セキュリティ/ユーザー管理:ステップ3:ロールごとのクエリーおよびセッションの属性の検証

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、クエリーおよびセッションの属性について説明し、ユーザー ロールに対してこれらの属性を設定する手順を紹介します。また、ロールの設定がユーザー個別の設定にどのように影響を及ぼすか、またユーザーが複数のロールに属している場合はどうなるのかについても説明します。

ユーザー ロールを定義したら、各ロールに設定されているクエリーおよびセッションの属性を確認することが重要です。これらの設定は、要件に応じて調整できます。これらの属性は、ユーザー ロールおよび個別のユーザーに対して設定できます。個別のユーザーに対してこれらの属性を設定すると、ユーザーに割り当てられているロールの設定は、そのユーザー個別の設定によって上書きされます。

クエリーおよびセッションの属性

クエリーおよびセッションの属性によって、ユーザーが実行するクエリーの処理方法が決まります。これらの属性を使用すると、ユーザーが取得できる情報を制限できます。これらの属性は、ユーザー レベルで設定されていない限り、ロールを割り当てられたユーザーのすべてのセッションに適用されます。

要件に応じて、次のクエリー属性を、ユーザー ロールまたは個別のユーザーに対して指定できます。

  • クエリー タイムアウトは、Security Analytics 10.5以降のコア サービスに対して適用されるオプションの設定です。これにより、ユーザーがクエリーを実行できる最長時間が分単位で指定されます。この値を設定する場合は、ゼロ(0)以上にする必要があります。ゼロを指定するとタイムアウトしません。
  • クエリー レベルは、Security Analytics 10.4以前のコア サービスに対して適用されるオプションの設定です。3つのクエリー レベル(1、2、3)に基づいてユーザーの最大クエリー実行時間を定義します。デフォルトのクエリー レベルは、クエリー レベル1 = 60分です。クエリー レベル2 = 40分、クエリー レベル3 = 20分です。Security Analytics 10.5以降のコア サービスでは、クエリー レベルは廃止されています。
  • クエリー プレフィックスは、ユーザーが実行するクエリーに適用されるオプションのフィルタです。プレフィックスによって、ユーザーに表示されるクエリーの結果が制限されます。たとえば、クエリー プレフィックスに'service' = 80 を指定した場合、ユーザーが実行するクエリーの先頭にこの条件が付加され、ユーザーは、HTTPセッションのメタにしかアクセスできなくなります。
  • セッション閾値は必須の設定です。この値はゼロ(0)以上でなければなりません。この閾値がゼロより大きい場合は、セッション カウントが閾値を超えると、クエリーの最適化により、セッション カウントの合計が推定されます。クエリーが返したメタ値が閾値に達すると、システムでは以下の動作が行われます。
    • セッションのカウントを停止する
    • 閾値と、閾値に達するまでに要したクエリー時間の割合を表示する

ユーザーに適用されるクエリー属性は、ユーザーに割り当てられたロールと、ロールおよびユーザーに対する属性の設定の有無により異なります。ロールとユーザー両方のクエリー属性の設定を確認することが重要です。

ユーザーへのクエリー属性の適用順序

ユーザーに対して個別に設定されたクエリー属性によって、ロールの設定が上書きされます。ユーザーが複数のロールに属している場合、そのユーザーには次のロジックが適用されます。

  • クエリー タイムアウト/クエリー レベル:ユーザー個別の設定により、すべてのロールの設定が上書きされます。ユーザー個別の設定がない場合は、ユーザーに割り当てられたすべてのロールの中で最も許容範囲が広い値(最大値)がユーザーに適用されます。
  • クエリー プレフィックス:ユーザー個別の設定により、すべてのロールの設定が上書きされます。ユーザー個別の設定がデフォルト(斜体で表示)を使用している場合、各ユーザー ロールのクエリー プレフィックスはANDで連結されます。ユーザーとロール両方のクエリー プレフィックスが空白の場合、ユーザーにはクエリー プレフィックスは適用されません。
  • セッション閾値:ユーザー個別の設定により、すべてのロールの設定が上書きされます。ユーザーに割り当てられたすべてのロールの中の最大値が適用されます。

手順

ユーザー ロールのクエリー属性を設定するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[セキュリティ]を選択します。
    [セキュリティ]ビューが表示され、[ユーザー]タブが開きます。
  2. ロール]タブをクリックします。ロールを追加する場合は、 をクリックします。ロールを編集する場合は、ロールを選択し、をクリックします。
    [ロールの追加]または[ロールの編集]ダイアログが表示されます。
  3. ロールの属性を設定するには、[属性]セクションで次の操作を行います。
    • (オプション)[SA Coreクエリー タイムアウト]フィールドに、ユーザーがクエリーを実行できる最長時間を分単位で入力します。デフォルト値は5分です。このタイムアウトは、Investigationから実行されるクエリーにのみ適用されます。このフィールドは、Security Analytics 10.5以降のコア サービスで使用されます。
      Security Analytics 10.5以降に移行する際、ロールに値が設定されていないと、デフォルトで5分に設定されます。
    • (オプション)[SA Coreクエリー レベル]フィールドで、ユーザーのクエリー レベルを選択します。デフォルトのクエリー レベルは、クエリー レベル1 = 60分です。クエリー レベル2 = 40分、クエリー レベル3 = 20分です。このフィールドは、Security Analytics 10.4以前のコア サービスで使用されます。Security Analytics 10.5以降のコア サービスでは、クエリー レベルは廃止されています。
    • (オプション)SA Coreクエリー プレフィックスに、ロールを割り当てられたユーザーに表示するクエリー結果を制限するためのフィルタ条件を入力します。デフォルトでは、空白です。
    • (オプション)[SA Coreセッション閾値]フィールドに、システムによるセッションのカウントを停止する閾値を入力します。デフォルトは100000です。ここで指定する制限で[プロファイル]>[環境設定]>[Investigation]で定義された[最大セッション エクスポート]の値が上書きされます。
    斜体で表示される値はデフォルト値です(5など)。斜体以外の値は、デフォルト値から変更されたことを示します(1200など)。
  4. 保存]をクリックします。
You are here
Table of Contents > ロールと権限によるユーザーの管理 > ステップ3:ロールごとのクエリーおよびセッションの属性の検証

Attachments

    Outcomes