syslog イベントを生成するためのポリシーの構成

IBM® Guardium ® のポリシーは、イベントに対応し、イベント情報を IBM QRadarに転送します。

手順

  1. 「ツール」 タブをクリックします。
  2. 左側のナビゲーションから、 「ポリシー・ビルダー」を選択します。
  3. 「ポリシー・ファインダー」 ペインで、既存のポリシーを選択し、 「ルールの編集」をクリックします。
  4. 「このルールを個別に編集」をクリックします。

    「アクセス・ルール定義」 が表示されます。

  5. 「アクションの追加」をクリックします。
  6. 「アクション」 リストから、以下のいずれかのアラート・タイプを選択します。
    • 一致ごとにアラート - ポリシー違反ごとに通知が提供されます。
    • 毎日アラート - 当該日に初めてポリシー違反が発生したときに通知が提供されます。
    • セッションごとに 1 回アラート - ユニーク・セッションのポリシー違反ごとに通知が提供されます。
    • 時間間隔ごとにアラート - 選択した時間フレームごとに通知が提供されます。
  7. 「メッセージ・テンプレート」 リストから、 QRadarを選択します。
  8. 「通知タイプ」から 「SYSLOG」を選択します。
  9. 「追加」をクリックし、 「適用」をクリックします。
  10. 「保存」をクリックします。
  11. QRadarに転送するポリシー内のすべてのルールについて、 syslog イベントを生成するためのポリシーの構成 を繰り返します。

    ポリシーの構成について詳しくは、 IBM InfoSphere® Guardium ベンダーの資料を参照してください。 すべてのポリシーを構成すると、 IBM Guardium システムにポリシーをインストールする準備が整います。

    注: 構成可能なポリシーのため、 QRadar はデフォルトのポリシー・イベントのみを自動的に検出できます。 イベントを QRadarに転送するポリシーをカスタマイズした場合は、それらのイベントをキャプチャーするためのログ・ソースを手動で作成する必要があります。