通常、イベント ソースの監視は、そのイベント ソースの重要度ごとに「まとめて」行う必要があります。標準的な例を次に示します。
- PCIイベント ソース グループが存在し、この中に、30分間、メッセージ送信を停止している(または送信するメッセージが少なすぎる)イベント ソースがあるかどうかを把握することは重要です。
- Windowsイベント ソース グループが存在し、この中に、4時間メッセージの送信を停止しているイベント ソースがあるかどうかが分かると便利です。
- 静止イベント ソース グループが存在し、この中のイベント ソースは、通常それほど多くのメッセージは送信しません。ただし、こうしたイベント ソースが24時間何も送信しない場合は、それを把握したいと考えています。
組織の多くに、この例のようなネットワークがあります。別のカテゴリが存在する可能性もありますが、ここでは、この例を使用して、この機能の使用方法を説明します。
他にも数十、場合によっては数百のイベント ソース グループが存在する可能性がありますが、閾値およびアラートを設定する必要があるのは、わずか数グループです。
注:イベント ソースが複数のグループに所属しており、その複数のグループでアラートが構成されている場合は、リスト内でのグループの順序に従い、最初に一致したグループでのみアラートが発行されます。([モニタリング ポリシー]タブには、グループの番号付きリストが表示されます)。
グループの順序づけ
注:グループの順序を変更するには、グループを新しい場所にドラッグ アンド ドロップします。リスト内でグループが上位にあるほど、そのグループの閾値の優先順位が高くなります。RSA Security Analyticsは、このパネルに表示されている順序で閾値をチェックします。そのため、優先度の最も高いグループをこのリストの最上部に置く必要があります。
まず、[モニタリング ポリシー]ページでのグループの順序をどのように決定するかを理解してください。前述のように3つのグループがある場合は、次のように順序を付けます。
- 静止イベント ソース。このグループを最初に配置すると、大量のfalseアラートの発生を防ぐことができます。
- 優先度が高いPCIイベント ソース。最優先イベント ソースは、静止イベント ソースの後ろに配置します。
- Windowsイベント ソース。これらのイベント ソースに対する監視の時間範囲は、PCIイベント ソースよりも長くなります(30分対4時間)。したがって、PCIイベント ソースの後ろに配置します。
- すべてのイベント ソース。オプションで、すべてのイベント ソースの閾値をに設定できます。これによりネットワーク全体が問題なく動作していることを確認できます。包括グループの場合は、閾値を指定する必要はありません。自動アラート機能を使用してこのグループのイベント ソースのアラームを生成することができます。
前の図では、次の点に注意してください。
- グループの順序は、前のセクションで説明したように設定されています。
- PCIイベント ソースの閾値の目的は、Security Analyticsが30分間に受け取るメッセージ数が10未満の場合にアラートを発行することです。
- 下限閾値を定義しますが、上限閾値は定義しません。これは多くの利用ケースで行われる典型的な設定です。
グループの構成と順序づけを行い、アラートが発生し始めたら、順序の調整が必要になる可能性があります。順序づけの調整に役立つガイドラインを次に示します。
- 必要以上のアラートが発生する場合は、順序を調整してグループを下に移動します。同様に、アラートが少なすぎる場合は、グループを上に移動します。
- 必要以上にアラートを作成しているイベント ソースを見つけた場合は、そのイベント ソースを他のグループに移動するか、そのイベント ソースに対して新しいグループを作成します。