Decoder:ネットワーク ルールの構成

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

ネットワーク ルールはDecoderのパケット レベルで適用され、レイヤー2、レイヤー 3、およびレイヤー4のルール セットによって構成されます。Decoderにはパケット レベルで複数のルールを適用できます。ネットワーク ルールは、複数のネットワーク レイヤーに適用できます(たとえば、ネットワーク ルールで、特定のIPアドレスの特定のポートをフィルタする場合)。ネットワーク ルールはLog Decoderには適用されず、Network Decoderにのみ適用されます。 

ネットワーク ルールは、[サービス]の[構成]ビュー>[ネットワーク ルール]タブで作成および管理できます。

ネットワーク ルールの条件でサポートされるメタ キー

次の表に、ネットワーク ルールの条件で使用するためにNetWitness Platformでサポートされるメタ キーを示します。 

                                                                                     
メタ キー説明
eth.addr Ethernetのソースまたは宛先アドレス。一般的に、MACアドレスとして知られています。
eth.dst 宛先Ethernetアドレス。選択されている値と宛先アドレスが一致するパケットのみを選択する点を除き、これはEthernetアドレス フィールドと同じです。
eth.src ソース アドレスに焦点を当てる点を除き、宛先Ethernetアドレスと同じです。
eth.type Ethernetのフレーム タイプ。 
hdlc.type  HDLCフレームのフレーム タイプ。
ip.addr  標準形式のIPv4ソースまたは宛先アドレス。IPアドレスはサブネットについてCIDR表記で入力できます。
ip.dst 標準形式の宛先IPv4アドレス。IPアドレスはサブネットについてCIDR表記で入力できます。
ip.proto IPv4プロトコル フィールド。 
ip.src 標準形式のソースIPv4アドレス。IPアドレスはサブネットについてCIDR表記で入力できます。
ipv6.addr 16進形式のIPv6ソースまたは宛先アドレス。一般にIPv6
アドレスは4桁の16進数の8個のグループとして記述されるため、
全体で128ビットのアドレス長を表します。アドレス中に0000のブロックが複数
ある場合の表記をサポートします。CIDR表記はサポートしません。
ipv6.dst 16進形式の宛先IPv6アドレス。
ipv6.proto IPv6プロトコル フィールド。これはIPv6ヘッダーのNext Headerフィールドにマッピングされ、
IPv4プロトコル フィールドと同じ値を使用します。 
ipv6.src 16進形式のソースIPv6アドレス。
tcp.dstport 宛先TCPポート。 
tcp.port TCPのソースまたは宛先ポート。
tcp.srcport ソースTCPポート。
udp.dstport 宛先UDPポート。 
udp.port UDPのソースまたは宛先ポート。
udp.srcport ソースUDPポート。

サンプル ネットワーク ルールを次に示します。

SSLソース ポートからのすべてのトラフィックをトランケートするには、次のようにルールを作成します。

  • ルール名:Truncate SSL
  • 条件:tcp.srcport=443
  • ルール アクション:トランケート

サブネット トラフィックをフィルタするには、次のようにルールを作成します。

  • ルール名:Subnet Filter
  • 条件:ip.addr=192.168.2.0/24
  • ルール アクション:フィルタ

メタ エンティティは、複数のメタ キーを同時に操作する手段を提供し、アプリケーション ルールで使用できますが、使用可能なメタデータがかなり制限されているため、ネットワーク ルールではサポートされていません。メタ エンティティの詳細については、『コア データベース チューニング ガイド』を参照してください。

 

ネットワーク ルールを追加または編集するには

  1. [管理]>[サービス]に移動し、Decoderサービスを選択して、The actions drop-down menu>[表示]>[構成]を選択します。
    選択したサービスの[構成]ビューが表示されます。

  2. ネットワーク ルール]タブを選択します。
    [ネットワーク ルール]タブが表示されます。
    This is an example of the Network Rules tab.
  3. ネットワーク ルール]タブで、次のいずれかを実行します。
  • 新しいルールを追加する場合は、The add iconをクリックします。
  • ルールを編集するには、ルール リストからルールを選択し、The edit iconをクリックします。
    [ルール エディタ]ダイアログが表示されます。
    This is an example of the Rule Editor dialog.
  1. ルール名]フィールドに、ルールの名前を指定します。たとえば、SSLソース ポートからのすべてのパケットをトランケートするルールでは、「SSL Truncate」と入力します。
  2. 条件]フィールドに、条件が一致したときにアクションをトリガーするルール条件を記述します。フィールドに直接入力することも、ウィンドウ アクションからメタを使用して条件を記述することもできます。ルール定義をビルドするとき、NetWitness Platformは構文エラーと警告を表示します。たとえば、送信元ポートからすべてのSSLをトランケートするには、「tcp.srcport=443」と入力します。
    すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。詳細については、「Decoderのルールの構成」を参照してください。NetWitness Platformのネットワーク ルールの条件で使用できるメタ キーについては、「ネットワーク ルールの条件でサポートされるメタ キー」を参照してください。
  3. このルールでルール評価を終了する必要がある場合は、[ルール処理の停止]チェックボックスをオンにします。
  4. セッション データ]セクションで、一致するパケットが検出されたときに適用するアクションとして次のいずれかを選択します。
  • 保持:ルールに一致したとき、パケット ペイロードおよび関連するメタが保存されます。
  • フィルタ:ルールに一致したとき、パケットは保存されません。
  • トランケート:ルールに一致したとき、パケット ペイロードは保存されませんが、パケット ヘッダと関連するメタは保持されます。
  1. セッションのオプション]セクションで、次の4つのうち、適用するすべてのオプションを選択します。
  • アセンブル:アセンブラは、ルールに一致する場合にパケット チェーンをアセンブルします。
  • ネットワーク メタ: ルールに一致したとき、パケットはネットワーク メタデータを生成します。
  • アプリケーション メタ:ルールに一致したとき、パケットはアプリケーション メタデータを生成します。
  • アラート:メタデータがルールに一致したとき、パケットはカスタム アラートを生成します。
  1. ルールを保存しルール リストに追加するには、[OK]をクリックします。
    ルールは、リストの最後に追加されるか、コンテキスト メニューで指定した場所に挿入されます。
  2. ルールがリスト内の他のルールと正しい実行順序であることを確認します。必要に応じて、ルールを移動します。
  3. 更新されたルール セットをDecoderに適用するには、[適用]をクリックします。
    NetWitness Platformは、現在適用されているルールのスナップショットを保存してから、更新されたセットをDecoderに適用し、保留中のルールから保留インジケータを解除します。

 

You are here
Table of Contents > Decoderのルールの構成 > ネットワーク ルールの構成

Attachments

    Outcomes