アラート:[ルール ビルダー]タブ

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

[ルール ビルダー]タブを使用して、ルール ビルダー ルールを定義することができます。

どうしますか?

                            
ロール 処理オプション...方法を確認する
コンテンツのエキスパート

ルール ビルダー ルールを定義します。

ルール ビルダ ルールの追加

コンテンツのエキスパート

ルールの基準を定義します。

ステップ2. ルール ステートメントのビルド

コンテンツのエキスパート

ルールに条件を追加します。

ステップ3. ルール ステートメントへの条件の追加

関連トピック

ルール ビルダー

[ルール ビルダー]タブを開くには、次の操作を行います。

  1. [構成]>[ESAルール]に移動します。

    デフォルトでは、[ルール]タブが開きます。

  2. ルール ライブラリ]ツールバーで、[リストの追加]アイコン>[ルール ビルダー]を選択します。

    [ルール ビルダー]タブが表示されます。

次の図に[ルール ビルダー]タブを示します。

[ルール ビルダー]タブ

次の表に、[ルール ビルダー]タブのパラメーターを示します。

                            
パラメーター説明
ルール名ESAルールの目的などを示した名前。
説明 ESAルールの検出対象のサマリー。
評価版ルールルールが効率的に実行されているかどうかを確認するための導入モード。
重大度 ルールによってトリガーされるアラートの脅威レベル。

[ルール ビルダー]には、次のコンポーネントが含まれます。

  • [条件]セクション
  • [通知]セクション
  • [エンリッチメント]セクション

[条件]セクション

[ルール ビルダー]タブの[条件]セクションで、ルールの検出対象を定義します。

次の図に、[条件]セクションを示します。

ルール ビルダーの[条件]セクション

 

次の表に、[条件]セクションのパラメーターを示します。

                                                         
パラメーター説明
[追加]アイコン ステートメントを追加します。
削除アイコン 選択したステートメントを削除します。
編集アイコン 選択したステートメントを編集します。
ステートメント条件の論理グループ。
発生アラートの条件に合致する頻度。ここでは、アラートをトリガーするのに最低限必要なイベント(ステートメントの条件に合致するイベント)の発生回数を指定します。一定期間内(分)に発生する必要があります。
コネクタステートメント間の関係を指定します。次のコネクタがあります。
  • followed by
  • not followed by
  • AND
  • OR
コネクタは、「AND」、「OR」、「followed by」、「not followed by」のいずれかを使用して2つのステートメントを結合します。「followed by」を使用すると、2つのイベントの順序を指定できます。ANDとORでは、条件を結合して1つの大きい条件を構成します。「followed by」では、順番に発生する別々の条件を作成します。
相関タイプ相関タイプ]は[followed by]と[not followed by]にのみ適用されます。[同一]の相関タイプを選択した場合は、関連づけるメタを1つ選択します。[結合]の相関タイプを選択した場合は、関連づけるメタを2つ選択します。2つの異なるデータ ソースからメタを関連づける場合は、[結合]を使用します。たとえば、AVアラートとIDSアラートを関連づける場合があります。
メタ[同一]か[結合]の相関タイプを選択する場合は(前述)、メタ条件を入力します。

メタ

[結合]の相関タイプを選択する場合は(前述)、2番目のメタ条件を入力します。たとえば、AVアラートの宛先IPアドレスとIDSアラートのワークステーションのソースIPアドレスが結合され、異なるソースにわたる同一のエンティティを表示できます。

期間条件が発生する必要のあるタイム ウィンドウ。 
イベント シーケンス

パターンの一致が厳格な一致または非厳格な一致のどちらかを選択します。厳格な一致とは、指定したパターンと完全に同じ順序でイベントが発生し、間に別のイベントが一切発生しないことを意味します。たとえば、5回のログイン失敗(F)の後にログインが1回成功(S)するシーケンスを指定すると、ユーザーが 「F,F,F,F,F,S」のシーケンスを実行した場合にのみ一致と見なされます。非厳格な一致の場合、シーケンス内に別のイベントが発生しても、指定されたイベントがすべて発生していればルールはトリガーされます。たとえば、5回のログイン失敗(F)が発生する途中で、任意の回数のログイン成功(S)が発生し、その後で1回ログインが成功する場合、「F,S,F,S,F,S,F,S,F,S」のようなパターンになります。この場合、途中でログインが成功しても、ルールはトリガーされます。 

Group By

ドロップダウン リストから結果をグループ化する際の基準となるメタ キーを選択します。たとえば、Joe、Jane、Johnという3人のユーザーがいて、Group Byにuser_dstメタを使用するとします(user_dstはユーザー宛先アカウントのメタ フィールドです)。その結果として、Joe、Jane、Johnでグループ化されたイベントが表示されます。

複数のキーでグループ化することもできます。たとえば、ユーザーとマシンでグループ化し、同じマシンからログインしている1人のユーザーが1つのアカウントに複数回ログインしていないか確認します。 これを行うには、device_classとuser_dstでグループ化します。

通知

[通知]セクションでは、ESAによってルールのアラートが生成されたときの通知方法を選択することができます。

アラート通知の詳細については、「通知方法をルールに追加」を参照してください。

次の図に、[通知]セクションを示します。
ルール ビルダーの[通知]セクション

                                            
パラメーター説明
[リストの追加]アイコン アラート通知のタイプを追加します。
削除アイコン 選択したアラート通知を削除します。
出力アラート通知タイプ。次のタイプがあります。
  • Eメール
  • SNMP
  • Syslog
  • スクリプト
通知Eメール配布リストなど、事前に構成された出力の名前。
通知サーバ出力を送信するサーバの名前。
テンプレートアラート通知のテンプレートの名前。
出力抑制の間隔    アラートの頻度を指定するオプション。
アラート頻度を分単位で指定します。

エンリッチメント

[エンリッチメント]セクションでは、データ エンリッチメント ソースをルールに追加できます。

エンリッチメントの詳細については、「ルールへのエンリッチメントの追加」を参照してください。

次の図は、[エンリッチメント]セクションを示しています。

[エンリッチメント]セクション

                                 
パラメーター説明
[リストの追加]アイコン エンリッチメントを追加します。
削除アイコン 選択したエンリッチメントを削除します。
出力エンリッチメント ソースのタイプ。次のタイプがあります。
  • インメモリ テーブル
  • 外部データベース参照
  • Warehouse Analytics
  • GeoIP
エンリッチメント ソース事前に構成したエンリッチメント ソースの名前。たとえば、イン メモリ テーブルの場合はCSVファイル名など。
ESAイベント ストリーム メタ結合条件の一方のオペランドとして値を使用するESAメタ キー。
エンリッチメント ソース列名 結合条件のもう一方のオペランドとして値を使用するエンリッチメント ソースの列名。

CSVベースのイン メモリ テーブルを作成する時にキーを構成した場合は、この列に選択したキーが自動的に入力されます。ただし、このキーは必要に応じて変更できます。 

GeoIPエンリッチメント ソースでは、ipv4が自動的に選択されます。 
You are here
Table of Contents > ESAアラートに関する参考情報 > [ルール ビルダ]タブ

Attachments

    Outcomes