レポート:アラートの追加

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、アラートを追加する手順について説明します。

前提条件

以下の項目について確認します。

  • アラートを追加する前に、一意のwhere句を含むルールを定義済みである必要があります。
  • アラート ルールを追加する前に、データ ソースとしてReporting Engineに追加したConcentratorにDecoderが接続済みである必要があります。
  • [アラートの作成/変更]ビューのコンポーネントについて理解している必要があります。詳細は、次のトピックを参照してください: [アラートの作成/変更]ビュー.

手順

アラートを追加するには、次の手順を実行します。

  1. Security Analyticsメニューで、レポート]をクリックします。
    [管理]タブが表示されます。
  2. アラート]をクリックします。
    [アラート]ビューが表示されます。
  3. アラート]ツールバーでadd_button.pngをクリックします。

    [アラートの作成/変更]タブが表示されます。

    add_alert_tabbd_104.png

    注: メタ キーをルールに追加する場合は、${meta.metakey}の形式で指定します。たとえば、「${meta.ip.dst}」のように指定します。

  4. 有効化]をクリックして、アラートを有効にします。
  5. ルール]フィールドで、次の操作を実行します。

    1. 参照]をクリックします。
      [ルールのルックアップ]ダイアログ ボックスが表示されます。
    2. ルール ツリーを参照し、ルールを選択します。
    3. OK]をクリックします。
      [ルール]フィールドにルール名が表示されます。
  6. データ ソース]ドロップダウン リストからデータ ソースを選択します。

    注:データ ソースが表示されない場合は、そのデータ ソースに対する読み取り権限があることを確認します。これはNWDBおよびWarehouseデータ ソースの場合に該当します。場合に該当します。詳細については、「ホストおよびサービスの構成ガイド」のデータ ソースの権限の構成に関するトピックを参照してください。

  7. Decoderへのプッシュ]チェックボックスを選択し、ルールをReporting EngineからDecoderに送信します。
  8. (オプション)[説明]フィールドにアラートの説明を入力します。
  9. 重大度]ドロップダウン リストから重大度レベルを選択します。
  10. 通知]フィールドで、次の操作を実行します。

    1. 該当する通知を選択します。
      [アラートの作成/変更]ダイアログ ボックスに、選択した通知のタブが表示されます。
    2. (オプション)通知の選択を解除して[通知]タブを無効化します。
    3. いずれかの[通知]タブを使用して、アクションを定義します。

      1. レコード]タブで、次の操作を実行します。
        1. 実行]ドロップダウン リストから、アラートを記録する頻度を指定します。 
        2. レコード メッセージを入力します。メッセージを入力するか、[本文テンプレート]フィールドでテンプレートを選択し、必要に応じて変更することもできます。
        3. (オプション)テンプレートが定義されている場合は、レコード メッセージのテンプレートを選択し、そのまま使用することも、変更して使用することもできます。
      2. SMTP]タブで、次の操作を実行します。
        1. 実行]ドロップダウン リストから、アラートのメール メッセージを送信する頻度を指定します。
        2. このアラートの送信先となるメール アドレスを指定します。複数のアドレスを指定する場合には、コンマで区切って入力します。 
        3. メール メッセージの件名を入力します。
        4. メッセージの本文を入力します。メッセージを入力するか、[本文テンプレート]フィールドでテンプレートを選択して、必要に応じて変更して使用することもできます。
        5. (オプション)テンプレートが定義されている場合は、SMTPメッセージのテンプレートを選択し、そのまま使用することも、変更して使用することもできます。
      3. SNMP]タブで、次の操作を実行します。
        1. 実行]ドロップダウン リストから、アラートのSNMPメッセージを送信する頻度を指定します。
        2. SNMPメッセージを入力します。メッセージを入力するか、[本文テンプレート]フィールドでテンプレートを選択し、必要に応じて変更することもできます。
        3. (オプション)テンプレートが定義されている場合は、SNMPメッセージのテンプレートを選択し、そのまま使用することも、変更して使用することもできます。
      4. Syslog]タブで、次の操作を実行します。

        注:[Syslog構成]パネルで、複数のSyslogサーバを構成できます。詳細については、「ホストおよびサービスの構成ガイド」で「Reporting Engineの[出力アクション]」トピックを参照してください。

        1. add_button.pngをクリックします。
          [新しいSyslog構成]ダイアログ ボックスが表示されます。
          new_syslog_config_dialog_104.png
        2. Syslog構成]ドロップダウン リストから、Syslog構成の値を選択します。
        3. 実行]ドロップダウン リストから、アラートのSyslogメッセージを送信する頻度を指定します。
        4. ファシリティ]ドロップダウン リストからファシリティを選択します。
        5. 重大度]ドロップダウン リストから重大度レベルを選択します。
        6. Syslogメッセージを入力します。メッセージを入力するか、[本文テンプレート]フィールドでテンプレートを選択し、必要に応じて変更することもできます。
        7. (オプション)テンプレートが定義されている場合は、Syslogメッセージのテンプレートを選択し、そのまま使用することも、変更して使用することもできます。
        8. 保存]をクリックします。
          Syslog構成がアラートに追加されます。
  11. 作成]をクリックします。
    Security Analyticsによりアラートが作成され、アラートが正常に保存されたことを示す確認メッセージが表示されます。Security Analyticsにより1分ごとにアラートが実行され、出力アクションが実行されます。
Previous Topic:アラートの定義
You are here
Table of Contents > Reportsモジュールのアラートの使用 > アラートの定義 > アラートの追加

Attachments

    Outcomes