セキュリティ/ユーザ管理:ステップ3. ロールごとのクエリおよびセッションの属性の検証

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、クエリおよびセッションの属性について説明し、ユーザ ロールに対してこれらの属性を設定する手順を紹介します。また、ロールの設定がユーザ個別の設定にどのように影響を及ぼすか、またユーザが複数のロールに属している場合はどうなるのかについても説明します。

ユーザ ロールを定義したら、各ロールに設定されているクエリおよびセッションの属性を確認することが重要です。これらの設定は、要件に応じて調整できます。

クエリおよびセッションの属性

クエリおよびセッションの属性によって、ユーザが実行するクエリの処理方法が決まります。これらの属性を使用すると、ユーザが取得できる情報を制限できます。これらの属性は、ロールに割り当てられたユーザのすべてのセッションに適用されます。

要件に応じて、次のクエリ属性を、ユーザ ロールに対して指定できます。

  • Coreクエリ タイムアウト]は、NetWitness Suite 10.5以降のコア サービスに対して適用されるオプションの設定です。これにより、ユーザがクエリを実行できる最長時間が分単位で指定されます。この値を設定する場合は、ゼロ(0)以上にする必要があります。ゼロを指定するとタイムアウトしません。
  • Coreセッション閾値]は必須の設定です。この値はゼロ(0)以上でなければなりません。この閾値がゼロより大きい場合は、セッション カウントが閾値を超えると、クエリの最適化により、セッション カウントの合計が推定されます。クエリが返したメタ値が閾値に達すると、システムでは以下の動作が行われます。
    • セッションのカウントを停止する
    • 閾値と、閾値に達するまでに要したクエリ時間の割合を表示する
  • Coreクエリ プレフィックス]は、ユーザが実行するクエリに適用されるオプションのフィルタです。プレフィックスによって、ユーザに表示されるクエリの結果が制限されます。たとえば、クエリ プレフィックスに'service' = 80 を指定した場合、ユーザが実行するクエリの先頭にこの条件が付加され、ユーザは、HTTPセッションのメタにしかアクセスできなくなります。

ユーザに適用されるクエリ操作属性は、ユーザに割り当てられたロールにより異なります。ロールのクエリ属性の設定を確認することが重要です。

ユーザへのクエリ属性の適用順序

ユーザが複数のロールに属している場合、そのユーザには次のロジックが適用されます。

  • クエリ タイムアウト: ユーザに割り当てられたすべてのロールの中の最も許容範囲が広い値(最大値)。
  • クエリ プレフィックス:各ユーザ ロールのクエリ プレフィックスはANDで連結されます。
  • セッション閾値:ユーザに割り当てられたすべてのロールの中の最大値。

手順

ユーザ ロールのクエリ属性を設定するには、次の手順を実行します。

  1. [管理]>[セキュリティ]に移動します。
    [セキュリティ]ビューが表示され、[ユーザ]タブが開きます。
  2. ロール]タブをクリックします。ロールを追加する場合は、[追加]アイコンをクリックします。ロールを編集する場合は、ロールを選択し、編集アイコンをクリックします。
    [ロールの追加]または[ロールの編集]ダイアログが表示されます。
    [ロールの編集]ダイアログ
  3. ロールの属性を設定するには、[属性]セクションで次の操作を行います。
    • (オプション)[Coreクエリ タイムアウト]フィールドに、ユーザがクエリを実行できる最長時間を分単位で入力します。デフォルト値は5分です。このタイムアウトは、Investigationから実行されるクエリにのみ適用されます。このフィールドは、NetWitness Suite 10.5以降のコア サービスで使用されます。
      NetWitness Suite 10.5以降に移行する際、ロールに値が設定されていないと、デフォルトで5分に設定されます。
    • (オプション)[Coreセッション閾値]フィールドに、システムによるセッションのカウントを停止する閾値を入力します。デフォルトは100000です。ここで指定した制限は、調査表示設定で定義された[最大セッション エクスポート]値を上書きします。
    • (オプション)[Coreクエリ プレフィックス]に、ロールを割り当てられたユーザに表示するクエリ結果を制限するためのフィルタ条件を入力します。デフォルトでは、空白です。

注:斜体で表示される値はデフォルト値です(5など)。斜体以外の値は、デフォルト値から変更されたことを示します(1200など)。

  1. 保存]をクリックします。
You are here
Table of Contents > ロールと権限によるユーザの管理 > ステップ3. ロールごとのクエリおよびセッションの属性の検証

Attachments

    Outcomes