ここでは、Sentinel Rapid Deploymentシステムのテスト手順と予想される結果について説明します。同じイベントは表示されない場合がありますが、次のような結果が表示されるはずです。
基本レベルで、これらのテストでは次のことを確認できます。
Sentinelサービスが起動し動作している。
メッセージバス経由の通信が機能している。
内部の監査イベントが送信されている。
イベントをコレクタマネージャから送信できる。
イベントがデータベースに挿入され、レポートを使用して取得できること。
インシデントを作成および表示できる。
ルールが評価され、相関イベントが相関エンジンによってトリガされること。
Sentinelデータマネージャがデータベースに接続し、パーティション情報を読み込めること。
これらのテストが失敗した場合は、インストールログおよびその他のログファイルを確認し、必要に応じて、Novellテクニカルサポートにご連絡ください。
インストールをテストするには:
Sentinel Rapid DeployemntのWebインタフェースにログインします。
詳細については、『Sentinel Rapid Deployment User Guide』のAccessing the Novell Sentinel Web Interface
を参照してください。
[検索]ページを選択し、任意の内部イベントを検索します。1つ以上のイベントが返されます。
たとえば、重大度の範囲3~5に含まれる内部イベントを検索するには、[
]を選択し、[ ]フィールドに「 」と入力します。検索に関する詳細については、『Sentinel Rapid Deployment User Guide』のRunning an Event Search
を参照してください。
SP2では、デフォルトでは検索機能が有効になっていません。ただし、この機能を有効にするには、『Sentinel Rapid Deployment User Guide』のEnabling the Search Option in Web User Interface
を参照してください。
[レポート]ページを選択し、パラメータを指定してレポートを実行します。
たとえば、[
]ボタンをクリックし、必要なパラメータを指定して[ ]クリックします。詳細については、『Sentinel Rapid Deployment User Guide』のRunning Reports
を参照してください。
[アプリケーション]ページで、[
]をクリックします。インストール中に指定したSentinel管理者ユーザを使用してシステムにログインします(デフォルトではadmin)。
Sentinelコントロールセンターが開き、パブリックフィルタの
と によってフィルタされたイベントを含む[ ]タブが表示されます。[
]メニューに移動し、[ ]を選択します。グラフィカルビューで、
を右クリックし、[ ]を選択します。[イベントソースの管理]の[ライブビュー]ウィンドウを閉じます。
[
]タブをクリックします。「PUBLIC: High_Severity, Severity」というタイトルのアクティブウィンドウが表示されます。コレクタが開始してこのウィンドウにデータが表示されるまでにしばらく時間がかかる場合があります。
ツールバーにある[
]ボタンをクリックします。[履歴イベントクエリ]ウィンドウが表示されます。[履歴イベントクエリ]ウィンドウで、[
]の下矢印をクリックしてフィルタを選択します。[ ]フィルタを選択します。コレクタがアクティブだった時刻を含む期間を選択します。[
]および[ ]ドロップダウンリストを使用して日付範囲を選択します。バッチサイズを選択します。
拡大鏡アイコンをクリックしてクエリを実行します。
[履歴イベントクエリ]ウィンドウで、<Ctrl>キーまたは<Shift>キーを押しながら複数のイベントを選択します。
ウィンドウ内で右クリックし[
]を選択して[New Incident]ウィンドウを表示します。インシデントに「TestIncident1」と名前を付け、[
]をクリックします。成功の通知が表示されたら、[ ]をクリックします。インシデントビューマネージャで作成したインシデントを表示するには、[
]タブをクリックします。インシデントをダブルクリックしてイベントを表示します。
[インシデント]ウィンドウを閉じます。
[
]タブをクリックします。[
]メニューまたはナビゲータから[ ]をクリックします。[Offline Query]ウィンドウで、[
]をクリックします。名前を指定し、フィルタを選択し、期間を選択して[
]をクリックします。[Active Browser]ウィンドウにイベントのリストと関連する詳細を表示するには、[
]をクリックします。コレクタ、ターゲットIP、重大度、ターゲットサービスポート、およびリソースなどの詳細を表示することができます。
[
]タブを選択します。相関ルールマネージャが表示されます。をクリックします。相関ルールウィザードが表示されます。
[
]をクリックします。[Simple Rule]ウィンドウが表示されます。ドロップダウンメニューを使用して、「重大度=4」という条件を設定し、[
]をクリックします。[Update Criteria]ウィンドウが表示されます。[
]を選択し、ドロップダウンメニューを使用して時間範囲を1分に設定し、[ ]をクリックします。[General Description]ウィンドウが表示されます。ルールに「
」と名前を付け、説明を入力し、[ ]をクリックします。[
]を選択し、[ ]をクリックします。作成したルールに関連付けるアクションを作成します。
次のいずれかを実行します。
[Configure Action]ウィンドウが表示されます。
[Configure Action]ウィンドウで、次の内容を指定します。
CorrelatedEventアクションなどのアクション名を指定します。
[
]ドロップダウンリストから[ ]を選択します。[
]を設定します。[
]を5に設定します。[
]に「CorrelatedEvent」などを指定します。必要に応じてメッセージを指定します。
アクションの作成に関する詳細については、『Sentinel Rapid Deployment User Guide』のCreating Actions
を参照してください。
[
]をクリックします。[相関ルールマネージャ]ウィンドウを開きます。
ルールを選択し、[
]リンクをクリックします。[Deploy Rule]ウィンドウが表示されます。[Deploy Rule]ウィンドウで、ルールを展開するエンジンを選択します。
ステップ 33で作成したアクションを選んでルールに関連付け、[ ]をクリックします。
[
]を選択します。相関エンジンの下に、ルールが展開され有効になっていることが表示されます。
認証の失敗などの重大度4のイベントをトリガし、展開された相関ルールを発動します。
たとえば、SentinelControl Centerのログインウィンドウを開き、誤ったユーザの資格情報を入力してイベントを生成します。
[
]タブをクリックし、相関イベントが生成されるかどうかを確認します。Sentinelコントロールセンターを閉じます。
[アプリケーション]ページで、[
]をクリックします。インストール中に指定したデータベース管理者ユーザを使用してSentinelデータマネージャにログインします(デフォルトではdbauser)。
各タブをクリックして、アクセスできることを確認します。
Sentinelデータマネージャを閉じます。
以上の手順をすべてエラーなしで実行したら、Sentinelシステムのインストールの基本的な確認が完了しました。