ESM:イベント ソース グループの作成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

管理者は、Security Analyticsがイベント ソースからのメッセージを収集しなくなった場合に通知を受信する必要があります。また、イベント ソースからの収集が止まってから(ログ メッセージが収集されなくなってから)どれくらいの時間が経過したら通知を送信するかを構成できることも必要です。

RSA Security Analyticsでは、イベント ソース グループにより、重要度が近いデバイスをグループにまとめることができます。グループを作成するには、CMDB(構成管理データベース)からインポートした属性を使用するか、グループに追加するイベント ソースを手動で選択します。

たとえば、次のタイプのイベント ソース グループを作成できます。

  • PCIソース
  • Windowsドメイン コントローラー
  • 収集停止ソース
  • 経理サーバ
  • 優先度の高いデバイス
  • すべてのWindowsソース

手順

イベント ソース グループを作成するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[イベント ソース]を選択します。
  2. 管理]パネルでadd_icon.pngをクリックします。

    [イベント グループの作成]ダイアログが表示されます。

    ES_Add.png

  3. グループ名を入力します。
  4. 説明を入力します。
  5. add_icon.pngをクリックして条件を追加します。必要に応じて、その他の条件を追加します。条件の作成の詳細については、次のトピックを参照してください:グループの作成/編集フォーム.
  6. Saveをクリックします。

    新しいグループが[管理]パネルに表示されます。

このセクションでは、単純な例を紹介してから、より複雑なルールの設定方法について説明します。

単純な例

この例は、優先度の高いイベント ソースをすべて含んだイベント ソース グループを作成するために必要な手順を示しています。

  1. Security Analyticsメニューで、[Administration]>[イベント ソース]を選択します。
  2. [管理]>[グループ]パネルで、add_icon.pngをクリックします。
  3. グループ名として「優先度の高いデバイス」と入力します。
  4. 「厳重に監視する必要のある最優先デバイス」などの説明を入力します。
  5. すべてに合致]を選択したままにして、add_icon.pngをクリックして条件を追加します。
  6. ドロップダウン メニューから[条件の追加]を選択します。

    1. 属性として[Priority]を選択します。
    2. 演算子として [次より小さい]を選択します。
    3. 値に、2を入力します。

      次の図は、更新された[イベント グループの編集]ダイアログを示しています。

      ES_Add02.png

  7. Saveをクリックします。

複雑な例

この例では、かなり複雑なルールを作成する必要があります。ルールでは、米国に設置され、営業、財務、マーケティングのいずれかの部門に属するイベントソース、または、全世界に設置された、社内向けで、優先度が高く、営業部門に属するイベント ソースを抽出します。「優先度が高い」とは、優先度が1または0のものを想定しています。論理的には次のような定義になります。

(Country=United States AND (Dept.=Sales OR Dept.=Finance OR Dept.=Marketing))
OR
(Priority < 2 AND Division != External AND Dept.=Sales)

次の図は、このようなイベント ソース グループを作成するときに入力する条件の例を示しています。

ESM_complexGroup.png

You are here
Table of Contents > イベント ソース グループの管理 > イベント ソース グループの作成

Attachments

    Outcomes