SA構成:[新しい構成の追加]ダイアログ

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

RSA Security Analyticsの[Administration]>[システム]ビュー>[グローバル監査ログの構成]パネルでは、複数のグローバル監査ログ構成を作成できます。これらの構成を使用して、グローバル監査ログを1か所に転送し、ユーザー監査を実行します。

グローバル監査ログに関連する手順については、次のトピックを参照してください:グローバル監査ログの構成.

新しい構成の追加]ダイアログにアクセスするには:

  1. Security Analyticsメニューで、[Administration]>[システム]を選択します。
  2. [オプション]パネルで、[グローバル監査]を選択します。
  3. グローバル監査ログの構成]パネルでをクリックします。
    新しい構成の追加]ダイアログが表示されます。
    GALcfgDb.png

    通知]セクションでは、このグローバル監査ログ構成で使用するSyslog通知サーバとテンプレートを選択できます。テンプレートでは、グローバル監査ログ エントリーの詳細を定義します。

機能

次の表は、[新しい構成の追加]ダイアログと[構成の編集]ダイアログの機能について説明しています。

                             
機能説明
通知サーバとテンプレート [設定を表示]リンク[グローバル通知]パネルが表示されます。このパネルでは、通知サーバとテンプレートの設定を表示または構成できます。グローバル監査ログの構成を作成する前に、Syslog通知サーバおよび監査ログ テンプレートを定義しておく必要があります。
構成名グローバル監査ログの構成を特定する一意の名前を指定します。 
通知サーバ監査ログ情報の送信先となるSyslog通知サーバを指定します。 グローバル監査ログの送信先の構成 で、グローバル監査ログ用のSyslog通知サーバを作成する手順について参照してください。
通知テンプレートこのグローバル監査ログの構成で使用するテンプレートを指定します。監査ログ テンプレートを指定する必要があります。
Log Decoderの場合は、10.5 Default Audit CEFTemplateを使用します。特定の要件がある場合は、CEF(CommonEventFormat)テンプレートのフィールドを追加および削除することもできます。グローバル監査ログ テンプレートの定義 で手順を参照してください。 
サードパーティのSyslogサーバ用には、デフォルトの監査ログ テンプレートを使用するか、任意の形式(CEFまたはCEF以外)でテンプレートを定義します。 グローバル監査ログ テンプレートの定義 で手順を参照してください。また、グローバル監査ログでサポートされるメタ キー変数 で、使用可能な変数について参照してください。
フォームのリセット]ボタンダイアログの構成設定をクリアします。

ログに記録されるユーザー アクション

次の表は、Security Analyticsでログに記録されるユーザー アクションの例をいくつか示しています。これらのアクションは、該当する場合にログに記録される最小限のユーザー アクションです。 

                                             
ユーザー アクション
ユーザー ログイン成功 ユーザーが有効な認証情報でログオンしました。
ユーザー ログイン失敗ユーザーが無効な認証情報を使用してログオンを試行しました。
ユーザー ログアウト ユーザーがSecurity Analyticsからログアウトするか([Administration]>[サイン アウト])、セッション タイムアウトのためにログアウトしました。
最大ログイン失敗回数超過ユーザーが無効な認証情報を使用して5回ログオンを試行しました。5という数値は、[Administration]>[セキュリティ]ビューの[設定]タブで定義された最大ログイン失敗回数です。
UIページへの全アクセスユーザーがReportsモジュール([Administration]>[レポート])にアクセスすると、[REP] Reportsとログに記録されます。ユーザーが[Administration]の[システム]ビュー([Administration]>[システム])にアクセスすると、[ADM] Systemとログに記録されます。
コミット済みの構成の変更 ユーザーが自分のパスワードを変更したか、またはセキュリティ設定([Administration]>[セキュリティ]>[設定]タブ)で何らかの変更を行いました。
ユーザーが実行したクエリーユーザーがInvestigationでクエリーを実行しました。
拒否されたユーザー アクセスユーザーがモジュールへのアクセスを試みましたが、そのモジュールにアクセスするための権限がありません。
データ エクスポート操作ユーザーが[イベント]ビューからデータをエクスポートしました([Investigation]>[イベント]>[アクション]>[エクスポート])。

さまざまなSecurity Analyticsコンポーネントによってログに記録されるメッセージ タイプのリストについては、次のトピックを参照してください。グローバル監査ログに記録される操作の一覧

You are here
Table of Contents > 参考資料 > [グローバル監査ログの構成]パネル > [新しい構成の追加]ダイアログ

Attachments

    Outcomes