White Papers

Table Of Contents

メモ: これは、HTTPS 接続にする必要があります。

メモ: サーバー example.server.com は信頼済みである必要があります。ホスト名が一致し、信頼チェーンが信頼済みであ

り、日付が有効である必要があります。

"RootCertificate"="ExampleCertificate"

SIEM ソリューションにデータを転送する設定

多くの場合、SIEM ソリューションでは、データソースを使用するユーティリティーが必要になります。Splunk ユニバーサルフォ

ワーダーは、インストール中またはインストール後に Event Repository で使用するように設定できる軽量転送ソリューションです。

次の例では、Event Repository から Splunk SIEM インスタンスにデータをプッシュするために、Splunk ユニバーサルフォワーダー

のインストール参照と設定参照を提供しています。

Event Repository がインストールされた環境に応じて、ユニバーサルフォワーダーをインストールする場合、次の記事のいずれか

に従います。

● Windows にユニバーサルフォワーダーをインストールする場合は、この Splunk の記事を参照してください。

● Linux、Solaris、macOS、FreeBSD、AIX にユニバーサルフォワーダーをインストールする場合は、この Splunk の記事を参照し

てください。

インストール後、Event Repository で使用するためにユニバーサルフォワーダーを設定する場合は、この Splunk の記事を参照して

ください。

Docker をインストールして、前提条件に従って設定したら、「Event Repository の実行」に進みます。

Event Repository イメージのダウンロード

次のワークフローに従って、Event Repository イメージをダウンロードします。

1. ターゲットコンピューターに Docker がインストールされ、実行中であることを確認します。

2. https://hub.docker.com/r/dellemc/dtd-event-repository に移動し、Docker 認証情報を使用してサインインします。

3. dtd-event-repository イメージをダウンロードします。

4. dtd-event-repository イメージのダウンロード場所に移動し、PowerShell またはターミナルアプリケーションを開きます。

5. 次のコマンドを入力して、Event Repository をインストールします。

docker pull dellemc/dtd-event-repository

接続が切断された環境

切断モードで SIEM ソリューションを設定した場合、次の記事を参照してください。

● 後で使用するために Docker イメージを保存する手順については、この Docker の記事を参照してください。

● 以前に保存した Docker イメージをロードする手順については、この Docker の記事を参照してください。

Event Repository の実行

Docker イメージをダウンロードした後、エージェントから取得したデータの照合を開始するには、Event Repository を初期化する

必要があります。Docker 実行コマンドの詳細については、この Docker の記事を参照してください。次の表では、Event Repository

コンテナーの設定に必要とされる Docker ベース変数について詳しく説明します。

変数意味

-d デタッチモードで Docker コンテナーを実行します。

dellemc/dtd-event-repository

当該コンテナーに使用するコンテナーイメージを定義します。

メモ: 特定バージョンの Event Repository イメージが必要な

場合は、このコマンドに:<バージョン番号>を追加します。

例：dellemc/dtd-event-repository:1.0.2.0

-it Docker コンテナーに接続した状態で、対話形式のコマンドライ

ンセッションを開始します。

30 統合