8.2 ルールの設定

Identity Auditのルールを設定することにより、1つ以上の検索可能フィールドに基づいてイベントにフィルタを適用することができます。Identity Auditの検索可能イベントフィールドの一覧については、表 4-1を参照してください。各ルールは、設定済みの1つ以上のアクションに関連付けることができます。

8.2.1 フィルタ条件

ルールは、検索可能な任意のイベントフィールドに基づいて作成できます。これらのフィールドのリストは、表 4-1を参照してください。使用できる演算子は、イベントフィールドのデータの種類によって異なります。たとえば、match subnetはIPアドレスに対して使用でき、match regexはテキストフィールドに対して使用できます。

8.2.2 ルールの追加

管理者はフィルタベースのルールを追加して、ルールの条件に適合するイベントを出力する1つ以上のチャネルを定義できます。

  1. Identity Auditに管理者としてログインします。

  2. ページの右上隅にある[ルール]をクリックします。

  3. [ルールを追加]をクリックします。

  4. ルールの名前を入力します。

  5. 複数の条件を作成する場合は、[すべて]を選択し、AND演算子を使用して条件を結合します。OR演算子を使用して条件を結合するには、[任意]を選択します。

  6. イベントフィールド、演算子、およびフィルタの値を選択します。

  7. フィルタ条件に適合するイベントを実行するアクションを選択します。

    アクションの詳細は、[環境設定]リンクをクリックすると表示される設定情報に基づいています。

  8. 必要に応じてその他のアクションを設定します。

  9. [保存]をクリックします。

8.2.3 ルールの配列

イベントは配列されたルールによって一致が見つかるまで評価されるため、ルールを適切に配列することをお勧めします。より狭く定義されたルールや、より重要なルールは、リストの最初に配置する必要があります。複数のルールがある場合は、ルールの順序をドラッグアンドドロップで変更することができます。

ルールの順序を変更するには:

  1. Identity Auditに管理者としてログインします。

  2. ページの右上隅にある[ルール]をクリックします。

  3. ルール番号の左側にあるアイコンの上にカーソルを置くと、ドラッグアンドドロップが可能になります。このときカーソルは変化します。

  4. ルールをリスト内の適切な場所にドラッグアンドドロップします。

8.2.4 ルールの削除

ルールを削除するときにアクション用のキューにイベントがすでに存在する場合、ルールが無効化されてからそのキューがフラッシュされるまで、しばらく時間がかかることがあります。

8.2.5 ルールの有効化または無効化

各ルールの左側の[オン]の列に、そのルールを有効化するチェックボックスがあります。新しいルールはデフォルトで有効になります。ルールを無効にすると、受信イベントがそのルールに従って評価されることはなくなります。アクション用のキューにイベントがすでに存在する場合、ルールが無効化されてからそのキューがフラッシュされるまで、しばらく時間がかかることがあります。