SDEE収集:構成パラメータ

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、SDEE(Security Device Event Exchange)イベント ソース パラメータについて説明します。

Log Collectorの[構成]ビューの[イベント ソース]タブにあるSDEEオプションでは、SDEE標準プロトコルでフォーマットされたIDS(侵入検知システム)データ(Cisco Secure IDSメッセージなど)を収集するための構成パラメーターを追加および管理できます。

SDEEイベント ソース構成パラメーターにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択します。
  4. イベント ソース]タブで、ドロップダウン メニューから[SDEE/構成]を選択します。

SDEEEvSrcTb.png

[イベント ソース]タブの[SDEE/構成]ビューには、[イベント カテゴリー]と[ソース]の2つのパネルがあります。

[イベント カテゴリー]パネル

[イベント カテゴリー]パネルで、適切なイベント ソース タイプを追加または削除できます。

                         
機能説明
Icon-Add.png イベント ソースを追加します。[使用可能なイベント ソース タイプ]ダイアログを表示します。このダイアログで、パラメータを定義するイベント ソース タイプを選択します。
Icon_Delete_sm.png 選択したイベント ソース タイプを[イベント カテゴリー]パネルから削除します。
Checkbox.png イベント ソース タイプを選択します。
名前追加したイベント ソース タイプの名前を表示します。

[使用可能なイベント ソース タイプ]ダイアログ

[使用可能なイベント ソース タイプ]ダイアログでは、サポート対象のイベント ソース タイプのリストが表示されます。

                         
機能説明
Checkbox.png 追加するイベント ソース タイプの名前を選択します。
タイプ追加できるイベント ソース タイプを表示します。
キャンセルイベント ソースを追加または保存せずに、ダイアログを閉じます。
OK選択したイベント ソース タイプを[イベント カテゴリー]パネルに追加します。

[ソース]パネル

このパネルを使用して、イベント ソースのレビュー、追加、変更、削除を行えます。

ツールバー

次の表に、ツールバー オプションの説明を示します。

                               
機能説明
Icon-Add.png

Firewallホストのパラメーターを定義する[ソースの追加]ダイアログが表示されます。

Icon_Delete_sm.png 選択したホストを削除します。
icon-edit.png

選択したイベント ソースのパラメーターを編集する[ソースの編集]ダイアログが開きます。

複数のイベント ソースを選択して、icon-edit.pngをクリックすると、選択したイベント ソースのパラメータ値を編集するための[ソースの一括編集]ダイアログが開きます。

イベント ソースのインポート、エクスポート、一括編集の方法の詳細については、「ログ収集の構成ガイド」を参照してください。

ImportSourceIcon.PNG

[一括追加オプション]ダイアログが開きます。このダイアログで、CSV(コンマ区切り形式)ファイルから一括でホストをインポートできます。

イベント ソースのインポート、エクスポート、一括編集の方法の詳細については、「ログ収集の構成ガイド」を参照してください。

ExportSourceIcon.PNG

選択したイベントソースのパラメータを含む.csvファイルを作成します。

イベント ソースのインポート、エクスポート、一括編集の方法の詳細については、「ログ収集の構成ガイド」を参照してください。

[ソースの追加]または[ソースの変更]ダイアログ

このダイアログでは、DSNを追加または変更します。

                       
機能説明
ソース パラメータデフォルト値が入力されたパラメータを一覧表示します。適切な値を入力するか、適切な値に変更します。
キャンセルファイル ディレクトリを追加せずに、または選択されたイベント ソースのパラメーター値を保存せずに、ダイアログを閉じます。
OK[ソースの追加]ダイアログでは、ファイル イベントソースとそのパラメータを追加します。[ソースの変更]ダイアログでは、選択されたイベント ソースのパラメータ値の変更を適用します。

[ソースの追加]または[ソースの編集]のパラメータ

次の表に、ソース パラメーターの説明を示します。

                                                                                                          
名前説明
基本
名前*イベント ソースの名前です。
ユーザ名*イベント ソースに認証するためのユーザー名です。
パスワード*

イベント ソースに認証するためのパスワードです。

注意:パスワードは内部的に暗号化され、暗号化された形式で表示されます。

アドレス*IDSセンサーであるイベント ソースのIPアドレスです。
有効イベント ソース構成を有効化して収集を開始するには、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。
証明書

転送モードがhttpsである場合に使用するセキュア接続の証明書名です。[設定]タブを使って作成し、トラスト ストアに存在する証明書を指定します。

注:このフィールドを空白にすると、Security Analyticsは検証を実行しません。

拡張
ポートポート番号。有効なポート番号の範囲は1~65535です(デフォルト値は443)。
SSLバージョン

イベント ソースが通信に使用するSSLのバージョン。  有効な値は次のとおりです。

  • tlsv1(デフォルト)
  • sslv2
  • sslv3
  • sslv2
RAWイベント データ含む

Log Decoderに送信されるイベント データに、SDEEイベント ソースから収集されたイベントのRAW XMLデータを含める場合は、このチェックボックスをオンにします。このチェックボックスは、デフォルトではオンになっていません。

注:このパラメータは、Content 3.0データでのみサポートされています。

RAW XMLファイル保存このチェックボックスをオンにすると、RAWデータが /var/netwitness/logcollector/runtime/sdee/saved_raw_eventsに送信されます。このチェックボックスは、デフォルトではオンになっていません。
保存ファイルのクォータ保存されたXMLファイルで使用できるスペースの容量。有効な値は、割り当てるスペースのMB数、KB数、GB数のいずれかです。Security Analyticsのデフォルトは100メガバイトです。
サブスクリプション イベント タイプ

(初回のサブスクリプション リクエスト時にのみ適用されます。)

特定のサブスクリプション イベント タイプ(IDSアラートなど)にイベントをフィルターします。デフォルトはevIdsAlertです。

サブスクリプションの強制

(初回のサブスクリプション リクエスト時にのみ適用されます。)

サブスクリプションの最大数までオープンしていてもSDEEサーバーでサブスクリプションを作成する必要がある場合は、このチェックボックスをオンにします。このチェックボックスはデフォルトでオンになっています。

注:サーバは既存のサブスクリプションを閉じて、新しいサブスクリプションをオープンします。

サブスクリプションの重大度フィルタ

(初回のサブスクリプション リクエスト時にのみ適用されます。)

SDEEイベント ソースによって生成されたすべてのイベントには、重大度レベルが割り当てられます。このパラメータを使うと、イベント メッセージの重大度に応じてフィルタできます。このフィールドを空白のままにすると、Security Analyticsは重大度レベルに関係なくすべてのイベントを収集します。
たとえば、mediumおよびhighの重大度レベルのイベントのみを収集する場合、このパラメータに次の文字列を指定します。
medium+high

サブスクリプション タイム オフセット

(初回のサブスクリプション リクエスト時にのみ適用されます。)

デフォルトは0です。このパラメータでは、いつまでさかのぼって(秒単位)イベントを取り出すかを指定できます。

ポーリング間隔

ポーリングの間隔(秒)です。デフォルト値は180です。

たとえば、180と指定すると、Collectorは、イベント ソースへのポーリングを180秒ごとに実行します。ポーリング サイクル(収集)が進行中である場合、Collectorは、そのサイクルが完了するまで待機します。ポーリング中のイベント ソースが多数ある場合、スレッドがビジーになるため、ポーリングが開始するまでに180秒より長くかかる場合があります。

ポーリング最大イベント数ポーリング サイクルごとのイベントの最大値(ポーリング サイクルごとに収集されるイベント数)です。
クエリー タイムアウトデータがない場合にクエリーを待機する時間(秒)です。SDEEイベント ソースに通知されます。
URLパラメータパラメーターをURLストリングに追加します(たとえば、/cgi-bin/sdee-server.cgi)。
URLパスSDEEサーバのURLパスです。
URLプロトコル

有効な値は次のとおりです。

  • http
  • https[https]
Debug

注意:イベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に(このパラメータをOnまたはVerboseに設定)します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響があります。

イベント ソースのデバッグ記録を有効または無効にします。有効な値は次のとおりです。
  • Off = (デフォルト)無効
  • On = 有効
  • Verbose = verboseモードで有効になります。スレッド情報とソース コンテキスト情報をメッセージに追加します。
このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。
この値を変更すると、変更はすぐに反映されます(再起動は不要です)。
パフォーマンスへの影響を最小限にするために、デバッグのVerboseモードは、監視するイベント ソース数が限定された環境で設定するようにしてください。

タスク

ステップ1:Security AnalyticsでのSDEEイベント ソースの構成

You are here
Table of Contents > SDEE収集構成ガイド > 参考資料:SDEEイベント ソース構成パラメータ

Attachments

    Outcomes