このトピックでは、ルール ビルダ タイプのルールを追加するための全体的な手順について説明します。
ESAの各ルールは、ネットワークで以下のような事象を検出し、それに関するアラートを生成するよう設計されています。
- 許可されていないユーザ アクティビティ(認可されていないソフトウェアのダウンロード試行など)
- 疑わしい挙動(監査の一括クリアなど)
- 悪意のある既知の脅威(ワームの伝播、パスワード解析ツールなど)
ESAでは、次の2つの方法でルールを設計できます。
- ルール ビルダは使いやすいインタフェースです。メタ キーとメタ値を指定し、リストから値を選択して条件を完成させます。
- 詳細EPLを使用すると、イベント処理言語でクエリを記述できます。EPL構文を理解している必要があります。
EPLを理解している場合は、いずれの方法でもルールを設計できます。EPLを理解していない場合は、ルール ビルダを使用する必要があります。これらのトピックでは、ルール ビルダについて説明します。
Previous Topic:RSA Live ESAルールのカスタマイズ
Next Topic:ステップ1. ルールの名前と説明を入力
You are here
Table of Contents > ルール ライブラリへのルールの追加 > ルール ビルダ ルールの追加