ここでのトピック
HP ArcSight Security Information Event Management (SIEM)システムは、様々なソースからのメッセージを記録、分析および管理するための集中管理システムです。Audit Vault Serverは、Oracle AVDFのAudit Vault ServerコンポーネントとDatabase Firewallコンポーネントの両方からArcSight SIEMにメッセージを転送します。
ArcSight SIEMとOracle AVDFを統合する場合、追加のソフトウェアをインストールする必要はありません。Audit Vault Serverコンソールを使用して統合を構成します。
ArcSight SIEMサーバーに送信されるメッセージは、Oracle AVDFから送信されるその他のメッセージから独立しています。これは、標準のsyslogメッセージを異なる宛先に送信できることを意味します。
Oracle AVDFでは、ArcSight SIEMに送信可能なメッセージがカテゴリ化されます。次の3つのカテゴリがあります。
システム: Oracle AVDFのAudit Vault ServerコンポーネントおよびDatabase Firewallコンポーネントのサブコンポーネントからのsyslogメッセージ
情報: Oracle AVDFのDatabase Firewallコンポーネントからの特定の変更ロギング
デバッグ: Oracleサポートの指示があった場合にのみ使用するカテゴリ
ArcSight SIEM統合を有効にすると、設定値はすぐに有効になります。Audit Vault Serverを再起動する必要はありません。
ArcSight SIEM統合を有効にする手順は、次のとおりです。
Audit Vault Serverコンソールにスーパー管理者としてログインします。
「設定」タブをクリックします。
「システム」メニューから「コネクタ」をクリックし、「HP ArcSight SIEM」セクションまでスクロールします。
次の情報を指定します。
ArcSightイベント転送の有効化: ArcSight SIEM統合を有効にする場合に、このチェック・ボックスを選択します。
ArcSight destinations: 使用する通信プロトコルに応じて、「UDP」フィールドにArcSightサーバーのIPアドレスまたはホスト名を入力するか、「TCP」フィールドにArcSightサーバーのIPアドレス、ホスト名およびポートを入力します。この設定を使用すると、syslogログ出力を共通イベント・フォーマット(CEF)でこのArcSightサーバーに送信できます。
イベント・カテゴリ: ArcSightサーバーで必要なメッセージのタイプに応じて、メッセージ・カテゴリの組合せを選択します。
メッセージ長の制限: 指定したバイト数にメッセージを制限できます。
最大メッセージ長(バイト): 「メッセージ長の制限」を選択した場合、任意の最大長を入力します。許容範囲は1024から1048576文字です。
「保存」をクリックします。