アラート:ステップ3. ルール ステートメントへの条件の追加

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、特定のタイム フレームを指定するなど、ルール ステートメントに条件を追加する方法について説明します。ステートメントを作成するときには、ルールで何を検出するかを指定します。その状況が何回またはいつ発生したかなど、より詳細な規定を設定するために条件を追加します。

次の図はルール ビルダの条件にステートメントが追加されている例を示しています。ステートメントと条件の組み合わせにより、ルールの基準が構成されます。

ルール ビルダの条件の例

このルールではログオンの試行が5回失敗し、その後に1回成功していることを検出しています。これは何者かがユーザ アカウントをハッキングしようとしている兆候である可能性があります。ルールの基準は次のとおりです。

  1. ログオンの失敗が5回。
  2. それらの失敗の後にログオンが1回成功。
  3. パスワードが変更されていない。
  4. すべてのイベントが5分以内に発生する必要がある。
  5. ステップAとBは同じ宛先ユーザアカウントで実行する必要があるため、ユーザ(user_dst)によりアラートをグループ化する。また、同じマシンからログインしたユーザが1つのアカウントに複数回ログインしていないかを確認するためにマシン(device_class)でグループ化する。
  6. 厳格にパターンが一致する必要がある。つまり、パターンの途中でイベントが発生することなく完全に一致する必要があります。  

手順

ルール ステートメントに条件を追加するには、次の手順を実行します。

  1. 条件]セクションでステートメントを選択し、編集アイコンをクリックします。
  2. 発生]フィールドをクリックし、ルールの基準を満たすために必要な発生回数の値を指定します。
  3. ステートメントが複数になる場合は、[コネクタ]フィールドをクリックし、ステートメントを別のステートメントと組み合わせるための論理演算子を次から選択します。

    • followed by
    • not followed by
    • AND
    • OR
  4. 相関タイプ]は[followed by]と[not followed by]にのみ適用されます。[同一]の相関タイプを選択した場合は、関連づけるメタを1つ選択します。[結合]の相関タイプを選択した場合は、関連づけるメタを2つ選択します。2つの異なるデータ ソースからメタを関連づける場合は、[結合]を使用します。たとえば、AVアラートとIDSアラートを関連づける場合があります。異なるソースの2つのメタが結合されているユースケースについては、以下の例を参照してください。

  5. 指定したタイム フレーム内にイベントが発生する必要がある場合は、[期間]フィールドに分数を入力します。
  6. パターンが厳格な一致または非厳格な一致のどちらに従う必要があるか選択します。厳密な一致の指定とは、パターンが指定したものと全く同じ順序で発生し、間に他のイベントは一切発生しないことを意味します。たとえば、5回のログイン失敗(F)の後にログインが1回成功(S)することをシーケンスで指定すると、このパターンはユーザが次のシーケンスを実行した場合にのみ一致します。F,F,F,F,F,S。非厳格な一致を指定した場合、シーケンス内に他のイベントが発生しても、指定されたイベントがすべて発生していればルールはトリガーされます。たとえば、5回のログイン失敗(F)が発生する途中で、任意の回数のログイン成功(S)が発生し、その後で1回ログインが成功する場合、F,S,F,S,F,S,F,S,F,S。この場合、途中でログインが成功しても、ルールはトリガーされます。  
  7. ドロップダウン リストからグループ化するフィールドを選択します。[Group by]フィールドにより、受信イベントをグループ化して評価できます。たとえば、5回のログオン失敗の後に1回成功するパターンを検出するルールでは、同一ユーザである必要があるため、user_dstが[Group By]のメタ キーになります。複数のメタ キーでグループ化することもできます。前述の例では、ユーザとマシンでグループ化し、同じマシンからの同じユーザ アカウントによる複数回のログイン試行であることを確認します。 これを行うには、device_classとuser_dstでグループ化します。

次の図は、複雑なユースケースを実現できるように、複数のデバイス間で同一のエンティティを評価できるルールの条件の例を示しています。たとえば、同一のワークステーションに対してIDS(侵入検知システム)アラートの後にAV(ウイルス対策)アラートが続いた場合にトリガーするルールを作成できます。ワークステーションのキーが2つのソース(IDSとAV)で同一ではないため、異なるエンティティを評価するために[結合]を実行できます。

IDSアラートで、ワークステーションがIDSアラートのソースIPアドレスによって識別され、AVアラートの宛先IPアドレスと比較されます。

AV(ウイルス対策)IDS(侵入検知システム)ルール

ルールの基準は次のとおりです。

  1. IDSアラートが発生します。
  2. AVアラートの宛先IPアドレスとIDSアラートのワークステーションのソースIPアドレスが結合され、異なるソースにわたる同一のエンティティを表示できます。
  3. ウイルス対策アラートがIDSアラートの後に続きます。
You are here
Table of Contents > ルール ライブラリへのルールの追加 > ルール ビルダ ルールの追加 > ステップ3. ルール ステートメントへの条件の追加

Attachments

    Outcomes