Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ユニバーサルCEF

ユニバーサルCEF向け JSA DSMは、共通イベントフォーマット(CEF)でイベントを生成する任意のデバイスからイベントを受け入れます。

次の表に、ユニバーサル CEF DSM の仕様を示します。

表 1: ユニバーサル CEF DSM 仕様

仕様

DSM 名

ユニバーサルCEF

RPM ファイル名

DSM-UniversalCEF-JSA_version-build_number.noarch.rpm

プロトコル

Syslog

ログ ファイル

イベント形式

共通イベント形式(CEF)。CEF:0 はサポートされます。

記録されたイベントの種類

CEF 形式のイベント

自動的に検出されますか?

いいえ

アイデンティティを含みますか?

いいえ

カスタムプロパティが含まれていますか?

いいえ

CEF形式のイベントを生成するデバイスから JSAにイベントを送信するには、次の手順に従います。

  1. 自動更新が有効になっていない場合は、 Juniperダウンロード から以下のRPMの最新バージョンを JSAコンソールにダウンロードしてインストールします。

    • DSMコマンドRPM

    • ユニバーサルCEF RPM

  2. JSAコンソールでユニバーサルCEFログ・ソースを追加します。ユニバーサル CEF に固有の次の値を使用します。

    パラメーター

    説明

    ログ・ソース・タイプ

    ユニバーサルCEF

    プロトコル設定

    Syslogまたはログファイル

  3. JSAにイベントを送信するようにサードパーティデバイスを設定します。サードパーティ製デバイスの設定方法の詳細については、ベンダーのマニュアルを参照してください。

  4. ユニバーサル CEF イベントのイベント マッピングを設定します。

ユニバーサルCEF向け JSA DSMは、共通イベントフォーマット(CEF)でイベントを生成する任意のデバイスからイベントを受け入れます。

ユニバーサル CEF イベントのイベント マッピングの設定

ユニバーサルCEFイベントには、セキュリティイベントを分類するための事前定義 JSA識別子 (QID)マップは含まれません。ユニバーサルCEFログ・ソースから不明なイベントを検索し、それらを高レベルおよび低レベルのカテゴリーにマップする必要があります。

ユニバーサルCEF DSMがインストールされ、 JSAにそのログソースが追加されていることを確認します。

デフォルトでは、ユニバーサルCEF DSMはすべてのイベントを不明として分類します。すべてのユニバーサル CEF イベントでは、[ログ アクティビティ] タブの [イベント名] 列と [低レベル カテゴリ] 列に不明の値が表示されます。デバイスの各イベントをJSAのイベントカテゴリに個別にマッピングするように、QIDマップを変更する必要があります。イベントをマッピングすることで、JSAはネットワークデバイスからのイベントを識別、結合、追跡できます。

イベントマッピングの詳細については、 Juniper Secure Analyticsユーザーガイドを参照してください。

  1. JSAにログインします。

  2. [ ログ アクティビティ ] タブをクリックします。

  3. [ フィルターの追加] をクリックします。

  4. 最初のリストから、「 ログ・ソース」を選択します。

  5. 「ログ・ソース・グループ」リストから、「その他」を選択します。

  6. 「ログ・ソース」リストから、ユニバーサル CEF ログ・ソースを選択します。

  7. [ フィルターの追加] をクリックします。

  8. 「表示」リストから、「過去1時間」を選択します。

  9. [ 条件の保存] をクリックして、既存の検索フィルターを保存します。

  10. [ イベント名 ] 列で、ユニバーサル CEF DSM の不明なイベントをダブルクリックします。

  11. [ イベントのマップ] をクリックします。

  12. 「QID の参照」ペインで、以下のいずれかの検索オプションを選択して、 JSA ID (QID) のイベント・カテゴリーを絞り込みます。

    • 「高レベル・カテゴリー」リストから、高レベルのイベント ・カテゴリー を選択します。上位および下位のイベントカテゴリまたはカテゴリ定義の完全なリストについては、 『Juniper Secure Analytics管理ガイド』の「イベントカテゴリ」セクションを参照してください。

    • 「低レベル・カテゴリー」リストから、 低レベル・イベント・カテゴリー を選択します。

    • 「ログ・ソース・タイプ」リストから、 ログ・ソース・タイプ を選択します。

      ヒント:

      ログソースによるQIDの検索は、ユニバーサルCEF DSMからのイベントが別の既存のネットワークデバイスと類似している場合に役立ちます。たとえば、ユニバーサル CEF がファイアウォール イベントを提供する場合、同様のイベントをキャプチャする可能性が高い別のファイアウォール製品として Cisco ASA を選択できます。

    • 名前で QID を検索するには、「 QID/ 名前」フィールドに名前を入力します。

  13. [ 検索] をクリックします。

  14. 不明なユニバーサル CEF DSM イベントに関連付ける QID を選択し、[ OK] をクリックします。

関連ドキュメント