ESM:イベント ソース グループのアラートの構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

各イベント ソース グループに独自のアラート ポリシーを作成することができます。ポリシーの作成には、アラートのタイミングを決める閾値の設定と、アラートがトリガーされたときの通知のタイプの設定が含まれます。このトピックでは、イベント ソース グループのアラート ポリシーの作成に必要な手順について説明します。

手順

イベント ソース グループのアラート ポリシーの作成

  1. Security Analyticsメニューで、[Administration]>[イベント ソース]を選択します。
  2. モニタリング ポリシー]タブを選択します。
  3. イベント グループ]パネルで、グループを選択します。
  4. [下限閾値]と[上限閾値]の各フィールドに値を入力します。

    これは、アラート閾値の例です。

    ESM_alerts01.pnges

  5. 有効化]を選択して[保存]をクリックすると、構成したアラート ポリシーが有効になります。

注:ポリシーに変更を加えた場合に、変更を保存する前にページを終了しようとすると、未保存の変更に関する警告メッセージが次のように表示されます。

esm_policyChgWrn.png

アラート ポリシーの閾値の設定と表示

すべてのイベント ソース グループは、アラート ポリシーでもあります。閾値はアラート ポリシーの一部です。閾値はアラート ポリシーごとに設定できます。ポリシーごとに、下限閾値、上限閾値、その両方を設定できます。また、任意の閾値を設定せずにポリシーを有効にすることができます。これにより、自動アラートに基づいて通知を受信することができます。イベント ソースのベースラインが正常範囲外になると、自動アラートが生成されます。

  1. Security Analyticsメニューで、[Administration]>[イベント ソース]を選択します。
  2. モニタリング ポリシー]タブを選択します。
  3. イベント グループ]パネルで、グループを選択します。
    選択したグループに対して設定されている閾値が[閾値]パネルに表示されます。

    ESM_Threshold2.png

  4. 下限閾値または上限閾値の値を、次のようにして編集します。

    1. 閾値のイベント件数を入力します。
    2. 閾値の分数または時間数を入力します。最小値は5分です。

    注:閾値ごとに、下限閾値、上限閾値、その両方を設定できます。

  5. 有効化]を選択すると、閾値の条件を満たさない状態になった時にアラートが生成されるようになります。

    注:閾値を構成してポリシーを有効にせずにページ保存しようとすると、ポリシーを有効にするかどうかを確認する確認メッセージが表示されます。
    esm_policy_conf.jpg

たとえば、下限閾値の値に10と30を入力し(10 events in 30 minutes)、上限閾値の値に20と30を入力したとします (20 events in 30 minutes)。これは、(選択したイベント ソース グループでは)30分間に10~20件のイベントが発生すると想定していることを意味します。つまり、下限閾値と上限閾値の間の値は正常と見なされ、アラームはトリガーされません。

注:ポリシーの閾値は、追加したら削除できません。ポリシーを無効にするか、下限閾値または上限閾値を、0 events in 5 分に設定します。5分は閾値の最短期間です。

Next Topic:通知の設定
You are here
Table of Contents > モニタリング ポリシー > イベント ソース グループのアラートの構成

Attachments

    Outcomes