このトピックでは、ベースラインに基づいた自動アラートについて説明します。
注:自動アラート、およびその動作を決定するすべてのパラメータは現在ベータ テスト中です。
イベント ソース グループのポリシーおよび閾値を設定できます。これにより、イベント ソースが閾値の条件を満足しなくなった時に通知を受信することができます。Security Analyticsには、アラームを生成する閾値を設定しない場合でも、自動的にアラームを受信する方法が用意されています。
自動アラートをトリガーするには、ベースライン値を使用します。この方法では、アラームを受信するために多数のグループに閾値とポリシーを設定する必要はありません。構成(ただし、自動アラートの有効化を除く)を行わなくても、通常と異なるメッセージ量によりアラートがトリガーされます。
次の点に注意してください。
- イベント ソースからのメッセージ収集を開始してから、そのイベント ソースのベースライン値を計算するのにおよそ1週間かかります。この初期期間の後、一定期間に収集するメッセージ数がベースラインを一定量上回るまたは下回ると、アラートが発生します。デフォルトでは、この量は、ベースラインからの上限および下限の標準偏差として指定します。
- 上限および下限の偏差設定は、イベント ソースがどの程度「定期的」に動作するかに基づきます。つまり、特定の時間(例えば、平日の午前8~9時など)によって、収集するメッセージ数にほとんどあるいはまったく差がないのであれば、偏差の値を小さく設定できます。反対に、ピークと谷間が頻繁に発生するのであれば、偏差の値を大きく設定します。
- ポリシーを有効化していれば、そのポリシーに閾値が設定されていなくても、自動アラート機能を有効にしている限り、自動(ベースライン)アラームの通知を受信できます。
