Respondの構成:ステップ3. アラートの統合ルールの作成

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

さまざまな条件の統合ルールを作成して、インシデント作成プロセスを自動化できます。ルールの条件を満たしているアラートはグループにまとめられて、インシデントを形成します。この機能は、特定のアラートのセットを1つのインシデントにまとめる場合に便利です。アラートをグループ化する統合ルールを設定しておくと、インシデントの手動作成、インシデントへのアラート追加などの必要がなくなり、時間を節約できます。インシデントを自動的に作成するには、統合ルールを作成する必要があります。

統合ルールを作成する方法

  1. [構成]>[インシデント ルール]に移動します。

    統合ルール]タブが表示されます。

    Aggregation Rules Tab

    事前に定義された11個のルールが一覧表示されます。次のいずれかを実行できます。

    • 新しいルールの追加 
    • 既存のルールの編集
    • ルールのクローン作成
  2. 新しいルールを追加する場合は、Add iconを選択します。

    新しいルール]タブが表示されます。

    次の例は、リスク スコアに基づいてアラートがインシデントにグループ化されるルールを示しています。

    New Rules tab

  3. 保存]をクリックします。

    ルールが[統合ルール]タブが表示されます。ルールが有効化され、選択されている条件と一致するアラートを受け取ると、それに応じてインシデントの作成を開始します。

関連項目:

  • 統合ルールの条件として設定できるさまざまなパラメータの詳細については、「[新しいルール]タブ」を参照してください。
  • [統合ルール]タブのパラメータとフィールドの詳細については、「[統合ルール]タブ」を参照してください。
You are here
Table of Contents > NetWitness Respondの構成 > ステップ3. アラートの統合ルールの作成

Attachments

    Outcomes