レポート:アラートの概要

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode

アラートを使用して、現在のセキュリティの問題、脆弱性、攻撃に関するタイムリーな洞察を生成できます。たとえば、問題のあるアカウントから悪意のあるメールが送信される場合、このようなイベントが発生したときに自動的に通知するアラートが必要です。

アラートの以下の概念は、アラート ルール、条件、通知、およびテンプレートの詳細を理解する上で役に立ちます。

アラート ルール

アラート ルールでは、アラート生成のロジックを指定します。アラート ルールを使用して、閾値の制限を設定し、これらの制限を超過した場合の通知方法を定義できます。たとえば、CPU使用率が5分以上異常に高い場合にアラートを送信するルールを設定できます。

アラート定義

アラート定義は、レポートのルールの定義と似ています。これらのルールは用途に基づいて定義する必要があります。アラート定義は、[ルールのビルド]ビューで定義したアラート ルールを選択して行います。アラートを定義するときにこのルールを選択します。

注:NetWitnessデータ ソースに対して定義されたルールのみを使用してアラートを作成できます。

アラートが作成されると、このデータはReporting Engineから収集され、ユーザ インタフェースに表示されます。

アラートを定義した後、アラートが1分おき(デフォルト)、今すぐ、または近い将来に実行されるようスケジュール設定できます。

注: NetWitnessユーザ インタフェースでは、日付と時刻はその表示場所に関わらず、常に選択したタイム ゾーン プロファイルに基づいて表示されます。

アラート定義

アラート通知

アラート通知の構成に必要なコンポーネントを次に示します。

  • 通知サーバ:通知サーバは、アラート通知の送信に使用します。SMTPメール サーバなどがあります。通知サーバを構成後、そのサーバをルールに追加することができます。ルールによりアラートがトリガーされると、このサーバを使用してアラート通知が送信されます。
  • 通知:アラート出力、これにはメール、SMTP、SNMP、Syslogがあります。
  • テンプレート:アラート メッセージの事前定義済みの形式。

ルール条件が発生すると、常に重大度レベルに基づいてアラートが生成され、特定のアラートに対して設定されている通知方法に応じてユーザに通知されます。以下に、さまざまな通知方法を示します。

  • メール/SMTP:SMTP(Simple Mail Transfer Protocol)は、システム アクティビテに関するアラート メールを送信します。[SMTP]の通知タイプを選択して、メール アラートを指定された受信者に送信できます。

  • SNMP:SNMP(Simple Network Management Protocol)は、SNMPトラップの複数のコンピューターにアラートを送信します。[SNMP]の通知タイプを選択して、SNMPアラートを他のコンピューターに送信できます。
  • Syslog:SyslogアラートはSyslogメッセージから通知を生成します。[Syslog]の通知タイプを選択して、Syslogアラートを送信できます。

アラートは、注意する必要があるイベントを通知するように、またはアラートで構成された条件に基づいて自動的にアクションを実行するメカニズムとして構成できます。エンティティ内の条件がアラート用に選択された条件を満たす場合、アラートが送信されます。通知の基準では、アラートの生成タイミングと頻度を決定します。

アラート テンプレート

アラート テンプレートは、アラート メッセージ用の事前定義済み形式です。これらのテンプレートを使用してアラートを作成できます。

アラートのアクセス制御

ユーザ ロールに応じて、アラートを管理するための特定のアクセス権限のセットがユーザに付与されます。管理者は、各ユーザに付与されるアクセス権限を[管理]>[セキュリティ]>[ロール]タブから管理します。ユーザ ロールにアクセス権限を設定してアラートを管理できます。レポート モジュールでは、アラート レベルでアクセス制御を行います。

注:Reporting Engineのアラートの権限には、ESA(イベント ストリーム分析)と区別するために先頭に「RE」というプレフィックスが付いています。 

ユーザおよびユーザ ロールを作成する場合は、特定のタスクに対して作成したロールに必要なすべての権限にアクセスできることを確認します。これにより、ロール階層の複数のレベルで権限が必要になる場合があります。

アラートへのアクセス権限は特定のユーザ ロールに関連づけることができます。これにより、ユーザがNetWitnessにログインすると、そのユーザのロールがアクセス権限を持つアラートのみを表示できます。[読み取り/書き込み]アクセス権限のあるユーザ ロールに属するユーザはアラートを定義できます。[読み取り専用]アクセスのユーザのみがアラートにアクセスするようにアクセスをさらに制限できます。

NetWitnessでは、ユーザ ロールに、次のアクセス権限をアラート レベルで設定できます。

  • 読み取り/書き込み
  • 読み取り専用
  • アクセス不可

注:アラートの権限を適用する前にすべてのユーザ ロールに設定されているデフォルトの権限は、「アクセス不可」権限です。チェックボックスはオフになっています。

特定のユーザ ロールのアクセス権限を変更する場合は、これらをアラート レベルで設定する必要があります。管理者以外の他のすべてのユーザ ロールのデフォルトの権限セットが「アクセス不可」になります。

2つのシナリオについて簡単に説明します。

  • シナリオ1:ユーザ ロールに基づいてアラート/ルールに権限を適用。
  • シナリオ2:アラートのルールに読み取り専用の権限を適用。
                         
 

ロール

(Analysts)

ユーザ ロールに基づいてアラート/ルールに権限を適用 アラート内のルールに権限(読み取り専用)を適用
アラート 読み取り/書き込み 読み取り/書き込み 読み取り/書き込み

ルール

読み取り

読み取り

読み取り

アラートにはSecurity Analystのロールが割り当てられ、アラートに対する権限は[読み取り/書き込み]に設定されます。

シナリオ1では、ユーザ ロールに基づいて各レベルに権限を設定します。シナリオ2では、[読み取り]権限がルールに対して設定されます。ただし、ルールに対する権限がアラートに対する権限よりも上位レベルであってはなりません。

ルールに対する権限がアラートに対する権限よりも上位レベルである場合、この権限は適用されません。たとえば、アラートに対する権限を[アクセス不可]に設定した場合、[読み取り専用権限をアラートのルールに適用します]オプションをオンにしても、読み取り専用の権限はルールに対して設定されません。

複数のアラートが選択された場合のアラートのアクセス制御

複数のアラートの権限を変更する場合は、複数のアラートを選択し、[アラートの権限]パネルでそれらのアクセス権限を設定する必要があります。選択したアクセス権限は、選択したすべてのアラートに適用されます。

特定ユーザでのログインおよびアクセス権の詳細表示

読み取り]アクセス権限があるユーザとしてNetWitness UIにログインすると、アラート リスト パネルではすべてのアラートが記号()とともに示され、この記号をクリックすると「読み取り専用」と表示されます。

アラートに対する[読み取り/書き込み]アクセス権限がないユーザとしてNetWitness UIにログインすると、アラート リスト パネルには各アラートが記号()とともに、グレー表示されます。

次の図は、最低限の[読み取り/書き込み]アクセス権限でログインしたときのアラート リスト パネルを示しています。

アラートのさまざまなユーザ

注:(ADMIN以外の)ユーザがアラートを作成した場合、ADMINはそのアラートにアクセスできません。

次の表に、[アラートの権限]パネルの各列のリストを示します。

                               
説明
ロールNetWitnessのユーザ インタフェースにログインしたユーザのロール。
読み取り/書き込みユーザは、[アラート]ページでアラートのアクセス、表示、編集、インポート、エクスポート、削除を行うことができます。アラートに対する権限も変更できます。
読み取り専用ユーザは、[アラート]ページでアラートのアクセスと表示のみを行うことができます。
アクセス不可ユーザは、この権限が設定されているアラートにアクセスすることもアラートを表示することもできません。 
IconCheckbox.png読み取り専用権限をアラートのルールに適用します ユーザは、アラート内のルールに権限を自動的に適用できます。

アラートのプロセス全体の概要を次に示します。

アラートのワークフロー

Reporting Engineでアラートを構成および生成するには、次を実行します。

  1. Reporting Engineの構成
  2. アラートの構成
  3. アラートのスケジュール設定
  4. アラートの表示
  5. アラートの調査
  6. アラートおよびアラート テンプレートの管理
You are here
Table of Contents > アラート設定の概要

Attachments

    Outcomes