Decoder：［相関ルール］タブ

Document created by RSA Information Design and Development on Apr 19, 2018•Last modified by RSA Information Design and Development on Apr 29, 2019

Version 2Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

［相関ルール］タブ（［管理］＞［サービス］＞サービスを選択しクリック＞［ビュー］＞［構成］＞［相関ルール］タブ）では、相関ルールを管理することができます。基本的な相関ルールは、セッションレベルで適用され、監視対象の環境で特定のアクティビティが発生した場合、ユーザにアラートを通知します。NetWitness Platformでは、構成可能なスライドタイムウィンドウに基づいて相関ルールが適用されます。

実行したいことは何ですか?

ユーザのロール	実行したいこと	ドキュメント
管理者	相関ルールの追加または編集	相関ルールの構成

簡単な説明

次の図に［相関ルール］タブを示します。

次の図は、相関ルールの［ルールエディタ］ダイアログを示しています。

次の表に、［相関ルール］タブの列の説明を示します。

列	説明
保留中	この列には、ルールに保留中の変更がないかどうかが示されます。Decoderでアクティブなルールには、インジケータが付きません。新しいルール、またはルールが変更された場合、列にはが付けられます。ルールが適用されると、保留中のインジケータは削除されます。
名前	ルールの名前です。
条件	条件が一致したときにアクションをトリガーする条件の定義です。条件では、すべての文字列リテラルとタイムスタンプを引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。詳細については、「Decoderのルールの構成」を参照してください。
インスタンスキー	イベントのベースとなるインジケータです。ip.srcのような単一のプライマリキーにするか、ip.src,ip.dstのような複合プライマリキーにできます。
閾値	これは、相関セッションをトリガーするのに必要な最小発生回数です。条件を満たすかどうかを判定するために関連キーをカウント対象に含めることができます。相関エンジンは、関連メタタイプとしてIPv4またはIPv6を使用することはできません。次の3つの引数のいずれかを使います。 u_count(associated_key) = 指定されたキーの固有の値の数キーの指定が必須です。 sum(associated_key) = 指定したキーの値の合計です。キーの指定が必須です。 count() = セッションの数です。関連キーは使用されません。含まれる場合は無視されます。
タイムウィンドウ	タイムウィンドウでは期間を指定し、この期間内に閾値の条件が満たされた場合に、相関セッションが作成されます。
ステータス	この列には、ルールの有効/無効が示されます。丸が緑色で塗りつぶされている場合、ルールは有効です。丸が塗りつぶされていない場合、ルールは無効です。

［ルールエディタ］ダイアログには、ネットワークルールを定義するために必要なフィールドやオプションがあります。［ルールエディタ］ダイアログでは、以下のオプションが提供されています。

アクション	説明
リセット	ダイアログのコンテンツを編集前の値にリセットします。変更は廃棄されます。
キャンセル	すべての編集をキャンセルして、［ルールエディタ］ダイアログを閉じます。
OK	新しいルールまたは編集されたルールを保存し、ルールグリッドに追加します。［ルールエディタ］ダイアログが閉じます。
保存	（廃止された構文を使用するルールのみ）修正したルールをDecoderサービスに個別に適用します。「無効な構文を含むルールの修正」を参照してください。

Previous Topic:［サービス］の［構成］ビュー：［アプリケーションルール］タブ

Next Topic:［サービス］の［構成］ビュー：［ネットワークルール］タブ

You are here

Table of Contents > DecoderおよびLog Decoderの参考情報 > ［サービス］の［構成］ビュー：［相関ルール］タブ

Decoder：［相関ルール］タブ

実行したいことは何ですか?

関連トピック

簡単な説明

Attachments

Outcomes

Related Content

Recommended Content

Incoming Links