フィルタリングルールの定義

リリースバージョン: Xanadu

更新日 2024年08月01日

所要時間：3分

あらゆるタイプのデータまたはあらゆる種類の受信ソースレコードデータをフィルタリングするために、フィルタリングルールを作成します。データソースマネージャーを使用して、STIX データ、RSS フィードなどの複数のフィードを構成します。構成されたフィードからのデータをフィルタリングするには、特定のフィルタリングルールを定義する必要があります。

始める前に

フィルタリングルールを定義する場合、データの取り込みおよびデータのインポート中にレコードをフィルタリングするためにルールが適用されるソースデータのセットにのみ、そのルールが適用されます。

必要なロール：sn_sec_tisc.admin

このタスクについて

フィルタリングルールが作成され、以降のステップを処理するためにソースレコードに適用されます。ベースシステムは、取り込まれた観測事象、インジケーターデータ、またはエンティティ/オブジェクトをフィルタリングするための事前定義されたルールを使用して、ユーザーにサンプルフィルタリングルールを提供します。

手順

移動先ワークスペース > 脅威インテリジェンスセキュリティセンター > 管理.
ドリルダウン先ルールエンジン > 受信フィルタリングルール.
[新規] をクリックしてフィルタリングルールを定義します。
[新しい受信フィルタリングルールの作成 (Create New Inbound Filter Rules)] ページが表示されます。

フォームのフィールドに入力します。

表 : 1. フィルタリングルールの定義
フィールド	説明
名前	新しいフィルタリングルールの名前。
説明	フィルタリングルールの簡単な説明。
順序	フィルタリングルールの優先度。このフィールドは、2 つ以上のルールがトリガー条件を共有する場合にフィルタリングルールが実行される順序を示します。番号が最も小さいフィルタリングルールの優先度が最も高くなります。操作の順序を設定するには、値を入力します。たとえば、100、200、300 などです。ベースシステムのフィルタリングルールのデフォルト値は 100 です。
データソース	ルックアップリストからデータソースタイプを選択します。
テーブル	フィルターを適用するテーブルのタイプを選択します。たとえば、観測事象ソース、インジケーターソース、オブジェクトソースなどです。
フィルタータイプ (選択したテーブルが [観測事象ソース] の場合のみ)	フィルタータイプには、フィルターを適用できる対象に基づいて 2 つのオプションがあります。条件に基づいてフィルター (Filter based on Condition) リストに基づいてフィルター
フィルタータイプ (条件に基づいてフィルター )	条件ビルダーのフィルター条件。この条件はソーステーブルに基づいて決まります。たとえば、インジケーターソースとオブジェクトソースのフィルタータイプは、[条件に基づいてフィルター] のみです。条件を追加するには、[AND] または [OR] をクリックします。[AND] を選択した場合は、すべての条件に一致する必要があります。[OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。2 つ目のフィルター条件を設定するには、[新しい条件セット] をクリックします。
フィルタータイプ (リストに基づいてフィルター )	受信観測事象が選択したリスト内のエントリーと一致する場合、フィルタリングされます。注: これらのフィルタリングルールは、インポートインテリジェンスを使用したデータインポートには適用されません。使用可能なオプションは、[許可リスト]、[拒否リスト]、および [ウォッチリスト] です。

取り込まれたデータでフィルタリングルールを有効にすると、その結果は、フィルタリングされたさまざまなレコードとして次のタブに表示されます。

フィルター済みの観測事象レコード：観測事象レコードをフィルタリングして一覧表示します。
フィルター済みのインジケーターレコード：インジケーターレコードをフィルタリングして一覧表示します。
フィルター済みのオブジェクトレコード：オブジェクトレコードをフィルタリングして一覧表示します。

注:

ソースレコードに追加されたタグに基づいてフィルタリングルールを適用するには、フィルター条件ビルダーで [TISC タグ (TISC tags)] オプションを選択します。