このトピックでは、Event Stream Analysisサービスに新しいデータ ソースまたは既存のデータ ソースを追加する方法について説明します。
ESAサービスは、Concentratorからデータを取得してインシデントを検出し、ユーザにアラートを通知します。ESAがデータを解析するためには、ESAがデータを読み取るためのソースを構成する必要があります。このトピックの手順に従って、ESAにデータ ソースを追加してください。
前提条件
NetWitness Suiteに、Concentratorが少なくとも1つ構成されている必要があります。
NetWitness SuiteにEvent Steam Anaysisサービスをインストールし、実行している必要があります。
データ ソースを追加するには、次のステップを実行する必要があります。
- 使用可能なデータ ソースの追加
- データ ソースのユーザ名とパスワードの指定
手順
既存のサービスをデータ ソースとして追加する
- [管理]>[サービス]に移動します。
[サービス]ビューが表示されます。 - [サービス]ビューで、ESAサービスを選択し、
![[アクション]アイコン](https://community.rsa.com/servlet/JiveServlet/downloadImage/419675/ic-actns.png)
>[表示]>[構成]を選択します。 - [データ ソース]タブの
![[追加]アイコン](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-89061-1-419654/ic-add.png)
をクリックします。
使用可能なサービスが表示されます(下図)。![[使用可能なサービス]ダイアログ](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-89061-1-419653/770-577/AvailServDg.png)
- 1つ以上のConcentratorを選択し、[OK]をクリックします。
[データ ソース]タブのサービスのリストにサービスが追加されます。 - (オプション)[有効]をクリックして、データ ソースを有効化します。
- [適用]をクリックして構成を保存します。
![[アクション]アイコン](https://community.rsa.com/servlet/JiveServlet/showImage/419675/ic-actns.png)
![[追加]アイコン](https://community.rsa.com/servlet/JiveServlet/showImage/102-89061-1-419654/ic-add.png){kind=small}
![[使用可能なサービス]ダイアログ](https://community.rsa.com/servlet/JiveServlet/showImage/102-89061-1-419653/AvailServDg.png)
データ ソースのユーザ名とパスワードの指定
注:ESAのデータ ソースにはLog Decoderを追加することもできますが、Decoderには、集計に関係のない他の処理も存在します。集計されたデータに対する分析を最大限に活かすために、RSAはConcentratorを追加することを推奨します。
データ ソースのユーザ名とパスワードを指定するには、次の手順を実行します。
- [管理]>[サービス]に移動します。
[サービス]ビューが表示されます。 - [サービス]ビューで、Concentratorサービスを選択します。
-
をクリックします。 - ユーザ名とパスワードを指定します。
- [保存]をクリックします。
Previous Topic:ESA相関ルールの構成
Next Topic:ステップ2. ESAサービスの詳細設定の構成
You are here
Table of Contents > ESA相関ルールの構成 > ステップ1. ESAサービスへのデータ ソースの追加