ESM:[モニタリング ポリシー]タブ

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

[モニタリング ポリシー]タブには、イベント ソース グループ別に閾値が表示されます。

このタブにアクセスするには、[ADMIN]>[イベント ソース]に移動します。[管理]タブが表示されます。[監視ポリシー]タブを選択します。

ワークフロー

このワークフローは、イベント ソース構成の全体的なプロセスを示しています。

ワークフローは、イベント ソース構成の全体的なプロセスを示しています。

どうしますか?

                       
ロール処理オプション...方法を確認する
管理者

イベント ソースのアラート構成を管理する。

イベント ソース グループのアラートの構成

管理者 イベント ソース グループ別に閾値を表示する。

イベント ソース グループのアラートの構成

関連トピック

イベント ソース グループのアラートの構成

通知の設定

通知の無効化

簡単な説明

監視ポリシー]タブは3つのパネルで構成されています。

  • [イベント グループ]パネル
  • [閾値]パネル
  • [通知]パネル

これは、[監視ポリシー]タブの例です。

[監視ポリシー]画面の例です。

                 
1[グループ]パネルが表示されます。
2[閾値]パネルが表示されます。
3[通知]パネルが表示されます。

[イベント グループ]パネル

[イベント グループ]パネルの例です。

このパネルで選択したグループの閾値が、[閾値]パネルに表示されます。イベント ソース グループごとに閾値のセットを定義できます。グループは特定の順序で表示されることに注意してください。

  • 指定された順序を変更するには、グループをドラッグ アンド ドロップします。
  • 上位に表示されるグループほど、閾値の優先順位が高くなります。RSA NetWitness Suiteは、このパネルに表示されている順序で閾値をチェックします。そのため、優先度の最も高いグループをこのリストの最上部に置く必要があります。

[閾値]パネル

この図は、イベント ソース グループの[閾値]パネルの例です。

イベント ソース グループの[閾値]パネルの例です。

[閾値]パネルには以下の機能が用意されています。

                               
機能説明
有効化

[有効化]チェックボックスは、グループに対して定義した閾値が有効化されているかどうかを示します。有効化されている場合は、そのグループの閾値で定義した範囲から外れるたびに通知が送信されます。有効化されていない場合、そのイベント ソース グループの監視は行われません。

注:閾値を構成し、有効化しないで保存しようとすると、ポリシーを有効化するかどうかを確認するメッセージが表示されます。

閾値を設定しないで、ポリシーを有効化した場合、通知を設定している限り、自動(ベースライン)アラートの通知は受信できます。

通知の設定の詳細については、以下を参照してください。

イベント数の下限閾値
下限閾値の期間(分または時間)

下限の閾値です。時間あたりの最小のイベント数を入力します。グループのイベント ソースが、指定した期間に受信するイベント メッセージの数が、ここで指定した値を下回った場合、閾値違反としてアラームが発生します。

イベント数の上限閾値
上限閾値の期間(分または時間)
下限閾値と同様の働きをします。つまり、ここで指定した期間に、指定した値を上回る数のイベントメッセージを受信した場合、閾値違反として、アラームが発生します。
最終更新日このフィールドには、閾値が最後に変更された日時が表示されます。
保存閾値に対して行った変更を保存します。

[通知]パネル

この図は、イベント ソース グループの[通知]パネルの例です。

イベント ソース グループの[通知]パネルの例です。

次の表に、[通知]パネルの各フィールドとその説明を示します。

                                       
フィールド説明

ツール

+  -

ツールバーでは、次のアイテムを使用できます。

  • 追加(+追加をクリックすると、通知タイプを選択するためのメニューが表示されます。
  • 削除(-:選択された行をリストから削除します。
通知の設定

このリンクをクリックすると、新しいブラウザ タブが開き、NetWitness Suiteの[Administration]>[システム]>[グローバル通知]ページが表示されます。

タイプ

選択した通知のタイプが表示されます。使用可能なオプションは次のとおりです。

  • メール
  • SNMP
  • Syslog
通知 詳細については、「システム構成ガイド」の「通知出力の構成」を参照してください。

通知サーバ

詳細については、「システム構成ガイド」の「通知サーバの構成」を参照してください。
テンプレート

RSAでは、イベント ソース管理向けの3つの通知テンプレートをデフォルトで提供しています。次のテンプレートは配布されたままの状態で使用するか、組織のニーズに基づいてカスタマイズすることができます。

  • メール テンプレート:指定されたメール アドレスに通知を送信します。
  • SNMPテンプレート:指定されたSNMPサーバに通知を送信します。
  • Syslogテンプレート:指定されたSyslogサーバに通知を送信します。

詳細については、「システム構成ガイド」の「通知テンプレートの構成」を参照してください。

出力抑制の間隔 短期間に大量のアラートがトリガーされた場合を考慮し、このポリシーの通知を受け取る頻度を制限するために設定します。 

次の図は、デフォルトのテンプレートを使用した通知のサンプルです。

イベント ソース モニタリング通知ダイアログの例です。

  • Eメール:

    メール通知の場合、3列目の[Alarm Type]に、トリガーされたアラームがポリシーの閾値に基づいて発生したか、またはベースラインの逸脱により発生したかが指定されます。自動モニタリングまたは自動モニタリングの通知がオフになっている場合、Automaticの通知は受信しません。これはSyslogやSNMPでも同じですが、通知の形式が異なります。

  • SNMPトラップのサンプル:

     11-11-2015 11:57:33 Local7.Debug 127.0.0.1 community=public, enterprise=1.3.6.1.4.1.36807.1.20.1, uptime=104313, agent_ip=10.251.37.92, version=Ver2, 1.3.6.1.4.1.36807.1.20.1="NetWitness Suite Event Source Monitoring Notification: Group: PCI Event Source(s) High Threshold: Greater than 500 events in 5 minutes 10.17.0.10,ciscopix,Manual 10.17.0.13,ciscopix,Manual 10.17.0.8,ciscopix,Manual 10.17.0.8,ciscopix,Automatic 10.17.0.12,ciscopix,Manual 10.17.0.5,ciscopix,Manual 10.17.0.6,ciscopix,Manual 10.17.0.4,ciscopix,Manual 10.17.0.4,ciscopix,Automatic 10.17.0.3,ciscopix,Manual" 
  • Syslogのサンプル:

     11-11-2015 11:57:33 User.Info 127.0.0.1 Nov 11 11:57:33 localhost CEF:0|RSA|NetWitness Suite Event Source Monitoring|10.6.0.0.0| HighThresholdAlert|ThresholdExceeded|1|cat=PCI Event Source(s)|Devices| src=10.17.0.10,ciscopix,Manual|src=10.17.0.13,ciscopix,Manual|src=10.17.0.8,ciscopix,Manual|src=10.17.0.8,ciscopix,Automatic|src=10.17.0.12,ciscopix,Manual|src=10.17.0.5,ciscopix,Manual|src=10.17.0.6,ciscopix,Manual|src=10.17.0.4,ciscopix,Manual|src=10.17.0.4,ciscopix,Automatic|src=10.17.0.3,ciscopix,Manual|
You are here
Table of Contents > 参考情報 > ESM:[モニタリング ポリシー]タブ

Attachments

    Outcomes