EventLog Analyzer ナレッジベース

コリレーション機能の紹介とルールの作成方法


本ナレッジベースは、ビルド12040を元に作成しています。

EventLog Analyzerには、異なるログ種別のログを相関的に分析し、アラートを生成するコリレーション機能が備わっています。
以下では、コリレーション機能を使用したアラートの設定方法についてご紹介します。

■ アラート機能とコリレーション機能における検知方法の違いについて
 
コリレーション機能では、アラート機能とは異なり連続したイベントの発生を検知します。例えばアラート機能にて「A かつ B」という条件を設定した場合、B に一致するイベントが発生後にAに一致するイベントが発生した場合も、その逆のパターンも検知の対象となります。しかしコリレーション機能では、AのあとにBが発生した場合にアラートを発生させるよう、明示的に順序を指定することができます。 

 

コリレーションルールの作成

コリレーション機能には、デフォルトで30のルールが用意されています。それ以外にカスタムルールを作成する方法は、以下の通りです。

コリレーション処理は、通常の解析処理と比べるとCPU・メモリの使用率が大幅に高くなっています。そのため、必要最低限のルールのみを作成・有効化いただくことを推奨しています。
 設定方法

1.[ コリレーション ] - [ ルールを管理 ] -  [ + 相関ルールの作成 ] をクリックします。

2.左側のペインより、アクションを選択します。

3.必要に応じて、フィルタ・しきい値の設定を行います。

4.続くアクションを左側のペインより選択します。

5.何分以内に連続してアクションが発生した場合に検知の対象とするかを設定します。

6.[ 作成する ] をクリックして保存します。

以上の手順により、コリレーションルールを作成することが可能です。