ESM:[モニタリング ポリシー]タブ

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

[モニタリング ポリシー]タブには、イベント ソース グループ別に閾値が表示されます。

このタブにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[イベント ソース]を選択します。

    管理]タブが表示されます。

  2. モニタリング ポリシー]タブを選択します。

ESM_alerts01.png

このタブに関連した手順は、次のトピックを参照してください:モニタリング ポリシー.

機能

モニタリング ポリシー]タブは3つのパネルで構成されています。

[グループ]パネル

ESM_alertsGrps.png

このパネルで選択したグループの閾値が、[閾値]パネルに表示されます。イベント ソース グループごとに閾値のセットを定義できます。グループは特定の順序で表示されることに注意してください。

  • 指定された順序を変更するには、グループをドラッグ アンド ドロップします。
  • 上位に表示されるグループほど、閾値の優先順位が高くなります。RSA Security Analyticsは、このパネルに表示されている順序で閾値をチェックします。そのため、優先度の最も高いグループをこのリストの最上部に置く必要があります。

[閾値]パネル

この図は、イベント ソース グループの[閾値]パネルの例です。

ESM_threshold2.png

[閾値]パネルには以下の機能が用意されています。

                               
機能説明
有効化

[有効化]チェックボックスは、グループに対して定義した閾値が有効化されているかどうかを示します。有効化されている場合は、そのグループの閾値で定義した範囲から外れるたびに通知が送信されます。有効化されていない場合、そのイベント ソース グループの監視は行われません。

注:閾値を構成し、有効化しないで保存しようとすると、ポリシーを有効化するかどうかを確認するメッセージが表示されます。

閾値を設定しないで、ポリシーを有効化した場合、通知を設定している限り、自動(ベースライン)アラートの通知は受信できます。

通知の設定の詳細については、以下を参照してください。

下限閾値のイベント数
下限閾値の期間(分または時間)

下限の閾値です。時間あたりの最小のイベント数を入力します。グループのイベント ソースが、指定した期間に受信するイベントメッセージの数が、ここで指定した値を下回った場合、閾値違反としてアラームが発生します。

上限閾値のイベント数
上限閾値の期間(分または時間)
下限閾値と同様の働きをします。つまり、ここで指定した期間に、指定した値を上回る数のイベントメッセージを受信した場合、閾値違反として、アラームが発生します。
最終更新日このフィールドには、閾値が最後に変更された日時が表示されます。
保存閾値に対して行った変更を保存します。

[通知]パネル

この図は、イベント ソース グループの[通知]パネルの例です。

ESM_alerts01.png

次の表に、[通知]パネルの各フィールドとその説明を示します。

                                       
フィールド説明

ツール

+  -

ツールバーでは、次のアイテムを使用できます。

  • 追加(+追加をクリックすると、通知タイプを選択するためのメニューが表示されます。
  • 削除(-:選択された行をリストから削除します。
通知の設定

このリンクをクリックすると、新しいブラウザ タブが開き、Security Analyticsの[Administration]>[システム]>[通知]ページが表示されます。

出力

選択した通知のタイプが表示されます。使用可能なオプションは次のとおりです。

  • メール
  • SNMP
  • Syslog
通知詳細については、「システム構成ガイド」の「通知出力の構成」を参照してください。

通知サーバ

詳細については、「システム構成ガイド」の「通知サーバの構成」を参照してください。
テンプレート

RSAでは、イベント ソース管理向けの3つの通知テンプレートをデフォルトで提供しています。次のテンプレートは配布されたままの状態で使用するか、組織のニーズに基づいてカスタマイズすることができます。

  • メール テンプレート:指定されたメール アドレスに通知を送信します。
  • SNMPテンプレート:指定されたSNMPサーバに通知を送信します。
  • Syslogテンプレート:指定されたSyslogサーバに通知を送信します。

詳細については、「システム構成ガイド」の「通知テンプレートの構成」を参照してください。

出力抑制の間隔 短期間に大量のアラートがトリガーされた場合を考慮し、このポリシーの通知を受け取る頻度を制限するために設定します。 

次の図は、デフォルトのテンプレートを使用した通知のサンプルです。

  • メール:

    esm_note-email.png

    注:メール通知の場合、3列目の[Alarm Type]に、トリガーされたアラームがポリシーの閾値に基づいて発生したか、またはベースラインの逸脱により発生したかが指定されます。自動モニタリングまたは自動モニタリングの通知がオフになっている場合、Automaticの通知は受信しません。これはSyslogやSNMPでも同じですが、通知の形式が異なります。

  • SNMPトラップのサンプル:

     11-11-2015 11:57:33 Local7.Debug 127.0.0.1 community=public, enterprise=1.3.6.1.4.1.36807.1.20.1, uptime=104313, agent_ip=10.251.37.92, version=Ver2, 1.3.6.1.4.1.36807.1.20.1="Security Analytics Event Source Monitoring Notification: Group: PCI Event Source(s) High Threshold: Greater than 500 events in 5 minutes 10.17.0.10,ciscopix,Manual 10.17.0.13,ciscopix,Manual 10.17.0.8,ciscopix,Manual 10.17.0.8,ciscopix,Automatic 10.17.0.12,ciscopix,Manual 10.17.0.5,ciscopix,Manual 10.17.0.6,ciscopix,Manual 10.17.0.4,ciscopix,Manual 10.17.0.4,ciscopix,Automatic 10.17.0.3,ciscopix,Manual" 
  • Syslogのサンプル:

     11-11-2015 11:57:33 User.Info 127.0.0.1 Nov 11 11:57:33 localhost CEF:0|RSA|Security Analytics Event Source Monitoring|10.6.0.0.0| HighThresholdAlert|ThresholdExceeded|1|cat=PCI Event Source(s)|Devices| src=10.17.0.10,ciscopix,Manual|src=10.17.0.13,ciscopix,Manual|src=10.17.0.8,ciscopix,Manual|src=10.17.0.8,ciscopix,Automatic|src=10.17.0.12,ciscopix,Manual|src=10.17.0.5,ciscopix,Manual|src=10.17.0.6,ciscopix,Manual|src=10.17.0.4,ciscopix,Manual|src=10.17.0.4,ciscopix,Automatic|src=10.17.0.3,ciscopix,Manual|
Previous Topic:[管理]タブ
You are here
Table of Contents > 参考情報 > [モニタリング ポリシー]タブ

Attachments

    Outcomes