on Feb 17, 2017このガイドでは、Security AnalyticsのReportsモジュールの機能について説明します。ReportsモジュールではSecurity Analyticsルールを設定し、レポートを定義、スケジュール設定、表示できます。
Reportsモジュールを使用すると、次の項目を作成、管理、表示できます。
- ルール
- レポート
- チャート
- アラート
- リスト
- Warehouse Analytics
Reportsのユーザー インタフェースから、次の図のラベルで示した各セクションに移動することができます。
ユーザー インタフェースはタブ形式で構成され、各タスク(作成、編集、スケジュール、表示)をクリックすると、新しいタブが開きます。タスクごとに複数のウィンドウを開く必要がありません。収集したログやパケット データに関するレポートとアラートを生成できるほか、レポートやチャートをカスタマイズして結果を見やすく表示することができます。履歴データのリアルタイム レポートを作成できます。チャートを作成し、リアルタイム チャート ダッシュレットに追加することもできます。
Reportsモジュールが利用するレポート、アラート、チャート用のデータはReporting Engineが取得します。そのためレポートを生成する前にReporting Engineを構成する必要があります。また、Reporting Engineのデータ取得元となるデータ ソースを指定する必要があります。
次の表では、Reportsモジュールで実行する必要のあるタスクを実行する順に説明します。
注:Reportsモジュール内のコンポーネントへのアクセス権が必要となります。次のトピックを参照してください:Reportsモジュールのロールの追加および権限の割り当て.
| ステップ | 説明 |
|---|---|
| 1 | |
| 2 | |
| 3 | |
| 4 | |
| 5 | |
| 6 | |
| 7 | |
| 8 | |
| 9 | |
| 10 | ジョブの定義。詳細については、「Warehouse Analyticsガイド」の「Warehouse Analyticsジョブの定義」を参照してください。 |
レポートやアラートの対象となるデータは、Reporting Engineの構成や、ルール定義の中で指定するデータ ソースによって異なります。
注:必要なデータ ソースへのアクセス権が必要となります。一部のデータ ソースは、機微データへのアクセス権を持つ特権ユーザーだけがアクセスできます。データ ソースへのアクセス制御を管理するには、「Warehouse Analyticsガイド」の「Warehouse Analyticsのロールの追加および権限の割り当て」を参照してください。しかし、既存のレポート、アラート、チャートの場合は、そのデータ ソースに関連するユーザー ロールまたは権限を変更するには、権限を手動で更新しない限りはこの制限は適用されません。
Reporting EngineはReportsモジュールにデータを提供する主要なコンポーネントです。レポートまたはアラートを生成する前に、Reporting EngineをサービスとしてSecurity Analyticsに追加する必要があります。レポートを実行すると、レポート結果はReporting Engineに格納されます。
レポートの生成後、次の操作を実行できます。
- 出力アクションを構成し、メールを使用してレポートを他のユーザーに送付する。レポート生成前に出力アクションを構成することもできます。
- レポートをPDFまたはCSV(コンマ区切り)形式のファイルとしてダウンロードする。
アラートを作成すると、Security Analytics Incident ManagementがReporting Engineからアラートを収集し、Security Analyticsのユーザー インタフェースに表示することができます。
注:このオプションは、デフォルトでは無効です。このオプションを有効にする場合は、Reporting Engineの[構成]ページから有効化する必要があります。
注:ユーザーがこのモジュールへアクセスするには、ロールが付与されている必要があります。