Respondの構成:一致したアラートとインシデントのカウンターの設定

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

この手順はオプションです。管理者は、この手順を使用して、一致したアラートのカウントが0にリセットされるタイミングを変更できます。[統合ルール]タブの右側の列に、これらのカウントが表示されます。

[統合ルール]タブ

これらの列には、ルール関する次の情報が示されています。 

  • 前回の一致]列には、前回ルールと一致したアラートの時刻が表示されます。
  • 一致したアラート]列には、ルールと一致したアラートの数が表示されます。
  • インシデント]列には、ルールによって作成されたインシデントの数が表示されます。

デフォルトでは、これらの値は7日ごとにゼロにリセットされます。このデフォルトの日数は、カウントを継続したい期間に応じて変更できます。

注:カウンターをゼロにリセットしても、3列の数値がゼロに変更されるだけです。アラートまたはインシデントは削除されません。

一致したアラートとインシデントのカウンターを設定するには、次の手順を実行します。

  1. [管理]>[サービス]に移動してRespond Serverサービスを選択し、[アクション]アイコン >[表示]>[エクスプローラ]を選択します。
  2. [エクスプローラ]ビューのノード リストで、[respond/alertrule]を選択します。
    respond/alertruleとcounter-reset-interval-daysが表示されているRespondサーバの[[エクスプローラ]ビュー
  3. 右側のパネルで、[counter-reset-interval-days]フィールドに日数を入力します。
  4. 新しい設定が反映されるようにRespond Serverサービスを再起動します。再起動するには[管理]>[サービス]に移動し、Respond Serverサービスを選択してから、[アクション]アイコン再起動]を選択します。

You are here
Table of Contents > Respondの構成のための追加の手順 > 一致したアラートとインシデントのカウンターの設定

Attachments

    Outcomes