アラートレポートマネージャ (ARM)
システムには大量のアラートが集積される恐れがあるため、アラートレポートマネージャ(ARM) を使用して アラート情報を整理することができます。以下の方法でこの情報をファイルタしソートします。
• 重要度レベル (致命的、情報など)
• ステータス (処理済み、未処理など)
• データベース接続
• ルールの種類 (PDRまたはUDR)
• 監視アイテム名または説明
• アラート生成日時
ARMは履歴レポートとアラートを取得することができるため、内部規制または法的規制の基礎を提供してく れます。また、カンマまたはタブ区切りの形式でレポートをエクスポートすることもできます。
使用手順
レポートマネージャを使用するには以下の手順が必要です。
1. ログインする。
2. レポートスケジュールを設定する。
3. レポートの E メール受信者を設定する(オプション)。 4. レポートパラメータを設定する。
5. ARMを有効にする。
6. アセスメントレポートを実行し、分析する。
7. 脆弱性を改善する。
8. アセスメントレポートを再度実行する。
レポートスケジュールの設定
スケジュールはタイマーまたはカレンダーのいずれかで設定します。タイマーによるスケジュール設定では、
監査の実行間隔を設定します。カレンダーによるスケジュールでは、特定の日時に監査を実行するように選 択します。また、2つの種類の設定を組み合わせて指定した実行間隔をランダムに設定することもできます。
スケジュールを設定するには、[デフォルト設定]メニューの[スケジュール] を使用します。
タイマースケジュール設定
タイマースケジュール設定は、以下の操作を行います。
1. [監視間隔]、または[監査開始時刻]を指定します。
2. [タイマー設定]ボタンをクリックして設定を保存します。
FortiDB Version 3.2 ユーティリティユーザーガイド
26 15-32200-81369-20090501
図1:タイマースケジュールの設定
前に設定したタイマースケジュールの解除
図2: タイマースケジュールの解除
前に設定したタイマースケジュールを削除するには、[タイマー解除]をクリックします。
カレンダースケジュール設定
図 3:カレンダースケジュールの設定 カレンダースケジュールを設定するには、以下の操作を行います。
1. [スケジュール設定]画面の最下部にある[新規追加]をクリックします。
2. 指定したい監査日時を設定します。上の例では、毎週土曜日の午前2時に監査が行われるスケジュール が設定されています。
3. [新規追加]画面の最下部の[新規追加]ボタンをクリックして設定を保存します。
組み合わせスケジュールの設定
タイマースケジュールとカレンダースケジュールの両方を指定する組み合わせスケジュールを設定すること もできます。
FortiDB Version 3.2 ユーティリティユーザーガイド
28 15-32200-81369-20090501
ランダムな実行間隔の設定
図 4:ランダムな実行間隔の設定
監査時間を予測しにくくするために、選択された監査間隔での実行を行いながらも、頻度を変えるように設 定することもできます。
[ランダマイズ]チェックボックスをチェックした場合は、指定した監査間隔が無作為に選択されて、次の監 査日時が設定されます。各監査のあとは、他のランダム数で再び計測が実行されます。これにより、次の監 査時間を予測するのが非常に困難になります。(ただし、ランダム数で計測された実行間隔の平均数は、監査 が長時間続けられたあとで十分な量の監査が行われたあとには、指定した監査間隔と等しくなります)。
レポート時間の設定
.
図 5:レポートマネージャでのレポート時間の設定
図 6ポップアップカレンダー(カレンダーアイコンをクリックすると表示)
レポートマネージャ(ARM)モジュールは、他のモジュールによって生成されたアラートに基づいたレポー トを生成します。レポートされたアラートの中から重要なアラートを限定するために時間に基づいてフィル タリングをすることができます。
E メール受信者の設定
このトピックの詳細は、『FortiDB管理者ガイド』を参照してください。
レポートのパラメータの設定
図 7:[レポート]メニュー レポートの設定は、メニューの[レポート]、[新規追加]を使用します。
FortiDB Version 3.2 ユーティリティユーザーガイド
30 15-32200-81369-20090501
図 8:新規レポートの設定画面 (上部)
図 9:新規レポートの設定画面(下部) 新規レポートには以下のパラメータを指定することができます。
• レポート名(ユーザーが指定します。必須です。)
• ID(アラートID、アラートごとに一意のIDが必要です)
• アラートステータス(未対応、既知、対応済み)
• アラート重要度(情報、注意など)
• アラートレポートを表示したいFortiDBのモジュール
• 監査するデータベース
• 脆弱性を評価するために使用するルール種別
• ルール名(脆弱性を評価するために使用する特定のルール名)
• アラートの検出日時(アラートが発生する日時)
• レポートの作成スケジュール
FortiDB Version 3.2 ユーティリティユーザーガイド
32 15-32200-81369-20090501
• 1度のみ(通常はアーカイブする目的で使用される現在のアラートのスナップショット)
• スケジュール([デフォルト設定]、[スケジュール]で指定されるスケジュールに従って実行)
• レポート形式(レポートの表示およびソートに使用されるカラム)
• ファイル形式(レポートを生成するファイルの種類と場所)
• 保存するファイルの種類(タブ区切りかカンマ区切り)
• レポートのファイル名とファイル場所
• ファイルに保存するかどうかのチェックボックス(ファイル保存を有効にする)
• 違反詳細をサブID分割しないかどうかのチェックボックス(類似した違反を1つのアラートレコード に収めるかどうか、チェックしない場合は1つの違反に対して1つのレコード)
レポートを実行するには[レポートを有効にする]にチェックを入れる必要があります。
「保存」ボタンをクリックしてレポートの設定を保存します。
図 10:保存され有効なレポート 保存されたレポートは[現在のレポート]ページに表示されます。
図 11:複数レポートを実行させる[選択]チェックボックス
「削除」、「有効」、または「無効」ボタンを使用して、「現在のレポート」画面から1個または複数のレポート を削除、有効、または無効にすることができます。すべてのレポートに対してこれらの操作を実行するには、
カラムのヘッダーの「選択」チェックボックスをチェックします。
レポートを有効にする
図 12:[ステータス]メニュー
図 13:[ステータス]ダイアログ
スケジュールされたレポートの実行を開始するためにはメニューの[レポート]、[ステータス]を使用しま す。[実行]チェックボックスをチェックして[更新]ボタンをクリックします。
レポートの実行と分析
注意:レポートマネージャから脆弱性アセスメント(VA)レポートを取得するには、まず[分析]メニュー から[アセスメント実行]を使用する必要があります。
図 14:現在のレポート画面でのレポートの履歴ドロップダウンの表示
[レポート履歴]ドロップダウンを使用してすべてのレポートまたは指定した日数に発生した後に作成された レポートを表示することができます。
FortiDB Version 3.2 ユーティリティユーザーガイド
34 15-32200-81369-20090501
図 15:現在のレポートの設定
表示したいレポートの行で、[レポート履歴]ドロップダウンから表示するレポートのバージョンを選択する ことができます。また、[通知先]アイコンをクリックするとそのレポート固有のEメール受信者を指定する ことができます。
図 16:要約レポートの選択
[要約]をクリックすると、各アラートの要約情報の画面を表示することができます。
図 17:要約レポート
要約レポートにはそれぞれのアラートに関する要約情報が表示されます。行内のID番号上をクリックするこ とによって、特定のアラームIDに関連する詳細を表示することができます。
図 18:アラート特定の詳細 (更新前)
[アラート詳細]画面では、アラートのステータスを更新し、また更新の理由を入力することができます。変 更を行った後は、[ステータス更新]ボタンをクリックします。
図 19:レポート詳細情報の選択
[詳細]をクリックすると、各アラートの詳細情報の画面を表示することができます。
FortiDB Version 3.2 ユーティリティユーザーガイド
36 15-32200-81369-20090501
図 20:レポート詳細情報
詳細レポートにはそれぞれのアラートに関する詳細情報が表示されます。Idはをクリックするとより詳細情 報が表示されます。
図 21:アラート特定の詳細 (更新後)
要約レポート情報画面と同様に、アラームID上をクリックしてアラーム詳細画面を表示することができま す。
FortiDB Version 3.2 ユーティリティユーザーガイド
38 15-32200-81369-20090501