レポート:[アラートの作成/変更]ビュー

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

[アラートの作成/変更]ビューを使うと、アラートの追加、管理、編集を行うことができます。関連する手順については、「Reportsモジュールのアラートの操作」を参照してください。

[アラートの作成/変更]ビューにアクセスする手順:

  1. Security Analyticsメニューで、レポート]をクリックします。
    [管理]タブが表示されます。
  2. アラート]をクリックします。
    [アラート]ビューが表示されます。
  3. アラート]ツールバーでadd_button.pngをクリックします。
    次の図に、[アラートの作成/変更]ビューの例を示します。
    106_create_or_modify_alert.png

[アラートの作成/変更]ビューは次のセクションで構成されます。

  • [アラートの定義]セクション
  • [アラートの説明]セクション
  • [アラートの通知]セクション

[アラートの定義]セクション

[アラートの定義]セクションでは、アラート ルールとデータ ソースを選択したり、イベントをDecoderまたはLog Decoderにプッシュしたり、アラートを有効または無効にしたりできます。

106_alert_def_pane.png

次の表で、[アラートの定義]セクションのフィールドについて説明します。

                         
フィールド説明
有効化
  • 有効化]:アラートをアクティブ化します。アラートは1分単位でチェックされ(デフォルト)、条件に適合すれば、出力アクションを実行します。
  • 無効化]:アラートを非アクティブ化します。アラートは実行されず、出力アクションは実行されません。
ルール[参照]をクリックすると、[ルール ライブラリ]パネルが表示されます。ここで、このアラートのベースとなるルールを選択できます。
アラートに対して一意のWHERE句があるルールを選択する必要があります。
データ ソースアラートのデータ ソースを指定します。
Decoderへのプッシュ

このオプションをオンにすると、アラート ルールの「WHERE」句を、選択したNWDBデータ ソースに接続されているDecoderにプッシュします。このオプションでは、アラート条件がDecoderでチェックされることになり、アラートのクエリーがNWDBの場合に比べて高速に実行されるため、REアラートを作成する際の推奨されるオプションです。

このオプションをオフにすると、選択したNWDBデータ ソースに対して、アラート ルールのWHERE句のクエリーが実行されます。ルールのWHERE句の複雑さやメタの構成によっては、アラートのクエリーをNWDBで処理すると、より多くの時間がかかる場合があります。

注:Security Analyticsが自動的にデータをDecoderに送信することはありません。

[アラートの通知]セクション

[アラートの通知]セクションでは、アラートの発行時にSecurity Analyticsが実行する出力アクションを定義し、定義したいずれかの出力アクションを使用してアラートを記録したり送信したりできます。出力アクションは、SMTP(Simple Mail Transfer Protocol)、SNMP(Simple Network Management Protocol)、Syslogメッセージです。

アラートを作成するときには、[通知]セクションにデフォルトの[レコード]タブが表示されます。[レコード]タブの横のアイコンを使用すると、このアラートに対して指定する出力の通知タイプをドロップダウン リスト (SMTP、SNMP、Syslog)から選択できます。

選択した通知タイプに応じ、アラートに対して適切なメタを付け加える特定の変数を含む事前定義済みのテキストが、[通知]セクションに表示されます。Reporting Engineでは、これらの変数は実際の値に置き換えられます。次の表に、変数とその説明のリストを示します。

                                 
変数説明
${meta.<metakey>} メタ キー値。

注:<metakey>によって値がフェッチされなかった場合、空の文字列("")が出力されます。 

${meta.time} / ${meta.time:<time_format>} ${meta.time}:セッション時間が、「yyyy-MMM-dd HH:mm:ss」の形式で出力されます。${meta.time:<time_format>}- セッション時間が、ユーザーによって指定されたカスタム時間形式で出力されます。例: ${meta.time:dd-MM-yyyy HH:mm:ss}

サポートされている時間形式の詳細については、http://docs.oracle.com/javase/7/docs/api/java/text/SimpleDateFormat.htmlを参照してください。

注:ユーザーが指定した時間形式が無効な場合、デフォルトの時間形式が使用されます。デフォルトの時間形式は「yyyy-MMM-dd HH:mm:ss」です。

${name}      Reporting Engineで定義されているアラートの名前。
${count}     特定のタイム フレームでアラートが検出される回数。(デフォルトは1分間です)
${sa.host}     Reporting Engineで構成されているSecurity Analyticsホスト名。
${device.id}      データ ソースのSecurity AnalyticsデバイスID。

[アラートの通知]セクションには4つのタブがあります。

  • レコード
  • SMTP
  • SNMP
  • Syslog

[レコード]タブ

[レコード]タブでは、アラートを通知する頻度と、アラートが発行されたときに生成するメッセージを定義できます。
106_alert_RECORD_pane.png

次の表に、[レコード]タブの各フィールドとその説明のリストを示します。

                     
フィールド説明
実行アラートを記録する頻度を示します。
  • 1回]:アラートの発行回数に関係なく、アラートの間隔に基づいて1回のみアラートを通知します。Security Analyticsでは時間内に実際にアラートが発行された回数をログ ファイルに記録するため、アナリストは特定のアラートが実際に発行された回数を知ることができます。
  • イベントごと]:アラートが発行されるたびに通知します。アラートが1日に何度も発行された場合は、それらのアラートはノイズとして扱われることが多く、ネットワーク構成の変更やDDOS攻撃など、継続的な監視が必要なアラートを除いて無視できます。

注:SNMPおよびSyslog出力アクションに対しては、[実行]ドロップダウン リストから[イベントごと]を選択します。 

本文メッセージの本文を示します。
本文テンプレート(オプション)テンプレートが定義されている場合は、アラート メッセージのテンプレートを選択できます。 

[SMTP]タブ

[SMTP]タブでは、このアラートのSMTP(メール)通知を定義できます。
106_alert_SMTP_pane.png

次の表に、[SMTP]タブの各フィールドとその説明のリストを示します。

                             
フィールド説明
実行アラートに対してメール メッセージを送信する頻度を指定します。
  • 1回]:一定時間内に発行されたアラートは、発行回数に関係なく、その時間内につき1回のみメールを送信します。
  • イベントごと]:ルール条件を満たすイベントが発生するたびにアラートを通知するメールを送信します。
Toこのアラートの送信先となるメール アドレス指定します。複数のアドレスを指定する場合には、コンマで区切って入力します。 
件名メール メッセージの件名を示します。
本文メッセージの本文を示します。
本文テンプレート(オプション)テンプレートが定義されている場合は、SMTPメッセージのテンプレートを選択し、そのまま使用することも、変更して使用することもできます。

[SNMP]タブ

[SNMP]タブでは、アラートのSNMP通知を定義できます。
106_alert_SNMP_pane.png
次の表に、[SNMP]タブの各フィールドとその説明のリストを示します。

                     
フィールド説明
実行アラートに対してSNMPメッセージを送信する回数を示します。
  • 1回]:一定時間内に発行されたアラートは、発行回数に関係なく、その時間内につき1回のみ、SNMPメッセージを送信します。
  • イベントごと]:ルール条件を満たすイベントが発生するたびにアラートを通知するSNMPメッセージを送信します。
本文メッセージの本文を示します。
本文テンプレート(オプション)テンプレートが定義されている場合は、SNMPメッセージのテンプレートを選択し、そのまま使用することも、変更して使用することもできます。

[Syslog]タブ

[Syslog]タブでは、このアラートのSyslogメッセージ通知を定義できます。
106_alert_Syslog_pane.png

add_button.pngをクリックすると、Syslog構成をアラートにすることができます。[新しいSyslog構成]ダイアログ ボックスが表示されます。
106_new_syslog_config_dialog.png
次の表で、[新しいSyslog構成]ダイアログについて説明します。

                                 
フィールド説明
Syslog構成[デバイス]の[構成]ビューの[Syslog構成]パネルで定義したSyslog構成を示します。
実行アラートに対してSyslog通知を送信する回数を示します。
  • 1回]:一定時間内に発行されたアラートは、発行回数に関係なく、その時間内につき1回のみ、Syslog通知を送信します。
  • イベントごと]:ルール条件を満たすイベントが発生するたびにアラートを通知するSyslog通知を送信します。
ファシリティメッセージのロギングを行っているプログラムのタイプを示します。プログラム タイプの例として、syslog、daemon、mail、 kernelがあります。
重大度発行されたアラートの重大度のレベルを示します。
  • 緊急
  • アラート
  • 重大
  • エラー
  • 警告
  • 通知
  • 情報
  • デバッグ
本文メッセージの本文を示します。
本文テンプレート(オプション)テンプレートが定義されている場合は、Syslogメッセージのテンプレートを選択し、そのまま使用することも、変更して使用することもできます。

[アラートの説明]セクション

[アラートの説明]セクションでは、アラートの説明を指定できます。
106_alert_descr_pane.png

次の表で、[アラートの説明]セクションのフィールドについて説明します。

                     
フィールド説明
説明アラートの説明を示します。
作成アラートを作成します。(このオプションは、アラートを作成するときに表示されます)。
保存アラートに加えた変更を保存します。(このオプションは、アラートを変更するときに表示されます)。
You are here
Table of Contents > Reportsモジュールの参考資料 > アラートに関する参考情報 > [アラートの作成/変更]ビュー

Attachments

    Outcomes