|
|
|
エージェント上のコネクタ設定
コネクタは、エージェントの管理下で実行され、単一のログ ソースからイベントを収集して処理する収集プロセスです。 特定のデバイスに接続するコネクタは、そのタイプのデバイスに接続するためのルールを規定した統合を使用します。
先週中に SQL Server 2005 および Oracle 11g データベースにアクセスしたユーザを知る必要があります。
エージェントをインストールします。 そのエージェントのために、事前定義された SQL Server 2005 および Oracle 11g 用の統合を使って、SQL Server コネクタと Oracle コネクタを 1 つずつ作成します。 イベントを受信した後、先週中にこれらのデータベースにアクセスしたユーザを検索するためのレポートを実行します。
|
手順 |
詳細情報 |
|---|---|
抑制ルールを使ったイベント フィルタリング
抑制ルールは、特定の元のイベントがレポートに表示されないようにするために設定するルールです。 セキュリティ上の問題がないルーチン イベントを抑制する永続的な抑制ルールを作成できます。また、計画されたイベント(多数のユーザの新規作成など)のログ記録を抑制する一時的なルールを作成することもできます。
システムでは、レポートやアラートの対象にならないログが大量に生成されます。 イベント ログ ソースによってセキュリティと無関係のデータが大量に生成されるため、重要なイベントとそれ以外のイベントを区別するのが難しく、時間がかかります。 これらのログはまた、重要なオンラインやアーカイブのストレージ領域を必要以上に消費します。
セキュリティ アナリストは、Windows Server 2003 の監査の専門家であり、オブジェクト アクセス監査の実行時に、Windows が 2 回のイベント(イベント ID 560 と 562)を書き込むことを認識しています。
リソース アクセス レポートに必要なのはイベント ID 562 のみなので、イベント ID 560 は抑制できます。 管理者は、このイベントをフィルタで除外する CA Enterprise Log Manager 抑制ルールを設定します。
|
手順 |
詳細情報 |
|---|---|
集約ルールによるイベントの集約
集約ルールは、一般的なタイプの特定のネイティブ イベントを 1 つの精製済みイベントに結合するルールです。 たとえば、ソース、宛先 IP アドレス、およびポートが共通の最大 1000 個の重複イベントを、1 つの集約イベントに置き換えるように集約ルールを設定できます。 このようなルールにより、イベントの分析が簡単になり、ログのトラフィックが減少します。
ログ イベントの中には数百~数千回にわたって繰り返されるものがあり、そのためにディスク領域が消費され、重要なイベントとそれ以外のイベントを区別するのが難しくなっています。 これらのログはまた、重要なオンラインやアーカイブのストレージ領域を必要以上に消費します。
システム管理者の組織には、毎秒数百個のイベントを生成する複数の Cisco ASA ファイアウォールがあります。 必ずしもすべてのイベントが必要ではありません。
管理者は、次の共通のフィールドがあるファイアウォール ログを集約してカウントするように CA Enterprise Log Manager を設定します。source_address、dest_address、dest_port、event_action、event_result
|
手順 |
詳細情報 |
|---|---|
|
|
グループベースのノード編成
エージェント グループを使って、管理のためにエージェントどうしを関連付けることができます。 エージェントは、1 つのグループにのみ属することができます。 グループに割り当てられないエージェントは、デフォルト グループに属します。
組織のニューヨーク データ センターには 2 つのエージェントがあり、シカゴ データ センターには 3 つのエージェントがあります。 管理のため、これらのエージェントをデータ センターごとにグループ化する必要があります。
管理者は、ニューヨークのエージェント グループとシカゴのエージェント グループを作成し、それぞれのグループにエージェントを割り当てます。
|
手順 |
詳細情報 |
|---|---|
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |