ESM:イベント ソースの確認とマッピング

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

RSA NetWitness® Platformバージョン11.1で、自動マッピング機能が追加されました。システムは、同じアドレスから以前に受信したログのタイプに基づいて、受信イベントに自動的にタイプをマッピングします。これにより、検出ワークフローで注意が必要なアイテムの数を減らしています。UIには、各アドレスが検出ワークフローで自動マッピングされたか否かが表示されます。

イベント ソース タイプの確認

[検出]タブでは、NetWitnessが各アドレスについて検出したイベント ソース タイプと、システムがどの程度完全かつ正確にタイプを識別したかを示す信頼度を確認できます。検出されたイベント ソース タイプが正しい場合は、そのイベント ソースを確認することにより、デフォルトでビューに表示しないようフィルタできます。正しくない場合は、特定のアドレスに対して想定するイベント ソース タイプを設定することにより、今後のログを正しいParserで解析することができます。

イベント ソースを確認するには、次の手順に従います。

  1. [管理]>[イベント ソース]に移動します。

    [検出]タブが表示されます。

  2. 1つまたは複数のイベント ソースを選択します。
  3. 確認/確認取り消し]をクリックします。

次の点に注意してください。

  • 確認されたイベント ソースは[イベント ソース タイプ]列に表示されなくなります。
  • 確認/確認取り消し]ボタンは次のように動作します。

    • 選択されたすべてのイベント ソースの確認済み状態が同じである場合は、すべてのイベント ソースの状態がトグルされます。つまり、[確認済み]列が[はい]のイベント ソースのみを選択した場合、これらすべてに対して値が[いいえ]に変更されます。同様に、[確認済み]列がすべて[いいえ]の場合は、選択されたイベント ソースすべての値が[はい]に変更されます。
    • 複数のイベント ソースを選択し、それらの一部の値が[はい]で残りの値が[いいえ]である場合に[確認/確認取り消し]をクリックすると、選択されたすべてのイベント ソースの値が[はい]に設定されます。

注:確認済みのイベント ソースはデフォルトでは表示されません。

イベント ソース タイプの手動マッピング

検出されたイベント ソース タイプが完全に正確でない場合は、Parserをマッピングして追加情報を得ることができます。

イベント ソースをマッピングするには、次の手順に従います。

  1. [管理]>[イベント ソース]に移動します。

    [検出]タブが表示されます。

  2. 1つまたは複数のイベント ソースを選択します。
  3. Map buttonをクリックします。

    [Parserマッピングの管理]ダイアログ ボックスが表示されます。

  4. Parserマッピングを追加または削除し、組織のニーズに基づいて優先順位を変更します。詳細については、「Parserマッピングの管理 」を参照してください。

注:マッピングされたイベント ソースの検出スコアが、最も低い検出スコアから最も高い検出スコアまで[イベント ソース タイプ]列に一覧表示されます。検出スコアの範囲は、0(最も低い信頼度)~100(最も高い信頼度)です。

11.0より前のLog Decoderからのログの表示

RSA NetWitness® Platform 11.0では、[検出]ビューの詳細タブを使用して、特定のデバイスの最近のログの一部を抜粋して表示する機能が追加されました。デフォルトでは、11.0より前のLog Decoderにはこの機能を有効化するために必要な設定がありませんが、小規模な変更をいくつか行うことで、この機能を利用できるようになります。詳細については、「11.0より前のLog Decoderからのログの表示」を参照してください。

You are here
Table of Contents > イベント ソース グループの管理 > イベント ソースの確認とマッピング

Attachments

    Outcomes