Decoder:ネットワーク ルールの構成

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

ネットワーク ルールはDecoderのパケット レベルで適用され、レイヤー2、レイヤー 3、およびレイヤー4のルール セットによって構成されます。Decoderにはパケット レベルで複数のルールを適用できます。ネットワーク ルールは、複数のネットワーク レイヤーに適用できます(たとえば、ネットワーク ルールで、特定のIPアドレスの特定のポートをフィルタする場合)。ネットワーク ルールはLog Decoderには適用されず、Packet Decoderにのみ適用されます。 

ネットワーク ルールは、[サービス]の[構成]ビュー>[ネットワーク ルール]タブで作成および管理できます。

ネットワーク ルールの条件でサポートされるメタ キー

次の表に、ネットワーク ルールの条件で使用するためにNetWitness Suiteでサポートされるメタ キーを示します。 

                                                                                     
メタ キー説明
eth.addr Ethernetのソースまたは宛先アドレス。一般的に、MACアドレスとして知られています。
eth.dst 宛先Ethernetアドレス。選択されている値と宛先アドレスが一致するパケットのみを選択する点を除き、これはEthernetアドレス フィールドと同じです。
eth.src ソース アドレスに焦点を当てる点を除き、宛先Ethernetアドレスと同じです。
eth.type Ethernetのフレーム タイプ。 
hdlc.type  HDLCフレームのフレーム タイプ。
ip.addr  標準形式のIPv4ソースまたは宛先アドレス。IPアドレスはサブネットについてCIDR表記で入力できます。
ip.dst 標準形式の宛先IPv4アドレス。IPアドレスはサブネットについてCIDR表記で入力できます。
ip.proto IPv4プロトコル フィールド。 
ip.src 標準形式のソースIPv4アドレス。IPアドレスはサブネットについてCIDR表記で入力できます。
ipv6.addr 16進形式のIPv6ソースまたは宛先アドレス。一般にIPv6
アドレスは4桁の16進数の8個のグループとして記述されるため、
全体で128ビットのアドレス長を表します。アドレス中に0000のブロックが複数
ある場合の表記をサポートします。CIDR表記はサポートしません。
ipv6.dst 16進形式の宛先IPv6アドレス。
ipv6.proto IPv6プロトコル フィールド。これはIPv6ヘッダーのNext Headerフィールドにマッピングされ、
IPv4プロトコル フィールドと同じ値を使用します。 
ipv6.src 16進形式のソースIPv6アドレス。
tcp.dstport 宛先TCPポート。 
tcp.port TCPのソースまたは宛先ポート。
tcp.srcport ソースTCPポート。
udp.dstport 宛先UDPポート。 
udp.port UDPのソースまたは宛先ポート。
udp.srcport ソースUDPポート。

サンプル ネットワーク ルールを次に示します。

SSLソース ポートからのすべてのトラフィックをトランケートするには、次のようにルールを作成します。

  • ルール名:Truncate SSL
  • 条件:tcp.srcport=443
  • ルール アクション:トランケート

サブネット トラフィックをフィルタするには、次のようにルールを作成します。

  • ルール名:Subnet Filter
  • 条件:ip.addr=192.168.2.0/24
  • ルール アクション:フィルタ

ネットワーク ルールを追加または編集するには

  1. [管理]>[サービス]に移動し、Decoderサービスを選択して、[アクション]ドロップダウン メニュー>[表示]>[構成]を選択します。
    選択したサービスの[構成]ビューが表示されます。

  2. ネットワーク ルール]タブを選択します。
    [ネットワーク ルール]タブが表示されます。
    これは、[ネットワーク ルール]タブの例です。
  3. ネットワーク ルール]タブで、次のいずれかを実行します。
  • 新しいルールを追加する場合は、[追加]アイコンをクリックします。
  • ルールを編集するには、ルール リストからルールを選択し、[編集]アイコンをクリックします。
    [ルール エディタ]ダイアログが表示されます。
    これは、[ルール エディタ]ダイアログの例です。
  1. ルール名]フィールドに、ルールの名前を指定します。たとえば、SSLソース ポートからのすべてのパケットをトランケートするルールでは、「SSL Truncate」と入力します。
  2. 条件]フィールドに、条件が一致したときにアクションをトリガーするルール条件を記述します。フィールドに直接入力することも、ウィンドウ アクションからメタを使用して条件を記述することもできます。ルール定義をビルドするとき、NetWitness Suiteは構文エラーと警告を表示します。たとえばソース ポートからのすべてのSSLをトランケートする場合には、tcp.srcport=443とします。
    すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。詳細については、「Decoderのルールの構成」を参照してください。NetWitness Suiteのネットワーク ルールの条件で使用できるメタ キーについては、「ネットワーク ルールの条件でサポートされるメタ キー」を参照してください。
  3. このルールでルール評価を終了する必要がある場合は、[ルール処理の停止]チェックボックスをオンにします。
  4. セッション データ]セクションで、一致するパケットが検出されたときに適用するアクションとして次のいずれかを選択します。
  • 保持:ルールに一致したとき、パケット ペイロードおよび関連するメタが保存されます。
  • フィルタ:ルールに一致したとき、パケットは保存されません。
  • トランケート:ルールに一致したとき、パケット ペイロードは保存されませんが、パケット ヘッダと関連するメタは保持されます。
  1. セッションのオプション]セクションで、次の4つのうち、適用するすべてのオプションを選択します。
  • アセンブル:アセンブラは、ルールに一致する場合にパケット チェーンをアセンブルします。
  • ネットワーク メタ: ルールに一致したとき、パケットはネットワーク メタデータを生成します。
  • アプリケーション メタ:ルールに一致したとき、パケットはアプリケーション メタデータを生成します。
  • アラート:メタデータがルールに一致したとき、パケットはカスタム アラートを生成します。
  1. ルールを保存しルール リストに追加するには、[OK]をクリックします。
    ルールは、リストの最後に追加されるか、コンテキスト メニューで指定した場所に挿入されます。
  2. ルールがリスト内の他のルールと正しい実行順序であることを確認します。必要に応じて、ルールを移動します。
  3. 更新されたルール セットをDecoderに適用するには、[適用]をクリックします。
    NetWitness Suiteは、現在適用されているルールのスナップショットを保存してから、更新されたセットをDecoderに適用し、保留中のルールから保留インジケータを解除します。
You are here
Table of Contents > Decoderのルールの構成 > ネットワーク ルールの構成

Attachments

    Outcomes