SA構成:グローバル監査ログの検証

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、グローバル監査ログを検証する方法について説明します。グローバル監査ログを構成したら、テストを実行して、グローバル監査ログのテンプレートで定義したように監査イベントが表示されることを確認する必要があります。 

前提条件

このタスクを開始する前に、次のトピックで説明している手順をすべて実行します。グローバル監査ログの構成.

手順

Log Decoderを使用して、グローバル監査ログを表示および検証するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Investigation]>[イベント]を選択します。
  2. [ナビゲート]ビューで、Log Decoderを選択して、[ナビゲート]をクリックします。グローバル監査ログが表示され、各ログ メッセージにはSecurity Analytics Audit と表示されます。
  3. 表示されたフィールドを、グローバル監査ログの構成に使用したグローバル監査ログ テンプレートで定義されているフィールドと比較します。
  4. ログをダブル クリックし、[イベントの再構築]ダイアログで[メタの表示]を選択します。
    EvntRecViewMeta.png
  5. 監査ログのメタが正しいことを確認します。 

CEF出力の例

次の例は、CEF(Common Event Format)テンプレートと実際のグローバル監査ログを示しています。

テンプレート:

 CEF:0|${deviceVendor}|${deviceProduct}|${deviceVersion}|${category}|${oper ation}|${severity}| rt=${timestamp} src=${sourceAddress} spt=${sourcePort} suser=${identity} sourceServiceName=${deviceService} deviceExternalId=${deviceExternalId} dst=${destinationAddress} dpt=${destinationPort} dvcpid=${deviceProcessId} deviceProcessName=${deviceProcessName} outcome=${outcome} msg=${text}  

ログの例:

2015-04-09T18:45:46.313096+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|10.5.0.0|AUTHENTICATION|login|6|rt=Apr 09 2015 18:45:46 src=10.20.252.197 spt=51366 suser=admin sourceServiceName=LOG_DECODER deviceExternalId=96b08193-a9d0-4a79-b362-87b56851f411 outcome=success

2015-04-09T18:45:46.322132+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|10.5.0.0|AUTHENTICATION|logoff|6|rt=Apr 09 2015 18:45:46 src=10.20.204.33 spt=47690 suser=admin sourceServiceName=BROKER deviceExternalId= 314fb8c8-afe4-4249-9468-a36035008a52 outcome=success

2015-04-09T18:45:46.325792+00:00 <hostname> CEF:0|RSA|Security Analytics Audit|10.5.0.0|AUTHENTICATION|logoff|6|rt=Apr 09 2015 18:45:46 src=10.20.252.197 spt=59495 suser=admin sourceServiceName=CONCENTRATOR deviceExternalId= 96b08193-a9d0-4a79-b362-87b56851f411 outcome=success

ここで、<hostname>はsyslogヘッダーのホスト名(alias.host)です。

CEFテンプレートを使用する場合、監査イベントにテンプレートに定義したフィールドの値がない場合、サード パーティのsyslogサーバまたはLog Decoderが受け取るイベントではそのフィールドが削除されています。

ヒューマンリーダブルな形式の出力の例

次の例は、ヒューマンリーダブルな形式の監査ログ テンプレートを使用してサード パーティのsyslogサーバに送信されるログを示しています。

テンプレート:

 ${timestamp} ${deviceService} [audit] Event Category: ${category} Operation: ${operation} Outcome: ${outcome} Description: ${text} User: ${identity} Role: ${userRole}  

ログの例:

06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: Set Outcome: null Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: IPDBConfig Outcome: SUCCESS Description: Config update event occurred User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 SA_SERVER [audit] Event Category: DATA_ACCESS Operation: /admin/1/config Outcome: Success Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

You are here
Table of Contents > 標準的な手順 > グローバル監査ログの構成 > グローバル監査ログの検証

Attachments

    Outcomes