インシデント管理の構成:ステップ2:データベースの構成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

Incident Managementサービスを使用可能な状態にするには、データベースを構成する必要があります。Incident Managementサービスに使用されるデータベース インスタンスは、ESAのインストールによって作成され、セキュリティが確保されます。Incident Managementサービスのデータベース ホストとして使用するESAサーバを1つ選択する必要があります。

ESAデータベースのホストの選択に関する考慮事項

このトピックは、ESAでクロスサイト相関を有効にしている場合に適用されます。

ESAでクロスサイト相関を使用すると、1つのルール セットを複数のESAサービスで処理する導入環境を作成できます。クロスサイト相関が有効になっている導入環境の主な機能を次に示します。

  1. 1つの中央ESAサービスがあります。 
  2. ルールを導入すると、ESAサービスが関連するイベントを中央ESAに転送します。
  3. 中央ESAはルールを実行して、アラートを生成します。

クロスサイト相関を有効にした場合、Incident Mangementで使用するESAを選択する際に考慮しなければならない点があります。

  • Security Analyticsと共存するESAサービスを選択して、MongoDBへのアクセスのレイテンシを制限します。
  • トラフィックが最も少ないESAを選択します。

注:中央ESAは選択しないでください。このESAは、自身のトラフィックを取得するほか、他のESAサービスから転送されたイベントを受信するからです。

クロスサイト相関はデフォルトでは有効になっていません。クロスサイト相関を有効化するには、RSAプロフェッショナル サービスに連絡して、クロスサイト相関ベータプログラムに参加する必要があります。

前提条件

ESAホストがインストールされ、構成されていることを確認します。

手順

Incident Managementサービスのデータベースを構成するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
    [サービス]ビューが表示されます。
  2. [サービス]パネルで、Incident Managementサービスを選択し、>[表示]>[エクスプローラ]を選択します。 
    [サービス]の[エクスプローラ]ビューが表示されます。
  3. [オプション]パネルで、[Service]>[Configuration]>[database]を選択します。

    右側のパネルにdatabaseビューが表示されます。

    configure_database_im.png

  4. 次の情報を入力します。

    • [Host]:データベースとして選択するESAホストのホスト名またはIPアドレス
    • [DatabaseName]:im(デフォルト値)
    • [Port]:27017(デフォルト値)
    • [Username]:IMデータベースに使用するユーザー アカウントのユーザー名(適切な権限を持ったimユーザーがESAによって作成されています)
    • [Password]:IMユーザーのパスワード
  5. 次のコマンドを使用して、Incident Managementサービスを再起動します。

    service rsa-im restart

注:データベースの構成を完了するためには、Incident Managementサービスを再起動する必要があります。

You are here
Table of Contents > インシデント管理の構成 > ステップ2:Incident Managementサービスのデータベースの構成

Attachments

    Outcomes