Windows Legacy収集およびNetApp収集の構成ガイド

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

このWindows Legacyプロトコルでは、Windows Legacy(Windows 2003以前のイベント ソース)からのイベントおよびNetApp ONTAPイベント ソースからのCIFS監査イベントを収集します。

Windows Legacy収集プロトコルを構成する前に、Windows LegacyをリモートCollectorとして設定するためのローカルCollectorを導入する必要があります。

Legacy WindowsおよびNetApp Collectionの仕組み

Windows Legacy収集プロトコルを使用して、次のソースからイベントを収集するようNetWitness Suiteを構成します。

  • 以前のバージョンのMicrosoft Windowsイベント ソース(Window 2003またはそれ以前のイベント ソース)
  • NetAppイベント ソース

Windows 2003またはそれ以前のイベント ソース

Legacy Windowsイベント ソースとは、以前のバージョンのWindows(Windows 2000、Windows 2003など)のイベント ソースを指します。  Windows Legacy収集プロトコルでは、enVisionでイベントを収集していたWindowsイベント ソースからイベントを収集できます。再構成を行う必要はありません。これらのイベント ソースは、[windows]タイプのイベント ソースとして設定します。 

NetAppイベント ソース

Data ONTAPを実行しているNetAppアプライアンスは、Windows Serverに似たネイティブ監査フレームワークをサポートします。NetAppイベント ソースを構成すると、この監査フレームワークは、Windows .evtファイル形式で監査イベントを生成および保存します。Windows Legacyコレクション プロトコルは、NetApp .evtファイルからのイベント収集をサポートします。  これらのイベント ソースは、[netapp_evt]タイプのイベント ソースとして設定します。 

NetApp Data ONTAPアプライアンスは、CIFS監査イベントを生成し、ファイル名にタイムスタンプが含まれる形式で.evtファイルとして定期的に保存するように構成されています。詳細については、RSA Linkの「Network Appliance Data ONTAP Event Source Configuration Guide」を参照してください。この収集プロトコルでは、最後に処理された.evtファイルのファイル名のタイムスタンプを保存することで、収集ステータスを追跡します。

NetApp固有のパラメータ

[ソースの追加/編集]ダイアログで管理するほとんどのパラメータは、Windows Legacyイベント ソースとNetAppイベント ソースの両方で共通しています。

次の2つのパラメータは、NetAppイベント ソースに固有のものです。

  • イベント ディレクトリ パス]:NetAppアプライアンスは、イベント データを生成し、それをNetAppアプライアンス上の共有可能なディレクトリに.evtファイル形式で保存します。NetWitness Suiteでは、そのディレクトリ パスを[イベント ディレクトリ パス]パラメータに指定する必要があります。
  • イベント ファイル プレフィックス]:[イベント ディレクトリ パス]と同様に、NetWitness SuiteではNetWitness Suiteがこのデータを処理できるように、イベント データ.evtファイルのプレフィックス(たとえば、adtlog.)を指定する必要があります。

それぞれのポーリング サイクルにおいて、NetWitness Suiteは、[イベント ディレクトリ パス]パラメータと[イベント ファイル プレフィックス]パラメータで指定したNetApp共有パスの.evtファイルを参照します。NetWitness Suiteでは以下の処理を行います。

  • event-file-prefix.YYMMDDhhmmss.evt形式に一致するファイルを昇順でソートします。
  • 最後に処理されたファイルのタイムスタンプを使用して、処理が必要なファイルを判定します。部分的に処理されたファイルが見つかった場合、NetWitness Suiteはすでに処理済みのイベントをスキップします。

導入のシナリオ

Windows Legacy収集プロトコルでは、Windows 2003以前とNetApp ONTAPアプライアンスのイベント ソースからイベント データが収集されます。Windows LegacyリモートCollectorは、イベント ソース ドメイン内の物理環境または仮想環境の64ビットWindows 2008 ServerにインストールされたSA Legacy Windows Collectorです。

Windows Legacy Multi-Domain workflow.

You are here
Table of Contents > 収集プロトコル > Windows Legacy収集およびNetApp収集の構成ガイド

Attachments

    Outcomes