定義
Security Analyticsでイベント ソース グループを扱う場合は、次のことに留意してください。
- イベント ソースは、基本的にはイベントソースが持つすべての属性とその値の組み合わせにより識別されます。
- イベント ソース グループは、そのグループに定義された一連の基準に一致するイベント ソースのセットです。
たとえば、次のようなグループが考えられます。
- 「Windowsデバイス」という名前のグループは、Microsoft Windowsイベント ソースに関連するすべてのイベント ソース タイプ(winevent_nic、winevent_er、winevent_snare)で構成されます。
- 低優先度サービスという名前のグループでは、優先度属性が5よりも低く設定されているすべてのサービスをグループ化します。
- 米国販売サーバという名前のグループでは、米国に設置されたイベント ソースのうち、組織属性の値が販売、ファイナンス、マーケティングであるものをグループ化します。
[管理]タブの詳細
イベント ソース モジュールの[管理]タブを使用すると、イベント ソースを簡単に管理できます。このタブでは次の操作を実行できます。
- イベント ソース グループを一貫性のある手順で設定する。
- イベント ソースの属性を一貫性のある簡単な方法で操作する。
- イベント ソース全体に対して簡単な検索を行う。
- イベント ソースとイベント ソース グループの一括編集と更新。
次の操作を実行して、イベント ソース グループに関する詳細を表示できます。
- Security Analyticsメニューで、[Administration]>[イベント ソース]を選択します。
- [管理]パネルを選択して、既存のイベント ソース グループの詳細を表示します。
注:イベント ソース リストに現在含まれていないイベント ソースからのログをシステムが受信すると、Security Analyticsにより、そのイベント ソースがリストに自動的に追加されます。また、そのイベント ソースが既存のグループの条件と一致している場合は、そのグループに追加されます。
デフォルト グループ
RSA Security Analyticsには、いくつかのデフォルト グループがあります。これらを必要に応じてカスタマイズして、新しいグループを作成する際のテンプレートとして使用できます。
デフォルト グループは次のとおりです。
- All Event Sources
- All Unix Event Sources
- All Windows Event Sources
- Critical Windows Event Sources
- PCI Event Sources
- Quiet Event Sources
これらのグループのいずれかを編集して、グループを定義するルールを調査できます。
注:Allイベント ソース グループは編集したり削除したりすることはできません。
トピック:
