アラート:ESAで実行するルールの導入

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、ESAを選択し、そのESAで実行するルールを選択する方法について説明します。このセクションのすべてのタスクに、Administratorロール、SOC Managerロール、DPOロールの権限が必要です。

導入環境を作成するには、導入ステップ

導入環境の仕組み

導入環境は、1つのESAサービスとESAルールのセットで構成されます。ルールを導入すると、不審なアクティビティや好ましくないアクティビティをネットワーク内で検出するために、そのルールがESAサービスによって実行されます。作成されてから1時間以内でのユーザー アカウントの削除など、検出されるイベントはESAルールごとに異なります。

ESAサービスは次の機能を実行します。

  1. ネットワークからデータを収集
  2. データに対してESAルールを実行
  3. ルール条件でデータを評価
  4. 収集したイベントに関するアラートを生成

次の図はこのワークフローを示しています。
deploy_1a.PNG
 

さらに、その他のステップを導入環境で実行できます。たとえば、導入環境のESAサービスの削除、導入環境でのルールの編集または削除、導入環境の編集または削除、導入環境への更新の表示などです。これらの手順の詳細については、追加の導入手順

 

Next Topic:必要な手順
You are here
Table of Contents > ESAで実行するルールの導入

Attachments

    Outcomes