Popular Tags
Sorry, but there are no more tags available to filter with.
  • [ESM] ArcSight Status Monitoring について

    ESM の ArcSight Status Monitoringは、ESMのパフォーマンスの問題発生時、解析のため使用することがあります。 また、問題が発生していなくとも定期的に確認されると問題発生を事前に回避できる可能性があるかと思います。 次の資料は、ArcSight Status Monitoring について説明したものです。 PDF なお、このツールはどちらかというとサポート用でサポートの対象外のためドキュメントなどはありませんが、今後も継続して提供されると聞いています…
  • ESM スケジュール ルールの使い方

    次の様なリアルタイム ルールでは検知できないような場合、スケジュール ルールをご利用いただけます。 ・何らかの理由でイベントの到着が遅延 ・前日のイベントをバッチでESMに送付 次の資料はワンショットでのスケジュール ルールの使い方を説明したものです。 PDF ご参考になれば幸いです。
  • SSL/TLS バージョンと暗号スイートについて

    ESMやコネクタはバージョンによってデフォルトでサポートするSSL/TLS バージョンと暗号スイートが変わります。 そのため、新規にインストールしたESMへコネクタから接続出来ないといった問題や、 アップグレード時に問題になることがあります。 こちらは ESM の Forwarding Connector で Logger へ接続する場合や、 Logger の Forwarder で ESM と接続する場合も同様となります。 全てのバージョンではありませんが、ESMおよびコネクタがデフォルトでサポートするSSL…
  • ESM HA について

    ESM の HA について問い合わせを受けることがあります。 次はESM 6.9.1 時点の HA に関する資料でご参考にしていただきたいのですが、 変更点などあるかもしれませんので次の最新版のドキュメントのご参照をお願い致します。 PDF ------------------------------------------------------------ ESM Active-Passive High Availability Module User's Guide HTML版 https…
  • IPv6 アドレスの取扱について

    ESM 6.11.0 からソースアドレスや通信先アドレスなどのIPアドレス系のフィールドで IPv6 アドレスが使用できるようになりました。 以前はソースアドレスや通信先アドレスなどのIPアドレス系のフィールドはIPv4しか格納できず、 IPv6アドレスは別のフィールド(deviceCustomIPv6Address 1-3)に格納されていました。 FlexConnector Developer's Guide より -----------------------------------…
  • ESM 多段(階層)構成の注意点

    ESMを多段(階層)構成でご利用になる場合の注意点です。 詳細は次の記事をご参照いただきたいのですが、Event ID の仕様による制限になります。 --------------------------------------------- ESM Event ID and Event Forwarding ESM Event ID and Event Forwarding --------------------------------------------- 簡単にご説明すると…
  • ArcSight ESM のバイブル

    ArcSight テクニカルサポートチームの配属となり、ArcSight ESM のサポートに関するトレーニングを受講したのですが、 講師の方から ESM 101 は ArcSight ESM のバイブルと言われているとのことで読むことを勧められました。 最新版の ESM 101 は次のESM 7.6のものです。 HTLM形式 https://www.microfocus.com/documentation/arcsight/arcsight-esm-7.6/ESM_101/ …
  • ArcSight ESM のネットワーク モデルについて

    コンソールでアセットを登録する際に、異なるフォルダを作成し、ホスト名は異なるがIPアドレスが同じアセットを登録しようとすると、次の様なエラーが発生し登録できないなどのお問い合わせをいただくことがあります。 理由は、ESMはデフォルトでは”単一のローカルネットワーク”となっており、プライベートアドレスに関しては アセットのフォルダを分けられても同一IPアドレスのアセットは重複となり登録できません。 ESM は次の様なネットワーク モデルとなっており、イベントを適切にエンリッチするためには…
  • ソース アドレス/通知先 アドレス と アタッカー アドレス/ターゲット アドレス の関係について

    ほとんどの場合、ソース アドレス が アタッカー アドレスとなり、通知先 アドレス が ターゲット アドレス となりますが、 表示チャネルでそのようになっていないイベントがありお問い合わせを受けることがあります。 詳しくは次の ESM 101 をご参照いただきたいのですが、CEF に Originator (作成者)というフィールドがあり、 この値よってソース アドレス が ターゲット アドレスとなり、通知先 アドレス が アタッカー アドレス (上述の逆)になる場合があります。 ---…
  • ESM のアップグレードについて

    ESMのアップグレードについてお問い合わせを受けることがあります。 次の資料は ESM 6.9.1 から ESM 7.5 へアップグレードするESMのアップグレードに関する資料になります。 ArcSight ESM Upgrading Guide https://content.microfocus.com/upgrade-arcsight-today/arcsight-esm-upgrade-guide?lx=n6oR8Z#page=1 こちらの資料にありますように、ESMをアップグレードするにはアップグレードパスがあり…
  • GTAP Basic と GTAP Plus の違いについて

    GTAP には、GTAP Basic と GTAP Plus の2種類があり、 添付は英語の資料ですが、GTAPの概要および、GTAP Basic と GTAP Plusの違いを説明した資料です。 有償ですが GTAP Plus には次の様な優位性があるとの資料になっています。 1.高品質で正確な脆弱性情報により誤検知が減少 カナダ安全保障庁(CSE)カナダ・サイバーセキュリティセンターと提携 2.コンテクストの改善、高い精度と信頼性 可能な限り、追加情報が付与されアナリストの解析時間を節約する…
  • ESM の時刻の種類とルールのトリガとの関係について

    ESM の時刻の種類についてお問い合わせを受けることがあります。 添付は ESM の時刻の種類とルールのトリガとの関係について説明した資料です。 PDF ご参考になれば幸いです。
  • ESM のルール アクション On Time Window Expiration (タイムウィンドウの有効期限)および On Time Unit(時間単位) の使い方

    ESM のルール アクションである On Time Window Expiration (タイムウィンドウの有効期限)を アクティブにしたが相関イベントが作成されないとのお問い合わせをいただきました。 ドキュメントの記載が分かりにくく誠に申し訳ございませんが、 On Time Window Expiration (タイムウィンドウの有効期限)は 単独でご利用いただくものではなく、他の閾値系(「最初の閾値」など)のアクションと一緒にご利用いただくものとなっています。 添付は On…
  • ESM の MySQL からのデータの抽出について

    ESM の MySQLデータベースからデータを抽出したいというお問い合わせをいただくことがあります。 ESMには arcdt runsql というArcSight コマンドがあり、こちらのご利用をお勧めしております。 次の資料は arcdt runsql の簡単な使用例を記載したものです。 PDF なお、arcdt につきましては Administrator's Guide の次のご参照をお願い致します。 https://www.microfocus.com/documentation…
  • ArcSight SOAR の概要

    添付の資料は次の URL で公開されている ArcSight SOAR に関する英語のビデオのスクリーンショットを取得し字幕の部分を翻訳したものです https://www.youtube.com/embed/n46awot24Kw?_ga=2.65009519.1738281873.1673790074-1185713035.1601100053 本資料でもArcSight SOAR の概要をご理解いただけるかと考えますが、ビデオをご覧いただく際のご参考になれば幸いです。 …
  • ArcSight SOAR の基礎

    添付は SOAR 3.1 ベースの英語の資料を翻訳し、また気が付いたSOAR 3.2との違いを追記したものです。 なお、ご存知かとは思いますが、資料にある VirusTotal は次の URL から登録することで API Key をご入手いただけます。 https://www.virustotal.com/ ご参考になれば幸いです。 PDF
  • SOAR 3.2のインストールについて

    お客様からの SOAR に関するお問い合わせが多くなってきています。また、ArcSight ESM は自前のケース機能がありますが、今後は SOAR に移行する予定と聞いています。 本資料は2022年11月にリリースされたArcSight Platform 22.1 SOAR 3.2 のシングルノードでのインストールおよび ESM 7.6 との連携について記載しています。なお、OS は CentOS 8.2 を使用しています。ご参考になれば幸いです。 PDF