ESM:イベント ソースの確認とマッピング

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

イベント ソース タイプの確認

[検出]タブでは、NetWitnessが各アドレスについて検出したイベント ソース タイプと、システムがどの程度正確に識別されているかに関するシステムの信頼度を確認できます。検出されたイベント ソース タイプが正しい場合は、そのイベント ソースをデフォルトでビューから除外することを確認することができます。正しくない場合は、特定のアドレスに対して許可されたイベント ソース タイプを設定して、今後のログが正しいパーサに対して解析を行うようにすることができます。

検出されたイベント ソース タイプが正しいことを確認するには、次の手順を実行します。

  • 確認するイベント ソースを選択し、ツールバーの[確認]ボタンをクリックします。イベント ソースが確認されると、[イベント ソース タイプ]列には表示されなくなります。

注:確認済みのイベント ソースはデフォルトでは表示されません。

イベント ソース タイプのマッピング

検出されたイベント ソース タイプが完全に正確でない場合、次の手順を実行することで、パーサをマップして追加情報を得ることができます。

  • マップするイベント ソースを選択し、ツールバーの[マップ]ボタンをクリックします。

注:マップされたイベント ソースの検出スコアが、最も低い検出スコアから最も高い検出スコアまで[イベント ソース タイプ]列に一覧表示されます。検出スコアの範囲は、0(最も低い信頼度)~100(最も高い信頼度)です。

You are here
Table of Contents > イベント ソース グループの管理 > ESM:イベント ソースの確認とマッピング

Attachments

    Outcomes