ESM:イベント ソースの作成と属性の編集

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

イベント ソースはグループを使用して整理できます。グループ化を行うために、各イベント ソースに対してさまざまな属性の値を設定します。たとえば、優先度が高いすべてのイベント ソースに対して、Priority属性の値を1に設定します。使用できる属性の詳細は、次のトピックスで確認できます: [イベント ソースの管理]タブ.

次の図は、[イベント ソース]パネルの例です。

esm_manage.png

イベント ソースの属性は、自動入力された情報とユーザーが入力する情報の両方で構成されています。イベント ソースがログ情報をSecurity Analyticsに送信すると、そのイベント ソースの情報がイベント ソースのリストに追加され、基本情報のいくつかが自動入力されます。その後いつでも、ユーザーが他のイベント ソース属性を追加したり編集したりできます。

必須属性

イベント ソースの識別情報である、IPIPv6HostnameEvent Source TypeLog CollectorLog Decoderは特別に処理されます。イベント ソースを手動で作成する場合は、これらの値を入力できます。イベント ソースを保存したら、これらの値は変更できません。

イベント ソースは自動検出することもできます。Log Decoderにログを送信するイベント ソースはすべて、イベント ソースのリストに追加されます。自動検出されたイベント ソースの属性を編集する場合、これらの属性は編集できません。

これらの属性には、必須フィールドではないものもあることに注意してください。イベント ソースを一意に識別するため、次の情報は必須です。

  • IP、IPv6、 Hostnameのいずれか
  • Event Source Type

また、RSA Security Analyticsでは、IP、IPv6、Hostnameに優先順位を設定しています。順序は次のとおりです。

  1. IP
  2. IPv6
  3. Hostname

イベント ソースを手動で追加する場合は、この順序を心に留めておいてください。この順序を無視すると、手動で追加したイベント ソースからログを受信した時に、イベント ソースの重複が発生する可能性があります。

他の属性(Priority、Country、Company、Vendorなど)はすべてオプションです。 

イベント ソースの作成

  1. Security Analyticsメニューで、[Administration]>[イベント ソース]を選択します。
  2. 管理]タブを選択します。
  3. イベント ソース]パネルで、104ApplAdd.pngをクリックして詳細画面を開きます。この画面には、イベント ソースの属性すべてが含まれています。

    SQL Serverシステムのシステム レベル情報をすべて記録する [イベント ソースの管理]タブ が表示されます。

  4. 任意の属性の値を入力または変更します。
  5. 保存]をクリックします。

イベント ソースの属性の更新

  1. Security Analyticsメニューで、[Administration]>[イベント ソース]を選択します。
  2. 管理]タブを選択します。
  3. イベント ソース]パネルで、リストからイベント ソースを選択します。
  4. イベント ソース]パネルで、104ApplEdit.pngをクリックして詳細画面を開きます。この画面には、イベント ソースの属性すべてが含まれています。

    SQL Serverシステムのシステム レベル情報をすべて記録する [イベント ソースの管理]タブ が表示されます。

  5. 属性の値を入力または変更します(入力後は変更できない属性を除く)。
  6. 保存]をクリックします。
You are here
Table of Contents > イベント ソース グループの管理 > イベント ソースの作成と属性の編集

Attachments

    Outcomes