アラート:ESAルール タイプ

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

このトピックでは、各ESAルール タイプとそれを使用するタイミング、各ロールに割り当てられた権限について説明します。次の表は、各ルール タイプとその説明、各ルール タイプを使用するタイミングを示しています。

                            
ルール タイプ説明使用するタイミング
ルール ビルダルール ビルダでは、使いやすいインタフェースでルール条件を定義します。 ルール ビルダは、最初のルールを作成する場合に使用します。ルール条件の多くはリストから選択します。
詳細EPLEPL(イベント処理言語)を使用すると、クエリを記述してルール条件を定義できます。ルール条件をEPL構文で定義するには、詳細EPLルールを使用します。
RSA Live ESARSA Liveには、ESAルールのカタログがあり、そこからルールをダウンロードして編集し、ネットワークで実行することができます。既製のルールを利用するには、RSA Live ESAルールをダウンロードします。構成可能なパラメータを変更して、要件を満たすようにカスタマイズします。

スターター パック ルール

NetWitness Suiteにはルール ビルダのサンプルのルールがいくつか付属しており、ルール ライブラリに表示されます。独自に作成する前に、ルールの操作に慣れるには、スターター パック ルールを使用します。これらのサンプル ルールは安全に編集して導入できます。

評価版ルール モード

どのタイプのルールに対しても、追加的な安全措置として評価版ルール設定を選択できます。評価版ルールは、管理者によって設定されたメモリ閾値を超過すると無効化されます。評価版ルール モードでルールを実行してメモリ使用状況を監視し、メモリ使用量が閾値の許容範囲を超えた場合にルールを自動的に無効化することができます。

Previous Topic:機微データ
You are here
Table of Contents > ESAルール タイプ

Attachments

    Outcomes