ja:documentation:pandorafms:cybersecurity:21_siem

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

両方とも前のリビジョン 前のリビジョン
ja:documentation:pandorafms:cybersecurity:21_siem [2025/11/28 23:11] – [管理] junichija:documentation:pandorafms:cybersecurity:21_siem [2025/11/28 23:16] (現在) – [ケーススタディ] junichi
行 1316: 行 1316:
 </decoder> </decoder>
 </code> </code>
 +
 +<wrap #ks9_1 />
 +
 +==== ルール評価順序 ====
 +
 +The following case study **with a negative result**  illustrates when a rule "queries" other rules to check whether they found a match and then evaluates the match itself to generate an event.
 +
 +次のケーススタディ (**否定的な結果**) は、ルールが他のルールを「照会」して一致が見つかったかどうかを確認し、一致自体を評価してイベントを生成する場合を示しています。
 +
 +There is a series of rules used to detect failed logins on a hardware firewall, in order to then create the corresponding alerts:
 +
 +ハードウェアファイアウォールで失敗したログインを検出し、対応するアラートを作成するために使用される一連のルールがあります。
 +
 +<code xml>
 +<rule id="81641" level="1">
 +    <decoded_as>fortigate-firewall-v6</decoded_as>
 +    <description>Fortigate v6 messages grouped.</description>
 +</rule>
 +
 +</code>
 +
 +  * ⍐ Rule 81641 matches decoded log to start retrieving data.
 +
 +  * ⍐ ルール 81641 はデコードされたログと一致し、データの取得を開始します。
 +
 +----
 +
 +<code xml>
 +<rule id="81603" level="0">
 +    <if_sid>81600,81601,81602,81641</if_sid>
 +    <description>Fortigate messages grouped.</description>
 +</rule>
 +
 +</code>
 +
 +  * ⍐ Rule ID 81603 in turn depends on several rules, including the previous 81641. Since the latter 81641 is higher than 81603, **81603 is not executed**.
 +
 +  * ⍐ ルール ID 81603 は、前の 81641 を含む複数のルールに依存します。後者の 81641 は 81603 より大きいため、**81603 は実行されません**。
 +
 +----
 +
 +<code xml>
 +<rule id="81614" level="4">
 +    <if_sid>81603</if_sid>
 +    <match>ssl-login-fail</match>
 +    <description>Fortigate: SSL VPN user failed login attempt.</description>
 +    <group>authentication_failed,
 +gdpr_IV_32.2,
 +gdpr_IV_35.7.d,
 +gpg13_7.1,
 +hipaa_164.312.b,
 +invalid_login,
 +nist_800_53_AC.7,
 +nist_800_53_AU.14,
 +pci_dss_10.2.4,
 +pci_dss_10.2.5,
 +tsc_CC6.1,
 +tsc_CC6.8,
 +tsc_CC7.2,
 +tsc_CC7.3,</group>
 +</rule>
 +
 +</code>
 +
 +  * ⍐ A rule with ID 100700 checks for a match in a rule with ID 81641, which in turn depends on rule ID 81603 (81614 is higher than 81603, so it is executed).
 +
 +  * ⍐ ID 100700 のルールは、ID 81641 のルールとの一致をチェックします。このルールは、ルール ID 81603 に依存します (81614 は 81603 より大きいため、実行されます)。
 +
 +<WRAP center round info 90%>
 +
 +The problem in this case study is that 81614 does not return a result to 100700 **because 81603 was not executed due to the numerical order by ID**.
 +
 +</WRAP>
 +
 +<WRAP center round info 90%>
 +
 +このケーススタディの問題は、**ID による番号順で 81603 が実行されなかったため**、81614 が 100700 に結果を返さないことです。
 +
 +</WRAP>
  
 <wrap #ks10 /> <wrap #ks10 />
  • ja/documentation/pandorafms/cybersecurity/21_siem.txt
  • 最終更新: 2025/11/28 23:16
  • by junichi