[アラートの作成/変更]ビューを使うと、アラートの追加、管理、編集を行うことができます。関連する手順については、「Reportsモジュールのアラートの操作」を参照してください。
[アラートの作成/変更]ビューにアクセスする手順:
- Security Analyticsメニューで、[レポート]をクリックします。
[管理]タブが表示されます。 - [アラート]をクリックします。
[アラート]ビューが表示されます。 - [アラート]ツールバーで
をクリックします。
次の図に、[アラートの作成/変更]ビューの例を示します。
[アラートの作成/変更]ビューは次のセクションで構成されます。
- [アラートの定義]セクション
- [アラートの説明]セクション
- [アラートの通知]セクション
[アラートの定義]セクション
[アラートの定義]セクションでは、アラート ルールとデータ ソースを選択したり、イベントをDecoderまたはLog Decoderにプッシュしたり、アラートを有効または無効にしたりできます。
次の表で、[アラートの定義]セクションのフィールドについて説明します。
| フィールド | 説明 |
|---|---|
| 有効化 |
|
| ルール | [参照]をクリックすると、[ルール ライブラリ]パネルが表示されます。ここで、このアラートのベースとなるルールを選択できます。 アラートに対して一意のWHERE句があるルールを選択する必要があります。 |
| データ ソース | アラートのデータ ソースを指定します。 |
| Decoderへのプッシュ | このオプションをオンにすると、アラート ルールの「WHERE」句を、選択したNWDBデータ ソースに接続されているDecoderにプッシュします。このオプションでは、アラート条件がDecoderでチェックされることになり、アラートのクエリーがNWDBの場合に比べて高速に実行されるため、REアラートを作成する際の推奨されるオプションです。 このオプションをオフにすると、選択したNWDBデータ ソースに対して、アラート ルールのWHERE句のクエリーが実行されます。ルールのWHERE句の複雑さやメタの構成によっては、アラートのクエリーをNWDBで処理すると、より多くの時間がかかる場合があります。 注:Security Analyticsが自動的にデータをDecoderに送信することはありません。 |
[アラートの通知]セクション
[アラートの通知]セクションでは、アラートの発行時にSecurity Analyticsが実行する出力アクションを定義し、定義したいずれかの出力アクションを使用してアラートを記録したり送信したりできます。出力アクションは、SMTP(Simple Mail Transfer Protocol)、SNMP(Simple Network Management Protocol)、Syslogメッセージです。
アラートを作成するときには、[通知]セクションにデフォルトの[レコード]タブが表示されます。[レコード]タブの横のアイコンを使用すると、このアラートに対して指定する出力の通知タイプをドロップダウン リスト (SMTP、SNMP、Syslog)から選択できます。
選択した通知タイプに応じ、アラートに対して適切なメタを付け加える特定の変数を含む事前定義済みのテキストが、[通知]セクションに表示されます。Reporting Engineでは、これらの変数は実際の値に置き換えられます。次の表に、変数とその説明のリストを示します。
| 変数 | 説明 |
|---|---|
| ${meta.<metakey>} | メタ キー値。 注:<metakey>によって値がフェッチされなかった場合、空の文字列("")が出力されます。 |
| ${meta.time} / ${meta.time:<time_format>} | ${meta.time}:セッション時間が、「yyyy-MMM-dd HH:mm:ss」の形式で出力されます。${meta.time:<time_format>}- セッション時間が、ユーザーによって指定されたカスタム時間形式で出力されます。例: ${meta.time:dd-MM-yyyy HH:mm:ss} サポートされている時間形式の詳細については、http://docs.oracle.com/javase/7/docs/api/java/text/SimpleDateFormat.htmlを参照してください。 注:ユーザーが指定した時間形式が無効な場合、デフォルトの時間形式が使用されます。デフォルトの時間形式は「yyyy-MMM-dd HH:mm:ss」です。 |
| ${name} | Reporting Engineで定義されているアラートの名前。 |
| ${count} | 特定のタイム フレームでアラートが検出される回数。(デフォルトは1分間です) |
| ${sa.host} | Reporting Engineで構成されているSecurity Analyticsホスト名。 |
| ${device.id} | データ ソースのSecurity AnalyticsデバイスID。 |
[アラートの通知]セクションには4つのタブがあります。
- レコード
- SMTP
- SNMP
- Syslog
[レコード]タブ
[レコード]タブでは、アラートを通知する頻度と、アラートが発行されたときに生成するメッセージを定義できます。
次の表に、[レコード]タブの各フィールドとその説明のリストを示します。
| フィールド | 説明 |
|---|---|
| 実行 | アラートを記録する頻度を示します。
注:SNMPおよびSyslog出力アクションに対しては、[実行]ドロップダウン リストから[イベントごと]を選択します。 |
| 本文 | メッセージの本文を示します。 |
| 本文テンプレート | (オプション)テンプレートが定義されている場合は、アラート メッセージのテンプレートを選択できます。 |
[SMTP]タブ
[SMTP]タブでは、このアラートのSMTP(メール)通知を定義できます。
次の表に、[SMTP]タブの各フィールドとその説明のリストを示します。
| フィールド | 説明 |
|---|---|
| 実行 | アラートに対してメール メッセージを送信する頻度を指定します。
|
| To | このアラートの送信先となるメール アドレス指定します。複数のアドレスを指定する場合には、コンマで区切って入力します。 |
| 件名 | メール メッセージの件名を示します。 |
| 本文 | メッセージの本文を示します。 |
| 本文テンプレート | (オプション)テンプレートが定義されている場合は、SMTPメッセージのテンプレートを選択し、そのまま使用することも、変更して使用することもできます。 |
[SNMP]タブ
[SNMP]タブでは、アラートのSNMP通知を定義できます。
次の表に、[SNMP]タブの各フィールドとその説明のリストを示します。
| フィールド | 説明 |
|---|---|
| 実行 | アラートに対してSNMPメッセージを送信する回数を示します。
|
| 本文 | メッセージの本文を示します。 |
| 本文テンプレート | (オプション)テンプレートが定義されている場合は、SNMPメッセージのテンプレートを選択し、そのまま使用することも、変更して使用することもできます。 |
[Syslog]タブ
[Syslog]タブでは、このアラートのSyslogメッセージ通知を定義できます。
をクリックすると、Syslog構成をアラートにすることができます。[新しいSyslog構成]ダイアログ ボックスが表示されます。
次の表で、[新しいSyslog構成]ダイアログについて説明します。
| フィールド | 説明 |
|---|---|
| Syslog構成 | [デバイス]の[構成]ビューの[Syslog構成]パネルで定義したSyslog構成を示します。 |
| 実行 | アラートに対してSyslog通知を送信する回数を示します。
|
| ファシリティ | メッセージのロギングを行っているプログラムのタイプを示します。プログラム タイプの例として、syslog、daemon、mail、 kernelがあります。 |
| 重大度 | 発行されたアラートの重大度のレベルを示します。
|
| 本文 | メッセージの本文を示します。 |
| 本文テンプレート | (オプション)テンプレートが定義されている場合は、Syslogメッセージのテンプレートを選択し、そのまま使用することも、変更して使用することもできます。 |
[アラートの説明]セクション
[アラートの説明]セクションでは、アラートの説明を指定できます。
次の表で、[アラートの説明]セクションのフィールドについて説明します。
| フィールド | 説明 |
|---|---|
| 説明 | アラートの説明を示します。 |
| 作成 | アラートを作成します。(このオプションは、アラートを作成するときに表示されます)。 |
| 保存 | アラートに加えた変更を保存します。(このオプションは、アラートを変更するときに表示されます)。 |