NetWitness Platformのイベント ソース モジュールを使用すると、イベント ソースの管理やイベント ソース用のアラート ポリシーの構成を簡単に行うことができます。
ワークフロー
このワークフローは、イベント ソースを管理し、イベント ソースの監視を構成するプロセスの概要を示しています。また、このプロセスの中でアラームおよびアラートの構成を行う位置も示しています。
前提条件
イベント ソース管理には次の2つの権限が影響します。
- View Event Sourcesは、イベント ソースとその属性、閾値、ポリシーを表示するために必要な権限です。
- Modify Event Sourcesの権限があると、イベント ソースの追加、編集、その他の更新を行うことができます。
詳細については、次のトピックを参照してください。
- 「システム セキュリティとユーザ管理ガイド」>「参考資料」の「[ロール]タブ」トピック。
- 「ロールの権限」トピックでは、ユーザ インタフェースのアクセス制御に使用される、NetWitness Platformにデフォルトで組み込まれているシステム ロールについて説明します。「システム セキュリティとユーザ管理ガイド」の「ロール ベースのアクセス制御の仕組み」を参照してください。
- 「ロールと権限によるユーザの管理」トピックでは、ロールと権限を使用してNetWitness Platformでユーザを管理する方法について説明します。「システム セキュリティとユーザ管理ガイド」の「ロールと権限によるユーザの管理」を参照してください。
自動マッピング
RSA NetWitness® Platformバージョン11.1以降では、同じアドレスからそれまでに受信したログに基づいて、受信イベントに自動的にタイプをマッピングします。これにより、メッセージの解析ミスを減らし、検出ワークフローで注意が必要なアイテムの数を減らしています。UIには、各アドレスが検出ワークフローにより自動マッピングされたか否かが表示されます。
イベント ソース管理に移動する
次の手順を実行すると、既存のイベント ソース グループに関する詳細を表示できます。
-
[管理]>[イベント ソース]に移動します。
-
以下のいずれかをクリックします。
- [検出]タブ。このタブでは、NetWitnessが各アドレスについて検出したイベント ソース タイプと、システムがどの程度完全かつ正確にタイプを識別したかを示す信頼度を確認できます。
- [管理]タブ。このタブでは、イベント ソース グループを追加、編集、削除したり、既存のイベント ソース グループの詳細を表示できます。
- [モニタリング ポリシー]タブ。イベント ソースのアラート構成を表示または編集するには、このタブを使用します。
- [アラーム]タブ。このタブには、生成されたアラームの詳細が表示されます。イベント ソースが設定された閾値を超えたり、下回った場合にアラームが生成されます。
- [設定]タブ。自動アラートの構成を表示または変更するには、このタブを使用します。
- [ログParserルール]タブ。このタブには、ログParserルールが表示されます。また、指定したログがログParserルールによってどのように解析されるかを表示することもできます。
注:イベント ソース リストに現在含まれていないイベント ソースからのログをシステムが受信すると、NetWitness Platformにより、そのイベント ソースがリストに自動的に追加されます。また、そのイベント ソースが既存のグループの条件と一致している場合は、そのグループに追加されます。
関連トピック
Next Topic:アラームと通知
You are here
Table of Contents > イベント ソース管理の概要