セキュリティ/ユーザー管理:ユーザーごとのクエリーおよびセッションの属性の検証

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、ロールの設定を上書きする必要がある場合に、個別のユーザーに対してクエリー属性を設定する方法について説明します。

クエリー属性によって、ユーザーが実行するクエリーの処理方法が決まります。これらの属性を使用すると、ユーザーが取得できる情報を制限できます。ロールまたはユーザーに対して指定できるクエリー属性を次に示します。

  • クエリー タイムアウトは、Security Analytics 10.5以降のコア サービスに対して適用されるオプションの設定です。これにより、ユーザーがクエリーを実行できる最長時間が分単位で指定されます。この値を設定する場合は、ゼロ(0)以上にする必要があります。ゼロを指定するとタイムアウトしません。
  • クエリー レベルは、Security Analytics 10.4以前のコア サービスに対して適用されるオプションの設定です。3つのクエリー レベル(1、2、3)に基づいてユーザーの最大クエリー実行時間を定義します。デフォルトのクエリー レベルは、クエリー レベル1 = 60分です。クエリー レベル2 = 40分、クエリー レベル3 = 20分です。Security Analytics 10.5以降のコア サービスでは、クエリー レベルは廃止されています。
  • クエリー プレフィックスは、ユーザーが実行するクエリーに適用されるオプションのフィルタです。プレフィックスによって、ユーザーに表示されるクエリーの結果が制限されます。たとえば、クエリー プレフィックスに'service' = 80 を指定した場合、ユーザーが実行するクエリーの先頭にこの条件が付加され、ユーザーは、HTTPセッションのメタにしかアクセスできなくなります。
  • セッション閾値は必須の設定です。この値はゼロ(0)以上でなければなりません。この閾値がゼロより大きい場合は、セッション カウントが閾値を超えると、クエリーの最適化により、セッション カウントの合計が推定されます。クエリーが返したメタ値が閾値に達すると、システムでは以下の動作が行われます。
    • セッションのカウントを停止する
    • 閾値と、閾値に達するまでに要したクエリー時間の割合を表示する

これらのクエリー属性は、ロールの設定を上書きする必要がない限り、ユーザー レベルでは設定しないでください。ユーザーに対して個別に設定されたクエリー属性によって、ロールの設定が上書きされます。個別のユーザーに対してこれらの属性を設定しない場合、ユーザーに割り当てられたロールの設定が適用されます。 ステップ3:ロールごとのクエリーおよびセッションの属性の検証 では、ロールの設定がユーザー個別の設定にどのように影響を及ぼすか、またユーザーが複数のロールに属している場合はどうなるのかを説明しています。

ユーザーごとに設定されたクエリー属性を検証することが重要です。

手順

注:これらのクエリー属性は、ロールの設定を上書きする必要がない限り、ユーザー レベルでは設定しないでください。 

ユーザーに対してクエリー属性を設定するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[セキュリティ]を選択します。
    [セキュリティ]ビューが表示され、[ユーザー]タブが開きます。
  2. ユーザーを追加する場合は、をクリックします。ユーザーを編集する場合は、ユーザーを選択し、をクリックします。
  3. [ユーザーの追加]または[ユーザーの編集]ダイアログで、[属性]タブを選択します。
  4. ユーザーの属性は次のように設定します。
    • (オプション)[SA Coreクエリー タイムアウト]フィールドに、ユーザーがクエリーを実行できる最長時間を分単位で入力します。このタイムアウトは、Investigationから実行されるクエリーにのみ適用されます。このフィールドはデフォルトで空白です。割り当てられたロールの設定を上書きする必要がない場合、このフィールドは空白のままにします。Security Analytics 10.5以降のコア サービスでこのフィールドが使用されます。
    • (オプション)[SA Coreクエリー レベル]フィールドで、ユーザーのクエリー レベルを選択します。デフォルトのクエリー レベルは、クエリー レベル1 = 60分です。クエリー レベル2 = 40分、クエリー レベル3 = 20分です。このフィールドは、Security Analytics 10.4以前のコア サービスで使用されます。Security Analytics 10.5以降のコア サービスでは、クエリー レベルは廃止されています。
    • (オプション)[SA Coreクエリー プレフィックス]フィールドに、ユーザーに表示するクエリー結果を制限するためのフィルタを入力します。デフォルトでは、空白です。
    • (オプション)[SA Coreセッション閾値]フィールドに、システムによるセッションのカウントを停止する閾値を入力します。デフォルトは100000. です。ここで指定する制限で[プロファイル]>[環境設定]>[Investigation]で定義された[最大セッション エクスポート]の値が上書きされます。
    斜体の値はデフォルト値です(100000など)。斜体以外の値は、デフォルト値から変更されたことを示します(40など)。
  5. (オプション)既存の値に戻す場合は、[リセット]をクリックします。
  6. 保存]をクリックします。

ユーザーに対して割り当てられた属性を検証するには、com.netwitness.platform.server.common.authパッケージでデバッグ ログを有効にします。ユーザーがSecurity Analyticsにログオンすると、デバッグ ログ メッセージが生成され、そのユーザーに対して適用されている属性が示されます。

You are here
Table of Contents > ロールと権限によるユーザーの管理 > ステップ4:ユーザーの設定 > ユーザーごとのクエリーおよびセッションの属性の検証

Attachments

    Outcomes