アラート:スターター パック ルールの練習

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suiteにはスターター パック ルールが付属しています。独自のルールを作成する前に、ルールがどのようなものかを理解するのに役立ちます。スターター パック ルールを使用して、ルール ビルダの操作に慣れ、またルールの編集や導入作業を練習してください。

スターター パック ルールはルール ライブラリにインストールされます。ルール ライブラリにはダウンロードまたは作成したすべてのルールが格納されます。次の図は、ルール ライブラリのサンプル ルールを示しています。

サンプル ルールを示すルール ライブラリ

使用可能なスターター パック ルールを次に示します。

  • SAMPLE: P2P Software as Detected by an Intrusion Detection Device 
  • SAMPLE: Non SMTP Traffic on TCP Port 25 Containing Executable
  • SAMPLE: Whitelist-From outside of Germany, P2P Software as Detected by an Intrusion Detection Device
  • SAMPLE: Blacklist - From inside countries that are not the US, Non-SMTP Traffic on TCP Port 25 Containing Executable
  • SAMPLE: User Added to Admin Group Same User su Sudo

それぞれの名前は「SAMPLE」から始まり、NetWitness Suiteと一緒にインストールされたものであり、ユーザがダウンロードまたは作成したものではないことを示しています。

ルール ライブラリ

ルール ライブラリには、ルールに関する次の情報が表示されます。

  • ルール名]:そのルールで収集するデータやイベントを要約したものです。
  • 説明]:ルールについて詳しく説明しますが、ルール ライブラリでは先頭の部分しか表示されません。
  • 評価版ルール]:このルールに対して評価版モードが有効か無効かを示します。
  • タイプ]:ルール ビルダまたは詳細EPLで作成、RSA Liveからのダウンロードなど、ルールの作成元を示します。

さまざまなタイプのルールを示すルール ライブラリ

手順

  1. 構成>[ESAルール]に移動します。
    [ESAルール]ビューが表示され、[ルール]タブが開きます。
  2. ルール ライブラリでサンプル ルールを選択して編集アイコンをクリックするか、ルールをダブル クリックします。
    ルール ビルダでルールが開かれます。
    サンプル ルールを示すルール ビルダ
  3. スターター パック ルールを使用して操作を練習する際、詳細な説明や手順については次のトピックを参照してください。

スターター パック ルールを使用した練習が終了すれば、独自のルールをダウンロード、作成、導入できるようになります。

Previous Topic:ロールの権限
You are here
Table of Contents > ESAルール タイプ > スターター パック ルールの練習

Attachments

    Outcomes