アラートプロファイルを作成する方法

EventLog Analyzerは、事前定義されたアラートプロファイルと、特定の要件に合わせてカスタマイズされた基準を定義する機能を提供します。

アラートプロファイルの作成

アラートプロファイルを作成するには、ナビゲーションバーの右上隅にある[+追加]をクリックします。

add-alert-profile

アラートプロファイルを作成する手順は以下のとおりです。

add-alert-profile
  1. アラートプロファイルの一意の名前を入力します。
  2. このプロファイルを使用して生成されたアラートに重大度を割り当てます。重大、警告注意から選択します。
  3. +アイコンをクリックして、このアラートを生成する対象のデバイスやデバイスグループを選択します。
  4. +アイコンをクリックして、アラート基準を定義します。
  5. アラート基準は、次のカテゴリから選択できます。
    • 設定済みアラート - 事前定義されたアラート基準のコレクションから選択します。定義済みの基準を使用することで、最小限の労力でアラートプロファイルを設定できます。
    • コンプライアンスアラート - すべてのIT規制に準拠するのに役立つ事前定義されたアラート基準のリストが含まれています。
    • カスタムアラート - ログメッセージ、タイプなどに基づいて独自のアラート条件をカスタマイズします。このオプションは、インポートされたログのアラートを設定するのに役立ちます。
  6. ユーザーアカウント名などの情報を追加して、アラートフォーマットメッセージをカスタマイズできます。
    7. advanced-config-alert
  7. [アラートフォーマットメッセージ]セクションの近くにある]+追加]をクリックすると、別のポップアップが開きます。ドロップダウンをクリックして変数を設定し、表示されたスペースに必要なメッセージ形式を入力できます。
    8. alert-format
  8. 必要なフィールドをすべて設定したら、[プロファイルの保存]ボタンをクリックします。

設定済みアラート

[アラートを選択]において、[設定済みアラート]を選択します。

  • ログタイプを選択してから、目的のカテゴリを選択します。
  • レポートの中から、対象レポートにチェックを入れます。
  • [+基準追加]をクリックすることで、事前定義されたアラートに新しい基準を追加できます。
  • 高度な設定を使用して、アラートトリガー条件を微調整し、アラートノイズを減らすことができます。ここでは、アラートプロファイルのしきい値(特定の時間枠内でのイベントの発生数)と時間範囲(稼働時間)を設定できます。

次に、アラートプロファイルの通知タイプを指定できます。

コンプライアンスアラート

コンプライアンスアラートには、IT規制への違反を通知するための、事前定義されたコンプライアンス関連のアラート基準のセットが含まれています。EventLog Analyzerは、PCI DSS、SOX、HIPAA、GLBA、PDPA、NIST、CCPA、GDPR、ISO 27001:2013などのコンプライアンス規制に準拠するのに役立つ詳細な監査レポートを提供します。コンプライアンスアラートは、ポリシーの変更、特権のエスカレーション、機密ファイルへのアクセスと変更のイベント、不正なログオンなどの異常を検出して、内部および外部の脅威を軽減するのに役立ちます。

次に、作成したアラートプロファイルの通知タイプを指定できます。

カスタムアラート

  • 複数の基準を定義し、それらをAND/OR演算でグループ化できます。
  • アラート基準を定義するには、事前定義されたリストから目的のフィールド名を選択します。
  • コンパレータを選択してから、フィールドの値を指定します。
  • ドラッグアンドドロップを使用すると、アラート条件をグループ化およびグループ解除できます。

インポートされたログのアラートの生成

EventLog Analyzerの高度なカスタムアラートオプションを使用すると、Oracle、Microsoft SQL、プリントサーバー、IIS、およびその他のインポートされたアプリケーションログのカスタム抽出フィールドのアラートを生成できます。

インポートされたログの特定のカスタム抽出フィールドのアラートを生成するには、ログタイプを選択し、アラートをトリガーする必要があるインポートされたログを選択します。アラートをトリガーする必要があるカスタムフィールドとその値を指定します。EventLog Analyzerは、選択したログタイプのすべてのカスタム抽出フィールドに自動的にデータを入力し、リストから選択したフィールドを選択してから、選択したカスタムフィールドの値を指定します。

注意:複数のカスタム抽出フィールドを追加するには、+オプションを使用します。

次に、作成したアラートプロファイルの通知タイプを指定できます。

デフォルトのアラートプロファイル

EventLog Analyzerには、デフォルトで有効になっているアラートプロファイルが事前に作成されています。ユーザーが簡単に使用できるように、新しく追加されたデバイスも、アラートプロファイルで選択されたデバイスの種類に基づいて、対応するアラートプロファイルに自動的に追加されます。たとえば、ファイアウォールはネットワークデバイスに基づくアラートプロファイルに自動的に追加されます。

デフォルトのアラートプロファイルを編集、有効化、無効化、および削除できます。

注意:デフォルトのカスタムアラートプロファイルを編集すると、自動追加が停止します。たとえば、デバイスをアラートプロファイルに手動で追加した場合、それ以降、デバイスはそのアラートプロファイルに自動的に追加されません。
default-custom-profile