NWの構成:[新しい構成の追加]ダイアログ

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

RSA NetWitness® Suiteの[管理]>[システム]ビュー>[グローバル監査ログの構成]パネルでは、複数のグローバル監査ログ構成を作成できます。これらの構成を使用して、グローバル監査ログを1か所に転送し、ユーザ監査を実行します。

グローバル監査ログに関連する手順については、「グローバル監査ログの構成」で説明します。

新しい構成の追加]ダイアログにアクセスするには:

  1. メイン メニューで[管理]>[システム]を選択します。
  2. [オプション]パネルで、[グローバル監査]を選択します。
  3. グローバル監査ログの構成]パネルで、をクリックします。
    新しい構成の追加]ダイアログが表示されます。
    [新しい構成の追加]ダイアログ ボックス

    通知]セクションでは、このグローバル監査ログ構成で使用するSyslog通知サーバとテンプレートを選択できます。テンプレートでは、グローバル監査ログ エントリーの詳細を定義します。

機能

次の表は、[新しい構成の追加]ダイアログと[構成の編集]ダイアログの機能について説明しています。

                             
機能説明
通知サーバとテンプレート [設定を表示]リンク[グローバル通知]パネルが表示されます。このパネルでは、通知サーバとテンプレートの設定を表示または構成できます。グローバル監査ログの構成を作成する前に、Syslog通知サーバおよび監査ログ テンプレートを定義しておく必要があります。
構成名グローバル監査ログの構成を特定する一意の名前を指定します。 
通知サーバ監査ログ情報の送信先となるSyslog通知サーバを指定します。グローバル監査ログ用のSyslog通知サーバを作成する手順は、「グローバル監査ログの送信先の構成」で説明しています。
通知テンプレートこのグローバル監査ログの構成で使用するテンプレートを指定します。監査ログ テンプレートを指定する必要があります。
Log Decoderの場合は、Default Audit CEFTemplateを使用します。特定の要件がある場合は、CEF(CommonEventFormat)テンプレートのフィールドを追加および削除することもできます。「グローバル監査ログ テンプレートの定義」には手順が記載されています。
サード パーティのSyslogサーバの場合は、デフォルトの監査ログ テンプレートを使用するか、独自の形式(CEFまたはCEF以外)を定義することができます。「グローバル監査ログ テンプレートの定義」ではその手順について説明し、「グローバル監査ログでサポートされるメタ キー変数」では使用可能な変数について説明しています。
フォームのリセット]ボタンダイアログの構成設定をクリアします。

ログに記録されるユーザ アクション

次の表は、NetWitness Suiteでログに記録されるユーザ アクションの例をいくつか示しています。これらのアクションは、該当する場合にログに記録される最小限のユーザ アクションです。 

                                             
ユーザ アクション
ユーザ ログイン成功 ユーザが有効な認証情報でログオンしました。
ユーザ ログイン失敗ユーザが無効な認証情報を使用してログオンを試行しました。
ユーザ ログアウト ユーザがNetWitness Suiteからログアウトするか([管理]>[サイン アウト])、セッション タイムアウトのためにログアウトしました。
最大ログイン失敗回数超過ユーザが無効な認証情報を使用して5回ログオンを試行しました。5という数値は、[管理]の[セキュリティ]ビュー>[設定]タブで定義された最大ログイン失敗回数です。
UIページへの全アクセスユーザがレポート モジュール([管理]>[レポート])にアクセスすると、[REP] Reportsとログに記録されます。ユーザが[管理]の[システム]ビュー([管理]>[システム])にアクセスすると、[ADM] Systemとログに記録されます。
コミット済みの構成の変更 ユーザが自分のパスワードを変更したか、またはセキュリティ設定([管理]>[セキュリティ]>[設定]タブ)で何らかの変更を行いました。
ユーザが実行したクエリユーザがInvestigationでクエリを実行しました。
ユーザ アクセス拒否ユーザがモジュールへのアクセスを試みましたが、そのモジュールにアクセスするための権限がありません。
データ エクスポート操作ユーザが[イベント]ビューからデータをエクスポートしました([Investigation]>[イベント]>[アクション]>[エクスポート])。

NetWitness Suiteの各種コンポーネントによって記録される一連のメッセージ タイプについては、「グローバル監査ログに記録される操作の一覧」を参照してください。 

Previous Topic:NTPサーバの構成
You are here
Table of Contents > 追加の手順 > [新しい構成の追加]ダイアログ

Attachments

    Outcomes