|
|
|
定義済みの相関ルールを適用したり、相関ルール ウィザードを使用して環境に合わせてカスタム相関ルール作成したり、既存のルールを修正したりできます。 相関ルールを使用すると、攻撃などのセキュリティ リスクとなる可能性のあるイベントのグループを識別できます。 相関ルールを作成または編集するには、管理者ロールを持っている必要があります。
相関ルールを作成する場合は、3 つのタイプのどれを作成するかを選択する必要があります。 ルール テンプレートは、インシデントと見なすイベントを定義します。 使用可能なテンプレートは以下のとおりです。
注: 相関を効果的に行うには、すべての受信イベントを参照する必要があります。 そのため、抑制または集約ルールをエージェント レベルで適用しないようにすることを検討してください。 エージェントで抑制または集約されたイベントは、相関およびインシデントの作成用として考慮されません。
イベント相関によって、ネットワーク トラフィックが大幅に増加する場合があります。 そのため、専用の相関サーバを割り当てることを検討してください。 サーバのロールの詳細については、「CA Enterprise Log Manager 実装ガイド」を参照してください。
相関サービスで処理するインシデント メッセージが大量に存在する場合、相関サービスは最大 10,000 メッセージのキューを保持します。 この数を超えるメッセージは失われます。 CA Enterprise Log Manager は、これが発生した場合に自己監視イベントを生成します。
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |