セキュリティ/ユーザ管理:ステップ3. ロールごとのクエリおよびセッションの属性の検証

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

このトピックでは、クエリおよびセッションの属性について説明し、ユーザ ロールに対してこれらの属性を設定する手順を紹介します。また、ロールの設定がユーザ個別の設定にどのように影響を及ぼすか、またユーザが複数のロールに属している場合はどうなるのかについても説明します。

ユーザ ロールを定義したら、各ロールに設定されているクエリおよびセッションの属性を確認することが重要です。これらの設定は、要件に応じて調整できます。

クエリおよびセッションの属性

クエリおよびセッションの属性によって、ユーザが実行するクエリの処理方法が決まります。これらの属性を使用すると、ユーザが取得できる情報を制限できます。これらの属性は、ロールに割り当てられたユーザのすべてのセッションに適用されます。

要件に応じて、次のクエリ属性を、ユーザ ロールに対して指定できます。

  • Coreクエリ タイムアウト]は、NetWitness Platformのコア サービスに対して適用されるオプションの設定です。これにより、ユーザがクエリを実行できる最長時間が分単位で指定されます。この値を設定する場合は、ゼロ(0)以上にする必要があります。ゼロを指定するとタイムアウトしません。デフォルト値は5分です。
  • Coreセッション閾値]は必須の設定です。この値はゼロ(0)以上でなければなりません。デフォルトは、100000です。ここで指定した制限は、Investigate表示設定で定義された[最大セッション エクスポート]値を上書きします。この閾値がゼロより大きい場合は、セッション カウントが閾値を超えると、クエリの最適化により、セッション カウントの合計が推定されます。クエリが返したメタ値が閾値に達すると、システムでは以下の動作を行います。
    • セッションのカウントを停止する
    • 閾値と、閾値に達するまでに要したクエリ時間の割合を表示する
  • Coreクエリ プレフィックス]は、ユーザが実行するクエリに適用されるオプションのフィルタです。プレフィックスによって、ユーザに表示されるクエリの結果が制限されます。たとえば、クエリ プレフィックスに'service' = 80 を指定した場合、ユーザが実行するクエリの先頭にこの条件が付加され、ユーザは、HTTPセッションのメタデータにしかアクセスできなくなります。

注:バージョン11.1以降では、Coreクエリ プレフィックスで、設定済みのメタ エンティティを使用できます。メタ エンティティの設定の詳細については、『コア データベース チューニング ガイド』を参照してください。

ユーザに適用されるクエリ操作属性は、ユーザに割り当てられたロールにより異なります。ロールのクエリ属性の設定を確認することが重要です。

ユーザへのクエリ属性の適用順序

ユーザが複数のロールに属している場合、そのユーザには次のロジックが適用されます。

  • クエリ タイムアウト: ユーザに割り当てられたすべてのロールの中の最も許容範囲が広い値(最大値)。
  • クエリ プレフィックス:各ユーザ ロールのクエリ プレフィックスはANDで連結されます。
  • セッション閾値:ユーザに割り当てられたすべてのロールの中の最大値。

ユーザ ロールのクエリ属性の設定

  1. [管理]>[セキュリティ]に移動します。
    [セキュリティ]ビューが表示され、[ユーザ]タブが開きます。
  2. ロール]タブをクリックします。ロールを追加する場合は、Add iconをクリックします。ロールを編集する場合は、ロールを選択し、Edit iconをクリックします。
    [ロールの追加]または[ロールの編集]ダイアログが表示されます。
    Edit Role dialog
  3. ロールの属性を設定するには、[属性]セクションで次の操作を行います。
    • (オプション)[Coreクエリ タイムアウト]フィールドに、ユーザがクエリを実行できる最長時間を分単位で入力します。このタイムアウトは、Investigationから実行されるクエリに適用されます。
    • (オプション)[Coreセッション閾値]フィールドに、システムによるセッションのカウントを停止する閾値を入力します。
    • (オプション)Coreクエリ プレフィックスを入力して、ロール メンバの[調査]の[ナビゲート]ビュー、[イベント]ビュー、[イベント分析]ビューに表示されるクエリ結果をフィルタ処理します。特定のロールを持つユーザによって実行されるすべてのクエリの前に付加されるクエリを指定できます。たとえば、クエリ プレフィックスに'service' = 80 を指定した場合、このロールのユーザが実行するクエリの先頭にこの条件が付加され、ユーザは、HTTPセッションのメタデータにしかアクセスできなくなります。ユーザがHTTP以外のイベントに移動しようとすると、ビューは表示されません。
  1. 保存]をクリックします。
You are here
Table of Contents > ロールと権限によるユーザの管理 > ステップ3. ロールごとのクエリおよびセッションの属性の検証

Attachments

    Outcomes