このトピックでは、構成可能なルールをNetWitness Suite Liveコンテンツ管理システムからダウンロードする方法について説明します。ダウンロードしたルールは、ニーズに合わせてカスタマイズすることができます。
RSA Liveには、ルールのカタログがあります。ルールごとに構成可能なパラメータがあるため、ルールはご使用の環境に合わせてカスタマイズできます。例えば、自社のネットワークで検出したいイベントを検出するためのルールがRSA Liveで提供されている場合は、そのルールをダウンロードして時間を節約できます。構成可能なパラメータを編集して、ルールをルール ライブラリに保存できます。
次の表は、RSA Liveで公開されるRSA Live ESAルールとルールの説明のサンプルです。
As the name shows, the rule looks for logins across multiple servers. ルールの説明には、ルールの条件についての詳細な記述と、変更できるパラメータが記載されています。
注:ルールの説明に構成可能なパラメータが記載されている場合、そのパラメータにはデフォルト値が設定されています。このサンプル ルールでは、説明に5分と記述されています。ただし、タイム ウィンドウは構成可能であるため、5分はデフォルトの分数です。
前提条件
構成可能なRSA Live ESAルールをダウンロードするための前提条件は次のとおりです。
- ルールを管理する権限が必要です。
- Liveアカウントを作成します。詳細については、「Liveサービス管理ガイド」を参照してください。
- NetWitness SuiteでLiveを設定します。詳細については、「Liveサービス管理ガイド」を参照してください。
手順
構成可能なRSA Live ESAルールをダウンロードするには、次の手順を実行します。
- 構成>[ESAルール]に移動します。
[ルール]タブが表示されます。 - [オプション]パネルで、[RSA Liveからルールを取得]をクリックします。
[Liveコンテンツの検索]ビューが表示されます。 - [検索条件]で、[リソース タイプ]に[RSA Event Stream Analysis Rule]を選択します。
- 目的のルールを探すため、検索条件として次のいずれかを指定します。
検索条件の詳しい説明については、「Liveサービス管理ガイド」の「Liveの[検索]ビュー」を参照してください。- キーワード
- タグ
- 必要なメタ キー
- 生成されるメタ値
- リソース作成日
- リソース更新日
- [検索]をクリックします。検索条件に一致するルールが[一致するリソース]に表示されます。
- ダウンロードするルールをそれぞれ選択して、[導入]をクリックします。
導入ウィザードが表示されます。 - ウィザードの手順に従います。詳細については、「Liveサービス管理ガイド」の「Liveでのリソースの導入」を参照してください。
ウィザードのステップが完了すると、選択したルールは、ルール ライブラリに表示されます。
Previous Topic:ルール ライブラリへのルールの追加
Next Topic:RSA Live ESAルールのカスタマイズ
You are here
Table of Contents > ルール ライブラリへのルールの追加 > 構成可能なRSA Live ESAルールのダウンロード