重大 度 |
このチェックボックスをオンにすると、イベントに重大度レベル (0 が最低、10 が最高) が割り当てられます。重大度は、イベントの詳細の [ 注釈 ] ペインに表示されます。 |
信頼性 |
このチェックボックスを選択すると、ログ・ソースに信頼性が割り当てられます。例えば、ログ・ソースにノイズが多いか、またはコストが高いか。範囲は 0 (最低) から 10 (最高) で、デフォルトは 10 です。信頼性は、イベントの詳細の [ 注釈 ] ペインに表示されます。 |
関連 |
このチェックボックスをオンにすると、資産の重量に関連性が割り当てられます。たとえば、アセットをどの程度気にしますか?範囲は 0 (最低) から 10 (最高) で、デフォルトは 10 です。関連性は、イベントの詳細の [ 注釈 ] ウィンドウに表示されます。 |
以降のルール相関イベントをバイパスする |
このチェックボックスをオンにすると、イベントまたはフローに一致し、ルールエンジン内の他のすべてのルールをバイパスして、オフェンスが作成されないようにすることができます。イベントは、検索とレポートのためにストレージに書き込まれます。 |
新規イベントの派遣 |
このチェックボックスを選択すると、元のイベントまたはフローに加えて新しいイベントが送出され、システム内の他のすべてのイベントと同様に処理されます。 元のイベントを含む新しいイベントを送出し、システム内の他のすべてのイベントと同様に処理されます。 「新規イベントのディスパッチ」パラメータは、このチェックボックスを選択すると表示されます。デフォルトでは、チェックボックスはオフです。 |
電子メール |
このチェックボックスを選択して、[管理]タブの[システム設定]から[電子メールロケール]設定を変更します。 |
ローカルsyslogに送信 |
このチェックボックスをオンにすると、イベントまたはフローがローカルに記録されます。デフォルトでは、このチェックボックスはオフです。
メモ:
正規化されたイベントのみをアプライアンスにローカルに記録できます。生のイベント データを送信する場合は、[転送先に送信する(Send to Forwarding Destinations)] オプションを使用して、リモート syslog ホストにデータを送信する必要があります。
|
転送先への送信 |
このチェックボックスをオンにすると、転送先のイベントまたはフローが記録されます。 転送先とは、SIEM、チケット発行システム、アラートシステムなどのベンダーシステムです。このチェックボックスを選択すると、転送先の一覧が表示されます。 転送先を追加、編集、または削除するには、[ 転送先を管理] リンクをクリックします。 |
通知 |
このチェックボックスをオンにすると、このルールの結果として生成されたイベントが [ダッシュボード] タブの [システム通知] 項目に表示されます。 通知を有効にする場合は、[ 応答制限] パラメーターを構成します。 |
リファレンスセットに追加 |
このルールの結果として生成されるイベントをリファレンス・セットに追加するには、このチェック・ボックスを選択します。データをリファレンス・セットに追加するには、管理者である必要があります。 リファレンス・セットにデータを追加するには、以下のステップに従います。
-
最初のリストから、追加するイベントまたはフローのプロパティを選択します。
-
2 番目のリストから、指定したデータを追加するリファレンス・セットを選択します。
|
参照データに追加 |
このルール応答を使用するには、参照データ コレクションを作成する必要があります。 |
リファレンス・セットから削除 |
このチェックボックスを選択すると、リファレンスセットからデータが削除されます。 リファレンス・セットからデータを除去するには、以下のようにします。
-
最初のリスト ボックスから、削除するイベントまたはフローのプロパティを選択します。オプションには、正規化されたデータまたはカスタム データがすべて含まれます。
-
2 番目のリスト・ボックスから、指定したデータを除去するリファレンス・セットを選択します。
「リファレンス・セットから除去」ルールの応答は、以下の機能を提供します。 [更新]: [ 最新の情報に更新] をクリックして最初のリスト ボックスを更新し、リストが最新であることを確認します。 |
参照データから削除 |
このルール応答を使用するには、参照データ コレクションが必要です。 |
カスタムアクションの実行 |
このチェックボックスをオンにすると、ネットワークイベントに応答して特定のアクションを実行するスクリプトを作成できます。たとえば、ログイン失敗が繰り返された場合に、ネットワークから特定の送信元 IP アドレスをブロックするファイアウォールルールを作成するスクリプトを作成できます。 カスタムアクションを追加および構成するには、「管理」タブの「アクションの定義」アイコンを使用します。 |
応答リミッター |
このルールが応答する頻度を設定するには、このチェックボックスをオンにします。 |