インストールをテストするには:

1. Sentinel Rapid DeployemntのWebインタフェースにログインします。

   詳細については、『Sentinel Rapid Deployment User Guide』のAccessing the Novell Sentinel Web Interfaceを参照してください。

2. ［検索］ページを選択し、任意の内部イベントを検索します。1つ以上のイベントが返されます。

   たとえば、重大度の範囲3～5に含まれる内部イベントを検索するには、［Include System Events］を選択し、［Search］フィールドに「sev:[3 TO 5]」と入力します。

   検索に関する詳細については、『Sentinel Rapid Deployment User Guide』のRunning an Event Searchを参照してください。

   SP2では、デフォルトでは検索機能が有効になっていません。ただし、この機能を有効にするには、『Sentinel Rapid Deployment User Guide』のEnabling the Search Option in Web User Interfaceを参照してください。

3. ［レポート］ページを選択し、パラメータを指定してレポートを実行します。

   たとえば、［Run］ボタンをクリックし、必要なパラメータを指定して［Run］クリックします。

   詳細については、『Sentinel Rapid Deployment User Guide』のRunning Reportsを参照してください。

4. ［アプリケーション］ページで、［Sentinel Control Centerの起動］をクリックします。

5. インストール中に指定したSentinel管理者ユーザを使用してシステムにログインします(デフォルトではadmin)。

   Sentinelコントロールセンターが開き、パブリックフィルタのInternal_EventsとHigh_Severityによってフィルタされたイベントを含む［アクティブビュー］タブが表示されます。

   

6. ［イベントソースの管理］メニューに移動し、［ライブビュー］を選択します。

7. グラフィカルビューで、5 epsイベントソースを右クリックし、［開始］を選択します。

8. ［イベントソースの管理］の［ライブビュー］ウィンドウを閉じます。

9. ［アクティブビュー］タブをクリックします。

   「PUBLIC: High_Severity, Severity」というタイトルのアクティブウィンドウが表示されます。コレクタが開始してこのウィンドウにデータが表示されるまでにしばらく時間がかかる場合があります。

10. ツールバーにある［Event Query］ボタンをクリックします。［履歴イベントクエリ］ウィンドウが表示されます。

11. ［履歴イベントクエリ］ウィンドウで、［フィルタ］の下矢印をクリックしてフィルタを選択します。［Public: All］フィルタを選択します。

12. コレクタがアクティブだった時刻を含む期間を選択します。［From］および［To］ドロップダウンリストを使用して日付範囲を選択します。

13. バッチサイズを選択します。

14. 拡大鏡アイコンをクリックしてクエリを実行します。

    

15. ［履歴イベントクエリ］ウィンドウで、<Ctrl>キーまたは<Shift>キーを押しながら複数のイベントを選択します。

16. ウィンドウ内で右クリックし［Create Incident］を選択して［New Incident］ウィンドウを表示します。

    

17. インシデントに「TestIncident1」と名前を付け、［作成］をクリックします。成功の通知が表示されたら、［保存］をクリックします。

18. インシデントビューマネージャで作成したインシデントを表示するには、［インシデント］タブをクリックします。

    

19. インシデントをダブルクリックしてイベントを表示します。

    

20. ［インシデント］ウィンドウを閉じます。

21. ［分析］タブをクリックします。

22. ［分析］メニューまたはナビゲータから［Offline Queries］をクリックします。

23. ［Offline Query］ウィンドウで、［Add］をクリックします。

24. 名前を指定し、フィルタを選択し、期間を選択して［OK］をクリックします。

25. ［Active Browser］ウィンドウにイベントのリストと関連する詳細を表示するには、［Browse］をクリックします。

    

    コレクタ、ターゲットIP、重大度、ターゲットサービスポート、およびリソースなどの詳細を表示することができます。

26. ［Correlation］タブを選択します。相関ルールマネージャが表示されます。

    

27. ［追加］をクリックします。相関ルールウィザードが表示されます。

    

28. ［シンプル］をクリックします。［Simple Rule］ウィンドウが表示されます。

    

29. ドロップダウンメニューを使用して、「重大度=4」という条件を設定し、［次へ］をクリックします。［Update Criteria］ウィンドウが表示されます。

    

30. ［Do not perform actions every time this rule fires］を選択し、ドロップダウンメニューを使用して時間範囲を1分に設定し、［次へ］をクリックします。［General Description］ウィンドウが表示されます。

    

31. ルールに「TestRule1」と名前を付け、説明を入力し、［次へ］をクリックします。

32. ［いいえ。別のルールは作成しません。］を選択し、［次へ］をクリックします。

33. 作成したルールに関連付けるアクションを作成します。

    1. 次のいずれかを実行します。

       • ［Tools］>［Action Manager］>［Add］を選択します。

       • ［Deploy Rule］ウィンドウで［Add Action］をクリックします。詳細については、ステップ 34からステップ 35を参照してください。

       ［Configure Action］ウィンドウが表示されます。

       

    2. ［Configure Action］ウィンドウで、次の内容を指定します。

       • CorrelatedEventアクションなどのアクション名を指定します。

       • ［Action］ドロップダウンリストから［Configure Correlated Event］を選択します。

       • ［Event Options］を設定します。

       • ［Severity］を5に設定します。

       • ［EventName］に「CorrelatedEvent」などを指定します。

       • 必要に応じてメッセージを指定します。

       アクションの作成に関する詳細については、『Sentinel Rapid Deployment User Guide』のCreating Actionsを参照してください。

    3. ［Save］をクリックします。

34. ［相関ルールマネージャ］ウィンドウを開きます。

35. ルールを選択し、［Deploy Rules］リンクをクリックします。［Deploy Rule］ウィンドウが表示されます。

36. ［Deploy Rule］ウィンドウで、ルールを展開するエンジンを選択します。

37. ステップ 33で作成したアクションを選んでルールに関連付け、［OK］をクリックします。

    

38. ［相関エンジンマネージャ］を選択します。

    相関エンジンの下に、ルールが展開され有効になっていることが表示されます。

    

39. 認証の失敗などの重大度4のイベントをトリガし、展開された相関ルールを発動します。

    たとえば、SentinelControl Centerのログインウィンドウを開き、誤ったユーザの資格情報を入力してイベントを生成します。

40. ［Active Views］タブをクリックし、相関イベントが生成されるかどうかを確認します。

    

41. Sentinelコントロールセンターを閉じます。

42. ［アプリケーション］ページで、［Sentinelデータマネージャの起動］をクリックします。

43. インストール中に指定したデータベース管理者ユーザを使用してSentinelデータマネージャにログインします(デフォルトではdbauser)。

    

44. 各タブをクリックして、アクセスできることを確認します。

45. Sentinelデータマネージャを閉じます。