syslog イベントを生成するためのポリシーの構成
IBM® Guardium ® のポリシーは、イベントに対応し、イベント情報を IBM QRadarに転送します。
手順
- 「ツール」 タブをクリックします。
- 左側のナビゲーションから、 「ポリシー・ビルダー」を選択します。
- 「ポリシー・ファインダー」 ペインで、既存のポリシーを選択し、 「ルールの編集」をクリックします。
- 「このルールを個別に編集」をクリックします。
「アクセス・ルール定義」 が表示されます。
- 「アクションの追加」をクリックします。
- 「アクション」 リストから、以下のいずれかのアラート・タイプを選択します。
- 一致ごとにアラート - ポリシー違反ごとに通知が提供されます。
- 毎日アラート - 当該日に初めてポリシー違反が発生したときに通知が提供されます。
- セッションごとに 1 回アラート - ユニーク・セッションのポリシー違反ごとに通知が提供されます。
- 時間間隔ごとにアラート - 選択した時間フレームごとに通知が提供されます。
- 「メッセージ・テンプレート」 リストから、 QRadarを選択します。
- 「通知タイプ」から 「SYSLOG」を選択します。
- 「追加」をクリックし、 「適用」をクリックします。
- 「保存」をクリックします。
- QRadarに転送するポリシー内のすべてのルールについて、 syslog イベントを生成するためのポリシーの構成 を繰り返します。
ポリシーの構成について詳しくは、 IBM InfoSphere® Guardium ベンダーの資料を参照してください。 すべてのポリシーを構成すると、 IBM Guardium システムにポリシーをインストールする準備が整います。
注: 構成可能なポリシーのため、 QRadar はデフォルトのポリシー・イベントのみを自動的に検出できます。 イベントを QRadarに転送するポリシーをカスタマイズした場合は、それらのイベントをキャプチャーするためのログ・ソースを手動で作成する必要があります。