ArcSight ESM イベントの取り込み統合のスケジュール作成
- 更新日2025年1月30日
- 所要時間:5 分
- Yokohama
- "セキュリティインシデントレスポンス統合"
新しい相関イベントのポーリングまたはプルのスケジュールを定義できます。このステップでは、必要に応じて、相関イベント取得の既存設定を確認したり、スケジュールを変更したりすることができます。このステップでは、日付範囲を使用して履歴相関イベントを取得することもできます。
始める前に
必要なロール:sn_si.admin
このタスクについて
[スケジュール] ステップで履歴相関イベントを取り込むかどうかを選択できます。また、プロファイル構成に一致する将来の新しい相関イベントをポーリングする頻度も選択します。
sn_si.admin ロールを持つユーザーは、これらのポーリング間隔をプロファイルごとに設定します。ArcSight ESM 相関イベントの取り込み統合のパフォーマンスは、ポーリング間隔が異なると影響を受けます。スケジューリングでは、ArcSight ESM サーバーのポーリングのオーバーヘッドを減らすことと、イベントが作成または更新されたときにできるだけ早く通知することのバランスを取ることをお勧めします。どのプロファイルにも 5 分のデフォルト値が設定されていますが、必要に応じてこの設定を 1 分に変更することもできます。
新規および更新された相関イベントのプル
手順
-
<ArcSight> コンソールから相関イベントをプルする方法とタイミングをスケジュールするものを選択します。
オプション 説明 - [進行中のイベントの取り込み] フィールドを選択
- [1 回限りの取得] フィールドをクリア
進行中のイベント デフォルト設定に基づいて、Now Platform インスタンスは ArcSight ESM サーバーから新しい相関イベントを 5 分ごとにプルします。相関イベントが検出され、インシデント生成のフィルタリング条件が一致すると、セキュリティインシデントが作成されます。最新のデータを取得するための取り込みポーリングのオーバーヘッドのバランスを取るため、デフォルト設定は 5 分です。ただし、この値は必要に応じて 1 分程度に変更できます。
- [進行中のイベントの取り込み] フィールドをクリア
- [1 回限りの取得] フィールドを選択
1 回限りの取得 1 回限りのプルで履歴相関イベントを取り込む場合は、この構成を使用します。
この設定を構成すると、日付範囲に基づく履歴イベントから相関イベントを取得するためにプロファイルが 1 回使用されます。[開始日] フィールドの右側にあるカレンダーアイコンをクリックします。表示されるカレンダーで、アラートのプルを開始する日付を選択します。[開始日] の値から、現在の日付までの相関イベントが取得されます。
現在の日付から 7 日間さかのぼってイベントを取得できることに注意してください。この機能は、アーカイブ上の理由により大量の履歴イベントを取得することを意図したものではなく、プロファイルをアクティブ化する時にアクティブに作業されている最小限の実行中のイベントを取得します。
相関イベントがプルされた後、この設定では、現在の日付以降はこのプロファイルの相関イベントが取得されません。この設定により、入力した範囲で検出されたすべての相関イベントがセキュリティインシデントに入力されます。
初期相関イベントの取り込み時刻をスケジュールする例として、現地時間の午前 4 時に 1 日 1 回実行される日次 ArcSight ESM セキュリティチェックがある場合、Now Platform インスタンスで対応する相関イベントプロファイルを現地時間午前 4 時 5 分に実行するように設定して、セキュリティ障害イベントをすぐにキャプチャし、セキュリティインシデントを作成できます。[初期イベントの取り込み] フィールドに「04 05 00」と入力します。[インクリメント (分)] フィールドに「1440 (24 時間)」と入力して、最初のイベントの取り込みから 24 時間後に次のイベントの取り込みをスケジュールします。初期イベントの取り込み時刻と次のイベントの取り込み時刻の両方がフィールドに表示されます。