実装ガイドサービスの設定相関サービスの設定 › 定義済み相関ルールの使用

前のトピック: 相関ルールおよびインシデント通知の適用

次のトピック: 収集サーバの設定

定義済み相関ルールの使用

CA Enterprise Log Manager には、ユーザの環境で使用するさまざまな定義済み相関ルールが用意されており、これらはタイプまたは規制要件別に整理されています。 たとえば、ライブラリ インターフェースの相関ルール フォルダには PCI というフォルダがあります。このフォルダには、さまざまな PCI 要件のルールが格納されています。 また、ID というフォルダには、許可および認証に関する汎用ルールが含まれています。

ルールには 3 つのタイプがあり、各カテゴリにはそれらのいずれかまたはすべてが含まれています。 このトピックでは、各タイプの 1 つを選択および適用する例を示します。

例 - 単純ルールの選択および適用

単純相関ルールは、1 つの状態または発生の存在を検出します。 たとえば、通常の営業時間外のアカウント作成アクティビティを警告するルールを適用できます。 ルールを適用する前に、適切な通知の宛先を作成しておく必要があります。

通常の営業時間外のアカウント作成ルールを選択および適用する方法

  1. [管理]タブをクリックし、[ライブラリ]サブタブをクリックして、相関ルール フォルダを展開します。
  2. [PCI]フォルダ、[要件 8]フォルダの順に展開して、[通常の営業時間外のアカウント作成ルールを選択します。

    ルールの詳細が右ペインに表示されます。

  3. ルールの詳細を参照して、対象の環境内でルールが適切であることを確認します。 この場合、フィルタはアカウント作成アクションを定義し、通常の営業時間を時間および曜日で設定します。
  4. (オプション)必要な場合は、ペインの上部にある[編集]をクリックしてフィルタ設定を変更します。 たとえば、通常の労働時間を変更して現地の仕様に合わせることができます。

    [ルールの管理]ウィザードが開き、ルールの詳細がロードされます。

  5. [ルールの管理]ウィザードに通知の詳細を追加します。 通知の詳細では、通知の宛先で指定された宛先に送信されるメッセージの内容を指定します。
  6. ルールの作成が完了したら、ウィザードの[保存して閉じる]をクリックします。 定義済み相関ルールを編集して保存すると、CA Enterprise Log Manager は自動的に新しいバージョンを作成し、元のバージョンを保存します。
  7. [サービス]サブタブをクリックし、[相関サービス]ノードを展開します。
  8. ルールを適用するサーバを選択します。 相関サーバを識別した場合は、そのサーバを選択する必要があります。
  9. [ルール設定]領域の[適用]をクリックし、[通常の営業時間外のアカウント作成]ルールの新バージョンおよびそれに関連付ける通知の宛先を選択します。
  10. [OK]をクリックして、ダイアログ ボックスを閉じてルールをアクティブにします。

例 - カウント ルールの選択および適用

カウント相関ルールは、一連の同一状態または発生を識別します。 たとえば、管理者アカウントによる 5 回以上のログイン失敗を警告するルールを適用できます。 ルールを適用する前に、適切な通知の宛先を作成しておく必要があります。

[管理者アカウントによる 5 回失敗したログイン]ルールを選択および適用する方法

  1. [管理]タブをクリックし、[ライブラリ]サブタブをクリックして、相関ルール フォルダを展開します。
  2. [脅威管理]フォルダ、[不審なアカウントおよびログイン アクティビティ]フォルダの順に展開し、[管理者アカウントによる 5 回失敗したログイン]ルールを選択します。

    ルールの詳細が右ペインに表示されます。

  3. ルールの詳細を参照して、対象の環境内でルールが適切であることを確認します。 この場合、フィルタは、キー設定済みリスト「Administrators」に属するユーザ名として管理者アカウントを定義し、カウントしきい値を 60 分内に 5 つのイベントに設定します。
  4. (オプション)必要な場合は、ペインの上部にある[編集]をクリックしてフィルタ設定を変更します。 たとえば、時間しきい値を 30 分内に 3 つのイベントに変更できます。

    [ルールの管理]ウィザードが開き、ルールの詳細がロードされます。

  5. [ルールの管理]ウィザードに通知の詳細を追加します。 通知の詳細では、通知の宛先で指定された宛先に送信されるメッセージの内容を指定します。
  6. ルールの作成が完了したら、ウィザードの[保存して閉じる]をクリックします。 定義済み相関ルールを編集して保存すると、CA Enterprise Log Manager は自動的に新しいバージョンを作成し、元のバージョンを保存します。
  7. [サービス]サブタブをクリックし、[相関サービス]ノードを展開します。
  8. ルールを適用するサーバを選択します。 相関サーバを識別した場合は、そのサーバを選択する必要があります。
  9. [ルール設定]領域の[適用]をクリックし、[管理者アカウントによる 5 回失敗したログイン]ルールの新バージョンおよびそれに関連付ける通知の宛先を選択します。
  10. [OK]をクリックして、ダイアログ ボックスを閉じてルールをアクティブにします。

例 - 状態の移行ルールの選択および適用

状態の移行相関ルールは、一連の状態または発生を識別します。 たとえば、同じユーザ アカウントによるログイン失敗後のログイン成功を警告するルールを適用できます。 ルールを適用する前に、適切な通知の宛先を作成しておく必要があります。

  1. [管理]タブをクリックし、[ライブラリ]サブタブをクリックして、相関ルール フォルダを展開します。
  2. [ID]フォルダ、[認証]フォルダの順に展開し、[失敗したログイン、その後成功]ルールを選択します。

    ルールの詳細が右ペインに表示されます。

  3. ルールの詳細を参照して、対象の環境内でルールが適切であることを確認します。 この場合、詳細ペインにはルールで追跡する 2 つの状態が表示されます。 最初の状態は、同じユーザ アカウントまたは ID による 5 回以上のログイン失敗です。 2 番目の状態は、同じユーザまたは ID によるログイン成功です。
  4. (オプション)必要な場合は、ペインの上部にある[編集]をクリックして状態設定を変更します。

    [ルールの管理]ウィザードが開き、ルールを構成する 2 つの状態が表示されます。

  5. 変更する状態をダブル クリックします。

    [状態定義]ウィザードが開き、状態の詳細が表示されます。

  6. 必要に応じて状態を変更したら、[保存して閉じる]をクリックして[ルールの管理]ウィザードに戻ります。 たとえば、最初の状態は 10 分以内の 5 回のログイン失敗をチェックします。 ログイン失敗しきい値または時間、あるいはその両方を変更できます。
  7. [ルールの管理]ウィザードに通知の詳細を追加します。 通知の詳細では、通知の宛先で指定された宛先に送信されるメッセージの内容を指定します。
  8. ルールの作成が完了したら、ウィザードの[保存して閉じる]をクリックします。 定義済み相関ルールを編集して保存すると、CA Enterprise Log Manager は自動的に新しいバージョンを作成し、元のバージョンを保存します。
  9. [サービス]サブタブをクリックし、[相関サービス]ノードを展開します。
  10. ルールを適用するサーバを選択します。 相関サーバを識別した場合は、そのサーバを選択する必要があります。
  11. [ルール設定]領域の[適用]をクリックし、[失敗したログイン、その後成功]ルールの新バージョンおよびそれに関連付ける通知の宛先を選択します。
  12. [OK]をクリックして、ダイアログ ボックスを閉じてルールをアクティブにします。

詳細情報:

インシデント通知について

相関ルールについて

通知デフォルトの設定

相関ルールおよびインシデント通知の適用