同じユーザーが連続してログオンに失敗した際のアラート検知する設定方法
作成日:2016年9月29日 | 更新日:2022年11月2日
◆ 対象 ◆
全ドメインユーザー
◆ 条件 ◆
同じユーザーが指定時間内に連続でログオン失敗した場合、アラートを発生させる。
ビルド5100以前をご利用の場合
ステップ1) レポートプロファイルの作成
1.[構成]タブに移動します
2.[カスタムレポート]をクリックします。
3.[+新規レポートプロファイル]をクリックします。
4.任意の「レポートプロファイル名」・「説明」を入力します。
5.[カテゴリ]欄では「アカウントログオン」を選択します。
6.[アクション]欄では「ログオン失敗イベント」を選択します。
7.[Userを選択]欄にユーザーを追加するため、右側の+マークをクリックします。
8.下部にあるボタン[全て追加]をクリックします。
※本設定から、ドメインに新しいユーザーが追加された際も自動的に対象となります。
9.保存します。
ステップ2) アラートプロファイルの作成
1.[構成]タブに移動します。
2.[アラートプロファイルの作成]をクリックします。
3.任意の「名前」・「説明」を入力します。
4.[カテゴリ]欄にある+マークをクリックして、上記で作成したレポートプロファイルを追加します。
5.[高度な設定]にチェックを入れます。
6.[しきい値ベースのアラート]にチェックを入れます。
7.任意のしきい値を入力します。
例:イベント数 3 / 発生 within 5
8.必要に応じて他の条件を追加します。
9.保存します。
ビルド5100以降をご利用の場合
1.[アラート]タブに移動します。
2.[新規アラートプロファイル]をクリックします。
3.任意の「名前」・「説明」を入力します。
4.[レポート]欄にある+マークをクリックして、「すべてのユーザーログオン」を選択します。
5.[高度な設定]にチェックを入れます。
6.[しきい値ベースのアラート]にチェックを入れます。
7.任意のしきい値を入力します。
例:イベント数 3 / 発生 within 5
8.[同様の]にて「ユーザー名」を指定します。
9.[フィルター]にチェックを入れます。
10.次の条件で設定します。
( イベントタイプ ) ( 等しい ) ( 失敗 )
11.保存します。
以上の手順により、同じユーザーが連続してログオン失敗した際にアラートを発生させることが可能です。