NetWitness Suiteのイベント ソース モジュールを使用すると、イベント ソースの管理やイベント ソース向けアラート ポリシーの構成を簡単に行うことができます。
ワークフロー
このワークフローは、イベント ソース構成の全体的なプロセスを示しています。また、このプロセスでのアラームおよびアラート設定の構成の位置も示しています。
前提条件
イベント ソース管理には次の2つの権限が影響します。
- View Event Sourcesは、イベント ソースとその属性、閾値、ポリシーを表示するために必要な権限です。
- Modify Event Sourcesの権限があると、イベント ソースの追加、編集、その他の更新を行うことができます。
詳細については、次のトピックを参照してください。
- 「システム セキュリティとユーザ管理ガイド」>「参考資料」>「[管理]の[セキュリティ]ビュー」>「[ロール]タブ」にある「[ロール]タブ」トピック。
- 「ロールの権限」トピックでは、ユーザ インタフェースのアクセス制御に使用される、NetWitness Suiteにデフォルトで組み込まれているシステム ロールについて説明します。「システム セキュリティとユーザ管理ガイド」の「ロール ベースのアクセス制御の仕組み」を参照してください。
- 「ロールと権限によるユーザの管理」トピックでは、ロールと権限を使用してNetWitness Suiteでユーザを管理する方法について説明します。「システム セキュリティとユーザ管理ガイド」の「ロールと権限によるユーザの管理」を参照してください。
イベント ソース管理に移動する
次の手順を実行すると、既存のイベント ソース グループに関する詳細を表示できます。
-
[管理]>[イベント ソース]に移動します。
- 以下のいずれかをクリックします。
- [検出]タブをクリックします。このタブでは、NetWitnessが各アドレスについて検出したイベント ソース タイプと、システムがどの程度完全かつ正確に識別されているかに関するシステムの信頼度を確認できます。
- [管理]タブ。このタブには、既存のイベント ソース グループに関する詳細が表示されます。
- [監視ポリシー]タブ。イベント ソースのアラート構成を表示または編集するには、このタブを使用します。
- [アラーム]タブ。このタブには、生成されたアラームの詳細が表示されます。イベント ソースが設定された閾値を超えたり、下回った場合にアラームが生成されます。
- [設定]タブ。自動アラートの構成を表示または変更するには、このタブを使用します。
注:イベント ソース リストに現在含まれていないイベント ソースからのログをシステムが受信すると、NetWitness Suiteにより、そのイベント ソースがリストに自動的に追加されます。また、そのイベント ソースが既存のグループの条件と一致している場合は、そのグループに追加されます。
関連トピック
Next Topic:ESM:アラームと通知
You are here
Table of Contents > ESM:イベント ソース管理の概要