ESM:モニタリング ポリシーの一般的なシナリオ

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

通常、イベント ソースの監視は、そのイベント ソースの重要度ごとに「まとめて」行う必要があります。標準的な例を次に示します。

  • PCIイベント ソース グループが存在し、この中に、30分間、メッセージ送信を停止している(または送信するメッセージが少なすぎる)イベント ソースがあるかどうかを把握することは重要です。
  • Windowsイベント ソース グループが存在し、この中に、4時間メッセージの送信を停止しているイベント ソースがあるかどうかが分かると便利です。
  • 静止イベント ソース グループが存在し、この中のイベント ソースは、通常それほど多くのメッセージは送信しません。ただし、こうしたイベント ソースが24時間何も送信しない場合は、それを把握したいと考えています。

組織の多くに、この例のようなネットワークがあります。別のカテゴリが存在する可能性もありますが、ここでは、この例を使用して、この機能の使用方法を説明します。

他にも数十、場合によっては数百のイベント ソース グループが存在する可能性がありますが、閾値およびアラートを設定する必要があるのは、わずか数グループです。

注:イベント ソースが複数のグループに所属しており、その複数のグループでアラートが構成されている場合は、リスト内でのグループの順序に従い、最初に一致したグループでのみアラートが発行されます。([モニタリング ポリシー]タブには、グループの番号付きリストが表示されます)。

グループの順序づけ

注:グループの順序を変更するには、グループを新しい場所にドラッグ アンド ドロップします。リスト内でグループが上位にあるほど、そのグループの閾値の優先順位が高くなります。RSA Security Analyticsは、このパネルに表示されている順序で閾値をチェックします。そのため、優先度の最も高いグループをこのリストの最上部に置く必要があります。

まず、[モニタリング ポリシー]ページでのグループの順序をどのように決定するかを理解してください。前述のように3つのグループがある場合は、次のように順序を付けます。

  1. 静止イベント ソース。このグループを最初に配置すると、大量のfalseアラートの発生を防ぐことができます。
  2. 優先度が高いPCIイベント ソース。最優先イベント ソースは、静止イベント ソースの後ろに配置します。
  3. Windowsイベント ソース。これらのイベント ソースに対する監視の時間範囲は、PCIイベント ソースよりも長くなります(30分対4時間)。したがって、PCIイベント ソースの後ろに配置します。
  4. すべてのイベント ソース。オプションで、すべてのイベント ソースの閾値をに設定できます。これによりネットワーク全体が問題なく動作していることを確認できます。包括グループの場合は、閾値を指定する必要はありません。自動アラート機能を使用してこのグループのイベント ソースのアラームを生成することができます。

ESM_order1.png

前の図では、次の点に注意してください。

  • グループの順序は、前のセクションで説明したように設定されています。
  • PCIイベント ソースの閾値の目的は、Security Analyticsが30分間に受け取るメッセージ数が10未満の場合にアラートを発行することです。
  • 下限閾値を定義しますが、上限閾値は定義しません。これは多くの利用ケースで行われる典型的な設定です。

グループの構成と順序づけを行い、アラートが発生し始めたら、順序の調整が必要になる可能性があります。順序づけの調整に役立つガイドラインを次に示します。

  • 必要以上のアラートが発生する場合は、順序を調整してグループを下に移動します。同様に、アラートが少なすぎる場合は、グループを上に移動します。
  • 必要以上にアラートを作成しているイベント ソースを見つけた場合は、そのイベント ソースを他のグループに移動するか、そのイベント ソースに対して新しいグループを作成します。
Previous Topic:自動アラート
You are here
Table of Contents > イベント ソース管理の概要 > モニタリング ポリシーの一般的なシナリオ

Attachments

    Outcomes