ESM:イベント ソースのインポート

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

イベント ソース属性はCSV形式のファイルからインポートできます。CMDB(構成管理データベース)、スプレッドシート、その他の種類のファイルから情報をインポートするには、まずその情報をCSVファイルに変換または保存します。

注:イベント ソースの識別情報である、IPIPv6HostnameEvent Source TypeLog CollectorLog Decoderは特別に処理されます。これらのフィールドのいずれかに(Security Analyticsの既存の値と比較して)異なる値が設定されているイベント ソースをインポートした場合、Security Analytics側の元の値は上書きされません

インポートした属性は一致するイベント ソースに設定され、イベント ソース グループを作成するためのルールの中で使用できます。

RSA Security Analyticsでは、インポート ファイルが正確であり、完全なレコードであると見なします。この想定に基づき、イベント ソース属性のインポートは次のように動作します。

  • デフォルトでは、属性をインポートすると、システムによって既存のイベント ソースの属性だけが更新されます。
  • イベント ソースがインポート ファイル側にあるものの、Security Analytics側にはない場合は、そのイベント ソースの属性は無視されます。つまり、Security Analytics側でそれらの属性を格納する新しいイベント ソースが作成されることはありません
  • イベント ソースがインポート ファイルとSecurity Analyticsの両方にある場合は、そのイベント ソースの値が上書きされます。
  • インポート ファイルで属性の値が空白になっている場合は、Security Analytics側の対応する属性の値がクリアされます。
  • インポート ファイルに属性が指定されていない場合は、Security Analytics側では対応する属性は無視されます(つまり、クリアされません)。

注:値が空白の属性とまったく指定されていない属性には違いがあります。属性が指定されていても値が空白の場合は、空白にすることが意図されていると見なし、Security Analytics側では、対応するイベント ソースの属性の値をクリアします。しかし属性がまったく指定されていない場合は、変更が想定されていないものと見なします。

これらの動作がデフォルトです。この動作は次の手順で変更することができます。

イベント ソース属性のインポート

イベント ソース属性をファイルからインポートするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[イベント ソース]を選択します。
  2. 管理]タブを選択します。

    [イベント ソースの管理]タブが表示されます。

    esm_manage.png

  3. ツールバーの[インポート/エクスポート]メニュー(esm_impExIcon.png)から、[インポート](esm_import.png)を選択します。

    [イベント ソースのインポート]ダイアログが表示されます。

    esm_import02.png

  4. インポート ファイルを指定して、次の適切なボックスを選択します。

    • デフォルト:前述のデフォルトの処理を実行します。
    • 追加のみ:Security Analytics側の対応する属性が空白の場合にのみ属性をインポートします。したがって既存の値は上書きされません。
    • 値をクリアしない:インポート ファイルで値が空白になっている属性について、Security Analytics側の属性の値をクリアしません。
    • 不明なソースを追加する:インポート ファイル側のアイテムに基づいて、新規イベント ソースを追加します。

    注:オプションは複数選択できます。

  5. インポートをクリックします。
  6. 確認ダイアログで[はい]をクリックしてインポートを実行します。

インポート ファイルのトラブルシューティング

インポート ファイルの形式が正しくなかった場合、または必要な情報が不足していた場合は、エラーが発生し、そのファイルはインポートされません。

以下について確認します。

  • 不明なソースを追加する場合は、ファイル内の各行に次の必須属性の組み合わせが指定されている必要があります。
    • IP、IPv6、 Hostnameのいずれか
    • イベント ソース タイプ
  • ファイルの先頭行にはヘッダー名が記述され、その名前がSecurity Analytics側の名前と一致している必要があります。イベント ソースを1つエクスポートすると、正しい列名のリストを得ることができます。エクスポートされたCSVファイルと比較し、インポート ファイルの先頭行に正しい属性名が指定されていることを確認してください。
You are here
Table of Contents > イベント ソース グループの管理 > イベント ソースのインポート

Attachments

    Outcomes