Identity feedは、簡単に作成して、選択したDecoderとLog Decoderに導入することができます。この手順を完了すると、Identity Feedが作成されます。
前提条件
Identity Feedを作成するには、次の要件があります。
- Identity Feedイベント プロセッサを持つLog Collectorサービス
- Windows収集が構成および有効化されているLog Collectorサービス
Identity Feedの作成
-
Security Analyticsメニューで、[Live]>[Feed]を選択します。
Feedグリッドが表示されます。
-
[Feedの構成]ダイアログが表示されます。デフォルトでIdentity Feedが選択されています。
-
[Identity Feed]を選択し、[次へ]をクリックします。
[Identity Feedの構成]パネルが開き、[Feedの定義]タブが表示されます。
-
(状況に応じて)オン デマンドまたは繰り返しのFeedを作成できます。
- 1回だけ実行されるオン デマンドIdentity Feedタスクを定義する場合は、[Feedタスク タイプ]フィールドで[アドホック]を選択し、Feedの名前を入力します。次に、Feedファイルを参照して開きます。
-
定期的に実行される繰り返しIdentity Feedタスクを定義するには、[Feedタスク タイプ]フィールドで[繰り返し]を選択します。
[Feedの定義]フォームに、繰り返しFeed用のフィールドが表示されます。
注:Security Analyticsによって、ファイルが格納されている場所が検証されます。これにより、繰り返しの実行が行われる前に最新のファイルを自動的にチェックできるようになります。
[URL]フィールドに、Feedデータ ファイルのURLを入力し、[検証]をクリックします。例:
http://<LogCollector>:50101/event-processors/<ID Event processor name>?msg=getFile&force-content-type=application/octet-stream&expiry=600
- (オプション)URLへのアクセスが制限されており、ユーザー名とパスワードによる認証が必要な場合には、[認証情報]を選択してください。Security Analyticsによって、そのURLへの認証時にユーザー名とパスワードが使用されます。
-
繰り返しの間隔を定義するには、次のどちらかの操作を行います。
- Feedの繰り返し間隔を分数、時間数、日数で指定します。
- Feedの繰り返し実行の日付範囲を定義するには、開始日と時刻、終了日と時刻を指定します。
- [サービスの選択]フォームに進む前に、[検証]をクリックしてIdentity Feed構成を検証します。
-
次へをクリックします。
[サービスの選択]フォームが表示されます。
- Feedの導入先のサービスを指定するには、1つ以上のDecoderとLog Decoderを選択し、[次へ]をクリックします。
-
[グループ]タブをクリックし、グループを選択して、[次へ]をクリックします。
[レビュー]フォームが表示されます。
注:DecoderおよびLog Decoderが搭載されたデバイスのグループを使用して繰り返しFeedまたはカスタムFeedを作成し、このグループを削除した場合は、Feedを編集して、新しいグループをフィードに追加できます。
-
[完了]をクリックする前であれば、次の操作をいつでも実行できます。
- Feed定義を保存せずにウィザードを終了するには、[キャンセル]をクリックします。
- ウィザードのデータをクリアするには、[リセット]をクリックします。
- 次のフォームを表示するには、[次へ]をクリックします(最後のフォームを表示していない場合)。
- 前のフォームを表示するには、[前へ]をクリックします(最初のフォームを表示していない場合)。
- Feed情報を確認し、正しければ[完了]をクリックします。
Feed定義ファイルが正常に作成されると、[Feedの作成]ウィザードが終了し、Feedと対応するトークン ファイルがFeedグリッドに表示され、進行状況を示す進捗バーが表示されます。各Feedは展開したり折りたたんで表示することが可能で、展開すると、Feedに含まれるサービスや正常に処理されたサービスを確認することができます。
Identity Feedの調査
Identity Feedは、Windowsオペレーティング システムからのインタラクティブなログオン イベントを追跡します。Identity Feedはインタラクティブなログオフ イベントを追跡しません。
Identity Feedでイベントを処理し、それらのイベントにタグ付けするためには、アクティブ ドメイン コントローラ/ドメイン コントローラ以外が構成されているWindowsログ収集モジュールを使用してイベントを収集する必要があります。Identity FeedはIdentity Feedイベント プロセッサーでのみ処理できます。
注:Identity Feedは、一度に1つのログのみ追跡します。システムに2人のユーザーが同時にログインすると、2番目のユーザーはIdentity Feedの最初のユーザーのデータを上書きします。
Identity Feedを作成した後は、Feedを調査して結果を表示できます。
構成されたIdentity Feedを調査するには、次の手順を実行します。
- Security Analyticsメニューに移動します。
-
[調査]>[ナビゲート]を選択します。
[Investigation]画面が表示されます。
- [Conc](Concentrator)を選択し、[ナビゲート]を選択します。
- [値のロード]を選択し、メタ キーを取得します。
下のパネルで、次の図に示すように下にスクロールしてメタ キーを検索します。
Identity Feedは、選択されたDecoderとLog Decoderに情報を提供します。Windowsオペレーティング システムからのホストのIPデータをそのホストにログインしているユーザーに関連づけて、そのIPと関連づけられているすべてのログにタグ付けし、調査します。