LogRhythm アラームのスケジュールおよび取得

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:3分

    • 選択してマッピングした LogRhythm アラームを使用してセキュリティインシデントをプレビューしたら、アラームの取得をスケジュールする準備は完了です。このステップを完了すると、アラームプロファイルをアクティブにする準備ができます。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    スケジューリングでは、取得するのに選択したアラームのスケジュールとタイプを変更できます。取り込むアラームは、日付範囲または特定のアラーム ID に基づいてフィルタリングします。このステップでは、履歴アラームを取り込むかどうか、およびアラームプロファイル構成に一致する将来のアラームをポーリングする頻度を指定します。

    手順

    1. 進捗状況バーの [スケジューリング] ステップをクリックします。
      進捗状況バーでハイライト表示された [スケジューリング]。
    2. 次のオプションから選択して、アラームの取得を設定します。
      オプション説明
      アラームの増分取得を有効にする デフォルトはオンです。増分アラームを取得するには、このオプションをオンにします。
      ポーリング間隔 (分)

      Now Platform インスタンスは、LogRhythm クライアントコンソールから 1 分ごとに新しいアラームをプルします。マッピングされたアラームが検出され、フィルタリング条件が一致すると、セキュリティインシデントが作成されます。

      この設定は変更できますが、デフォルト設定では、サーバーの負荷に対するアラームの取り込みが調整され、最新のデータが取得されます。
      次のアラーム取り込み時刻 (推定) 現在のアラームプロファイルに対して次にスケジュールされた取り込みがいつ発生するかを表示します。これは推定時間です。
      履歴アラームの取得を有効にする デフォルトはクリアされています。履歴データはプルされません。
      選択すると、次のフィールドが表示されます。いずれかを選択して、日付またはアラーム ID による取得を設定します。
      プル開始日を有効にする
      デフォルトはクリアされています。プルする日付を有効にするには、このオプションをオンにします。
      プル開始日
      デフォルトはクリアされています。プル開始日を設定するには、このオプションをオンにします。カレンダーアイコンをクリックして日付と時刻を入力します。アラームは、入力した日時から現在の日付までプルされます。
      特定のアラームのアラーム ID を取り込む (Ingest specific alarm Alarm ID(s))
      デフォルトはクリアされています。特定のアラームのアラーム ID を取り込むには、このオプションをオンにします。
      AlarmID
      特定のアラーム ID を入力します。指定されたアラームをプルし、複数のアラーム ID をカンマで区切って入力できます。
      注:
      履歴アラームの 1 回限りのプルが完了すると、このチェックボックスはオフになります。別の履歴アラームの 1 回限りのプルを実行する場合は、その前にこのチェックボックスを再度オンにする必要があります。
    3. 履歴アラームの取得を編集するには、次のステップに従ってアラームの取得日または特定のアラーム ID を入力します。
      1. [プル開始日を有効にする] をオンにし、[プル開始日] を選択します。
      2. [プル開始日] フィールドで、表示されるカレンダーをクリックし、日付を選択してから緑色のチェックマークを選択したら、エントリを保存します。
        タスク:カレンダーで日付を選択し、緑色のチェックマークを選択して保存する。
        日付が表示されます。
      3. または、[特定のアラーム ID を取り込む (Ingest specific Alarm ID(s))] オプションを選択し、[AlarmID] フィールドに履歴データの特定のアラーム ID を入力して特定のアラーム ID を取得します。

        最大 5 つのアラームをカンマで区切って入力できます。

      4. [更新] をクリックします。
    4. 次のいずれかのオプションを選択して編集を続行するか、設定を完了します。
      オプション説明
      更新 データを保存してフォームに留まります。
      他のオプション (進捗状況バー) [他のオプション] ステップに移動します。
      前へ [プレビュー] ステップに戻ります。
      削除 このアラームプロファイルを削除すると、[アラームプロファイル] リストが表示されます。

    次のタスク

    [継続的なアラームの取り込み] と [1 回限りの取得] の詳細を設定したら、次のステップは「LogRhythm アラームの他のオプション」です。