ESM:[モニタリング ポリシー]タブ

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

[モニタリング ポリシー]タブには、イベント ソース グループ別に閾値が表示されます。

このタブにアクセスするには、[管理]>[イベント ソース]に移動します。[管理]タブが表示されます。[モニタリング ポリシー]タブを選択します。

ワークフロー

このワークフローは、イベント ソース構成の全体的なプロセスを示しています。

実行したいことは何ですか?

                                           
ロール実行したいことドキュメント

管理者

イベント ソースを表示および変更します。

イベント ソース グループの管理

管理者

イベント ソースを確認しマッピングします。

イベント ソースの確認とマッピング

管理者

Log DecoderにParserマッピングを追加および構成します。

Parserマッピングの管理

管理者

イベント ソース アラームを表示します。

イベント ソース アラームの表示

管理者

*モニタリング ポリシーを表示します。

モニタリング ポリシー

管理者

イベント ソース管理をトラブルシューティングします。

ESMのトラブルシューティングおよび付録

*このタスクはここで実行できます。

関連トピック

通知の設定

通知の無効化

簡単な説明

モニタリング ポリシー]タブは3つのパネルで構成されています。

  • [グループ]パネル
  • [閾値]パネル
  • [通知]パネル

これは、[モニタリング ポリシー]タブの例です。

Example of Monitoring Policies screen.

                 
1[グループ]パネルが表示されます。
2[閾値]パネルが表示されます。
3[通知]パネルが表示されます。

[グループ]パネル

Example of Event Groups panel.

このパネルで選択したグループの閾値が、[閾値]パネルに表示されます。イベント ソース グループごとに閾値のセットを定義できます。グループが表示される順序には意味があります。

  • 順序を変更するには、グループをドラッグ アンド ドロップします。
  • 上位に表示されるグループほど、閾値の優先順位が高くなります。RSA NetWitness Platformは、このパネルに表示されている順序で閾値をチェックします。そのため、優先度の最も高いグループをこのリストの最上部に置く必要があります。

[閾値]パネル

この図は、イベント ソース グループの[閾値]パネルの例です。

Example of Thresholds panel for an event source group.

[閾値]パネルには以下の機能が用意されています。

                               
機能説明
有効化

[有効化]チェックボックスは、グループに対して定義した閾値が有効化されているかどうかを示します。有効化されている場合は、そのグループの閾値で定義した範囲から外れるたびに通知が送信されます。有効化されていない場合、そのイベント ソース グループの監視は行われません。

注:閾値を構成し、有効化しないで保存しようとすると、ポリシーを有効化するかどうかを確認するメッセージが表示されます。

閾値を設定しないで、ポリシーを有効化した場合、通知を設定している限り、自動(ベースライン)アラートの通知は受信できます。

通知の設定の詳細については、以下を参照してください。

イベント数の下限閾値
下限閾値の期間(分または時間)

下限の閾値です。時間あたりの最小のイベント数を入力します。グループのイベント ソースが、指定した期間に受信するイベント メッセージの数が、ここで指定した値を下回った場合、閾値違反としてアラームが発生します。

イベント数の上限閾値
上限閾値の期間(分または時間)
下限閾値と同様の働きをします。つまり、ここで指定した期間に、指定した値を上回る数のイベントメッセージを受信した場合、閾値違反として、アラームが発生します。
最終更新日このフィールドには、閾値が最後に変更された日時が表示されます。
保存閾値に対して行った変更を保存します。

[通知]パネル

この図は、イベント ソース グループの[通知]パネルの例です。

Example of Notifications panel for an event source group.

次の表に、[通知]パネルの各フィールドとその説明を示します。

                                       
フィールド説明

ツール

+  -

ツールバーでは、次のアイテムを使用できます。

  • 追加(+追加をクリックすると、通知タイプを選択するためのメニューが表示されます。
  • 削除(-:選択された行をリストから削除します。
通知の設定

このリンクをクリックすると、新しいブラウザ タブが開き、NetWitness Platformの[管理]>[システム]>[グローバル通知]ページが表示されます。

タイプ

選択した通知のタイプが表示されます。使用可能なオプションは次のとおりです。

  • メール
  • SNMP
  • Syslog
通知 詳細については、「システム構成ガイド」の「通知出力の構成」を参照してください。

通知サーバ

詳細については、「システム構成ガイド」の「通知サーバの構成」を参照してください。
テンプレート

RSAでは、イベント ソース管理向けの3つの通知テンプレートをデフォルトで提供しています。次のテンプレートはそのまま使用するか、組織のニーズに基づいてカスタマイズすることができます。

  • メール テンプレート:指定されたメール アドレスに通知を送信します。
  • SNMPテンプレート:指定されたSNMPサーバに通知を送信します。
  • Syslogテンプレート:指定されたSyslogサーバに通知を送信します。

詳細については、「システム構成ガイド」の「通知テンプレートの構成」を参照してください。

出力抑制の間隔 短期間に大量のアラームがトリガーされた場合を考慮し、このポリシーの通知を受け取る頻度を制限するために設定します。 

次の図は、デフォルトのテンプレートを使用した通知のサンプルです。

Example of an event source monitoring notification dialog.

  • メール:

    メール通知の場合、3列目の[Alarm Type]に、トリガーされたアラームがポリシーの閾値により発生したか、またはベースラインからの逸脱により発生したかが指定されます。自動モニタリングまたは自動モニタリングの通知がオフになっている場合、Automaticの通知は受信しません。これはSyslogやSNMPでも同じですが、通知の形式が異なります。

  • SNMPトラップのサンプル:

     11-11-2015 11:57:33 Local7.Debug 127.0.0.1 community=public, enterprise=1.3.6.1.4.1.36807.1.20.1, uptime=104313, agent_ip=10.251.37.92, version=Ver2, 1.3.6.1.4.1.36807.1.20.1="NetWitness Platform Event Source Monitoring Notification: Group: PCI Event Source(s) High Threshold: Greater than 500 events in 5 minutes 10.17.0.10,ciscopix,Manual 10.17.0.13,ciscopix,Manual 10.17.0.8,ciscopix,Manual 10.17.0.8,ciscopix,Automatic 10.17.0.12,ciscopix,Manual 10.17.0.5,ciscopix,Manual 10.17.0.6,ciscopix,Manual 10.17.0.4,ciscopix,Manual 10.17.0.4,ciscopix,Automatic 10.17.0.3,ciscopix,Manual" 
  • Syslogのサンプル:

     11-11-2015 11:57:33 User.Info 127.0.0.1 Nov 11 11:57:33 localhost CEF:0|RSA|NetWitness Platform Event Source Monitoring|10.6.0.0.0| HighThresholdAlert|ThresholdExceeded|1|cat=PCI Event Source(s)|Devices| src=10.17.0.10,ciscopix,Manual|src=10.17.0.13,ciscopix,Manual|src=10.17.0.8,ciscopix,Manual|src=10.17.0.8,ciscopix,Automatic|src=10.17.0.12,ciscopix,Manual|src=10.17.0.5,ciscopix,Manual|src=10.17.0.6,ciscopix,Manual|src=10.17.0.4,ciscopix,Manual|src=10.17.0.4,ciscopix,Automatic|src=10.17.0.3,ciscopix,Manual|
You are here
Table of Contents > 参考情報 > [モニタリング ポリシー]タブ

Attachments

    Outcomes