Respondの構成:[新しいルール]タブ

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

[新しいルール]タブでは、インシデント作成プロセスを自動化するためのカスタム集計ルールを作成することができます。このトピックでは、新しいルールを作成するときに必要な情報について説明します。

どうしますか?

                       
ロール処理オプション...方法を確認する
アナリスト、コンテンツのエキスパート、SOCマネージャ統合ルールを作成する。ステップ3. アラートの統合ルールの作成
インシデント対応担当、アナリスト、コンテンツのエキスパート、SOCマネージャ統合ルールの結果を表示する(検出された脅威の表示)。「NetWitness Respondユーザー ガイド」の「インシデントへの対応」を参照してください。

関連トピック

新しいルール

[新しいルール]タブ ビューにアクセスするには:

  1. [構成]>[インシデントのルール]>[統合ルール]タブに移動します。

  2. [追加]アイコンをクリックします。

    新しいルール]タブが表示されます。

    [新しいルール]タブ

次の表は、カスタム集計ルールを作成するときに使用可能なオプションを示します。

                                                        
フィールド説明
有効ルールを有効にする場合に選択します。
名前ルールの名前。これは必須入力フィールドです。 
説明ルールの説明。
一致条件*

クエリー ビルダー - グループ化を行うためのさまざまなクエリーを使用して条件を構築する場合に選択します。条件のグループをネストすることもできます。

一致条件 - [すべてに合致]、[いずれかに合致]、[いずれにも合致しないく]から選択できます。選択した値に応じて、条件および条件グループで指定されている基準のタイプが照合され、アラートがグループ化されます。

たとえば、条件の一致を[すべて]に設定した場合、条件および条件グループで指定されている基準と一致するアラートが1つのインシデントにまとめられます。

  • [追加]アイコン条件の追加]をクリックして、一致条件を追加します。
  • [追加]アイコングループの追加]をクリックして条件のグループを追加し、[追加]アイコン条件の追加]をクリックして条件を追加します。

条件セットを基準に一致する複数の条件および条件のグループを含め、受信アラートをインシデントにグループ化できます。

詳細 - 高度なクエリー ビルダーを使用する場合に選択します。照合する必要のある条件を詳細に指定して追加できます。

例:重大度4を上回るアラートをグループ化するための条件ビルダーの形式を次のように入力できます:{"$and": [{"alert.severity" : {"$gt":4}}]}

高度な構文については、http://docs.mongodb.org/manual/reference/operator/query/またはhttp://docs.mongodb.org/manual/reference/method/db.collection.find/を参照してください

アクション

インシデントに統合 - 有効にすると、基準セットと一致するアラートが1つのインシデントにまとめられます。

アラートを抑制 - 有効にすると、基準と一致するアラートが抑制されます。

グループ化オプション*

グループ化:指定されたカテゴリにアラートをグループ化するための基準。アラートのグループ化には最大2つの属性を使用できます。1つまたは2つの属性を使用してアラートをグループ化することができます。値を持たない属性(空の属性)を使用してアラートをグループ化することはできなくなります。
属性を1つ使用してアラートをグループ化すると、その属性について同じ値を持つすべてのアラートが同じインシデントにまとめられます。

タイム ウィンドウ: アラートをグループ化するよう指定された時間範囲。
たとえば、タイム ウィンドウが1時間に設定されている場合は、[グループ化基準]フィールドで設定した基準に一致するアラートのうち、受信時刻が互いに1時間以上離れていないアラートがすべて1つのインシデントにまとめられます。

インシデント オプション

タイトル:(オプション)インシデントのタイトルです。グループ化した属性に基づいてプレースホルダーを指定することができます。プレースホルダーはオプションです。プレースホルダーを使用しない場合は、ルールによって作成されるすべてのインシデントに同じタイトルが付けられます。

たとえば、ソースに基づいてグループ化した場合は、結果として生成されるインシデントに「${groupByValue1}のアラート」という名前を付けることができます。この場合、NetWitness Endpointからのすべてのアラートのインシデントに「NetWitness Endpointのアラート」という名前が付けられます。

サマリー - (オプション)インシデントのサマリー。
カテゴリー - (オプション)作成されたインシデントのカテゴリー。インシデントの分類には、複数のカテゴリーを使用できます。
割り当て先 - (オプション)インシデントを割り当てられる担当者の名前。
優先度

すべてのアラートの平均リスク スコア - すべてのアラートのリスク スコアの平均に基づいて、作成されるインシデントの優先度を設定します。

すべてのアラートで最高のリスク スコア - すべてのアラートのうちの最高のリスク スコアに基づいて、作成されるインシデントの優先度を設定します。

タイム ウィンドウのアラートの数 - 選択されたタイム ウィンドウに含まれるアラートの数に基づいて、作成されるインシデントの優先度を設定します。

重大、高、中、低 - 一致するインシデントのインシデントの優先度の閾値を指定します。デフォルトは以下のとおりです。

  • 重大:90
  • High:50
  • 中:20
  • 低:1

たとえば、重大の優先度が90に設定されていると、リスク スコアが90以上のインシデントはこのルールの[重大]優先度に割り当てられます。

これらのデフォルト値を変更するには、手動で優先度を変更するか、[スライダーを動かしてスケールを調整]の下にあるスライダーを動かします。

You are here
Table of Contents > NetWitness Respondの構成の参考資料 > [新しいルール]タブ

Attachments

    Outcomes