ESM:[検出]タブ

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

このタブにアクセスするには、NetWitnessで[管理]>[イベント ソース]に移動します。[検出]タブが表示されます。

[検出]タブでは、NetWitnessが各アドレスについて検出したイベント ソース タイプと、システムがどの程度完全かつ正確にタイプを識別したかを示す信頼度を確認できます。検出されたイベント ソース タイプが正しい場合は、そのイベント ソースを確認することにより、デフォルトでビューに表示しないようフィルタできます。正しくない場合は、特定のアドレスに対して想定するイベント ソース タイプを設定することにより、今後のログを正しいParserで解析することができます。

注:RSA NetWitness® Platformバージョン11.1以降で、次の機能が追加されました。
- 複数のイベント ソースの一括確認
- イベント ソース タイプによるフィルタ
-(11.2以降)マッピング タイプ フィルタで、[なし]、[自動]、[手動]を選択可能
- 複数イベント ソースの一括マッピング
- イベント ソースの[検出]ページでのイベント ソースの検索

RSA NetWitness® Platformのバージョン11.2以降では、同じアドレスから以前に受信したログのタイプに基づいて、受信イベントに自動的にタイプをマッピングします。これにより、メッセージの解析ミスを減らし、検出ワークフローで注意が必要なアイテムの数を減らしています。[マッピング タイプ]列の[自動]の値は、アドレスが自動マッピングされたことを示しています。

ワークフロー

このワークフローは、イベント ソース構成の全体的なプロセスを示しています。

実行したいことは何ですか?

                                 
ロール実行したいことドキュメント
管理者

イベント ソースを確認しマッピングします。*

イベント ソースの確認とマッピング

管理者

Log DecoderにParserマッピングを追加および構成します。*

Parserマッピングの管理

管理者イベント ソース アラームを表示します。イベント ソース アラームの表示

管理者

イベント ソース管理をトラブルシューティングします。

ESMのトラブルシューティングおよび付録

*このタスクはここで実行できます。

関連トピック

Parserマッピングの管理

[詳細]ビュー

簡単な説明

次の例では、アドレスと、検出されたイベント ソース タイプのリストを表示します。イベント ソース タイプには、検出されたイベント ソースが表示されます。

これは、[検出]タブの例です。

                                                                 
1

[検出]タブを開くと、[フィルタ]と[イベント ソース]パネルが表示されます。

2

[イベント ソース フィルタ]フィールドでは、ドロップダウン メニューに次のオプションが表示されます。

  • イベント ソースのアドレス(IP、IPv6、ホスト名)の一部または全体を入力します。コンマで区切って複数のエントリーを入力することもできます 。
    例:10.10.10.10,10.10.10.11,host1.company.com
  • 次の値と等しい: 検索キーワードと完全に一致するソースを返します。
    たとえば、10.10.10.10は、10.10.10.10のみを返し、10.10.10.101は返しません。
  • 次の値で始まる: 検索キーワードで始まるソースを返します。
    たとえば、10.10.10は、10.10.10.xサブネット全体を返します。
  • 次の値を含む: 検索キーワードを含むソースを返します。
    たとえば、exchは、us-exch-1.company.comなどのすべてのソースを返し、lab21hostx.lab21.company.comなどのすべてのソースを返します。
  • 次の値で終わる: 検索キーワードで終わるソースを返します。
    たとえば、lab21.company.comはそのドメインのすべてのホストを返します。

注: 検索キーワードには、. - :(ピリオド、ダッシュ、コロン)を使用できます。

3[イベント ソース タイプ]ドロップダウン メニューでは、選択したイベント ソース タイプのすべてのアドレスをフィルタします。
4
  • 確認済みイベント ソースを表示するには、[確認済みを表示]チェックボックスを選択します。
  • [マッピング タイプ]フィルタでは、マッピング タイプを1つまたは複数選択できます。

注: マッピング タイプが選択されていない場合、デフォルトでは、マッピング タイプが[すべて]、[なし]、[手動]、[自動]のソースが表示されます。

5
  • 適用]ボタンは、設定されたすべてのフィルタの条件を適用します。
  • クリア]ボタンで、パネルからすべてのフィルタをクリアできます。
6イベント ソースのステータスを、確認済み/未確認に切り替えます。
7選択したイベント ソースをマッピングします。
8選択したイベント ソースの詳細を表示する[詳細の表示]ボタンです。
9選択したイベント ソースのアドレスを表示します。
10選択したイベント ソースの検出スコアを表示します。
11選択したイベント ソースが確認されたかどうかを表示します。
12選択したイベント ソースのマッピング タイプを「自動」、「手動」、「なし」のいずれかで表示します。マッピングに対する変更が表示されるのはここだけです。
13イベント ソースがあるLog Collectorのホスト名を表示します。
14イベント ソースがあるLog Decoderのホスト名を表示します。
15検出されたイベント ソース タイプと、割り当てられた検出スコアを表示します。

ツールバーと機能

[検出]タブには、次の機能が含まれています。

                                           
フィールド説明

ツール

ツールバーでは、次のアイテムを使用できます。

  • 確認/確認取り消し:選択したイベント ソースの確認ステータスをはいいいえの間で切り替えます。
  • マッピング:[Parserマッピングの管理]ダイアログ ボックスが開き、イベント ソースを正しいログParserにマッピングできます。
  • 詳細の表示:選択したイベント ソースの詳細を表示します。

イベント ソース

イベント ソースのIP、IPv6、ホスト名。

検出スコア

特定のアドレスに関連付けられた全体的な検出スコアを表示します。高いスコアは、信頼度が高いことを表します。検出スコアの範囲は、0(最も低い信頼度)~100(最も高い信頼度)です。

確認済み

選択肢は、[はい](イベント ソースを確認した)または
いいえ](イベント ソースを確認していない)です。

マッピング タイプ

選択肢は、[手動](イベント ソースを手動でマッピングした)、[自動](イベント ソースがシステムにより自動的にマッピングされた)、[なし](イベント ソースをマッピングしていない)です。

自動マッピングはコンテンツに応じて実行されます。ログ メッセージが、タグ付けされたヘッダーまたはメッセージで解析され、解析の信頼度が高い場合、そのアドレスにはタイプが自動マッピングされます。この自動マッピングは24時間有効であり、ログ メッセージがタグ付けされたメッセージのヘッダーに一致するたびに更新されます。

ログ メッセージは、最初に自動マッピングされたParserで解析され、マッピングされたParserと一致しない場合にのみ、検出にフォールバックします。検出にフォールバックしたログ メッセージは、他のイベント ソースのタグ付けされたヘッダーまたはメッセージと一致する可能性があります。このような場合、複数のタイプがマッピングされることになります。

たとえば、結果的に1つのアドレスにWindows、MS SQL、およびApacheがマッピングされ、これらのParserが最初に評価される場合があります。しかし、イベント ソースが削除され、そのIPアドレスが別の用途で再利用された場合、24時間のタイマーにより、削除されたタイプのマッピングは時効になります。

注:この機能は、RSA NetWitnessバージョン11.2以降に適用されます。

Log Collector

このイベント ソース アドレスからログを受信したLog Collectorです。

Log Decoder

このイベント ソース アドレスからログを受信したLog Decoderです。

イベント ソース タイプ

イベント ソース アドレスの解析されたタイプと、各タイプの検出スコアです。

注:検出スコアは、Log Decoder 11.0以上でのみ使用できます。Log Decoder 11.0より前の検出スコアは、[使用不可]と表示されます。

次の表に、検出スコアのソート順序を示します。[ソート順序]ドロップダウン メニューにアクセスするには、[イベント ソース]列の下矢印をクリックします。

                       
フィールド説明

昇順

検出スコアの昇順で列をソートします。

降順

検出スコアの降順で列をソートします。

カラム

1つ以上の列を非表示または表示するために使用します。

Previous Topic:参考情報
You are here
Table of Contents > 参考情報 > [検出]タブ

Attachments

    Outcomes