アラート:通知方法をルールに追加

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、管理者に対して、メールなどの通知をルールに追加する方法を説明します。ESAは、ルール条件を満たすイベントに対してアラートを生成するときに通知方法を使用します。

ルールに通知を追加すると、そのルールがアラートをトリガーしたときにESAから通知を受けることができます。通知フィールドは必須ではありませんが、ルールに通知フィールドを追加するのがベスト プラクティスです。

ルールに通知方法を追加するときに、次の情報を選択します。

  • 出力
  • 通知
  • 通知サーバ
  • テンプレート

前提条件

  • ユーザのロールには、ルールを管理する権限が必要です。
  • ルールは存在する必要があります。
  • 通知方法は、サポートされるサーバおよびテンプレートを使用してあらかじめ構成しておく必要があります。

    管理>[システム]>[グローバル通知]に移動します。

    詳細な手順については、「システム構成ガイド」を参照してください。

手順

通知方法をルールに追加するには、次の手順を実行します。

  1. 構成>[ESAルール]>[ルール]タブに移動します。
  2. ルール ライブラリ]で、[リストの追加]アイコンをクリックして新しいルールを追加するか、既存のルールを選択して編集アイコンをクリックします。
    ルール タイプに応じて、[ルール ビルダ]タブまたは[詳細EPL]タブが表示されます。
    両方のタブで、[通知]セクションは同じです。
    [空白の通知]セクション
  3. [リストの追加]アイコンをクリックして、アラートの[出力]を次の中から選択します。
  • メール
  • SNMP
  • Syslog
  • スクリプト
  1. 通知]フィールドをダブル クリックして、事前に構成した出力の名前を選択します。
    たとえば、L1-Analystsメール配信グループに送信されるメール通知の名前として「レベル1アナリスト」を選択できます。
  2. 通知サーバ]フィールドをダブル クリックして、通知を送信するサーバを選択します。 
  3. テンプレート]フィールドをダブル クリックして、アラートの形式を選択します。
    次の図に、Syslog通知の設定を示します。
    追加された通知
  4. 頻度を指定する場合には、[出力抑制の間隔]を選択して、次に[時間(分)]を選択します。
  5. 別の通知を追加するには、ステップ3~7を繰り返します。
  6. 保存]をクリックします。
    ESAがルール条件に一致するイベントに対してアラートを生成すると、ルールに追加された各通知方法によってアラートを通知されます。
Previous Topic:通知方法
You are here
Table of Contents > アラートを通知する方法の選択 > 通知方法をルールに追加

Attachments

    Outcomes