Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポリシー監視質問の監視とイベントの生成

概要 ポリシー・モニターの質問の結果を監視し、監視されたポリシー・モニターの質問の結果が変更された場合にイベントの生成を構成します。ポリシー評価間隔を設定し、通知を送信するイベントを設定できます。

ポリシーに関する質問を監視すると、JSA Risk Manager が設定した間隔で質問を分析し、アセットやルールの変更によって未承認の結果が生成されたかどうかを判断します。JSA Risk Manager が未承認の結果を検出した場合、違反を生成して、定義されたポリシーの逸脱について警告することができます。モニター モードでは、JSA Risk Manager が 10 問の結果を同時に監視できます。

質問監視には、以下の主な機能があります。
  • 設定した間隔でルールやアセットの変更を監視し、未承認の結果を確認します。
  • 高レベルと低レベルのイベントカテゴリを使用して、未承認の結果を分類します。
  • 未承認の結果に対する攻撃、メール、syslog メッセージ、ダッシュボード通知の生成。
  • JSAでイベントの表示、関連付け、イベントレポート、カスタムルール、ダッシュボードを使用します。
  1. [ リスク ] タブをクリックします。
  2. ナビゲーション メニューの [ ポリシー 監視] をクリックします。
  3. 監視する質問を選択します。
  4. [ モニター] をクリックします。
  5. パラメーターの値を設定します。

    イベントに設定するパラメーターについては、次の表を参照してください。

    表 1: 質問イベントパラメータの設定
    パラメーター の説明
    ポリシー評価間隔 イベントを実行する頻度。
    イベント名 [ログ アクティビティ] タブと [オフェンス] タブに表示するイベントの名前。
    イベントの説明

    イベントの説明。説明は、イベントの詳細の注釈に表示されます。
    高レベルのカテゴリー イベントの処理時にこのルールに使用する高レベルのイベント カテゴリです。
    低レベルのカテゴリー イベントの処理時にこのルールに使用する低レベルのイベント カテゴリ。
    派遣されたイベントが攻撃の一部であることを確認する

    イベントを Magistrate コンポーネントに転送します。攻撃が発生しない場合は、新しい攻撃が作成されます。攻撃が存在する場合は、イベントが追加されます。

    質問やシミュレーションによって相互に関連付ける場合、質問からのすべてのイベントは単一の攻撃に関連付けられます。

    アセットごとに関連付ける場合、個別のアセットごとに固有の攻撃が作成または更新されます。
    ディスパッチ問題合格イベント ポリシー モニターの質問を渡すイベントを Magistrate コンポーネントに転送します。
    ヒント:このパラメータを有効にして脆弱性スコア調整を構成する必要があります。これは、合格と不合格の両方のポリシー監視質問を持つアセットに対して調整を行うことができるためです。
    脆弱性スコア調整 質問に失敗した場合や合格したかどうかに応じて、アセットの脆弱性リスクスコアを調整します。脆弱性のリスクスコアは、JSA Vulnerability Managerで調整されます。
    その他のアクション

    イベントを受信したときに実行する追加のアクション。

    コンマを使用して、複数の電子メール アドレスを区切ります。

    この監視対象の質問の結果として生成されるイベントがダッシュボードの [システム通知] 項目にイベントを表示する場合は、[ 通知 ] を選択します。

    syslog 出力は、次のコードのようになります。

    Sep 28 12:39:01 localhost.localdomain ECS:
Rule 'Name of Rule'
Fired: 172.16.60.219:12642 -> 172.16.210.126:6666 6,
Event Name:SCAN SYN FIN, QID: 1000398, Category: 1011,
 Notes: Event description
    監視を有効にする

    質問を監視します。

  6. [ モニターの保存] をクリックします。