ヘッダーをスキップ
Oracle® Audit Vault and Database Firewall管理者ガイド
リリース12.1.1
B71711-02
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

9 ArcSight SIEMとの統合の構成

この章の内容は、次のとおりです。

ArcSight SIEMとの統合の概要

ArcSight Security Information Event Management (SIEM)システムは、様々なセキュア・ターゲットからsyslogメッセージをログに記録し、分析および管理するための集中管理システムです。ArcSight SIEMを使用すると、Oracle Audit Vault and Database Firewall (AVDF)では、セキュリティ・アラートやその他の選択したイベント・タイプ(メッセージ・テキスト、優先度および攻撃者のIPアドレスを含む)の詳細を提供できます。Audit Vault ServerによってArcSight SIEMメッセージが送信されます。

BIG-IP ASMインタフェースも使用している場合は、攻撃がインターネットから実行されると、Oracle AVDFでは攻撃側Webクライアントの実際のIPアドレスを特定します。この機能によって、インターネット・ベースの攻撃のソースを特定できます。

ArcSight SIEMとOracle AVDFを統合する場合、追加のソフトウェアをインストールする必要はありません。Audit Vault Serverコンソールを使用して統合を構成できます。

ArcSight SIEMサーバーに送信されるsyslogメッセージは、Oracle AVDFから送信されるその他のsyslogメッセージから独立しています。これは、標準のsyslogメッセージを異なる宛先に送信できることを意味します。

Oracle AVDFとArcSight SIEMの統合の有効化

Oracle AVDFとArcSight SIEMの統合を有効にすると、設定値はすぐに有効になります。Audit Vault Serverを再起動する必要はありません。

Oracle AVDFに対してArcSight SIEMを有効にする手順は、次のとおりです。

  1. Audit Vault Serverコンソールに管理者としてログインします。

  2. 「設定」タブを選択します。

  3. 「システム」メニューから「コネクタ」を選択し、「ArcSight SIEM」セクションまでスクロールします。

    arcsight_config.gifの説明が続きます
    図arcsight_config.gifの説明

  4. 次の情報を指定します。

    • Enable ArcSight event forwarding: ArcSightインタフェースを有効にする場合に、このチェック・ボックスを選択します。

    • ArcSight destinations: 使用する通信プロトコルに応じて、「UDP」フィールドにArcSightサーバーのIPアドレスまたはホスト名を入力するか、「TCP」フィールドにArcSightサーバーのIPアドレス、ホスト名およびポートを入力します。この設定を使用すると、syslogログ出力を共通イベント・フォーマット(CEF)でこのArcSightサーバーに送信できます。

    • Event categories: ArcSightサーバーで必要なメッセージのタイプに応じて、syslogカテゴリの組合せを選択します。

    • Limit message length: ネットワーク上で大量のSQLテキストが送信されるのを防ぐために、メッセージの長さを指定のバイト数に制限できます。

    • 最大メッセージ長(バイト): 「メッセージ長の制限」を選択した場合、任意の最大長を入力します。許容範囲は1024から1048576文字です。

  5. 「保存」をクリックします。