Decoder:アプリケーション ルールの構成

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

アプリケーション レイヤーレイヤー ルールは、セッション レベルで適用されます。サンプル アプリケーション ルールを次に示します。

SMB(Server Message Block)プロトコルによって実行されるパケットをトランケートするために、次のようなルールを作成します。

  • ルール名:Truncate SMB
  • 条件:service=139
  • ルール アクション:すべてトランケート

個別のメール アドレスに対するメール パケットをフィルタするために、次のようにルールを作成します。

アプリケーション ルールを追加または編集するには:

  1. [管理]>[サービス]に移動します。

  2. DecoderまたはLog Decoderのサービスを選択し、Actions menu cropped>[表示]>[構成]を選択します。

    選択したサービスの[システム]の[構成]ビューが表示されます。

  3. アプリケーション ルール]タブを選択します。

    This is an example of the App Rules tab.

  4. 次のいずれかを実行します。

    • 新しいルールを追加する場合は、The add iconをクリックします。
    • ルールを編集する場合は、ルール リストからルールを選択し、The edit iconをクリックします。 
  5. [ルール エディタ]ダイアログが開き、アプリケーション ルール パラメータが表示されます。

    Truncate Options

    1. ルール名]フィールドに、ルールの名前を入力します。たとえば、すべてのSMBをトランケートするルールでは、「Truncate SMB」と入力します。
    2. 条件]フィールドに、条件が一致したときにアクションをトリガーするルール条件を記述します。フィールドに直接入力することも、ウィンドウ アクションからメタを使用して条件を記述することもできます。ルール定義をビルドするとき、NetWitness Platformは構文エラーと警告を表示します。たとえば、すべてのSMBパケットをトランケートするには、「service=139」と入力します。

      すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。詳細については、「Decoderのルールの構成」を参照してください。

    3. このルールでルール評価を終了する必要がある場合は、[ルール処理の停止]チェックボックスをオンにします。
    4. セッション データ]セクションで、一致するパケットが検出されたときに適用するアクションとして次のいずれかを選択します。

      • 保持:ルールに一致したとき、パケット ペイロードおよび関連するメタが保存されます。
      • フィルタ:ルールに一致したとき、パケットは保存されません。
      • トランケート:パケットがルールに一致したときに実行するトランケート オプションを選択します。この例では[すべて]オプションを使用しています。
      • すべてトランケート:パケットのヘッダーおよび関連するメタデータを保存しますが、パケット ペイロードは保存しません。
      • 最初の<n>バイトの後をトランケートします:指定された最初の<n>バイトの後の、パケットのヘッダーおよび関連するメタデータを保存しますが、パケット ペイロードは保存しません。<n>はバイト数です。
      • SSL/TLSのハンドシェイクの後をトランケートします:SSLの交換が保持されるSSL/TLSセッションの場合を除くすべてのセッションのペイロードをトランケートしますが、残りのペイロードは保存されません。このオプションは、SSL Parserで使用するためのものです。
    5. セッションのオプション]セクションで、次のいずれかの操作を行います。

      • セッションのメタデータがルールに一致したときにカスタム アラートを生成する場合は、[アラート]フラグを有効にして、[設定先]ドロップダウン リストからアラート メタの名前を選択します。
      • ログがルールに一致したときにSyslogに転送する場合は、[転送]フラグを有効にします。以下の項目について確認します。

        • syslog転送を実行するために、[アラート]と[転送]の両方のフラグを有効化している。
        • [ルール エディタ]ダイアログで指定したルールの名前が、[Log Decoder]>[表示]>[エクスプローラ]>[/decoder/config/logs.forwarding.destination]パラメータで指定したsyslog転送の宛先名と一致している。
      • 作成されたアラート メタデータがディスクに書き込まれないようにする場合は、[一時的]フラグを有効にします。
  6. ルールを保存しグリッドに追加するには、[OK]をクリックします。

    ルールは、グリッドの最後に追加されるか、コンテキスト メニューで指定した場所に挿入されます。[ペンディング]列にプラス記号が表示されるか、グリッド内でルールの各セルに赤い三角印のフラグが付けられています。

  7. ルールがグリッド内の他のルールと正しい実行順序であることを確認します。必要に応じて、ルールを移動します。
  8. 更新されたルール セットをDecoderまたはLog Decoderに適用するには、[適用]をクリックします。

NetWitness Platformは、現在適用されているルールのスナップショットを保存してから、更新されたセットをDecoderに適用し、保留中のルールから保留インジケータを解除します。

アプリケーション ルールの監視

DecoderとLog Decoderは、各アプリケーション ルールがセッションに何回一致したかを追跡します。これらの統計情報は、DecoderまたはLog Decoder Exploreビューに接続して/decoder/config/rules/applicationフォルダのプロパティを表示することによって表示できます。その後、そのフォルダにコマンド「statdump」を送信します。このメッセージの出力は、各アプリケーション ルールがヒットした回数のリストです。リストは、/decoder/config/rules/applicationフォルダ内のルール定義の内容と同じ順序で並べられます。たとえば、次の3つのアプリケーション ルールを持つシステムがあるとします。

0001: hits=6543 loaded=true
0002: hits=9294 loaded=true
0003: hits=43 loaded=true

アプリケーション ルールのヒット カウンターは、Parserがリロードされるたびにリセットされます。

You are here
Table of Contents > Decoderのルールの構成 > アプリケーション ルールの構成

Attachments

    Outcomes