囲を指定できます。たとえば、開始日から終了日まで。

ユーザー インタフェースに表示される日付または時刻は、ユーザーが選択したタイム ゾーン プロファイルによって異なります。

相対時間計算の使用このオプションを選択すると、現在の時刻からの時間範囲が計算されます。
X軸

[X軸]と[Y軸]では、チャートにプロットするメタデータを指定します。
[X軸]ドロップダウン リストには、ルールのGroup by設定のメタ タイプが表示されます。ルールのGroup by設定が1つの場合は、複数のメタ タイプを選択できます。
複数のGroup by値が含まれるカスタム ルールについては、[X軸]の最初のメタ タイプのみを選択できます。

Y軸

[Y軸]ドロップダウン リストには、ルールで使用される集計関数が表示されます。ルールに使用する集計関数では、Sum、Count、Countdistinct、Averageがサポートされています。
1つ以上の集計関数を選択できます。

テストの実行[テストの実行]をクリックすると、[ルール ビルダー]ダイアログで最後に保存されたルールのテストが実行されます。テストが完了すると、選択した時間範囲のルール データが表示されます(存在する場合)。

メタ パネル

メタ パネルには、ルールのビルドに使用できるメタ タイプのリストが表示されます。メタ タイプは、Select、Where、Thenの各句で使用できます。Reporting Engineは、接続先のデータ ソースと定期的に同期して、使用可能なメタのリストを保持しています。

次の図に、メタ パネルを示します。
104_build_rule_panel.png
次の表で、メタ パネルの各機能について説明します。

           
操作説明
選択選択したルール タイプに基づいて、使用できるデータ ソースがメタ パネルのドロップダウン リストに表示されます。必要なデータ ソースを選択します。データ ソースで使用できるメタ タイプが表示されます。メタを選択します。
フィルタ特定のメタ値でメタをフィルタします。

リスト パネル

リストは、メタまたは変数で使用できる値のセットのプレースホルダです。たとえば、信頼できるすべてのイベント ソースIPアドレスを使用してリストを定義できます。リストが定義されると、ルールでそのリスト名を使用できます。リストを使用するルールを定義したあとは、リスト内の値をメンテナンス(追加、変更、削除)することで、クエリーを変更せずに検索条件の選択肢を柔軟に管理することができます。

リスト パネルは一連のリストを集めたものです。Reporting Engineは、接続先のデータ ソースと定期的に同期して、使用可能なリスト名のリストを保持しています。

次の図に、リスト パネルを示します。
104_list_pane.png

次の表で、リスト パネルの各機能について説明します。

                 
操作説明
part_of_list_pane.pngリストをインポートまたはエクスポートする。
part_of_list_pane.pngNetWitness DB]ルール タイプを選択した場合、オプションのWhereとThenが表示されます。ルールのWhereまたはThen句にリストを挿入します。
part_of_list_pane.pngIPDB]ルール タイプを選択した場合、オプションのWhereとイベント ソースが表示されます。ルールのWhereまたはイベント ソース句にリストを挿入します。
part_of_list_pane.pngWarehouse DB]ルール タイプを選択した場合、オプションのWhereが表示されます。ルールのWhere句にリストを挿入します。
You are here
Table of Contents > Reportsモジュールの参考資料 > ルールに関する参考情報 > [ルールのビルド]ビュー

Attachments

    Outcomes