Windows Legacy収集:基本的な操作

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Windows Legacy収集プロトコルの仕組みと導入方法について説明します。また、このプロトコルの構成方法の概要を説明します。

Legacy WindowsおよびNetApp Collectionの仕組み

Windows Legacy収集プロトコルを使用して、次のソースからイベントを収集するようSecurity Analyticsを構成します。

  • 以前のバージョンのMicrosoft Windowsイベント ソース(Window 2003またはそれ以前のイベント ソース)
  • NetAppイベント ソース

Windows 2003またはそれ以前のイベント ソース

Legacy Windowsイベント ソースとは、以前のバージョンのWindows(Windows 2000、Windows 2003など)のイベント ソースを指します。  Windows Legacy収集プロトコルでは、enVisionでイベントを収集していたWindowsイベント ソースからイベントを収集できます。再構成を行う必要はありません。これらのイベント ソースは、[windows]タイプのイベント ソースとして設定します。 

NetAppイベント ソース

Data ONTAPを実行しているNetAppアプライアンスは、Windows Serverに似たネイティブ監査フレームワークをサポートします。NetAppイベント ソースを構成すると、この監査フレームワークは、Windows .evtファイル形式で監査イベントを生成および保存します。Windows Legacyコレクション プロトコルは、NetApp .evtファイルからのイベント収集をサポートします。  これらのイベント ソースは、[netapp_evt]タイプのイベント ソースとして設定します。 

NetApp Data ONTAPアプライアンスは、CIFS監査イベントを生成し、ファイル名にタイムスタンプが含まれる形式で.evtファイルとして定期的に保存するように構成されています。詳細については、SCOL(SecurCare Online)のNetAppイベント ソースの構成に関するドキュメントを参照してください。この収集プロトコルでは、最後に処理された.evtファイルのファイル名のタイムスタンプを保存して、収集ステータスを追跡します。

NetApp固有のパラメータ

[ソースの追加/編集]ダイアログで管理するほとんどのパラメータは、Windows Legacyイベント ソースとNetAppイベント ソースの両方で共通しています。

次の2つのパラメータは、NetAppイベント ソースに固有のものです。

  • イベント ディレクトリ パス]:NetAppアプライアンスは、イベント データを生成し、これをNetAppアプライアンス上の共有可能ディレクトリに.evtファイルとして保存します。Security Analyticsでは、[イベント ディレクトリ パス]パラメーターにこのディレクトリ パスを指定する必要があります。
  • イベント ファイル プレフィックス]:[イベント ディレクトリ パス]と同様に、Security Analyticsがこのデータを処理できるように、イベント データ.evtファイルのプレフィックスを指定する必要があります(たとえば、adtlog.)。

それぞれのポーリング サイクルにおいて、Security Analyticsは、[イベント ディレクトリ パス]パラメーターと[イベント ファイル プレフィックス]パラメーターで指定したNetApp共有パスの.evtファイルを参照します。Security Analyticsでは以下の処理を行います。

  • event-file-prefix.YYMMDDhhmmss.evt形式に一致するファイルを昇順でソートします。
  • 最後に処理されたファイルのタイムスタンプを使用して、処理が必要なファイルを判定します。部分的に処理されたファイルが見つかった場合、Security Analyticsはすでに処理済みのイベントをスキップします。

導入のシナリオ

Windows Legacy収集プロトコルでは、Windows 2003以前とNetApp ONTAPアプライアンスのイベント ソースからイベント データが収集されます。Windows LegacyリモートCollectorは、イベント ソース ドメイン内の物理環境または仮想環境の64ビットWindows 2008 ServerにインストールされたSA Legacy Windows Collectorです。

Windows_Legacy_Mult-Domain_Data_Flow.png

Security AnalyticsでのWindows Legacy収集プロトコルの構成

Log Collectorの[構成]ビューの[イベント ソース]タブでWindows Legacy収集を構成します。  次の図に、Security AnalyticsでWindows Legacy収集のイベント ソースを構成するための基本的なワークフローを示します。  次の項目を参照してください。

 

Next Topic:手順
You are here
Table of Contents > Windows Legacy収集およびNetApp収集の構成ガイド > 基本的な操作

Attachments

    Outcomes