アラート:データベース接続の構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、アラートに追加の情報を提供する、外部データベースへの接続を構成する情報について説明します。データベース接続を構成して、データベースをエンリッチメント ソースとして構成し、アラートにさらに詳細な情報を追加できます。このプロセには、次の3つのステップがあります。

  1. データベースへの接続を構成します。
  2. 外部データベースをエンリッチメント ソースとして構成します。
  3. エンリッチメント ソースをルールに追加します。

このトピックではステップ1について説明します。

この例では、データベースをエンリッチメント ソースとして追加し、値をアラートに追加する方法を説明します。

ルールは、ステルス メール サービスにサインアップしようとするユーザーを検出します。25ユーザーがルールの基準に一致しました。エンリッチメントがない場合、アラートには25人のユーザーIDが含まれます。エンリッチメントを行った場合、アラートには各ユーザーIDについて次の情報が追加されます。

  • 名前
  • タイトル
  • 部門
  • 勤務地

依存関係

データベースを構成する場合、次の条件が適用されます。

  • すべてのESAにデータベースへの参照が表示されます。データベースをエンリッチメント ソースとして使うルールを導入していないESAにも、表示されます。 
  • データベースをホストするサーバがダウンした場合、ルールの導入環境に影響します。
    • アクティブな導入環境では引き続きデータを収集し、ルールを実行しますが、エンリッチメントはアラートに表示されません。
    • ホストを再起動するまで、新しいルールの導入は失敗します。

手順

データベース接続を構成するには、次の手順を実行します。

  1. Security Analyticsメニューで、[アラート]>[構成]を選択します。
  2. 設定タブをクリックします。
  3. [オプション]パネルで、[データベース接続]を選択します。

    [データベース接続]パネルが表示されます。

    DbConnSec.png

  4. add.pngをクリックして、データベース接続を追加します。

    DbConn.png

  5. データベース接続]ダイアログで、次の情報を指定します。

                                         
    フィールド説明
    有効化このデータをアラートのエンリッチメントに使用するには、[有効化]をオンにします。デフォルトでは、[有効化]が選択されています。アラートから追加のデータを除外するには[有効化]をオフにします。
    接続名接続を識別するための名前を入力します。データベースをエンリッチメント ソースとして追加する場合、この名前はデータベース接続のリストに表示されます。
    説明(オプション)データベース接続の簡単な説明を入力します。
    ドライバ クラスデータベースの適切なドライバ クラスを選択します。
    Security Analyticsには、MongoDBとPostgresの2つのドライバが含まれています。
    新しいドライバをインポートするには、[アップロード]をクリックします。
    ImpDrCl.png  
    インポート ドライバ クラス]ダイアログで、[参照]をクリックし、新しいドライバを選択して、[アップロード]をクリックします。
    データベースのURLまたは 
    IPアドレス
    構成するデータベースのURLまたはIPアドレスを入力します。
    ユーザー名データベースにアクセスするユーザー名を入力します。
    パスワードデータベースにアクセスするためのパスワードを入力します。
  6. Saveをクリックします。

関連情報については、次のトピックを参照してください: [設定]タブ

You are here
Table of Contents > データ エンリッチメント ソースの追加 > データベース接続の構成

Attachments

    Outcomes