アラート：構成可能なRSA Live ESAルールのダウンロード

このトピックでは、構成可能なルールをNetWitness Suite Liveコンテンツ管理システムからダウンロードする方法について説明します。ダウンロードしたルールは、ニーズに合わせてカスタマイズすることができます。

RSA Liveには、ルールのカタログがあります。ルールごとに構成可能なパラメータがあるため、ルールはご使用の環境に合わせてカスタマイズできます。例えば、自社のネットワークで検出したいイベントを検出するためのルールがRSA Liveで提供されている場合は、そのルールをダウンロードして時間を節約できます。構成可能なパラメータを編集して、ルールをルール ライブラリに保存できます。 

次の表は、RSA Liveで公開されるRSA Live ESAルールとルールの説明のサンプルです。

As the name shows, the rule looks for logins across multiple servers. ルールの説明には、ルールの条件についての詳細な記述と、変更できるパラメータが記載されています。

注：ルールの説明に構成可能なパラメータが記載されている場合、そのパラメータにはデフォルト値が設定されています。このサンプル ルールでは、説明に5分と記述されています。ただし、タイム ウィンドウは構成可能であるため、5分はデフォルトの分数です。

前提条件

構成可能なRSA Live ESAルールをダウンロードするための前提条件は次のとおりです。

• ルールを管理する権限が必要です。
• Liveアカウントを作成します。詳細については、「Liveサービス管理ガイド」を参照してください。
• NetWitness SuiteでLiveを設定します。詳細については、「Liveサービス管理ガイド」を参照してください。

手順

構成可能なRSA Live ESAルールをダウンロードするには、次の手順を実行します。

1. 構成＞［ESAルール］に移動します。
   ［ルール］タブが表示されます。
2. ［オプション］パネルで、［RSA Liveからルールを取得］をクリックします。
   ［Liveコンテンツの検索］ビューが表示されます。
   
   
3. ［検索条件］で、［リソース タイプ］に［RSA Event Stream Analysis Rule］を選択します。
4. 目的のルールを探すため、検索条件として次のいずれかを指定します。
   検索条件の詳しい説明については、「Liveサービス管理ガイド」の「Liveの［検索］ビュー」を参照してください。
   1. キーワード
   2. タグ
   3. 必要なメタ キー
   4. 生成されるメタ値
   5. リソース作成日
   6. リソース更新日
5. ［検索］をクリックします。検索条件に一致するルールが［一致するリソース］に表示されます。
6. ダウンロードするルールをそれぞれ選択して、［導入］をクリックします。
   導入ウィザードが表示されます。
7. ウィザードの手順に従います。詳細については、「Liveサービス管理ガイド」の「Liveでのリソースの導入」を参照してください。

ウィザードのステップが完了すると、選択したルールは、ルール ライブラリに表示されます。