|
|
|
アクション アラートは、スケジュール済みのクエリ ジョブです。ポリシー違反、使用状況、ログオン パターンなど、近い将来に注意が必要となりそうな情報を検出するために使用できます。 たとえば、重大度の高いイベントの発生を検出し、設定済みのユーザ、製品、またはプロセスに通知できます。 アラートはすべて RSS フィードに追加されます。 アラートを設定すると、電子メールでユーザに通知したり、設定済みの CA IT PAM プロセスを実行したり、リモート サーバへ SNMP トラップを送信したりできます。
カスタム アラートの定義および設定
システム管理者は、Windows の Administrator アカウントの名前を TheMan に変更しましたが、このアカウントは依然として特定の管理業務(実稼働サーバへの新しいソフトウェアのインストールなど)に必要です。 通常は、このアカウントを使用するべきではなく、その使用は内部の監督委員会によって厳しく規制されています。 このアカウントに関連するログイン アクティビティは、ポリシー違反の可能性があり、ただちに通知する必要があります。 このアカウントは Administrator という名前ではないため、既定のアラートではこのアカウントが特権アカウントとして認識されません。
管理者は Default_Accounts キー設定済みリストに値を追加し、[過去 24 時間にデフォルトのアカウントで成功したログイン]クエリを実行するアラートをスケジュールします。 このクエリは、Default_Accounts キー設定済みリストを使用します。 TheMan や、Default_Accounts キーのその他の値によって成功したログインがある場合、アラートが生成されます。
|
手順 |
詳細情報 |
|---|---|
|
背景情報については、以下を参照してください。 例については、以下を参照してください。 |
電子メールによる自動アラート
リソース(重要なサーバ、ファイル、ディレクトリ、URL、その他の IT リソースなど)への不適切なアクセスがログに記録されたときに、管理者に通知する必要があります。 この種の不適切なアクセスは、コンプライアンス レポートに記載して何らかの処置を行う必要がある潜在的なポリシー違反です。
分析担当者は、規制違反が発生したときに電子メール(Blackberry)で管理者に通知するように CA Enterprise Log Manager を設定します。
|
手順 |
詳細情報 |
|---|---|
|
|
RSS による自動アラート
管理者は、組織が PCI 規制を順守し続けていることを確認する必要があります。規制違反があった場合は、会社に高額の罰金が科せられます。 規制違反が発生した場合は速やかに対策を講じ、組織の順守状態を回復する必要があります。 このため、3 人の管理者が時間を分担して、一日中これらのアラートに対応しています。 各管理者は、常にすべてのアラートを受信するのではなく、待機中にのみ、好みの RSS リーダを使ってアラートを受信することを望んでいます。
管理者の 1 人は、待機中に規制違反が発生したときに RSS で CA Enterprise Log Manager からアラートを受信するように SharpReader を設定します。 ほかの 2 人の管理者は、待機中に CA Enterprise Log Manager のアラート通知用の FeedReader を実行します。 各管理者は、各自の RSS クライアントを実行しているときにのみアラートを受信します。
|
手順 |
詳細情報 |
|---|---|
|
|
CA IT PAM によるヘルプ デスクの自動アラート
広く使用されているシステムの多くは、ベンダーが提供するデフォルトの特権アカウントを使ってインストールされます。 たとえば、Windows オペレーティング システムは Administrator 特権アカウントでインストールされます。 多くの組織には、システム管理者がこれらの特権アカウントを使用する前に文書による承認が必要であることを規定したセキュリティ ポリシーがあります。 組織には、このようなアカウントが使用されたときに、できるだけ早くヘルプ デスクに通知し、ヘルプ デスク担当者が承認の有無と(承認がなかった場合に)その後の行動をチェックできるようにする方法が必要です。
CA IT PAM でヘルプ デスクの処理が設定されたシナリオについて考えます。
ヘルプ デスクへのアラートが適切な解決方法です。 CA IT PAM との統合を設定すると、特権アカウントでのログインに関係する各イベントをキャプチャするクエリを識別し、制限する特権アカウントのユーザ名を含むキー設定済みリストを設定して、特権アカウントを使って実行されたログインの成功が CA Enterprise Log Manager によって検出されたときに CA IT PAM に通知するアラートをスケジュールすることができます。 変数の CEG フィールドに説明を入力すると、CA IT PAM ではそれを使用して、このヘルプ デスク チケットに関するヘルプ デスク用の[説明]フィールドの内容を入力します。 このクエリに基づいてスケジュールされたアラートがイベントを返すと、イベントとその説明が CA Enterprise Log Manager から CA IT PAM に自動的に送信されます。 CA IT PAM はこの情報を処理し、ヘルプ デスク チケットを作成します。
|
手順 |
詳細情報 |
|---|---|
|
例: 選択したクエリ結果によるイベント/アラート出力プロセスの実行 |
CA IT PAM によるヘルプ デスクの手動アラート
SOX 法では、企業に設定の変更とその承認を記録するように要求しています。 多くの組織が、ポリシー違反の調査など、あらゆる問題およびインシデントの追跡、モニタ、およびレポートに CA Service Desk を使用しています。 たとえば、分析担当者があるインシデントについて調査して、外出している時間帯に権限アカウントが使用されていたことを発見したとします。 これは、「権限ユーザ セッション詳細」クエリで返されるイベントによって表示されます。
分析担当者は、IT PAM イベント/アラート出力プロセスを実行し、選択したイベントのヘルプ デスク チケットを作成します。 概要と説明の記述で、CEG フィールド用に発生内容が示されます。 CA Service Desk で作成されたリクエスト番号の確認メッセージが表示されます。 分析担当者は CA Service Desk にログインし、[リクエスト]を選択して、リクエスト番号を入力します。 CA Enterprise Log Manager から作成されたヘルプデスク チケットの概要と説明の記述が、実際のデータと一致しているかどうかを確認します。
|
手順 |
詳細情報 |
|---|---|
|
|
SNMP トラップによるネットワーク オペレーション センターの自動アラート
ネットワーク オペレーション センター(NOC)は、ネットワークの状態を監視し、サービスの可用性やネットワークのパフォーマンスへの影響を回避するために介入が必要かどうかを判断します。 重要なシステムの設定変更は、ユーザが開始したアクションがサービスの可用性に影響する可能性があるケースの一例です。 多くの組織では、管理者がこうした設定変更を行う前に許可を得る必要があります。 NOC では、そのような変更が行われた後で、その変更が許可されていることをできるだけ早く確認できることが重要です。
NOC が CA Spectrum NFM を使ってシステムとサービスの可用性を追跡するシナリオについて考えます。 設定変更が行われたときに Spectrum に通知する必要があります。
SNMP アラートによってこの問題を解決できます。 設定変更によって、CA Enterprise Log Manager のクエリでキャプチャできるイベントが作成されます。 そのようなクエリに基づいてアラートをスケジュールできます。 SNMP トラップとの統合設定を行うことにより、CA Spectrum などの NOC 監視システムにアラートを送信できるようになります。 この例のアラートは、SNMP の標準の入力方法によって Spectrum にすべての設定変更イベントを送信します。 あるシステムで設定変更が行われたというアラートを受信すると、そのシステム用の Spectrum アイコンが緑色から黄色に変わります。 NOC の担当者は、変更が許可されたかどうかを確認し、許可されていない場合は適切な処置を取ることができます。
|
手順 |
詳細情報 |
|---|---|
| Copyright © 2010 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |