アラート:アラートを通知する方法の選択

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、さまざまな通知メソッドと、通知メソッドをルールに追加する方法について説明します。このセクションのすべてのタスクに、Administratorロール、SOC Managerロール、DPOロールの権限が必要です。

ルールによりアラートがトリガーされると、ESAは次の方法で通知を送信できます。

  • メール
  • SNMP
  • Syslog
  • スクリプト

通知を構成するには、次のコンポーネントを構成します。 

  • 通知サーバ:通知サーバを構成後、そのサーバをルールに追加することができます。ルールによりアラートがトリガーされると、このサーバを使用してアラート通知が送信されます。
  • 通知:メール、スクリプト、SNMP、Syslogなどの出力です。ルールの設計時に、アラートの通知を指定できます。
  • テンプレート:アラート通知の形式はテンプレートで定義されます。

Event Stream Analysisは、アラート抑制とアラート レート制限の2種類の機能を提供します。アラート抑制は一定時間内に発生した同じアラートに対して複数のメールが送信されないようにします。たとえば、ユーザー ログインの失敗を検出するルールについて考えてみます。アラート抑制を3分に設定した場合、そのタイムフレーム内で生成された同一のアラートは1回しか通知されません。つまり、アラート抑制を設定しない場合よりも通知されるアラート数が少くなります。重複するアラートが発生することがありますが、アラート抑制を使用すると、重複するアラートのメールは送信されません。これにより、受信ボックスが冗長なアラート通知で埋め尽くされる事態を回避できます。

アラート レート制限は、適切でないルールのアラートがシステムに氾濫してしまうのを防止する手段です。この機能を使用すると、1分間あたりのメールの上限を設け、それを超えるメールがESAから送信されないように設定できます。

通知サーバ、通知、テンプレートは、[Administration]の[システム]ビューで構成します。詳細については、「システム構成ガイド」の「通知サーバの構成」、「通知出力の構成」、「通知テンプレートの構成」を参照してください。

 

 

Next Topic:通知方法
You are here
Table of Contents > アラートを通知する方法の選択

Attachments

    Outcomes