カスタムルール

カスタムルールとは

デフォルトルールをカスタマイズして、ネットワーク内の異常なアクティビティを検出します。

ルールの種類

イベント、フロー、共通、オフェンスの各ルールタイプは、さまざまなソースからの受信データに対してリアルタイムでテストします。ルール・テストには複数のタイプがあります。データセットから単純なプロパティをチェックするものもあります。他のルールテストはもっと複雑です。一定期間にわたって複数のイベント、フロー、およびオフェンスシーケンスを追跡し、ルール応答がトリガーされる前に1つ以上のパラメーターにある「カウンター」を使用します。

• イベント・ルール -- JSA イベント・プロセッサーによってリアルタイムで処理される受信ログ・ソース・データに対してテストします。1 つのイベントまたはイベント シーケンスを検出するイベント ルールを作成します。たとえば、失敗したログイン試行、複数のホストへのアクセス、または攻撃に続く偵察イベントを監視するには、イベント ルールを作成します。イベントルールでは、応答としてオフェンスを作成するのが一般的です。

• フロー ルール -- JSA フロー プロセッサによって処理される受信フロー データに対してテストします。単一のフローまたはフロー シーケンスを検出するフロー ルールを作成できます。フロールールは、応答としてオフェンスを作成するのが一般的です。

• 共通ルール -- イベントおよびフロー データに対してテストします。たとえば、特定の送信元 IP アドレスを持つイベントとフローを検出する共通のルールを作成できます。一般的なルールでは、対応として違反を作成するのが一般的です。

• オフェンス ルール -- オフェンスのパラメータをテストして、より多くのレスポンスをトリガーします。たとえば、特定の日時に違反が発生した場合、応答が生成されます。オフェンスルールは、オフェンスに変更が加えられた場合にのみオフェンスを処理します。たとえば、新しいイベントが追加されたときや、システムがオフェンスの再評価をスケジュールしたときなどです。オフェンスルールでは、応答として通知を電子メールで送信するのが一般的です。

ルールの管理

ルールの作成、編集、グループへのルールの割り当て、およびルールのグループの削除を行うことができます。ルールまたはビルディングブロックをグループに分類することで、ルールを効率的に表示および追跡できます。たとえば、コンプライアンスに関連するすべてのルールを表示できます。

ドメイン固有のルール

ルールにドメイン テストがある場合は、そのルールを制限して、指定したドメイン内で発生するイベントにのみ適用されるようにすることができます。に設定されているドメインとは異なるドメインタグを持つイベントの場合、ルールは応答をトリガーしません。

システム全体の条件をテストするルールを作成するには、ドメイン条件を [任意のドメイン] に設定します。

ルールの条件

ほとんどのルール・テストでは、参照データ・コレクション内のエレメントの存在や、イベントのプロパティに対する値のテストなど、1 つの条件を評価します。複雑な比較の場合は、WHERE 句の条件を使用して Ariel 照会言語 (AQL) 照会を作成することにより、イベント・ルールをテストできます。すべての WHERE 句関数を使用して、多数の個別のテストを実行する必要をなくすことができる複雑な条件を記述できます。例えば、AQL WHERE 文節を使用して、インバウンド SSL トラフィックまたは Web トラフィックがリファレンス・セットで追跡されているかどうかを確認します。

送信元 IP アドレス、イベントの重大度、レート分析など、イベント、フロー、またはオフェンスのプロパティに対してテストを実行できます。

関数を使用すると、ビルディングブロックやその他のルールを使用して、マルチイベント、 マルチフロー、 またはマルチオフェンス関数を作成できます。ルールを接続するには、OR や AND などのブール演算子をサポートする関数を使用します。たとえば、イベントルールを接続する場合、 イベントが次のルール関数のいずれか|すべてに一致する場合 に使用できます。