このトピックでは、構成したエンリッチメント ソースをルールに追加する方法について説明します。ESAがアラートを生成する時、アラートにソースから取得した情報が追加されます。
エンリッチメントをルールに追加すると、さまざまなソースに検索を行い、その結果を送信アラートに追加して、より詳細なアラートを提供することができます。この手順には、Administratorロール、DPOロール、SOCManagerロールの権限が必要です。
手順
ルールにエンリッチメントを追加するには、次の手順を実行します。
- 構成>[ESAルール]に移動します。
- [ルール ライブラリ]ビューで、次のいずれかを実行します。[ルール ビルダ]パネルが、新しい[NetWitness Suite]タブに表示されます。
- [エンリッチメント]セクションで、
をクリックし、次のいずれかのエンリッチメント タイプを選択します。
- インメモリ テーブル
- 外部データベース参照
- Warehouse Analytics
- GeoIP
注: GeoIPソースを使用する場合、ipv4は自動的に設定され、編集できません。
- 追加したエンリッチメント タイプについて、次の項目を指定します。
- [デバッグ]を選択します。@Audit(stream)アノテーションがルールに追加されます。これは、esperルールをデバッグする際に役立ちます。
- [構文の表示]をクリックして、定義したESAルールが有効かどうかをテストします。
- [保存]をクリックします。
パラメータとその説明の詳細については、「[ルール ビルダー]タブ」を参照してください。
Previous Topic:エンリッチメント ソースとしてのWarehouse Analyticsの構成
Next Topic:ESAで実行するルールの導入
You are here
Table of Contents > データ エンリッチメント ソースの追加 > ルールへのエンリッチメントの追加