構成設定

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • このオプションを使用して、IBM QRadar 取り込み統合のデフォルトのシステムプロパティを変更します。

    システムプロパティを変更するには、 sn_si.admin ロールを持つユーザーとしてログインし、 IBM QRadar 統合 > IBM QRadar 統合設定.

    表 : 1. IBM QRadar 統合設定
    プロパティ名 説明
    24 時間内に作成できるセキュリティインシデント数の制限を強制します。

    sn_sec_qradar.max_si_per_day
    24 時間内に作成できるセキュリティインシデントの最大数を指定します。
    • タイプ:整数
    • デフォルト値:1000
    単一のインシデントに集計できる違反数の制限を強制します。

    sn_sec_qradar.max_aggregation_per_si
    セキュリティインシデントの違反集計制限。たとえば、102 件の違反がある場合、最初の 100 件は security incident_1 に集計され、残りの 2 件は security incident_2 に集計されます。
    • タイプ:整数
    • デフォルト値:100
    このプロパティは、AQL の期間を設定し、特定の違反について最新のイベント/フローをフェッチします。

    sn_sec_qradar.on_demand_recent_days_limit
    特定の違反について最新のイベントまたはフローをフェッチする日数を指定します。
    • タイプ:整数
    • デフォルト値:7
    このプロパティは、特定の違反について取得された最近のイベントの数を制限します。

    sn_sec_qradar.on_demand_event_limit
    違反に対して取得されるイベントの数を指定します。イベントのタイムスタンプに基づいて、最新のイベントが最初に取得されます。
    • タイプ:整数
    • デフォルト値:100
    このプロパティは、特定の違反についてフェッチされた最近のフローの数を制限します。

    sn_sec_qradar.on_demand_flow_limit
    違反に対して取得されるフローの数を指定します。フローのタイムスタンプに基づいて、最新のフローが最初に取得されます。
    • タイプ:整数
    • デフォルト値:100
    このプロパティは、特定の違反について最近のフロー/イベントをフェッチする AQL のタイムアウト値 (秒) を設定します。

    sn_sec_qradar.on_demand_timeout
    • タイプ:整数
    • デフォルト値:300
    違反の AQL をポーリングするための、キューにあるレコードの検索 ID のタイムアウト (秒)。

    sn_sec_qradar.sid_ttl
    セキュリティインシデントを作成する前のキュー内の違反に対する AQL のタイムアウト。たとえば、90 件の違反がある場合、最初のバッチの AQL データに対して最初の 50 件の違反が処理され、残りの 40 件の違反は同じポーリング間隔で処理されます。
    • タイプ:整数
    • デフォルト値:300

    スケジュールされた統合でトリガーされたときに IBM QRadar で実行できる検索の数を制御するしきい値。

    job.sn_sec_qradar.records_threshold_in_que_for_aql
    ポーリング間隔で単一のバッチでフェッチする違反の数を指定します。
    • タイプ:整数
    • デフォルト値:50

    これは、統合テーブルがクリーンアップされる日数です。

    sn_sec_qradar.queue_item_expire
    以下は統合テーブルです。
    • sn_sec_qradar_events - IBM QRadar イベント
    • sn_sec_qradar_flows - IBM QRadar フロー
    • sn_sec_qradar_offense_updates - IBM QRadar 違反の更新
    • sn_sec_qradar_offense_to_task - タスクに対する IBM QRadar 違反
    • タイプ:整数
    • デフォルト値:30

    1 回限りの取得または進行中の取り込みのいずれかにおける、各プロファイルでのスケジュール済みジョブ実行ごとの違反制限。

    sn_sec_qradar.max_offense_limit_per_run
    1 回の取得で ServiceNow AI Platform にフェッチする違反の数を指定します。
    • タイプ:整数
    • デフォルト値:1000

    違反の更新機能をアクティブ化するには、このプロパティを設定します。

    sn_sec_qradar.get_offense_updates
    注:
    この設定を有効にすると、セキュリティインシデントの作成が遅れる可能性があります。
    • タイプ:true | false
    • デフォルト値:false
    QRadar からの違反のフェッチ中に重複間隔の追加を有効にします。

    sn_sec_qradar.allow_overlapping

    		 IBM QRadarから違反を取得するときに重複する期間の使用を有効にするオプション。

    有効にすると、タイミングの遅延や取り込みのレイテンシーが原因で違反が見逃されることがないように、連続するポーリング間隔間にわずかなオーバーラップが組み込まれます。

    • タイプ:true | false
    • デフォルト値:false
    ログ記録レベル:デバッグ、情報、警告、エラー。

    sn_sec_qradar.logging.verbosity

    		 QRadar 統合のログ記録の詳細度レベル。

    サポートされている値には、debug、info、warn、error があります。

    • タイプ:文字
    • デフォルト値:debug
    重複間隔として追加される時間 (分)。

    sn_sec_qradar.overlapping_time

    		 IBM QRadarから違反を取得するときに重複間隔として追加される分数。
    • タイプ:整数
    • デフォルト値:30
    1 つのセルに含まれるルールの数。

    sn_sec_qradar.rules_batch_size

    		 違反ポーリング中に IBM QRadar するために、単一の要求でグループ化して送信する相関ルールの最大数を指定します。

    この設定は、バッチ処理の動作とパフォーマンスを制御するのに役立ちます。値を小さくすると、ペイロードが小さくなる API コールが多くなり、値を大きくすると API コールの数が減り、各要求のサイズが大きくなります。

    QRadar のパフォーマンスと API の制限に基づいて、この値を調整します。

    • タイプ:整数
    • デフォルト値:50
    ADE ルールをフェッチ

    sn_sec_qradar.fetch_ade_rules

    		 [ IBM QRadar ルール] リストで ADE ルールを取り込むオプション。

    [ADE ルールをフェッチ] では、 IBM QRadar で作成された例外ルールがフェッチされます。

    • タイプ:true | false
    • デフォルト値:false

    変更した統合設定は、プロファイルで定義されている次のポーリング間隔で適用されます。