ESM:アラームと通知

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

Security Analyticsのイベント ソース モジュールはアラームを表示し、トリガーされたアラームに基づいて通知を送信します。

アラームについては、次の点を考慮します。

アラームには、自動(ベースラインを超えた場合またはベースラインに満たない場合にトリガーされる)と手動(閾値を使用して構成される)の2つのタイプがあります。

  • 自動:自動アラートを有効にすると、標準のベースラインを所定量上回るまたは下回るすべてのイベント ソースについてアラームがレポートされます。[設定]タブで、ベースラインとの差異の上限と下限の割合を指定できます。 [設定]タブ.
  • 手動:自動アラートを無効にすると、ポリシー(および閾値)を定義し、そのポリシーを有効化したイベント ソース グループについてのみアラームを受信します。
  • アラームは、UIの[アラーム]タブに表示されます。[アラーム]タブ.

通知については、次の点を考慮します。

  • 手動アラームの通知を(メール、SNMPまたはSyslog経由で)受信するには、次の手順を実行します。

    • イベント ソース グループのポリシーを指定します。
    • 上限または下限(あるいはその両方)閾値を設定します。
    • ポリシーを有効にします。
  • 自動(ベースライン)アラームの通知を受信するには、次の手順を実行します。

    • 自動アラートを有効化する必要があります。デフォルトでは有効になっています。
    • 自動アラートの通知を有効化する必要があります。詳細については、 自動アラートの構成 を参照してください。
    • アラームをトリガーするイベント ソースは、ポリシーを有効化したグループに属している必要があります。
  • 自動アラートを有効化し、イベント ソース グループにポリシーと閾値を構成した場合、次のようになります。

    • イベント ソースがベースラインから外れると、自動アラームが表示され、通知を受信します。
    • イベント ソースが閾値を超えると、手動アラームが表示され、通知を受信します。
    • 両方が発生する(ベースラインと閾値の両方を超える)と、2つのアラームが[アラーム]タブに表示され、2つのアラームを知らせる1件の通知を受信します。その通知には、アラームを2回発生させたイベント ソースが2回リストされ、そのうちの1つは自動アラームであることが示されます。

サイズの大きいメール通知

メール通知を設定した場合、通知のイベント ソースの数によって、メールのサイズが非常に大きくなる可能性があるということに留意してください。

アラーム状態のイベント ソースの数が10,000を超えた場合、メール通知には最初の10,000件のみの詳細と合計数が含まれます。これは、メールが確実に配信されるようにするためです。

上限閾値と下限閾値の両方のトリガー

特定のイベント ソース グループで上限と下限の両方のアラームがトリガーされる場合があります。この場合の最も簡単な確認方法は、メールのヘッダーを見ることです。ヘッダーには、次の画像に示すように、両方の閾値がいつトリガーされたかが明記されます。

esm_highLowEmail.png

この例では、ヘッダーに「High threshold and Low threshold triggered on ciscopix group.(上限閾値と下限閾値がciscopixグループでトリガーされました。)」と記載されています。下限閾値のイベント ソースの詳細を確認するには、上限閾値のイベント ソースを数百件分、あるいは数千件分も、下にスクロールしなければならない場合があります。

You are here
Table of Contents > イベント ソース管理の概要 > アラームと通知

Attachments

    Outcomes