ソース アドレス/通知先 アドレス と アタッカー アドレス/ターゲット アドレス の関係について

1 Likes

ほとんどの場合、ソース アドレス が アタッカー アドレスとなり、通知先 アドレス が ターゲット アドレス となりますが、
表示チャネルでそのようになっていないイベントがありお問い合わせを受けることがあります。

詳しくは次の ESM 101 をご参照いただきたいのですが、CEF に Originator (作成者)というフィールドがあり、
この値よってソース アドレス が ターゲット アドレスとなり、通知先 アドレス が アタッカー アドレス (上述の逆)になる場合があります。

------------------------------------------------
ESM 101
Source/Destination, Attacker/Target: An External Attack
https://www.microfocus.com/documentation/arcsight/arcsight-esm-7.6/ESM_101/#ESM_101/The_Event_Schema/Source_Destination__Atta.htm?Highlight=originator
------------------------------------------------

次はテストアラートコネクタからOriginator (作成者)を Source (ソース) から Destination (通知先) に変えた場合です。

なお、ソース アドレス/通知先 アドレス はデータベースに格納されていますが、アタッカー アドレス/ターゲット アドレスは
データベースには格納されておらず、表示チャネルに表示する際に Originator (作成者) の値によって導出されるものになっています。

Labels:

Knowledge Docs
Comment List
Related
Recommended