Decoder:アプリケーション ルールの構成

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

アプリケーション レイヤーレイヤー ルールは、セッション レベルで適用されます。サンプル アプリケーション ルールを次に示します。

SMB(Server Message Block)プロトコルによって実行されるパケットをトランケートするために、次のようなルールを作成します。

  • ルール名:Truncate SMB
  • 条件:service=139
  • ルール アクション:トランケート

個別のメール アドレスに対するメール パケットをフィルタするために、次のようにルールを作成します。

アプリケーション ルールを追加または編集するには:

  1. [管理]>[サービス]に移動します。
  2. DecoderまたはLog Decoderのサービスを選択し、Actions menu cropped[表示]>[構成]を選択します。
    選択したサービスの[システム]の[構成]ビューが表示されます。
  3. アプリケーション ルール]タブを選択します。
    これは、[アプリケーション ルール]タブの例です。
  4. 以下のいずれかの操作を実行します。
    新しいルールを追加する場合は、[追加]アイコンをクリックします。
    ルールを編集する場合は、ルール リストからルールを選択し、[編集]アイコンをクリックします。 
  5. [ルール エディタ]ダイアログが開き、アプリケーション ルール パラメータが表示されます。
    これは、[ルール エディタ]ダイアログの例です。
    1. ルール名]フィールドに、ルールの名前を入力します。たとえば、すべてのSMBをトランケートするルールでは、「Truncate SMB」と入力します。
    2. 条件]フィールドに、条件が一致したときにアクションをトリガーするルール条件を記述します。フィールドに直接入力することも、ウィンドウ アクションからメタを使用して条件を記述することもできます。ルール定義をビルドするとき、NetWitness Suiteは構文エラーと警告を表示します。たとえば、すべてのSMBをトランケートするには、「service=139」と入力します。
      すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。詳細については、「Decoderのルールの構成」を参照してください。
    3. このルールでルール評価を終了する必要がある場合は、[ルール処理の停止]チェックボックスをオンにします。
    4. セッション データ]セクションで、一致するパケットが検出されたときに適用するアクションとして次のいずれかを選択します。
      保持:ルールに一致したとき、パケット ペイロードおよび関連するメタが保存されます。
      フィルタ:ルールに一致したとき、パケットは保存されません。
      トランケート:ルールに一致したとき、パケット ペイロードは保存されませんが、パケット ヘッダと関連するメタは保持されます。
    5. セッションのオプション]セクションで、次のいずれかの操作を行います。
      • セッションのメタデータがルールに一致したときにカスタム アラートを生成する場合は、[アラート]フラグを有効にして、[設定先]ドロップダウン リストからアラート メタの名前を選択します。
      • ログがルールに一致したときにSyslogに転送する場合は、[転送]フラグを有効にします。以下の項目を確認します。
        - syslog転送を実行するために、[アラート]と[転送]の両方のフラグを有効化している。
        -[ルール エディタ]ダイアログで指定したルールの名前が、[Log Decoder]>[表示]>[エクスプローラ]>[/decoder/config/logs.forwarding.destination]パラメータで指定したsyslog転送の宛先名と一致している。
      • 作成されたアラート メタデータがディスクに書き込まれないようにする場合は、[一時的]フラグを有効にします。
  6. ルールを保存しグリッドに追加するには、[OK]をクリックします。
    ルールは、グリッドの最後に追加されるか、コンテキスト メニューで指定した場所に挿入されます。[ペンディング]列にプラス記号が表示されるか、グリッド内でルールの各セルに赤い三角印のフラグが付けられています。
  7. ルールがグリッド内の他のルールと正しい実行順序であることを確認します。必要に応じて、ルールを移動します。
  8. 更新されたルール セットをDecoderまたはLog Decoderに適用するには、[適用]をクリックします。
    NetWitness Suiteは、現在適用されているルールのスナップショットを保存してから、更新されたセットをDecoderに適用し、保留中のルールから保留インジケータを解除します。
You are here
Table of Contents > Decoderのルールの構成 > アプリケーション ルールの構成

Attachments

    Outcomes