タブ
EventLog Analyzerの画面上部に表示されている各タブをクリックすると、製品の様々なセクションに移動できます。以下、各タブの説明です。
ダッシュボードタブ
[ダッシュボード]タブでは、重要なネットワークアクティビティ情報を提供する複数のダッシュボードを確認できます。[ダッシュボード]タブをクリックすると、以下のようなダッシュボードを確認できます。
イベントの概要
このダッシュボードは、ログ傾向、Syslogの重大度イベント、Windowsの重大度イベント、最近のアラートなどのグラフィカルレポートを生成し、セキュリティイベントの概要を表示します。これらのレポートは、特定の期間(カスタマイズ可能)で発生するイベントに対して生成されます。チャートまたはグラフの上にマウスポインターを置くと、特定のデバイスのイベント数、IPアドレス/ホスト名、およびイベントの重大度(情報、通知、デバッグ、警告、アラート、エラー、重大、および緊急)に関する情報が表示されます。
ネットワークの概要
このダッシュボードは、環境内のネットワークトラフィックに関する情報を表示します。トラフィックの傾向、許可および拒否されたネットワーク接続などの詳細を提供し、重要なイベントを追跡するのに役立ちます。
セキュリティの概要
このダッシュボードは、IDS/IPS、エンドポイントセキュリティソリューション、脆弱性スキャナー、その他の脅威検出ソリューションなどのネットワークデバイスからのイベントを表示します。このダッシュボードには、セキュリティチームが脆弱性や脅威などの重要なセキュリティイベントを監視するのに役立つレポートが含まれています。また、IDS/IPS攻撃に関するインタラクティブなウィジェットがあり、攻撃の種類、攻撃の試行回数、および攻撃が発生した時刻を特定するのに役立ちます。
ダッシュボードには、特定の期間でトリガーされたアラートの数を表示する[アラート数の概要]ウィジェットも含まれています。
VPN概要
画面右上の歯車アイコン → [タブを追加する] → [VPN概要] → [追加]をクリックすることで、[VPN概要]タブ(ダッシュボード)を追加できます。EventLog Analyzerは、VPNセッションアクティビティを監視し、関心のあるイベントを視覚化するのに役立つレポートを生成します。VPN概要ダッシュボードは、ライブセッション数、合計ログオン時間、平均ログイン時間、クローズされたセッション、トップユーザーとステータスなどのウィジェットを表示し、VPNユーザーとセッションアクティビティに関する情報を提供します。画面右上の歯車アイコン → [ウィジェットの追加]または[ウィジェットを再配列]から、VPNダッシュボードをカスタマイズすることもできます。
インシデント概要
このダッシュボードは、検出されたセキュリティインシデントを簡単に管理するのに役立ちます。ダッシュボードには、すべてのインシデント、アクティブなインシデント、未割り当て(アサインされていない)インシデント、期限切れのインシデントの数が表示されます。また、平均解決時間も表示されます。ダッシュボードでは、以下のような分析情報が得られます。
- 期限切れインシデントの経過時間
- 自分に割り当てられたインシデントとその経過時間
- 上位5人のインシデントハンドラー
- 検出されたインシデントのステータスと重要度
- 作成および解決されたインシデントの傾向グラフ
- インシデント解決までのユーザーの平均時間
注記:平均解決時間とは、インシデントの解決にかかる平均時間を指します。
[ダッシュボード]タブには、ログソース、日付と時刻の選択、および設定アイコンも含まれています。
ログソース
画面右上の[ログソース]をクリックすると、以下4つのタブが表示されます。
- 装置(デバイス)
- アプリケーション
- クラウドソース
- ファイルの整合性の監視
装置(デバイス)
装置タブには、EventLog Analyzerがログを収集しているシステム(Windows、Linux、IBM AS/400、HP-UXなど)とデバイス(ルーター、スイッチなど)の全リストが表示されます。デバイスリストは、ドロップダウンリストから選択した条件(デフォルト:すべてのホスト)に基づいて表示されます。IPアドレスまたはデバイス名に基づいて特定のデバイスを検索できます。画面右上の[ホストの管理]をクリックすると、デバイスまたはデバイスのセットを削除したり、特定のデバイスまたはデバイスのセットからのログ収集を無効化/有効化したりできます。
デバイスリストのテーブルには、デバイスの種類、イベントの概要(エラー、警告、失敗など)、デバイスの接続ステータス、最後のログメッセージが取得された時刻、デバイスタイプなどの詳細が表示されます。マウスを任意のデバイス上に移動すると、いくつかのオプションが表示されます。
- 最新10イベント(特定のデバイスから収集した最新10個のイベントを表示します。)
- 画面右上のリロードアイコン(デバイスの詳細を更新します。)
- 今すぐスキャン(ログ収集を開始します。)
画面右上の[項目の追加/除外]アイコンをクリックして表示する列をカスタマイズしたり、ページごとに表示されるデバイスの数を増やしたりすることが可能です(1ページあたり最小10デバイスから最大100デバイス)。ドロップダウンメニューを使用すると、アクティブデバイスまたは有効なデバイスのみを一覧表示できます。また、ADAudit Plusから同期されたデバイスを除外するオプションもあります。
スケジュール
EventLog Analyzerでは、装置タブのレポート生成、エクスポート、電子メールによる送付をスケジュールできます。
- [ダッシュボード]タブ → 画面右上の[ログソース]または[すべてのデバイスを見る]に移動します。
- 画面右上の[スケジュール]をクリックします。
- [+新しいスケジュールを作成]をクリックします。
- [新しいスケジュールを作成]画面で、以下を指定します。
- スケジュール名:スケジュールの名前を入力します。
- ログソースを選択:[+]ボタンを使用して、スケジュールの対象となるログソースを追加します。
- スケジュール頻度:レポートをエクスポートする頻度を指定します。頻度は、一度だけ、時間、日次、週次、月次から選択できます。
- 時間範囲をエクスポート:レポートをエクスポートする必要がある時間範囲を選択します。
- エクスポート形式:レポートをエクスポートするファイル形式(PDFまたはCSV)を選択します。
- メールアドレス:レポートを送信するメールアドレスを設定します。
- メールの件名:エクスポートされたレポートが含まれるメールの件名を入力します。
- スケジュールに必要な詳細を入力したら、[保存]をクリックしてレポートスケジュールの作成を完了します。
[エクスポート形式]を使用して、レポートをPDFまたはCSV形式でエクスポートすることもできます。生成されたレポートには、表示名、IPアドレス、合計数、最終メッセージ時刻、次のスキャン時刻、デバイスのステータスなどの詳細が含まれます。
アプリケーション
アプリケーションタブには、IIS W3C Webサーバー、IIS W3C FTPサーバー、MS SQLサーバー、Oracle Live Audit、DHCP Windows/Linuxサーバー、Apache Webサーバー、またはプリントサーバーなどのアプリケーションログをEventLog Analyzerに送信、またはインポートしたデバイスの一覧が表示されます。デバイスのリストは、フィルターアイコンをクリック後のドロップダウンリストから選択したアプリケーションタイプまたはデバイスグループに基づいて表示されます。画面右上の[ログをインポート]をクリックすると、アプリケーションログをEventLog Analyzerにインポートできます。
アプリケーションデバイスリストには、デバイス名、アプリケーションタイプ、合計イベント数、インポートした時間、開始時間、終了時間などの詳細が表示されます。[総数]列のイベント数をクリックすると、アプリケーションイベントデータの概要を表示するレポートが生成されます。[項目の追加/除外]をクリックして、表示する列をカスタマイズすることもできます。
ファイルの整合性監視
ファイルの整合性監視タブには、WindowsおよびLinuxマシンのファイルとフォルダーに加えられた変更に関する情報が表示されます。作成、削除、変更、および名前変更されたファイルとフォルダーを表にしてレポートします。また、ファイルとフォルダーのアクセス許可に加えられた変更も表示されます。
画面右上には、ファイル整合性監視を管理があり、ファイル整合性監視のデバイスの追加、削除、管理を行うことができます。
日付と時刻
画面右上に表示されている日付と時刻のボックスを使用して、必要な時間枠の監査レポートを生成および表示できます。
設定アイコン
設定(歯車)アイコンには、表示されるウィジェットとタブを追加、管理、および並び替えすることで、ダッシュボードをカスタマイズできる複数のオプションが表示されます。[更新間隔]を使用して、指定した時間枠で加えられた変更をダッシュボード上で更新することもできます。
レポートタブ
[レポート]タブには、ネットワークで発生しているすべてのイベントのレポートを含むダッシュボードが表示されます。画面上部に、デバイス、アプリケーション、ファイル監視、脅威、脆弱性、VM管理などに基づいてレポートを選択および表示できるドロップダウンメニューがあります。このドロップダウンメニューからマイレポートをクリックして、カスタムレポートを表示することもできます。[エクスポート形式]ドロップダウンメニューを使用すると、CSVまたはPDF形式でレポートをエクスポートできます。[スケジュールレポート]をクリック後に[+新しいスケジュールを追加]をクリックすると、レポートをスケジュールできます。
左側ペインには、ログソースがEventLog Analyzerに追加されると自動的に生成される複数のデフォルトレポートがあります。画面左下にあるレポートを管理をクリックして、カスタムレポートを作成することもできます。[スケジュールされたレポート]では、既存のスケジュールされたレポートを表示し、必要に応じて編集や削除できます。
コンプライアンスタブ
[コンプライアンス]タブでは、様々なコンプライアンスポリシー(FISMA、PCI-DSS、SOX、HIPAA、GLBA、GPG、ISO 27001:2013など)で必要とされる定型レポートのセットを提供します。画面右上の[コンプライアンスを管理] → [+新しいコンプライアンスを作成]をクリックすると、必要なレポートを選択して新しいコンプライアンスポリシーを作成できます。表に表示されている[編集](鉛筆)アイコンをクリックすることで、各コンプライアンスポリシーで使用可能なレポートをカスタマイズできます。
検索タブ
[検索]タブには、生ログを検索するための2つのオプション(基本検索と高度検索)があります。検索結果は画面の下半分に表示され、最終的な検索結果はレポート(PDFまたはCSV形式)として保存することができます。また、レポートをあらかじめ設定された間隔で生成し、設定されたユーザーに自動的にメールされるようにスケジュールすることもできます。
検索クエリを手動で作成する場合は、基本検索を使用します。フレーズ検索、ブール検索、グループ化検索、およびワイルドカード検索を使用して、検索クエリを作成できます。高度検索を使用すると、フィールドと値のペアおよび関係演算子を使用して、複雑な検索クエリを簡単に作成できます。検索結果から新しいフィールドを抽出し、正規表現(regex)パターンを作成して、EventLog Analyzerが受信した新しいログで定義したフィールドを識別、解析、およびインデックス付けできます。
相関(コリレーション)タブ
[相関]タブは、ネットワークの様々な部分から収集したログを分析し、疑わしいイベントパターンのアラートを生成します。画面にはデフォルトで、最近のインシデントに関するレポートが表示されます。ルールを管理をクリックすると、コリレーションルールを作成および変更できます。
アラートタブ
[アラート]タブには、ダッシュボード内の最近のアラートの数とその重大度が表示されます。画面では、アラート、アラートの生成時間、ステータス、および対応するワークフロー(設定されている場合)に関する情報を表形式で確認できます。
設定タブ
[設定]タブでは、要件に応じてEventLog Analyzerの設定を管理できます。以下3つのサブセクションがあります。
ログソースの構成
このセクションでは、デバイス、アプリケーションソース、ログデータのインポート、ファイル整合性監視、脆弱性データ、FIMテンプレート、およびvCenterを管理できます。
管理者権限
このセクションでは、アーカイブ、技術者と役割、データベース保持設定、ログ収集フィルター、ビジネス時間設定、製品設定、ログ収集失敗アラート、ダッシュボードプロファイル、プライバシー設定、ログオン設定、ドメインとアカウント、デバイスグループ、カスタムログ解析、タグなどの様々な管理活動を行うことができます。また、脅威管理とログ転送の設定もこのセクションから行えます。
システム設定
このセクションでは、通知設定、システム診断、データベースアクセス、リブランディング、接続設定、リスナーポートなどの設定を管理できます。
+追加(画面右上)
画面右上の[+追加]をクリックすると、デバイスとアプリケーションの追加画面やログのインポート画面に簡単に移動できます。また、アラートプロファイルやカスタムレポートの作成画面に移動することもできます。