アラート:通知方法をルールに追加

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、管理者に対して、メールなどの通知をルールに追加する方法を説明します。ESAは、ルール条件を満たすイベントに対してアラートを生成するときに通知方法を使用します。

ルールに通知を追加すると、そのルールがアラートをトリガーしたときにESAから通知を受けることができます。通知フィールドは必須ではありませんが、ルールに通知フィールドを追加するのがベスト プラクティスです。

ルールに通知方法を追加するときに、次の情報を選択します。

  • 出力
  • 通知
  • 通知サーバ
  • テンプレート

前提条件

  • ユーザーのロールには、ルールを管理する権限が必要です。
  • ルールは存在する必要があります。
  • 通知方法は、サポートされるサーバおよびテンプレートを使用してあらかじめ構成しておく必要があります。
    • [Administration]>[システム]>[グローバル通知]をクリックします。
    • 詳細な手順については、「システム構成ガイド」を参照してください。

手順

通知方法をルールに追加するには、次の手順を実行します。

  1. Security Analyticsメニューで、[アラート]>[構成]>[ルール]を選択します。
  2. ルール ライブラリ]で、addList.PNGをクリックして新しいルールを追加するか、既存のルールを選択し、ic-edit.pngをクリックします。
    ルールのタイプに応じて、ルール ビルダー タブまたは詳細EPLタブが表示されます。
    両方のタブで、[通知]セクションは同じです。
    NotificationBlank.png
  3. addList.PNGをクリックして、アラートの[出力]を次の中から選択します。
  • メール
  • SNMP
  • Syslog
  • スクリプト
  1. 通知]フィールドをダブル クリックして、前に構成した出力の名前を選択します。 
    たとえば、L1-Analystsメール配信グループに送信されるメール通知の名前として「レベル1アナリスト」を選択できます。
  2. 通知サーバ]フィールドをダブル クリックして、通知を送信するサーバを選択します。 
  3. テンプレート]フィールドをダブル クリックして、アラートの形式を選択します。
    次の図に、Syslog通知の設定を示します。
    NotificationAdded.png
  4. 頻度を指定する場合には、[出力抑制の間隔]を選択して、次に[時間(分)]を選択します。
  5. 別の通知を追加するには、ステップ3~7を繰り返します。
  6. Saveをクリックします。
    ESAがルール条件に一致するイベントに対してアラートを生成すると、ルールに追加された各通知方法によってアラートを通知されます。
Previous Topic:通知方法
You are here
Table of Contents > アラートを通知する方法の選択 > 通知方法をルールに追加

Attachments

    Outcomes