Decoder:[相関ルール]タブ

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

[相関ルール]タブ([管理]>[サービス]>サービスを選択しクリック[アクション]ドロップダウン メニュー>[ビュー]>[構成]>[相関ルール]タブ)では、相関ルールを管理することができます。基本的な相関ルールは、セッション レベルで適用され、監視対象の環境で特定のアクティビティが発生した場合、ユーザにアラートを通知します。NetWitness Suiteでは、構成可能なスライド タイム ウィンドウに基づいて相関ルールが適用されます。 

実行したいことは何ですか?

                  
ユーザのロール実行したいことドキュメント
管理者相関ルールの追加または編集相関ルールの構成

関連トピック

簡単な説明

次の図に[相関ルール]タブを示します。

次の図は、相関ルールの[ルール エディタ]ダイアログを示しています。

これは、[ルール エディタ]ダイアログです。

次の表に、[相関ルール]タブの列の説明を示します。

                                       
説明
保留中 この列には、ルールに保留中の変更がないかどうかが示されます。Decoderでアクティブなルールには、インジケータが付きません。新しいルール、またはルールが変更された場合、列には保留中アイコンが付けられます。ルールが適用されると、保留中のインジケータは削除されます。
名前 ルールの名前です。
条件 条件が一致したときにアクションをトリガーする条件の定義です。

条件では、すべての文字列リテラルとタイム スタンプを引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。詳細については、「Decoderのルールの構成」を参照してください。
インスタンス キー イベントのベースとなるインジケータです。ip.srcのような単一のプライマリ キーにするか、ip.src,ip.dstのような複合プライマリ キーにできます。
閾値 これは、相関セッションをトリガーするのに必要な最小発生回数です。条件を満たすかどうかを判定するために関連キーをカウント対象に含めることができます。相関エンジンは、関連メタ タイプとしてIPv4またはIPv6を使用することはできません。次の3つの引数のいずれかを使います。
  • u_count(associated_key) =指定したキーの一意の値のカウントです。キーの指定が必須です。
  • sum(associated_key) = 指定したキーの値の合計です。キーの指定が必須です。
  • count() = セッションの数です。関連キーは使用されません。含まれる場合は無視されます。
タイム ウィンドウ タイム ウィンドウでは期間を指定し、この期間内に閾値の条件が満たされた場合に、相関セッションが作成されます。
ステータス この列には、ルールの有効/無効が示されます。丸が緑色で塗りつぶされている場合、ルールは有効です。丸が塗りつぶされていない場合、ルールは無効です。

ルール エディタ]ダイアログには、ネットワーク ルールを定義するために必要なフィールドやオプションがあります。[ルール エディタ]ダイアログでは、以下のオプションが提供されています。

                           
アクション説明
リセット ダイアログのコンテンツを編集前の値にリセットします。変更は廃棄されます。
キャンセル すべての編集をキャンセルして、[ルール エディタ]ダイアログを閉じます。
OK 新しいルールまたは編集されたルールを保存し、ルール グリッドに追加します。[ルール エディタ]ダイアログが閉じます。
保存 (廃止された構文を使用するルールのみ)修正したルールをDecoderサービスに個別に適用します。「無効な構文を含むルールの修正」を参照してください。
You are here
Table of Contents > DecoderおよびLog Decoderの参考情報 > [サービス]の[構成]ビュー:[相関ルール]タブ

Attachments

    Outcomes