アラート:[ステートメントのビルド]ダイアログ

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

[ステートメントのビルド]ダイアログを使用して、ルール ビルダーの新しいルールを作成する際に条件のステートメントを作成できます。

どうしますか?

                       
ロール 処理オプション...方法を確認する
コンテンツのエキスパート

ルール ステートメントを構成します。

詳細EPLルールの追加

コンテンツのエキスパート

ルールに条件を追加します。

ステップ3. ルール ステートメントへの条件の追加

関連トピック

[ステートメントのビルド]ダイアログ

[ステートメントのビルド]ダイアログにアクセスするには、次の手順を実行します。

  1. [構成]>[ESAルール]に移動します。

    [ESAルールの構成]ビューが表示され、[ルール]タブが開きます。

  2. ルール ライブラリ]ツールバーで、追加ドロップダウン>[ルール ビルダー]を選択します。

    [新しいルール]タブが表示されます。

  3. 条件]セクションで、[追加]アイコンをクリックします。

    [ステートメントのビルド]ダイアログが表示されます。

[ステートメントのビルド]ダイアログ

次の表に、[ステートメントのビルド]ダイアログのパラメーターの説明を示します。

                                                 
パラメーター説明
名前ステートメントの目的など、分かりやすい名前。
選択

ドロップダウン リストから、ルールの適合条件を選択します。2つの選択肢があります。

  • すべての条件を満たす場合
  • いずれかの条件を満たす場合
キー ESAがルールのステートメント内でチェックするキー。
演算子

メタ キーとキー値の関係。

  • 等しい
  • 等しくない
  • NULLでない
  • 次より大きい(>)
  • 次の値以上(>=)
  • 次より小さい(<)
  • 次の値以下(<=)
  • 次の値を含む
  • 次の値を含まない
  • 次の値で始まる
  • 次の値で終わる
ESAが検索するキーの値。
大文字と小文字を区別しない

このフィールドは、文字列および文字列配列で使用するために設計されています。[大文字と小文字を区別しない]フィールドを選択すると、クエリーはすべての文字列テキストを小文字の値として扱います。 これにより、Johnsonという名前のユーザーを検索するルールは、イベントに「johnson」、「JOHNSON」、または「JoHnSoN」が含まれている場合にトリガーされます。

 配列

[値]フィールドの内容が1つの値か複数の値かを示すための選択肢。

  • 複数の値を指定する場合はこのボックスをオンにします。
  • 1つの値を指定する場合はこのボックスをオフにします。
[追加]アイコン ステートメントを追加します。メタの条件、ホワイトリスト条件、またはブラックリスト条件を追加できます。 
削除アイコン 選択されたステートメントを削除します。
保存[ルール ビルダー]タブの[条件]セクションにステートメントを追加します。

次の表は、ルール ビルダーで使用できる演算子を示しています。

                                                                                                               
演算子値のタイプ使用方法意味
is単一の文字列値 メタ キーはフィールドと一致します。 user_dst is John Doe. user_dstは、文字列「John Doe」と一致します。
is文字列値の配列 メタ キーはフィールドの要素の1つと一致します。 user_dst is John, Doe, Smith.

user_dstは、文字列「John」、「Doe」、「Smith」のいずれかと一致します(スペースは削除されます)。

is not単一の文字列値 メタ キーはフィールドと一致しません。 size is not 200. sizeは数値200ではありません(sizeは数値です)。
is not文字列値の配列 メタ キーはフィールドの要素のいずれにも一致しません。 size is not 200, 300, 400. sizeは、200300400のいずれにも一致しません。
is not nullN/A(任意の値を探します) メタ キー値はnullではありません。 user_dst is not null. user_dstは値を含むメタです。 
is greater than(>)数量 メタ キーの数値がフィールドの数値を超えています。 payload is greater than 7000. payloadは7000より大きい数値です。
is greater than or equal to(>=)数量 メタ キーの数値がフィールドの数値以上です。 payload is greater than or equal to 7000. payloadは7000以上の数値です。
is less than(<)数量 メタ キーの数値がフィールドの数値未満です。 ip_dstport is less than 1024.
ip_dstportは数値1024未満の数値です。
is less than or equal to(<=)数量 メタ キーの数値がフィールドの数値以下です。 ip_dstport is less than or equal to 1024. ip_dstportは、数値1024以下の数値です。
contains文字列

フィールドは、メタ キーのサブ文字列です(この演算子は文字列値のメタ キーでのみ使用できます)。

ec_outcome contains failure. ec_outcomeはサブ文字列「failure」を含む文字列です。
not contains文字列

フィールドは、メタ キーのサブ文字列ではありません(この演算子は文字列値のメタ キーでのみ使用できます)。

ec_outcome not contains failure. ec_outcomeは、サブ文字列「failure」が含まれない文字列です。
begins with文字列

フィールドはメタ キーの始まりです(この演算子は文字列値のメタ キーでのみ使用できます)。

ip_dst begins with 127.0. ip_dstは、「127.0」で始まる文字列です。
ends with文字列

フィールドはメタ キーの終わりです(この演算子は文字列値のメタ キーでのみ使用できます)。

user_dst ends with son. user_dstは「son」で終わる文字列です。
注:太字の斜体は、メタ キーを表します。お客様の環境によって、これらのメタキーが存在しない場合があります。
You are here
Table of Contents > ESAアラートに関する参考情報 > [ステートメントのビルド]ダイアログ

Attachments

    Outcomes