MA:[サービス]の[構成]ビュー:[監査]タブ

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Security Analytics Malware Analysisの[サービス]の[構成]ビューにある[監査]タブの機能について説明します。Security Analytics Malware Analysisの[サービス]の[構成]ビューにある[監査]タブでは、監査機能を構成できます。Malware Analysisには、各スコア モジュール(ネットワーク、静的、コミュニティ、サンドボックス)で構成されたスコア閾値を超えた場合にアラート(Syslog、SNMP、監査ログ ファイル エントリー)を送信できる自動化された監視システムがあります。Security Analytics Malware Analysisは、サポートされている監査フォーマットを取り込める任意の外部システムに対して、自動的にアラートをFeedすることができます。解析対象セッションの各ファイルごとに、スコアが閾値以上に達した場合、アラートを生成します。
監査ログは、重大なイベントまたはアクションに対してMalware Analysisアプライアンスで保持されるログ ファイルです。監査ログファイルは、時間の経過とともにサイズが増加するため、特定のタイミングで退避され、監査履歴が保持されます。これらの監査ログのサイズと数は、いずれも構成可能です。
次に、ログに記録されるイベントの例をいくつか示します。

  • ユーザー ログインの成功と失敗
  • システム構成設定の変更
  • サーバ再起動
  • サーバのバージョン アップグレードやインストール
  • 監査の閾値を超える疑わしいイベント

Security Analytics Malware Analysisは、監査イベントをSNMPトラップとして構成済みSNMPトラップ ホストに送信できます。また、ログをSyslogフォーマットに統合できます。詳細な手順については、次のタスク トピックを参照してください:Malware Analysisアプライアンスの監査の構成

機能

[監査]タブには、4つのセクションと、変更を保存して有効にする[適用]ボタンがあります。

監査の閾値

この表は、[監査の閾値]セクションの機能について説明しています。

                                
名前構成
コミュニティ静的ネットワークサンドボックスの各閾値イベント情報をログ ファイルに記録するためのMalware Analysisスコア モジュール閾値。イベントのスコアがすべての監査閾値に達している場合に、Security Analytics Malware Analysisはイベント情報をログ ファイルに記録します。解析が完了した各スコア カテゴリーは、そのカテゴリーの構成済み監査閾値と比較されます。解析が完了したすべてのカテゴリーで閾値を超えていないと、監査イベントをトリガーしません。
有効な値は、0~100の整数です。閾値が低すぎると、大量の監査イベントおよび通知が発生する可能性があります。
Notify when Installed A/V Misses and Primary A/V Detectsインストールされているアンチウイルスソフトウェアがウイルスを検出せず、プライマリアンチウイルスソフトウェアがそのウイルスを検出したときに、メッセージをログ ファイルに記録します。記録されたメッセージは、有効化されているすべての監査方法で送信されます (SNMP、ファイル、Syslog)。
デフォルトでは、チェックボックスはオフになっています。
Notify when Installed A/V Misses and Secondary A/V Detectsインストールされているアンチウイルスソフトウェアがウイルスを検出せず、セカンダリアンチウイルスソフトウェアがそのウイルスを検出したときに、メッセージをログ ファイルに記録します。記録されたメッセージは、有効化されているすべての監査方法で送信されます (SNMP、ファイル、Syslog)。
デフォルトでは、チェックボックスはオフになっています。
Notify when Installed A/V Misses and Other A/V Detectsインストールされているアンチウイルスソフトウェアがウイルスを検出せず、その他のアンチウイルスソフトウェアがそのウイルスを検出したときに、メッセージをログ ファイルに記録します。記録されたメッセージは、有効化されているすべての監査方法で送信されます (SNMP、ファイル、Syslog)。
デフォルトでは、チェックボックスはオフになっています。
Notify when High Confidence IOC triggers高確率のIOC(セキュリティ侵害インジケータ)がトリガーしたときに、メッセージをログ ファイルに記録します。記録されたメッセージは、有効化されているすべての監査方法で送信されます (SNMP、ファイル、Syslog)。
デフォルトでは、チェックボックスはオフになっています。

SNMP監査

SNMP(Simple Network Management Protocol)は、IPネットワーク上のサービスを管理するためのプロトコルです。SNMP監査が有効になっている場合、Security Analytics Malware Analysisは監査イベントをSNMPトラップとして構成済みSNMPトラップ ホストに送信できます。 

この表は、[SNMP監査]セクションの機能について説明しています。

                                           
名前構成
Enabledクリックすると、SNMP監査を有効または無効にできます。
Server NameターゲットSNMPサーバが動作しているホスト。
Server PortSNMPトラップ レシーバがリッスンしているポート。
SNMP Versionトラップ送信時に使用するSNMPプロトコルのバージョン。
Trap OID送信するトラップのタイプの識別に使用するオブジェクトID。
コミュニティSecurity Analytics Malware Analysisが属するSNMPグループ。
Number Of Retriesトラップの送信を再試行する回数。
Timeout確認を待つためのタイムアウト期間。

Incident Managementの監査

[Incident Managementアラート]セクションには、Security AnalyticsのIncident Management機能を有効にしてからアラートを受け取るためのチェックボックスが用意されています。[有効化]をクリックすると、syslog監査が有効または無効になります

ファイル監査

この表は、[ファイル監査]セクションの機能について説明しています。Security Analytics Malware Analysisアプライアンスのディスク領域を圧迫しないようにするため、最大ファイル サイズとアーカイブ ファイル数が大きくなり過ぎないようにします。

                       
名前構成
Enable File Auditing

クリックすると、ファイルの監査を有効または無効にできます。

Archive File Count

Security Analytics Malware Analysisは、この設定で定義されている数のログ ファイルを保存します。最大数に到達したとき、最も古いログ ファイルが削除されます。削除されたログ ファイルは復元できません。
デフォルト値は20です。有効な値は次のとおりです。1~50の整数。

Max File Size

アーカイブ前の監査ログ ファイルの最大サイズです。デフォルト値は10,485,760バイトです。

Syslog監査


この表は、[監査の閾値]セクションの機能について説明しています。

                                                   
機能説明
Enabledクリックすると、Syslog監査を有効または無効にできます。
Server NameターゲットSyslogプロセスが動作しているホストです。
Server PortターゲットSyslogプロセスがリッスンしているポートです。
Facilityすべての送信Syslogメッセージに使用する、Syslogファシリティです。指定できる値は、KERN、USER、MAIL、DAEMON、AUTH、SYSLOG、LPR、NEWS、UUCP、CRON、AUTHPRIV、LOCAL1~LOCAL7です。
EncodingSyslogメッセージのテキストで使われるエンコーディングです。たとえば、UTF-8など。
Formatメッセージ形式です。使用可能な値:Default, PCI DSS, or SEC.
Max LengthSyslogメッセージの最大長(バイト数)です。デフォルトは1024です。最大長を超えるメッセージはトランケートされます。
Include Local Timestampメッセージにローカルのタイム スタンプを使うには、このチェックボックスをオンにします。
Include Local Hostnameローカルのホスト名を含めるには、このチェックボックスをオンにします。
Identity Stringこれは、各Syslogアラートに付加するID文字列です。この文字列が空白の場合、送信するSyslogアラートにID文字列は付加されません。これを使用して、アラートのソースを識別できます。一般的には、Syslogメッセージを送信するプログラム名を設定します。
You are here
Table of Contents > Malware Analysisの参考資料 > [サービス]の[構成]ビュー:[監査]タブ

Attachments

    Outcomes