Decoder:[ネットワーク ルール]タブ

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

[ネットワーク ルール]タブ([管理]>[サービス]>Decoderを選択しアクション メニューをクリック>[ビュー]>[構成]>[ネットワーク ルール]タブ)では、ネットワーク ルールを管理することができます。NetWitness Suiteはパケット レベルでネットワーク ルールを適用します。ネットワーク ルールは、レイヤー2、レイヤー3、レイヤー4のルール セットで構成されます。複数のルールをDecoderに適用できます。ルールは、複数のレイヤーに適用できます(たとえば、ネットワーク ルールで、特定のIPアドレスの特定のポートをフィルタする場合)。ネットワーク ルールはPacket Decorderにのみ適用されます。

実行したいことは何ですか?

                  
ユーザのロール実行したいことドキュメント
管理者ネットワーク ルールの追加、編集、修正ネットワーク ルールの構成

関連トピック

簡単な説明

次の図に[ネットワーク ルール]タブを示します。

これは、[ネットワーク ルール]タブの例です。

次の図は、ネットワーク ルールの[ルール エディタ]ダイアログを示しています。

これは、[ルール エディタ]ダイアログです。

次の表は、[ネットワーク ルール]グリッドの各列を説明したものです。

                                   
説明
保留中 この列には、ルールに保留中の変更がないかどうかが示されます。Decoderでアクティブなルールには、インジケータが付きません。ルールが新規または変更されている場合は、列に保留中インジケータが含まれます。ルールが適用されると、保留中インジケータは削除されます。
名前 ルールを識別するためのルール名です。
条件 条件が一致したときにアクションをトリガーする条件の定義です。
パケット データ パケットがルールに一致した場合の[セッション データ]アクションが表示されます。表示される値は、[フィルタ]、[保持]、[トランケート]です。
アラート この列は、メタデータがルールに一致したとき、Decoderがカスタム アラートを生成するかどうかを示します。表示される値は、[有効]または[無効]です。
ステータス この列には、ルールの有効/無効が示されます。丸が緑色で塗りつぶされている場合、ルールは有効です。丸が塗りつぶされていない場合、ルールは無効です。

ルール エディタ]ダイアログには、ネットワーク ルールを定義するために必要なフィールドやオプションがあります。

次の表に、[ルール定義]フィールドを示します。

                   
フィールド説明
ルール名 ルールを識別する名前。
条件 一致したときにアクションをトリガーする条件の定義。フィールドに直接入力することも、Intellisenseのウィンドウ アクションからメタを使用して条件をビルドすることもできます。ルール定義をビルドするとき、Intellisenseは構文エラーと警告を表示します。

条件では、すべての文字列リテラルとタイム スタンプを引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。詳細については、「Decoderのルールの構成」を参照してください。このセクションでは、ネットワーク ルールの条件で使用するためにNetWitness Suiteでサポートされるメタ キーも示します。

以下の表に、セッション データ アクションを示します。

                           
アクション説明
ルール処理の停止 チェックボックスがオンの場合、ルールが一致するとその後のルール評価は終了し、セッションはアクションの設定に従って処理されます。チェックボックスがオフの場合、すべてのルールが評価されるまで、ルール評価は続行されます。
保持 ルールに一致したとき、パケット ペイロードおよび関連するメタが保存されます。
フィルタ ルールに一致したとき、パケットは保存されません。
トランケート ルールに一致したとき、パケット ペイロードは保存されませんが、パケット ヘッダと関連するメタは保持されます。

次の表は、セッション オプションについて説明しています。 

                           
アクション説明
アセンブル チェックボックスがオンの場合、ルールに一致すると、アセンブラはパケット チェーンをアセンブルします。
ネットワーク メタ ルールに一致したとき、パケットはネットワーク メタデータを生成します。
アプリケーション メタ ルールに一致したとき、パケットはアプリケーション メタデータを生成します。
アラート メタデータがルールに一致したとき、パケットはカスタム アラートを生成します。

以下の表に、[ルール エディタ]ダイアログのアクションを示します。 

                           
アクション説明
リセット ダイアログのコンテンツを編集前の値にリセットします。変更は廃棄されます。
キャンセル すべての編集をキャンセルして、[ルール エディタ]ダイアログを閉じます。
OK 新しいルールまたは編集されたルールを保存し、ルール グリッドに追加します。[ルール エディタ]ダイアログが閉じます。
保存 (廃止された構文を使用するルールのみ)修正したルールをDecoderサービスに個別に適用します。「無効な構文を含むルールの修正」を参照してください。
You are here
Table of Contents > DecoderおよびLog Decoderの参考情報 > [サービス]の[構成]ビュー:[ネットワーク ルール]タブ

Attachments

    Outcomes