[モニタリング ポリシー]タブには、イベント ソース グループ別に閾値が表示されます。
このタブにアクセスするには、次の手順を実行します。
-
Security Analyticsメニューで、[Administration]>[イベント ソース]を選択します。
[管理]タブが表示されます。
- [モニタリング ポリシー]タブを選択します。
このタブに関連した手順は、次のトピックを参照してください:モニタリング ポリシー.
機能
[モニタリング ポリシー]タブは3つのパネルで構成されています。
[グループ]パネル
このパネルで選択したグループの閾値が、[閾値]パネルに表示されます。イベント ソース グループごとに閾値のセットを定義できます。グループは特定の順序で表示されることに注意してください。
- 指定された順序を変更するには、グループをドラッグ アンド ドロップします。
- 上位に表示されるグループほど、閾値の優先順位が高くなります。RSA Security Analyticsは、このパネルに表示されている順序で閾値をチェックします。そのため、優先度の最も高いグループをこのリストの最上部に置く必要があります。
[閾値]パネル
この図は、イベント ソース グループの[閾値]パネルの例です。
[閾値]パネルには以下の機能が用意されています。
| 機能 | 説明 |
|---|---|
| 有効化 | [有効化]チェックボックスは、グループに対して定義した閾値が有効化されているかどうかを示します。有効化されている場合は、そのグループの閾値で定義した範囲から外れるたびに通知が送信されます。有効化されていない場合、そのイベント ソース グループの監視は行われません。 注:閾値を構成し、有効化しないで保存しようとすると、ポリシーを有効化するかどうかを確認するメッセージが表示されます。 閾値を設定しないで、ポリシーを有効化した場合、通知を設定している限り、自動(ベースライン)アラートの通知は受信できます。 通知の設定の詳細については、以下を参照してください。 |
| 下限閾値のイベント数 下限閾値の期間(分または時間) | 下限の閾値です。時間あたりの最小のイベント数を入力します。グループのイベント ソースが、指定した期間に受信するイベントメッセージの数が、ここで指定した値を下回った場合、閾値違反としてアラームが発生します。 |
| 上限閾値のイベント数 上限閾値の期間(分または時間) | 下限閾値と同様の働きをします。つまり、ここで指定した期間に、指定した値を上回る数のイベントメッセージを受信した場合、閾値違反として、アラームが発生します。 |
| 最終更新日 | このフィールドには、閾値が最後に変更された日時が表示されます。 |
| 保存 | 閾値に対して行った変更を保存します。 |
[通知]パネル
この図は、イベント ソース グループの[通知]パネルの例です。
次の表に、[通知]パネルの各フィールドとその説明を示します。
| フィールド | 説明 |
|---|---|
| ツール + - | ツールバーでは、次のアイテムを使用できます。
|
| 通知の設定 | このリンクをクリックすると、新しいブラウザ タブが開き、Security Analyticsの[Administration]>[システム]>[通知]ページが表示されます。 |
| 出力 | 選択した通知のタイプが表示されます。使用可能なオプションは次のとおりです。
|
| 通知 | 詳細については、「システム構成ガイド」の「通知出力の構成」を参照してください。 |
| 通知サーバ | 詳細については、「システム構成ガイド」の「通知サーバの構成」を参照してください。 |
| テンプレート | RSAでは、イベント ソース管理向けの3つの通知テンプレートをデフォルトで提供しています。次のテンプレートは配布されたままの状態で使用するか、組織のニーズに基づいてカスタマイズすることができます。
詳細については、「システム構成ガイド」の「通知テンプレートの構成」を参照してください。 |
| 出力抑制の間隔 | 短期間に大量のアラートがトリガーされた場合を考慮し、このポリシーの通知を受け取る頻度を制限するために設定します。 |
次の図は、デフォルトのテンプレートを使用した通知のサンプルです。
-
メール:
注:メール通知の場合、3列目の[Alarm Type]に、トリガーされたアラームがポリシーの閾値に基づいて発生したか、またはベースラインの逸脱により発生したかが指定されます。自動モニタリングまたは自動モニタリングの通知がオフになっている場合、Automaticの通知は受信しません。これはSyslogやSNMPでも同じですが、通知の形式が異なります。
-
SNMPトラップのサンプル:
11-11-2015 11:57:33 Local7.Debug 127.0.0.1 community=public, enterprise=1.3.6.1.4.1.36807.1.20.1, uptime=104313, agent_ip=10.251.37.92, version=Ver2, 1.3.6.1.4.1.36807.1.20.1="Security Analytics Event Source Monitoring Notification: Group: PCI Event Source(s) High Threshold: Greater than 500 events in 5 minutes 10.17.0.10,ciscopix,Manual 10.17.0.13,ciscopix,Manual 10.17.0.8,ciscopix,Manual 10.17.0.8,ciscopix,Automatic 10.17.0.12,ciscopix,Manual 10.17.0.5,ciscopix,Manual 10.17.0.6,ciscopix,Manual 10.17.0.4,ciscopix,Manual 10.17.0.4,ciscopix,Automatic 10.17.0.3,ciscopix,Manual"
-
Syslogのサンプル:
11-11-2015 11:57:33 User.Info 127.0.0.1 Nov 11 11:57:33 localhost CEF:0|RSA|Security Analytics Event Source Monitoring|10.6.0.0.0| HighThresholdAlert|ThresholdExceeded|1|cat=PCI Event Source(s)|Devices| src=10.17.0.10,ciscopix,Manual|src=10.17.0.13,ciscopix,Manual|src=10.17.0.8,ciscopix,Manual|src=10.17.0.8,ciscopix,Automatic|src=10.17.0.12,ciscopix,Manual|src=10.17.0.5,ciscopix,Manual|src=10.17.0.6,ciscopix,Manual|src=10.17.0.4,ciscopix,Manual|src=10.17.0.4,ciscopix,Automatic|src=10.17.0.3,ciscopix,Manual|
