アラート:ESAで実行するルールの導入

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、ESAを選択し、そのESAで実行するルールを選択する方法について説明します。このセクションのすべてのタスクに、Administratorロール、SOC Managerロール、DPOロールの権限が必要です。

導入環境を作成するには、「導入ステップ」で説明する手順を実行する必要があります。

導入環境の仕組み

導入環境は、1つのESAサービスとESAルールのセットで構成されます。ルールを導入すると、不審なアクティビティや好ましくないアクティビティをネットワーク内で検出するために、そのルールがESAサービスによって実行されます。作成されてから1時間以内のユーザー アカウントの削除など、検出されるイベントはESAルールごとに異なります。

ESAサービスは次の機能を実行します。

  1. ネットワークからデータを収集
  2. データに対してESAルールを実行
  3. ルール条件でデータを評価
  4. 収集したイベントに関するアラートを生成

次の図はこのワークフローを示しています。
ルール導入のワークフロー
 

さらに、上記以外の手順を導入環境で実行できます。たとえば、導入環境のESAサービスの削除、導入環境のルールの編集または削除、導入環境の編集または削除、導入環境への更新の表示などです。これらの手順の説明については、「追加の導入手順」を参照してください。

You are here
Table of Contents > ESAで実行するルールの導入

Attachments

    Outcomes