| Oracle® Audit Vault and Database Firewall管理者ガイド リリース12.1.1 B71711-02 |
|
 前 |
 次 |
この章の内容は、次のとおりです。
ArcSight Security Information Event Management (SIEM)システムは、様々なセキュア・ターゲットからsyslogメッセージをログに記録し、分析および管理するための集中管理システムです。ArcSight SIEMを使用すると、Oracle Audit Vault and Database Firewall (AVDF)では、セキュリティ・アラートやその他の選択したイベント・タイプ(メッセージ・テキスト、優先度および攻撃者のIPアドレスを含む)の詳細を提供できます。Audit Vault ServerによってArcSight SIEMメッセージが送信されます。
BIG-IP ASMインタフェースも使用している場合は、攻撃がインターネットから実行されると、Oracle AVDFでは攻撃側Webクライアントの実際のIPアドレスを特定します。この機能によって、インターネット・ベースの攻撃のソースを特定できます。
ArcSight SIEMとOracle AVDFを統合する場合、追加のソフトウェアをインストールする必要はありません。Audit Vault Serverコンソールを使用して統合を構成できます。
ArcSight SIEMサーバーに送信されるsyslogメッセージは、Oracle AVDFから送信されるその他のsyslogメッセージから独立しています。これは、標準のsyslogメッセージを異なる宛先に送信できることを意味します。
Oracle AVDFとArcSight SIEMの統合を有効にすると、設定値はすぐに有効になります。Audit Vault Serverを再起動する必要はありません。
Oracle AVDFに対してArcSight SIEMを有効にする手順は、次のとおりです。
Audit Vault Serverコンソールに管理者としてログインします。
「設定」タブを選択します。
「システム」メニューから「コネクタ」を選択し、「ArcSight SIEM」セクションまでスクロールします。
次の情報を指定します。
Enable ArcSight event forwarding: ArcSightインタフェースを有効にする場合に、このチェック・ボックスを選択します。
ArcSight destinations: 使用する通信プロトコルに応じて、「UDP」フィールドにArcSightサーバーのIPアドレスまたはホスト名を入力するか、「TCP」フィールドにArcSightサーバーのIPアドレス、ホスト名およびポートを入力します。この設定を使用すると、syslogログ出力を共通イベント・フォーマット(CEF)でこのArcSightサーバーに送信できます。
Event categories: ArcSightサーバーで必要なメッセージのタイプに応じて、syslogカテゴリの組合せを選択します。
Limit message length: ネットワーク上で大量のSQLテキストが送信されるのを防ぐために、メッセージの長さを指定のバイト数に制限できます。
最大メッセージ長(バイト): 「メッセージ長の制限」を選択した場合、任意の最大長を入力します。許容範囲は1024から1048576文字です。
「保存」をクリックします。
