ESM:イベント ソース グループの管理

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

定義

Security Analyticsでイベント ソース グループを扱う場合は、次のことに留意してください。

  • イベント ソースは、基本的にはイベントソースが持つすべての属性とその値の組み合わせにより識別されます。
  • イベント ソース グループは、そのグループに定義された一連の基準に一致するイベント ソースのセットです。

たとえば、次のようなグループが考えられます。

  • Windowsデバイス」という名前のグループは、Microsoft Windowsイベント ソースに関連するすべてのイベント ソース タイプ(winevent_nicwinevent_erwinevent_snare)で構成されます。
  • 低優先度サービスという名前のグループでは、優先度属性が5よりも低く設定されているすべてのサービスをグループ化します。
  • 米国販売サーバという名前のグループでは、米国に設置されたイベント ソースのうち、組織属性の値が販売、ファイナンス、マーケティングであるものをグループ化します。

[管理]タブの詳細

イベント ソース モジュールの[管理]タブを使用すると、イベント ソースを簡単に管理できます。このタブでは次の操作を実行できます。

  • イベント ソース グループを一貫性のある手順で設定する。
  • イベント ソースの属性を一貫性のある簡単な方法で操作する。
  • イベント ソース全体に対して簡単な検索を行う。
  • イベント ソースとイベント ソース グループの一括編集と更新。

次の操作を実行して、イベント ソース グループに関する詳細を表示できます。

  1. Security Analyticsメニューで、[Administration]>[イベント ソース]を選択します。
  2. 管理]パネルを選択して、既存のイベント ソース グループの詳細を表示します。

注:イベント ソース リストに現在含まれていないイベント ソースからのログをシステムが受信すると、Security Analyticsにより、そのイベント ソースがリストに自動的に追加されます。また、そのイベント ソースが既存のグループの条件と一致している場合は、そのグループに追加されます。

デフォルト グループ

RSA Security Analyticsには、いくつかのデフォルト グループがあります。これらを必要に応じてカスタマイズして、新しいグループを作成する際のテンプレートとして使用できます。

デフォルト グループは次のとおりです。

  • All Event Sources
  • All Unix Event Sources
  • All Windows Event Sources
  • Critical Windows Event Sources
  • PCI Event Sources
  • Quiet Event Sources

これらのグループのいずれかを編集して、グループを定義するルールを調査できます。

注:Allイベント ソース グループは編集したり削除したりすることはできません。

トピック:

You are here
Table of Contents > イベント ソース グループの管理

Attachments

    Outcomes