カスタムルールを作成する
ログが任意のログソースから届かなくなったときに攻撃を生成するか通知を送るカスタムルールを作成できます。
ログが任意のログソースから届かなくなったときに攻撃を生成するか通知を送るカスタムルールを作成できます。
- ルールセクションに移動:
- 移動先 オフェンス > ルール.
- をクリック アクション > 新しいイベントルール.
次にあなたは ルールウィザード ウィンドウ。
このステップでは、デフォルトパラメータを使用します。
2. ルール条件を定義する:
ステップ:
ステップ:
- ルールエディタで、 テストグループ をクリックし、ドロップダウンリストから ログソーステスト
- を検索し、パラメータ『イベントが検出されなかったときに』.
- 『これらのログソースのうち』を設定し および『この多く』」(例:10分(秒単位で設定))。
例えば、スクリーンショットでは、ルール名を test_wather とし、「イベントが1つ以上のSRV-WIN-XXXによって6000秒間検出されなかった場合」を選択して グループ “システム』 を追加し メモ「ログソース監視“:
3. ルールにレスポンスを追加する:
- 下にある レスポンス タブで、イベントがこのルールをトリガーしたときに行うレスポンスを選びます。
- をクリック 宛先を管理
- 開いたウィンドウでクリック 追加: 新しい宛先を追加するために。
- 開いているウィンドウで 転送先の特性:宛先を設定 し、クリック 保存。例えば、スクリーンショットでは、tcpプロトコルを使用してサーバーに宛先を設定しました。
その後、作成した 宛先を確認できます。 それを選択し、クリック 完了
今、 オフェンスに、 作成したルールを確認できます。例えば、スクリーンショットでは、ルールtest_watherを作成しました。
今、ログソースが停止した場合、それに関するメッセージが表示されます。例えば、スクリーンショットでは、ルールがサーバーにtcpプロトコルでメッセージを送信します。
