アラートプロファイルの作成方法

EventLog Analyzerは、事前定義されたアラートプロファイルと、特定の要件に合わせてカスタマイズした基準を定義する機能を提供します。

アラートプロファイルの作成

アラートプロファイルを作成するには、画面右上にある[+追加] → [アラート]をクリックします。また、[アラート]タブで[アラートプロファイルの追加]をクリックすることでもアラートプロファイルを追加できます。

active-alert-profile.png

アラートプロファイルを作成する方法は、以下のとおりです。

add-alert-profile.png
  1. アラートプロファイルの一意の名前を入力します。
  2. アラートプロファイルを使用して生成されたアラートに割り当てられる重要度を、重大警告注意から選択します。
  3. [ログソース]+アイコンをクリックして、アラートを生成する対象のデバイスやデバイスグループを選択します。
  4. [基準]+アイコンをクリックして、アラート基準を定義します。
  5. アラート基準は、以下のカテゴリーから選択できます。
    • 事前定義済アラート基準:事前定義されたアラート基準のコレクションからアラートの条件を選択します。事前定義された基準を使用することで、最小限の労力でアラートプロファイルを設定できます。
    • コンプライアンスアラート基準:IT規制に準拠するのに役立つ事前定義されたアラート基準のリストからアラートの条件を選択します。
    • カスタムアラート基準:ログメッセージ、タイプなどに基づいて独自のアラート条件を指定します。このオプションは、事前定義されたアラート基準で要件を満たせない場合やインポートしたログに対してアラートを設定するのに役立ちます。
  6. ユーザーアカウント名などの情報を追加して、アラートフォーマットメッセージをカスタマイズできます。
    advaned-config-alert.png
  7. [アラートフォーマットメッセージ]の近くにある[+追加]をクリックすると、別のポップアップが開きます。ドロップダウンメニューをクリックして変数を設定し、表示されたスペースに必要なアラートフォーマットメッセージを入力できます。
    alert-format.png
  8. [高度な設定]を展開して、アラートの発報条件を微調整し、アラートのノイズを減らすことができます。高度な設定には、2つのフィールドがあります。

    9. しきい値

    特定の時間枠内でのイベントの発生回数に基づいて、アラートを発報できます。しきい値には、手動とスマートの2つのモードがあります。

    • 手動しきい値モード:イベント数と時間間隔(分単位)の値を手動で指定します。
      alert-format-02.png
    • スマートしきい値モード:時間間隔を入力します。EventLog Analyzerは、機械学習(ML)アルゴリズムに基づいて通常のイベント発生状況を分析し、誤検知を減らすのに最適なイベントの数を自動的に決定します。
      alert-format-01.png

    期間

    特定の期間(ビジネス時間)に基づいて、アラートを発報できます。


  9. [アラート通知]では、アラートプロファイルに[通知設定][ワークフロー]を設定できます。

    10. 通知設定

    • 通知送信の希望時間を選択します。
      create-alert-profile-01.png
    • 通知を受信する際の希望媒体を選択します。メール通知、SMS通知、またはその両方を選択できます。メールサーバーとSMSサーバーを設定する方法は、こちらのページを参照してください。また、通知設定の詳細は、こちらのページを参照してください。

    ワークフロー

    • [ワークフローを有効化]にチェックを入れ、アラート発報時に実行するワークフローを選択します。
      create-alert-profile-02.png
  10. 必要なフィールドをすべて設定したら、[プロファイルの保存]をクリックします。

事前定義済アラート基準

[基準]において、[事前定義済アラート基準]を選択します。

  • ログの種類を選択してから、カテゴリを選択します。
  • レポートの中から、対象レポートにチェックを入れます。
  • [+基準追加]をクリックすることで、事前定義されたアラートに新しい条件を追加できます。

コンプライアンスアラート基準

コンプライアンスアラート基準には、IT規制への違反を通知するのに役立つ、事前定義されたコンプライアンス関連のアラート基準のセットが含まれています。EventLog Analyzerは、PCI DSS、SOX、HIPAA、GLBA、PDPA、NIST、CCPA、GDPR、ISO 27001:2013などのコンプライアンス規制に準拠するのに役立つ詳細な監査レポートを提供します。コンプライアンスアラート基準は、ポリシーの変更、特権のエスカレーション、機密ファイルへのアクセスと変更のイベント、不正なログオンなどの異常を検出して、内部および外部の脅威を軽減するのに役立ちます。


カスタムアラート基準

custom-alert.png
  • 複数の基準を定義し、それらをAND/OR(および/または)でグループ化できます。
  • アラート基準を定義するには、事前定義されたリストから目的のフィールド名を選択します。
  • コンパレータを選択してから、フィールドの値を指定します。
  • 条件をドラッグ&ドロップすると、アラート条件をグループ化およびグループ解除できます。

インポートしたログに対するアラートの生成

EventLog Analyzerのカスタムアラートを使用すると、Oracle、Microsoft SQL、プリントサーバー、IIS、およびその他のインポートしたアプリケーションログから抽出したカスタムフィールドを基にアラートを生成できます。

インポートしたログのカスタムフィールドを使用してアラートを生成するには、ログタイプを選択し、アラートを発報する必要があるログを選択します。アラートを発報する必要があるカスタムフィールドとその値を指定します。EventLog Analyzerは、選択したログタイプに紐づくすべてのカスタムフィールドを自動的に表示するため、リストからフィールドを選択してから、選択したカスタムフィールドの値を指定します。

注記:複数のカスタムフィールドを追加するには、[+]をクリックします。


脆弱性と設定ミスのコンパレータの使用

  • は脆弱です:Endpoint Centralでデバイスが脆弱であるとタグ付けされているかどうかを確認します。
  • は次に脆弱:特定の攻撃に対して脆弱なデバイスであるかどうかを特定します(例:CVE-2023-38831)。
  • は次に対して設定が間違っています:Endpoint Centralによって誤った設定(例:Windows Credential Guardが無効)が検知されたデバイスを検出します。
custom-alerts-01.png

注記:脆弱性と設定ミスのコンパレータを利用するには、ManageEngine Endpoint Centralのデータ強化を設定してください。設定方法は、こちらのページを参照してください。


デフォルトのアラートプロファイル

EventLog Analyzerには、デフォルトで有効になっているアラートプロファイルが事前に設定されています。ユーザーが簡単に使用できるように、新しく追加されたデバイスも、アラートプロファイルで選択されたデバイスの種類に基づいて、対応するアラートプロファイルに自動的に追加されます。例えば、ファイアウォールはネットワークデバイスのアラートプロファイルに自動的に追加されます。

デフォルトのアラートプロファイルは、編集、有効化、無効化、および削除できます。

注記:デフォルトのカスタムアラートプロファイルを編集すると、自動追加は停止されます。例えば、アラートプロファイルにデバイスを手動で追加すると、それ以降、デバイスはそのアラートプロファイルに自動的に追加されなくなります。

default-custom-profile.png