ESM:イベント ソース グループの管理

Document created by RSA Information Design and Development Employee on Apr 19, 2018Last modified by RSA Information Design and Development Employee on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

定義

NetWitness Platformでイベント ソース グループを扱う場合は、次のことに留意してください。

  • イベント ソースは、基本的にはイベントソースが持つすべての属性とその値の組み合わせにより識別されます。
  • イベント ソース グループは、そのグループに定義された一連の基準に一致するイベント ソースのセットです。

たとえば、次のようなグループが考えられます。

  • Windowsデバイスという名前のグループは、Microsoft Windowsイベント ソースに関連するすべてのイベント ソース タイプ(winevent_nicwinevent_erwinevent_snare)で構成されます。
  • 低優先度サービスという名前のグループでは、優先度属性が5よりも低く設定されているすべてのサービスをグループ化します。
  • 米国販売サーバという名前のグループでは、米国に設置されたイベント ソースのうち、組織属性の値が販売、ファイナンス、マーケティングであるものをグループ化します。

[管理]タブの詳細

イベント ソース モジュールの[管理]タブを使用すると、イベント ソースを簡単に管理できます。このタブでは次の操作を実行できます。

  • イベント ソース グループを一貫性のある手順で設定する。
  • イベント ソース属性を一貫性のある簡単な方法で操作する。
  • イベント ソース全体に対して簡単な検索を行う。
  • イベント ソースとイベント ソース グループの一括編集と更新。

次の操作を実行して、イベント ソース グループに関する詳細を表示できます。

  1. 管理]>[イベント ソース]に移動します。
  2. 管理]パネルを選択して、既存のイベント ソース グループの詳細を表示します。

注:イベント ソース リストに現在含まれていないイベント ソースからのログをシステムが受信すると、NetWitness Platformにより、そのイベント ソースがリストに自動的に追加されます。また、そのイベント ソースが既存のグループの条件と一致している場合は、そのグループに追加されます。

デフォルト グループ

RSA NetWitness Platformにはいくつかのデフォルト グループがあります。これらを必要に応じてカスタマイズして、新しいグループを作成する際のテンプレートとして使用できます。

デフォルト グループは次のとおりです。

  • All Event Sources
  • All Unix Event Sources
  • All Windows Event Sources
  • Critical Windows Event Sources
  • PCI Event Sources
  • Quiet Event Sources

これらのグループのいずれかを編集して、グループを定義するルールを調査できます。

注:Allイベント ソース グループは編集したり削除したりすることはできません。

トピック:

You are here
Table of Contents > イベント ソース グループの管理 > イベント ソース グループの管理

Attachments

    Outcomes