拒否リスト通知
38750136 -The Asset Reconciliation Exclusion rules added new asset data to the asset blocklists.
説明
IP アドレス、ホスト名、MAC アドレスなどの 1 つのアセット・データが、アセットの増加状況の逸脱にあたる振る舞いを示しています。
アセットの拒否リスト とは、アセット調整除外のカスタム・エンジン・ルールによって信用できないとみなされたアセット・データのコレクションです。 ルールは、アセット・データの整合性および保全性をモニターします。 1 つのアセット・データが疑わしい振る舞いを 2 時間以内に 2 回以上示した場合、そのデータはアセットの拒否リストに追加されます。 不許可リストに登録されたアセット・データを含む後続の更新は、アセット・データベースに適用されません。
ユーザーの対応
- 通知の説明で、「アセット調整除外ルール」をクリックして、アセット・データのモニターに使用されているルールを表示します。
- 通知の説明で、「ログ・ソースによってアセットの逸脱を確認」をクリックして、過去 24 時間に発生したアセットの逸脱レポートを表示します。
- 拒否リストへのデータ追加の頻度が高すぎる場合は、ブラックリストにデータを追加するアセット調整除外ルールをチューニングできます。
- 該当のアセット・データをアセット・データベースに追加する場合は、拒否リストからそのアセット・データを削除して、対応するアセットの許可リストに追加します。 許可リストにアセット・データを追加すると、それらのデータが拒否リストに誤って再び追加されることがなくなります。
- アセット・データの更新 (https://www.ibm.com/docs/en/SS42VS_latest/com.ibm.qradar.doc/c_qradar_ug_asset_reconciliation.html) を確認します。