無視の自動化の作成
無視の自動化は、モニタリングシステムからの無関係なアラートや誤検出アラートを無視するプロセスを簡素化し、不要な通知をフィルタリングしてアラートによる疲弊を効率的に管理します。そうすることで、チームが重要な問題に集中できるようにします。
始める前に
必要なロール:evt_mgmt_admin、evt_team_operator、または srm_responder
このタスクについて
無視の自動化は、特定の条件に一致するソースモニタリングシステムからのアラートを除外します。それとは別に、イベント管理は、メッセージキーフィールドが重複しているアラートや、重大度が [クリア] のアラートを無視します。
従来のイベント管理エクスペリエンスに慣れているユーザー向けに、無視の自動化では、よりシンプルなインターフェイスが採用され、イベントルールのイベントフィルターセクションに関するチームサポートが強化されています。
注:
アラートを拡張する前に無視することで、パフォーマンスが向上し、処理フローが簡素化されます。無視の自動化の条件フィルターは、元のイベントにのみ適用され、拡張されたイベントには適用されません。拡張自動化は、[その他の拡張アラートの自動化を実行しない (Don't run other enrich alert automations)] が false に設定され、同じソースに適用されて、順序が低く、フィルター条件に一致する場合、無視の自動化が実行されないようにすることができます。競合を避けるために、拡張やイベントルールを作成するときは、この点を考慮することをお勧めします。
手順
次のタスク
「拡張自動化の作成」で作成することで、生のイベントをわかりやすい形式に変換できます。