SA構成:[通知サーバの定義]ダイアログ

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、さまざまなタイプの通知サーバの構成に使用する[通知サーバの定義]ダイアログについて説明します。通知サーバは、[Administration]>[システム]>[グローバル通知]>[サーバ]タブで構成します。

通知は、ESA(Event Stream Analysis)、インシデント管理、グローバル監査ログなど、Security Analyticsのさまざまなコンポーネントで使用されます。通知設定を通知サーバといいます。[通知]パネルの[Administration]の[システム]ビューの[サーバ]タブで、複数の通知サーバ構成を作成できます。  

Security Analyticsでは、次のタイプの通知サーバを構成できます。

  • メール
  • SNMP
  • Syslog
  • スクリプト

グローバル監査ログでは、Syslog通知サーバのみを使用できます。

通知サーバに関連する手順については、次のトピックを参照してください:通知サーバの構成.

[通知サーバの定義]ダイアログにアクセスするには、次の処理手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[システム]を選択します。
  2. [オプション]パネルで、[グローバル通知]を選択します。
  3. 通知サーバ]パネルで、をクリックしてから、通知サーバのタイプ(メール、SNMP、Syslog、スクリプト)を選択します。
    選択に対応する[通知サーバの定義]ダイアログが表示されます。

通知サーバを構成するダイアログは4種類あります。

メール

メール通知サーバでは、メール サーバ設定を構成して、アラート通知を送信することができます。 

次の図に、[メール通知サーバの定義]ダイアログを示します。
01. Define_Email_Notification.png

次の表に、メール通知サーバに対して定義する必要のあるパラメータを示します。

                                                     
パラメータ説明
有効化選択すると、通知サーバが有効化されます。
名前通知サーバを識別またはラベル付けするための名前。
説明 通知サーバに関する簡単な説明。
サーバIPまたはホスト名メール サーバのホスト名。ESM/SMSおよびESAの通知の場合は、ホスト名またはFQDNを指定する必要があります。
ポートサーバのポート。
SSL通信にSSLを使用する場合、このオプションを選択します。
差出人メール アドレスメール通知の差出人のメール アカウント。
ユーザー名メールを正しくリレーするためにSMTPサーバでユーザー認証が必要な場合、メール アカウントへのログイン ユーザー名を指定します。
パスワードメールをリレーするためにSMTPサーバでユーザー認証が必要な場合、メール アカウントにログインするためのユーザー パスワードを指定します。
1分あたり最大アラート数1分あたりの最大アラート数を表します。
最大アラート待ちキュー サイズキューに登録できる最大アラート数で、これを超えるとアラートは破棄されます。

SNMP

SNMP通知サーバでは、SNMPトラップ ホスト設定を通知サーバとして構成して、アラート通知を送信することができます。

次の図に、[SNMP通知サーバの定義]ダイアログを示します。

DefSNMPNotSrv.png

次の表に、SNMP通知サーバに対して定義する必要のあるパラメータを示します。

                                                 
パラメータ説明
有効化選択すると、通知サーバが有効化されます。
名前通知サーバを識別またはラベル付けするための名前。
説明 通知サーバに関する簡単な説明。
サーバIPまたはホスト名SNMPトラップ ホストのIPアドレスまたはホスト名。
ポートSNMPトラップ ホストがリスンするポート番号。
SNMPバージョン

SNMPのバージョン。
SNMPバージョン(v3)を選択した場合、次のパラメータが表示されます。

[セキュリティ名]は、SNMP v3セキュリティ名です

[セキュリティ レベル]は、セキュリティ レベルを定義します。次のオプションから選択できます。

  • 認証なし/暗号化なし
  • 認証あり/暗号化なし
  • 認証あり/暗号化あり
  • 選択したセキュリティ レベルをパスワードが満たしている必要があります。
コミュニティSNMPトラップ ホストでの認証に使用するコミュニティ文字列。デフォルト値はpublicです。
再試行回数トラップの再試行回数。
1分あたり最大アラート数1分あたりの最大アラート数。
最大アラート待ちキュー サイズキューに登録できる最大アラート数で、これを超えるとアラートは破棄されます。

Syslog

Syslog通知サーバでは、通知サーバとしてSyslog設定を構成して、通知を送信できます。Syslog通知サーバを有効にした場合、RFC 5424 Syslogプロトコルを使用して監査を行うことができます。Syslogは、さまざまなオープン ソースや独自システムからのログを元にレポート作成や解析を行う場合に、ログを統合するための効果的な形式であることが証明されています。

グローバル監査ログ構成に関連づけられた通知サーバは無効化できません。 

次の図に、[Syslog通知サーバの定義]ダイアログを示します。

03. Define_Syslog_Notification.png

次の表に、Syslog通知サーバに対して定義する必要のあるパラメータを示します。

                                             
パラメータ説明
有効化選択すると、通知サーバが有効化されます。
名前通知サーバを識別またはラベル付けするための名前。
説明 通知サーバに関する簡単な説明。
サーバIPまたはホスト名ターゲットSyslogプロセスが動作しているホストの名前。
ポートターゲットSyslogプロセスがリスンしているポート番号。
プロトコルSyslogファイルの転送に使用するプロトコル。
ファシリティすべての送信メッセージに使用するSyslogファシリティ。

メッセージをログに記録するプログラムの種類を指定するために使用されます。使用可能な値はKERN、USER、MAIL、DAEMONです。これにより、送信元のファシリティごとにメッセージの処理を分けるように構成ファイルで指定できます。
1分あたり最大アラート数1分あたりの最大アラート数。
このフィールドはグローバル監査ログには使用されません。
最大アラート待ちキュー サイズキューに登録できる最大アラート数で、これを超えるとアラートは破棄されます。
このフィールドはグローバル監査ログには使用されません。

スクリプト

スクリプト通知サーバでは、通知サーバとしてスクリプトを構成できます。

次の図に、[スクリプト通知サーバの定義]ダイアログを示します。

04. Define_Script_Notification.png

次の表に、スクリプト通知サーバに対して定義する必要のあるさまざまなパラメーターを示します。

                             
パラメータ説明
有効化選択すると、通知サーバが有効化されます。
名前通知サーバを識別またはラベル付けするための名前。
説明 通知サーバに関する簡単な説明。
実行ユーザースクリプトが実行されるユーザーIDの名前。デフォルトのユーザーIDはnotificationです。 
ESAの場合、ESAホストにアカウントを作成しない限り、他の値を設定することはできません。
最大実行時間(秒)スクリプトの実行が許可される最大時間(秒)。
You are here
Table of Contents > 参考資料 > [グローバル通知]パネル > [通知サーバの定義]ダイアログ

Attachments

    Outcomes