インシデント管理の構成:一致したアラートとインシデントのカウンターの設定

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

この手順はオプションです。管理者は、この手順を使用して、一致したアラートのカウントが0にリセットされるタイミングを変更できます。[統合ルール]タブの右側の列に、これらのカウントが表示されます。

matched_col.png

これらの列には、ルール関する次の情報が示されています。 

  • 前回の一致]列には、前回ルールと一致したアラートの時刻が表示されます。
  • 一致したアラート]列には、ルールと一致したアラートの数が表示されます。
  • インシデント]列には、ルールによって作成されたインシデントの数が表示されます。

デフォルトでは、これらの値は7日ごとにゼロにリセットされます。このデフォルトの日数は、カウントを継続したい期間に応じて変更できます。

注:カウンターをゼロにリセットしても、3列の数値がゼロに変更されるだけです。アラートまたはインシデントは削除されません。

一致したアラートとインシデントのカウンターを設定するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Incident Managementサービスを選択し、ic-actns.png>[表示]>[エクスプローラ]を選択します。
  3. [エクスプローラ]ビューの左側のパネルで、[Service]>[Configuration]>[ruleEngine]を選択します。
    counter_reset.png
  4. 右側のパネルで、[CounterResetInDays]フィールドに日数を入力します。
  5. 新しい設定が反映されるようにサービスを再起動します。 

    1. サービス]を選択します。
    2. サービスを選択し、ic-actns.png>[再起動]をクリックします。
You are here
Table of Contents > 一致したアラートとインシデントのカウンターの設定

Attachments

    Outcomes