ESA構成:ステップ1. ESAサービスへのデータ ソースの追加

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、Event Stream Analysisサービスに新しいデータ ソースまたは既存のデータ ソースを追加する方法について説明します。

ESAサービスは、Concentratorからデータを取得してインシデントを検出し、ユーザにアラートを通知します。ESAがデータを解析するためには、ESAがデータを読み取るためのソースを構成する必要があります。このトピックの手順に従って、ESAにデータ ソースを追加してください。

前提条件

NetWitness Suiteに、Concentratorが少なくとも1つ構成されている必要があります。

NetWitness SuiteにEvent Steam Anaysisサービスをインストールし、実行している必要があります。

データ ソースを追加するには、次のステップを実行する必要があります。

  • 使用可能なデータ ソースの追加
  • データ ソースのユーザ名とパスワードの指定 

手順

既存のサービスをデータ ソースとして追加する

  1. [管理]>[サービス]に移動します。
    [サービス]ビューが表示されます。
  2. [サービス]ビューで、ESAサービスを選択し、[アクション]アイコン>[表示]>[構成]を選択します。
  3. データ ソース]タブの[追加]アイコンをクリックします。
    使用可能なサービスが表示されます(下図)。
    [使用可能なサービス]ダイアログ
  4. 1つ以上のConcentratorを選択し、[OK]をクリックします。
    データ ソース]タブのサービスのリストにサービスが追加されます。
  5. (オプション)[有効]をクリックして、データ ソースを有効化します。
  6. 適用]をクリックして構成を保存します。

データ ソースのユーザ名とパスワードの指定

注:ESAのデータ ソースにはLog Decoderを追加することもできますが、Decoderには、集計に関係のない他の処理も存在します。集計されたデータに対する分析を最大限に活かすために、RSAはConcentratorを追加することを推奨します。 

データ ソースのユーザ名とパスワードを指定するには、次の手順を実行します。

  1. [管理]>[サービス]に移動します。
    [サービス]ビューが表示されます。
  2. サービス]ビューで、Concentratorサービスを選択します。 
  3. 編集アイコンをクリックします。
  4. ユーザ名とパスワードを指定します。
  5. 保存]をクリックします。
You are here
Table of Contents > ESA相関ルールの構成 > ステップ1. ESAサービスへのデータ ソースの追加

Attachments

    Outcomes