Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

カスタムルールの作成

JSA には、過剰なファイアウォール拒否、複数回のログイン試行の失敗、潜在的なボットネットアクティビティなど、さまざまなアクティビティを検出するルールが含まれています。独自のルールを作成して、異常なアクティビティを検出することもできます。

新しいルールの作成を開始する前に、「 違反>カスタムルールの維持 」権限が必要です。

ルール・テストを定義するときは、可能な限り最小のデータに対してテストします。この方法でテストすると、ルール テストのパフォーマンスが向上し、コストのかかるルールが作成されないようにすることができます。パフォーマンスを最適化するには、ルール・テストによって評価されるデータを絞り込む広範なカテゴリーから始めます。例えば、特定のログ・ソース・タイプ、ネットワーク・ロケーション、フロー・ソース、またはコンテキスト (R2L、L2R、L2L) のルール・テストから開始します。中間レベルのテストには、IP アドレス、ポート トラフィック、またはその他の関連するテストが含まれる場合があります。ルールは、ペイロードと正規表現を最後にテストする必要があります。

同様のルールはカテゴリ別にグループ化されます。たとえば、監査、悪用、DDoS、偵察などです。グループから項目を削除すると、ルールまたは文書パーツはグループからのみ削除されます。[ ルール ] ページでは引き続き使用できます。グループを削除しても、そのグループのルールまたは構成要素は [ ルール ] ページで引き続き使用できます。

  1. [オフェンス]、[ログ アクティビティ]、または [ネットワーク アクティビティ] タブで、[ルール] をクリックします。
  2. [表示] リストから [ルール] を選択して、新しいルールを作成します。
  3. 「表示」リストから「ビルディング・ブロック」を選択し、ビルディング・ブロックを使用して新しいルールを作成します。
  4. アクション」リストから、ルール・タイプを選択します。

    各ルールの種類は、さまざまなソースからの受信データをリアルタイムでテストします。例えば、イベント・ルールは受信ログ・ソース・データをテストし、オフェンス・ルールはオフェンスのパラメーターをテストしてより多くのレスポンスをトリガーします。

  5. ルール・テスト・スタック・エディタ」ページの「ルール」ペインで、このルールに割り当てる固有名を「適用」テキスト・ボックスに入力します。
  6. リスト ボックスから、[ローカル] または [グローバル] を選択します。

    • 「ローカル」を選択すると、すべてのルールが受信されたイベント処理プログラム上で処理され、ローカルで処理されたイベントに対してのみ違反が作成されます。

    • [グローバル(Global)] を選択すると、一致するすべてのイベントが処理のために JSA コンソールに送信されるため、JSA コンソールはより多くの帯域幅と処理リソースを使用します。

    ローカルルールとグローバルルールの詳細については、こちらをご覧ください。

    グローバル・ルール・テスト

    グローバル・ルールを使用して、 複数のユーザー・ログインの失敗 など、そのユーザーからのイベントが複数のイベント・プロセッサーに表示される可能性があるものを検出します。例えば、同じユーザー名から 10 分間に 5 回のログイン失敗に対して ローカル ・ルールを構成した場合、これらの 5 回のログイン失敗はすべて同じイベント・プロセッサーに表示される必要があります。したがって、1 つのイベント・プロセッサーで 3 回のログイン失敗が発生し、別のイベント・プロセッサーで 2 回のログイン障害が発生した場合、攻撃は生成されません。ただし、このルールを Global に設定すると、オフェンスが生成されます。

  7. [テスト グループ] ボックスの一覧から、このルールに追加する 1 つ以上のテストを選択します。CRE は、ルール テストを行ごとに順番に評価します。最初のテストが評価され、true の場合は、最終テストに到達するまで次の行が評価されます。

    検出されないイベントに対するルールの使用の詳細については、以下を参照してください。

    以下のルール・テストは個別にトリガーできますが、同じルール・テスト・スタック内の後続のルール・テストは実行されません。

    • この秒間、これらのログ・ソース・タイプの 1 つ以上によってイベントが検出されなかった場合

    • この秒間、これらのログ ソースの 1 つ以上でイベントが検出されなかった場合

    • この秒間、これらのログ・ソース・グループの 1 つ以上によってイベントが検出されなかった場合

    これらのルール テストは、受信イベントによってアクティブ化されるのではなく、構成した特定の時間間隔で特定のイベントが検出されない場合にアクティブ化されます。JSA は、イベントが最後に表示された時刻 (最後に表示された時刻) を定期的に照会する監視タスクを使用し、この時刻をログ・ソースごとにイベント用に保管します。このルールは、この最後に表示された時刻と現在の時刻の差が、ルールで構成されている秒数を超えた場合にトリガーされます。

  8. 設定したルールをビルディングブロックとしてエクスポートして他のルールで使用するには、[ビルディングブロックとしてエクスポート] をクリックします。
  9. [ ルールの応答] ページで、このルールで生成する応答を構成します。

    ルール応答ページのパラメーターの詳細については、以下を参照してください。

    表 1: イベント 、フローと共通ルール、およびオフェンス ルールの応答ページのパラメーター

    パラメーター

    説明

    重大 度

    このチェックボックスをオンにすると、イベントに重大度レベル (0 が最低、10 が最高) が割り当てられます。重大度は、イベントの詳細の [ 注釈 ] ペインに表示されます。

    信頼性

    このチェックボックスを選択すると、ログ・ソースに信頼性が割り当てられます。例えば、ログ・ソースにノイズが多いか、またはコストが高いか。範囲は 0 (最低) から 10 (最高) で、デフォルトは 10 です。信頼性は、イベントの詳細の [ 注釈 ] ペインに表示されます。

    関連

    このチェックボックスをオンにすると、資産の重量に関連性が割り当てられます。たとえば、アセットをどの程度気にしますか?範囲は 0 (最低) から 10 (最高) で、デフォルトは 10 です。関連性は、イベントの詳細の [ 注釈 ] ウィンドウに表示されます。
    以降のルール相関イベントをバイパスする

    このチェックボックスをオンにすると、イベントまたはフローに一致し、ルールエンジン内の他のすべてのルールをバイパスして、オフェンスが作成されないようにすることができます。イベントは、検索とレポートのためにストレージに書き込まれます。
    新規イベントの派遣

    このチェックボックスを選択すると、元のイベントまたはフローに加えて新しいイベントが送出され、システム内の他のすべてのイベントと同様に処理されます。

    元のイベントを含む新しいイベントを送出し、システム内の他のすべてのイベントと同様に処理されます。

    「新規イベントのディスパッチ」パラメータは、このチェックボックスを選択すると表示されます。デフォルトでは、チェックボックスはオフです。
    電子メール

    このチェックボックスを選択して、[管理]タブの[システム設定]から[電子メールロケール]設定を変更します。
    ローカルsyslogに送信 このチェックボックスをオンにすると、イベントまたはフローがローカルに記録されます。デフォルトでは、このチェックボックスはオフです。
    メモ:

    正規化されたイベントのみをアプライアンスにローカルに記録できます。生のイベント データを送信する場合は、[転送先に送信する(Send to Forwarding Destinations)] オプションを使用して、リモート syslog ホストにデータを送信する必要があります。

    転送先への送信

    このチェックボックスをオンにすると、転送先のイベントまたはフローが記録されます。

    転送先とは、SIEM、チケット発行システム、アラートシステムなどのベンダーシステムです。このチェックボックスを選択すると、転送先の一覧が表示されます。

    転送先を追加、編集、または削除するには、[ 転送先を管理] リンクをクリックします。

    通知

    このチェックボックスをオンにすると、このルールの結果として生成されたイベントが [ダッシュボード] タブの [システム通知] 項目に表示されます。

    通知を有効にする場合は、[ 応答制限] パラメーターを構成します。

    リファレンスセットに追加

    このルールの結果として生成されるイベントをリファレンス・セットに追加するには、このチェック・ボックスを選択します。データをリファレンス・セットに追加するには、管理者である必要があります。

    リファレンス・セットにデータを追加するには、以下のステップに従います。

    1. 最初のリストから、追加するイベントまたはフローのプロパティを選択します。

    2. 2 番目のリストから、指定したデータを追加するリファレンス・セットを選択します。

    参照データに追加

    このルール応答を使用するには、参照データ コレクションを作成する必要があります。

    リファレンス・セットから削除

    このチェックボックスを選択すると、リファレンスセットからデータが削除されます。

    リファレンス・セットからデータを除去するには、以下のようにします。

    1. 最初のリスト ボックスから、削除するイベントまたはフローのプロパティを選択します。オプションには、正規化されたデータまたはカスタム データがすべて含まれます。

    2. 2 番目のリスト・ボックスから、指定したデータを除去するリファレンス・セットを選択します。

    「リファレンス・セットから除去」ルールの応答は、以下の機能を提供します。

    [更新]: [ 最新の情報に更新] をクリックして最初のリスト ボックスを更新し、リストが最新であることを確認します。

    参照データから削除

    このルール応答を使用するには、参照データ コレクションが必要です。

    カスタムアクションの実行

    このチェックボックスをオンにすると、ネットワークイベントに応答して特定のアクションを実行するスクリプトを作成できます。たとえば、ログイン失敗が繰り返された場合に、ネットワークから特定の送信元 IP アドレスをブロックするファイアウォールルールを作成するスクリプトを作成できます。

    カスタムアクションを追加および構成するには、「管理」タブの「アクションの定義」アイコンを使用します。

    応答リミッター

    このルールが応答する頻度を設定するには、このチェックボックスをオンにします。

    SNMP 通知は、次の例のようになります。

    "Wed Sep 28 12:20:57 GMT 2005, Custom Rule Engine Notification - Rule ’SNMPTRAPTst’ Fired. 172.16.20.98:0 -> 172.16.60.75:0 1, Event Name: ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited, QID: 1000156, Category: 1014, Notes: Offense description"

    syslog の出力は、次の例のようになります。

    Sep 28 12:39:01 localhost.localdomain ECS: Rule ’Name of Rule’ Fired: 172.16.60.219:12642 -> 172.16.210.126:6666 6, Event Name: SCAN SYN FIN, QID: 1000398, Category: 1011, Notes: Event description

イベントがビルディングブロックに基づいてルールテストをトリガーすることを確認するには、E メール応答を作成します。

関連ドキュメント