はじめに

本ドキュメントでは Secure Network Analytics (SNA / 旧Stealthwatch) で設定できるSecurity EventとAlarm Categoryの関係について説明します。

 

 

Security EventとAlarm Categoryについて

Security EventはPort Scanなど特定の振る舞いを検知するためのアルゴリズム、ポリシーです。対してAlarm Categoryは複数の関連するSecurity Eventから構成されます。Security Eventが発生した際に関連するAlarm Categoryに対しIndex Pointが割り当てられ、Index Pointの合計値が設定された閾値を超過した場合にAlarm Categoryのアラームが発報されます。

 

Index Pointについて

以下はTechnical ReferencesのSecurity Events & Alarm Categoriesに記載されているものになります。Alarm Categoryの一つである Command & Control の関連するSecurity Eventのリストであり、それぞれのSecurity Eventが発生した際に Command & Control に対応するIndex Pointが割り当てられ、設定されている閾値を超過した場合にAlarm Categoryのアラームが発報します。Security Eventの中には複数のAlarm Categoryに属するものもあり、その場合はSecurity Eventが発生した際に関連する全てのAlarm Categoryに対しIndex Pointが割り当てられます。