このトピックでは、[設定]タブの機能について説明します。[設定]タブには、自動モニタリング(ベースライン アラート)のオプションが表示されます。
注:自動アラートとその設定は現在ベータ テスト中です。
自動アラートについて
イベント ソース グループのポリシーおよび閾値を設定できます。これにより、イベント ソースが閾値の条件を満足しなくなった時に通知を受信することができます。Security Analyticsには、アラームを生成する閾値を設定しない場合でも、自動的にアラームを受信する方法が用意されています。
自動アラートをトリガーするには、ベースライン値を使用します。この方法では、アラームを受信するために多数のグループに閾値とポリシーを設定する必要はありません。構成(ただし、自動アラートの有効化を除く)を行わなくても、通常と異なるメッセージ量によりアラートがトリガーされます。
次の点に注意してください。
- イベント ソースからのメッセージ収集を開始してから、そのイベント ソースのベースライン値を計算するのにおよそ1週間かかります。この初期期間の後、一定期間に収集するメッセージ数がベースラインを一定量上回るまたは下回ると、アラートが発生します。デフォルトでは、この量は、ベースラインからの上限および下限の標準偏差として指定します。
- 上限および下限の偏差設定は、イベント ソースがどの程度「定期的」に動作するかに基づきます。つまり、特定の時間(例えば、平日の午前8~9時など)によって、収集するメッセージ数にほとんどあるいはまったく差がないのであれば、偏差の値を小さく設定できます。反対に、ピークと谷間が頻繁に発生するのであれば、偏差の値を大きく設定します。
- ポリシーを有効化していれば、そのポリシーに閾値が設定されていなくても、自動アラート機能を有効にしている限り、自動(ベースライン)アラームの通知を受信できます。
このタブにアクセスするには、Security Analyticsメニューで、[Administration]>[イベント ソース]>[設定]を選択します。
このタブに関連する手順については、次のトピックを参照してください:自動アラートの構成.
機能
[設定]タブには、次の機能が含まれています。
| 機能 | 説明 |
|---|---|
| 自動モニタリングを有効化 | 自動アラートを有効にするかどうかを指定します。デフォルトでは、このオプションは選択されています(自動アラート機能がオン)。 |
| 自動モニタリングの通知を有効化 | 自動アラートの通知を有効にするかどうかを指定します。デフォルトでは、このオプションは無効です(自動アラートがトリガーされても、自動通知は送信されません)。 |
| 下限の標準偏差 | この標準偏差を下回ると、アラートを受信します。デフォルトは2.0(95%の信頼性)です。 |
| 上限の標準偏差 | この標準偏差を上回ると、アラートを受信します。デフォルトは2.0(95%の信頼性)です。 |
| 集計データの保存を有効化 | このオプションを選択すると、イベント ソースの1時間ごとのメッセージ件数が保存されます。保存されたデータは、各イベント ソースのベースライン値を計算するために使用されます。
|
| 集計データ保存間隔(日単位) | 各イベント ソースに対して維持する履歴データ(「集計データの保存を有効化」を参照)の量を制御します。デフォルト値の120日は、各イベント ソースのベースラインを再構築する時に、約4か月分の履歴データが維持されていることを意味します。 |
| 分析情報の生成を有効化 | 有効な場合、自動アラートの動作に関するデータがディスクに保存されます。デフォルトは、有効です。 保存されるデータには、各イベント ソースのベースライン値とアラート履歴が含まれます。ただし、イベント ソースのアドレスとタイプは匿名化されるため、イベント取得率に関する情報のみが明らかになります。 自動アラート機能はベータ機能であるため、このデータは機能の有効性を測定するうえで重要です。分析情報の生成は、自動アラート機能に影響を与えることなく無効化できます。 |
| リセット | このオプションは、ページ上のすべての設定の未保存の変更を破棄します。 |
| 適用 | [適用]をクリックして、このページの値に対する変更を保存します。 |
