ArcSight ESM のネットワーク モデルについて

1 Likes

コンソールでアセットを登録する際に、異なるフォルダを作成し、ホスト名は異なるがIPアドレスが同じアセットを登録しようとすると、次の様なエラーが発生し登録できないなどのお問い合わせをいただくことがあります。

理由は、ESMはデフォルトでは”単一のローカルネットワーク”となっており、プライベートアドレスに関しては
アセットのフォルダを分けられても同一IPアドレスのアセットは重複となり登録できません。

ESM は次の様なネットワーク モデルとなっており、イベントを適切にエンリッチするためには
顧客、ネットワークやゾーンを作成していただきアセットを割り当てていただく必要があります。

Customer(顧客) - Network - Zone - Asset or Asset Range

添付は英語の資料ですが、ArcSight ESM のネットワーク モデルに関する資料です。

PDF

なお、あるコネクタからは単一の顧客からのイベントのみが送られてくることが想定されており、
もしあるコネクタから複数の顧客のイベントが混合して送られてくる場合には
ワークアラウンドとしてパーサーオーバーライドなどの設定をしていただくことをお勧めしています。
資料の21ページをご参照ください。

Labels:

Knowledge Docs
Comment List
Related
Recommended