このトピックでは、Event Stream Analysisサービスに新しいデータ ソースまたは既存のデータ ソースを追加する方法について説明します。
ESAサービスは、Concentratorからデータを取得してインシデントを検出し、ユーザにアラートを通知します。ESAがデータを解析するためには、ESAがデータを読み取るためのソースを構成する必要があります。このトピックの手順に従って、ESAにデータ ソースを追加してください。
前提条件
NetWitness Suiteに、Concentratorが少なくとも1つ構成されている必要があります。
NetWitness SuiteにEvent Steam Anaysisサービスをインストールし、実行している必要があります。
データ ソースを追加するには、次のステップを実行する必要があります。
- 使用可能なデータ ソースの追加
- データ ソースのユーザ名とパスワードの指定
手順
既存のサービスをデータ ソースとして追加する
- [管理]>[サービス]に移動します。
[サービス]ビューが表示されます。 - [サービス]ビューで、ESAサービスを選択し、
>[表示]>[構成]を選択します。
- [データ ソース]タブの
をクリックします。
使用可能なサービスが表示されます(下図)。 - 1つ以上のConcentratorを選択し、[OK]をクリックします。
[データ ソース]タブのサービスのリストにサービスが追加されます。 - (オプション)[有効]をクリックして、データ ソースを有効化します。
- [適用]をクリックして構成を保存します。
データ ソースのユーザ名とパスワードの指定
注:ESAのデータ ソースにはLog Decoderを追加することもできますが、Decoderには、集計に関係のない他の処理も存在します。集計されたデータに対する分析を最大限に活かすために、RSAはConcentratorを追加することを推奨します。
データ ソースのユーザ名とパスワードを指定するには、次の手順を実行します。
Previous Topic:ESA相関ルールの構成
Next Topic:ステップ2. ESAサービスの詳細設定の構成
You are here
Table of Contents > ESA相関ルールの構成 > ステップ1. ESAサービスへのデータ ソースの追加