Windows収集:ステップ1:SAでのイベント ソースの構成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Log CollectorにWindowsイベント ソースを構成する方法について説明します。

この手順を完了すると、次のタスクが完了します。

  • Windowsイベント ソースの構成。
  • Windowsイベント ソースの変更。
  • チャネル名の確認とWindowsイベント ソースへのチャネル名の追加。

手順に戻る

手順

Windowsイベント ソースの構成  

Windowsイベント ソースの追加

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択します。
  4. イベント ソース]タブで、ドロップダウン メニューから[Windows/構成]を選択します。
    イベント カテゴリー]パネルに、構成済みのWindowsイベント ソースが表示されます(存在する場合)。

イベント ソース(エイリアス)の構成

  1. イベント カテゴリー]パネル ツールバーで、Icon-Add.pngをクリックします。
    イベント ソースの追加]ダイアログが表示されます。
  2. パラメータに必要な値を指定し、[OK]をクリックします。
    AddWinES.PNG
    新しく追加されたWindowsイベント ソースが[イベント カテゴリー]パネルに表示されます。

イベント ソース ホストの追加

  1. イベント カテゴリー]パネルで新しいイベント ソース(エイリアス)を選択します。
    ホスト]パネルがアクティブ化されます。
  2. ホスト]パネル ツールバーで、Icon-Add.pngをクリックします。
    ソースの追加]ダイアログが表示されます。
  3. ホスト パラメーターに必要な値を指定します。
    AddWinHst.png
  4. 接続のテスト]をクリックします。
    テストの結果がダイアログ ボックスに表示されます。テストが失敗した場合は、デバイスまたはサービスの情報を編集し、再試行します。

注:Log Collectorでは、約60秒後にテストの結果を返します。制限時間を超えると、テストがタイムアウトになり、Security Analyticsはエラー メッセージを表示します。

  1. テストが正常に実行された場合は、[OK]をクリックします。新たに追加したホストが[ホスト]パネルに表示されます。

Windowsイベント ソースの変更

Windowsイベント ソースを変更するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択します。
  4. イベント ソース]タブで、ドロップダウン メニューから[Windows/構成]を選択します。
  5. ソースのパラメータを変更するには、次の手順を実行します。
    1. イベント カテゴリー]パネルで、ソースを選択し、icon-edit.pngをクリックします。
      ソースの編集]ダイアログが表示されます。
    2. 修正が必要なソースのパラメータを変更し、[OK]をクリックします。
      EditWinES.PNG
      Security Analyticsにより、選択されたソースにパラメーターの変更が適用されます。
  6. イベント ソース ホストを変更するには、次の手順を実行します。
  1. ホスト]パネルで、ホストを選択し、icon-edit.pngをクリックします。
    ソースの編集]ダイアログが表示されます。
  2. 修正が必要なホストのパラメータを変更し、[OK]をクリックします。
    EditWinHst.png
    Security Analyticsにより、選択されたホストにパラメーターの変更が適用されます。

チャネル名の確認とWindowsイベント ソースへのチャネル名の追加

不明なチャネル名を調べ、Windowsイベント ソースにそのチャネル名を追加するには、次の手順を実行します。

  1. Windowsイベント ソースのオペレーティング システムで、目的のイベントを確認します。
  2. 詳細]タブをクリックし、Channelフィールドを探します。見つかったChannelフィールドの値がチャネル名になります(たとえば、Microsoft-Windows-WinRM/Operational)。
    Determine_Channel1.PNG
  3. Security Analyticsでイベント ソースを編集し、チャネル パラメーターにチャネルを追加して、[OK]をクリックします。例:
    DetermineChannel2.PNG
Previous Topic:手順
You are here
Table of Contents > Windows収集構成ガイド > 手順 > ステップ1:Security AnalyticsでのWindowsイベント ソースの構成

Attachments

    Outcomes