アラート:データベース接続の構成

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、アラートに追加の情報を提供する、外部データベースへの接続を構成する情報について説明します。データベース接続を構成して、データベースをエンリッチメント ソースとして構成し、アラートにさらに詳細な情報を追加できます。このプロセには、次の3つのステップがあります。

  1. データベースへの接続を構成します。
  2. 外部データベースをエンリッチメント ソースとして構成します。
  3. エンリッチメント ソースをルールに追加します。

このトピックではステップ1について説明します。

この例では、データベースをエンリッチメント ソースとして追加し、値をアラートに追加する方法を説明します。

ルールは、ステルス メール サービスにサインアップしようとするユーザを検出します。25ユーザがルールの基準に一致しました。エンリッチメントがない場合、アラートには25人のユーザIDが含まれます。エンリッチメントを行った場合、アラートには各ユーザIDについて次の情報が追加されます。

  • 名前
  • 役職
  • 部門
  • 勤務地

依存関係

データベースを構成する場合、次の条件が適用されます。

  • すべてのESAにデータベースへの参照が表示されます。データベースをエンリッチメント ソースとして使うルールを導入していないESAにも、表示されます。 
  • データベースをホストするサーバがダウンした場合、ルールの導入環境に影響します。
    • アクティブな導入環境では引き続きデータを収集し、ルールを実行しますが、エンリッチメントはアラートに表示されません。
    • ホストを再起動するまで、新しいルールの導入は失敗します。

手順

データベース接続を構成するには、次の手順を実行します。

  1. 構成>[ESAルール]に移動します。
  2. 設定]タブをクリックします。
  3. [オプション]パネルで、[データベース接続]を選択します。

    [データベース接続]パネルが表示されます。

    [データベース接続]パネル

  4. [追加]アイコンをクリックして、データベース接続を追加します。

    [データベース接続]ダイアログ

  5. データベース接続]ダイアログで、次の情報を指定します。

                                           
    フィールド説明
    有効化このデータをアラートのエンリッチメントに使用するには、[有効化]をオンにします。デフォルトでは、[有効化]が選択されています。アラートから追加のデータを除外するには[有効化]をオフにします。
    接続名接続を識別するための名前を入力します。データベースをエンリッチメント ソースとして追加する場合、この名前はデータベース接続のリストに表示されます。
    説明(オプション)データベース接続の簡単な説明を入力します。
    ドライバ クラスデータベースの適切なドライバ クラスを選択します。
    NetWitness Suiteには、MongoDBとPostgresの2つのドライバが含まれています。
    データベースURLまたは
    IP
    構成するデータベースのURLまたはIPアドレスを入力します。
    ユーザ名データベースにアクセスするユーザ名を入力します。
    パスワードデータベースにアクセスするためのパスワードを入力します。
  6. 保存]をクリックします。

詳細については、「[設定]タブ」を参照してください。

You are here
Table of Contents > データ エンリッチメント ソースの追加 > データベース接続の構成

Attachments

    Outcomes