このトピックでは、構成したエンリッチメント ソースをルールに追加する方法について説明します。ESAがアラートを生成する時、アラートにソースから取得した情報が追加されます。
エンリッチメントをルールに追加すると、さまざまなソースに検索を行い、その結果を送信アラートに追加して、より詳細なアラートを提供することができます。この手順には、Administratorロール、DPOロール、SOCManagerロールの権限が必要です。
手順
ルールにエンリッチメントを追加するには、次の手順を実行します。
- 構成>[ESAルール]に移動します。
- [ルール ライブラリ]ビューで、次のいずれかを実行します。
- ルールをダブル クリックします。
- ルールを選択し、[ルール ライブラリ]ツールバーで
をクリックします。
- [エンリッチメント]セクションで、
![[リストの追加]アイコン](https://community.rsa.com/servlet/JiveServlet/downloadImage/416659/ic-addList.PNG)
をクリックし、次のいずれかのエンリッチメント タイプを選択します。 - インメモリ テーブル
- 外部データベース参照
- Warehouse Analytics
- GeoIP
注: GeoIPソースを使用する場合、ipv4は自動的に設定され、編集できません。
- 追加したエンリッチメント タイプについて、次の項目を指定します。
- [出力]列には、構成したタイプが表示されます。
- [エンリッチメント ソース]ドロップダウン リストで、定義済みのエンリッチメント ソースを選択します。
- [ESAイベント ストリーム メタ]フィールドに、イベント ストリーム メタ キーを入力します。このメタ キーの値が、結合条件のオペランドの1つとして使用されます。
![[ルール エンリッチメント]セクション](https://community.rsa.com/servlet/JiveServlet/downloadImage/416660/RuleEnrSec_576x106.png)
- [エンリッチメント ソース列名]フィールドに、エンリッチメント ソースの列名を入力します。この列名の値が、結合条件のもう1つのオペランドとして使用されます。
- [デバッグ]を選択します。@Audit(stream)アノテーションがルールに追加されます。これは、esperルールをデバッグする際に役立ちます。
- [構文の表示]をクリックして、定義したESAルールが有効かどうかをテストします。
- [保存]をクリックします。
![[リストの追加]アイコン](https://community.rsa.com/servlet/JiveServlet/showImage/416659/ic-addList.PNG)
![[ルール エンリッチメント]セクション](https://community.rsa.com/servlet/JiveServlet/showImage/416660/RuleEnrSec_576x106.png)
パラメータとその説明の詳細については、「[ルール ビルダー]タブ」を参照してください。
Previous Topic:エンリッチメント ソースとしてのWarehouse Analyticsの構成
Next Topic:ESAで実行するルールの導入
You are here
Table of Contents > データ エンリッチメント ソースの追加 > ルールへのエンリッチメントの追加