Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ユニバーサルCEF

ユニバーサルCEFの JSA のDSMは、共通イベント形式(CEF)でイベントを生成する任意のデバイスからイベントを受け入れます。

次の表は、ユニバーサルCEFのDSMの仕様を示しています。

表1:ユニバーサルCEFのDSM仕様

仕様

DSM 名

ユニバーサルCEF

RPM ファイル名

DSM-UniversalCEF-noarch.rpmJSA_version-build_number

プロトコル

Syslog

ログ ファイル

イベント形式

共通イベント形式(CEF)。CEF:0サポートされています。

記録されたイベントタイプ

CEF 形式のイベント

自動的に検出されましたか?

いいえ

アイデンティティを含む?

いいえ

カスタム プロパティが含まれていますか?

いいえ

CEF 形式のイベントを生成するデバイスから JSA にイベントを送信するには、次の手順を実行します。

  1. 自動更新が有効になっていない場合は、 JSA コンソールに以下の RPM の最新バージョンをダウンロードしてインストールします。

    • DSMCommon RPM

    • ユニバーサルCEF RPM

  2. JSAコンソールにユニバーサルCEFログソースを追加します。ユニバーサルCEFに固有の以下の値を使用します。

    パラメーター

    説明

    ログ ソース タイプ

    ユニバーサルCEF

    プロトコル構成

    Syslog またはログ ファイル

  3. JSA にイベントを送信するようにサードパーティー製デバイスを設定します。サードパーティー製デバイスを設定する方法の詳細については、ベンダーのマニュアルを参照してください。

  4. ユニバーサルCEFイベントのイベントマッピングを設定します。

ユニバーサルCEFの JSA のDSMは、共通イベント形式(CEF)でイベントを生成する任意のデバイスからイベントを受け入れます。

ユニバーサルCEFイベントのイベントマッピングの設定

ユニバーサルCEFイベントには、セキュリティイベントを分類するための事前定義された JSA識別子 (QID)マップは含まれません。ユニバーサルCEFログソースから未知のイベントを検索し、上位と下位のカテゴリにマッピングする必要があります。

ユニバーサルCEFのDSMをインストールし、 JSAにログソースを追加したことを確認します。

デフォルトでは、ユニバーサルCEFのDSMは、すべてのイベントを未知のものとして分類します。すべてのユニバーサルCEFイベントは、[ログアクティビティ]タブの[イベント名]列と[低レベルカテゴリ]列に不明な値を表示します。QID マップを変更して、デバイスの各イベントを JSA のイベント カテゴリに個別にマッピングする必要があります。イベントのマッピングにより、JSA はネットワーク デバイスからイベントを特定、結合、追跡できます。

イベントマッピングの詳細については、 Juniper Secure Analyticsユーザーガイドを参照してください。

  1. JSA にログインします。

  2. [ ログ アクティビティ ] タブをクリックします。

  3. [ フィルターの追加] をクリックします。

  4. 最初のリストから[ ログ ソース]を選択します。

  5. [ ログ ソース グループ ] リストから [ その他] を選択します。

  6. [ログソース]リストから、ユニバーサルCEFログソースを選択します。

  7. [ フィルターの追加] をクリックします。

  8. [表示] リストから [過去 1 時間] を選択します。

  9. [ 条件の保存 ] をクリックして、既存の検索フィルターを保存します。

  10. [ イベント名] 列で、ユニバーサルCEF DSMの未知のイベントをダブルクリックします。

  11. [ イベントのマップ] をクリックします。

  12. [QID の参照] ウィンドウで、次のいずれかの検索オプションを選択して、 JSA 識別子 (QID)のイベント カテゴリを絞り込みます。

    • [ 上位レベルのカテゴリ] リストから、上位レベルのイベント カテゴリを選択します。上位レベルおよび下位レベルのイベント カテゴリまたはカテゴリ定義の一覧については、 Juniper Secure Analytics 管理ガイドの「イベント カテゴリ」セクションを参照してください。

    • [下位レベルのカテゴリ] リストから、下位レベルのイベント カテゴリを選択します。

    • [ ログ ソース タイプ] リストから 、ログ ソース タイプを選択します。

      ヒント:

      ログソースによるQIDの検索は、ユニバーサルCEFのDSMからのイベントが他の既存のネットワークデバイスと似ている場合に便利です。たとえば、ユニバーサルCEFがファイアウォールイベントを提供する場合、Cisco ASAを、同様のイベントをキャプチャする可能性のある別のファイアウォール製品として選択できます。

    • 名前で QID を検索するには、[ QID/名前 ] フィールドに名前を入力します。

  13. [ 検索] をクリックします。

  14. 不明なユニバーサルCEFのDSMイベントに関連付けるQIDを選択し、「 OK」をクリックします。