アラート:新しい[詳細EPLルール]タブ

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

[詳細EPLルール]タブでは、EPL(イベント処理言語)クエリーを使用してルール条件を定義できます。

どうしますか?

                       
ロール 処理オプション...方法を確認する
コンテンツのエキスパート

詳細EPLルールを定義します。

詳細EPLルールの追加

コンテンツのエキスパート

詳細EPLルールの例を参照します。

詳細EPLルールのサンプル

関連トピック

詳細EPLルール

[詳細EPLルール]タブにアクセスするには、次の手順を実行します。

  1. [構成]>[ESAルール]に移動します。

    [構成]ビューが表示され、デフォルトで[ルール]タブが開きます。

  2. ルール ライブラリ]ツールバーで、[リストの追加]アイコン>[詳細EPL]を選択します。

    [詳細EPLルール]タブが表示されます。

次の図は[詳細EPLルール]タブの画面イメージです。

新しい[詳細EPLルール]タブ

次の表に、[詳細EPLルール]タブのパラメーターを示します。

                             
パラメーター説明
ルール名ESAルールの目的などを示した名前。
説明 ESAルールの検出対象のサマリー。
評価版ルールルールが効率的に実行されているかどうかを確認するための導入モード。
重大度 ルールによってトリガーされるアラートの脅威レベル。
クエリールールの条件を定義するEPLクエリー。

通知

[通知]セクションでは、ESAによってルールのアラートが生成されたときの通知方法を選択することができます。

アラート通知の詳細については、「通知方法をルールに追加」を参照してください。

次の図に、[通知]セクションを示します。

[通知]セクション

                                         
パラメーター説明
[追加]アイコン アラート通知のタイプを追加します。
削除アイコン 選択されたアラート通知タイプを削除します。
出力アラート通知タイプ。次のタイプがあります。
  • Eメール
  • SNMP
  • Syslog
  • スクリプト
通知Eメール配布リストなど、事前に構成された出力の名前。
通知サーバ出力を送信するサーバの名前。
テンプレートアラート通知のテンプレートの名前。
出力抑制の間隔アラートの頻度を指定するオプション。
アラート頻度を分単位で指定します。

エンリッチメント

[エンリッチメント]セクションでは、データ エンリッチメント ソースをルールに追加できます。

エンリッチメントの詳細については、「ルールへのエンリッチメントの追加」を参照してください。
次の図は、[エンリッチメント]セクションを示しています。
[エンリッチメント]セクション

                                   
パラメーター説明

[追加]アイコン

エンリッチメントを追加します。

削除アイコン

選択したエンリッチメントを削除します。

出力

エンリッチメント ソースのタイプ。次のタイプがあります。

  • インメモリ テーブル
  • 外部データベース参照
  • Warehouse Analytics
  • GeoIP

エンリッチメント ソース

事前に構成したエンリッチメント ソースの名前。たとえば、イン メモリ テーブルの場合はCSVファイル名など。

ESAイベント ストリーム メタ

結合条件の一方のオペランドとして値を使用するESAメタ キー。

エンリッチメント ソース列名

結合条件のもう一方のオペランドとして値を使用するエンリッチメント ソースの列名。
You are here
Table of Contents > ESAアラートに関する参考情報 > 新しい[詳細EPLルール]タブ

Attachments

    Outcomes