オフェンスの保存
オフェンスの状態により、IBM® QRadar® がオフェンスをシステムに保持する期間が決まります。 オフェンスの保存期間により、非アクティブなオフェンスおよびクローズされたオフェンスが QRadar コンソールから削除されるまでの保持期間が決まります。
- アクティブなオフェンス
- ルールがオフェンスをトリガーすると、そのオフェンスはアクティブになります。 この状態では、QRadar は新しいイベントまたはフローをオフェンス・ルール・テストに照らして評価するために待機します。 新しいイベントが評価されると、オフェンスのクロックはリセットされ、オフェンスは、さらに 30 分間アクティブなままになります。
- 休止オフェンス
- 新しいイベントおよびフローが 30 分以内にオフェンスに追加されなかった場合、または QRadar が 4 時間以内にイベントを処理しなかった場合、オフェンスは休止状態になります。 オフェンスは、5 日間、休止状態のままになります。 オフェンスが休止状態のときにイベントが追加されると、5 日のカウンターはリセットされます。
- 非アクティブなオフェンス
- オフェンスは、休止状態で 5 日経過すると、非アクティブになります。 非アクティブな場合、新しいイベントはオフェンス・ルール・テストをトリガーしても、非アクティブ・オフェンスに作用しません。 それらのイベントは、新しいオフェンスに追加されます。
非アクティブなオフェンスは、オフェンスの保存期間が過ぎた後に削除されます。
- クローズされたオフェンス
- クローズされたオフェンスは、オフェンスの保存期間が過ぎた後に削除されます。 クローズされたオフェンスに対してさらにイベントが発生した場合は、新しいオフェンスが作成されます。
クローズされたオフェンスが検索に含まれ、かつ QRadar コンソールから削除されていない場合、そのオフェンスは検索結果で表示されます。
デフォルトのオフェンス保存期間は 30 日です。 オフェンスの保存期間が経過すると、クローズされたオフェンスおよび非アクティブなオフェンスは、システムから削除されます。 非アクティブなオフェンスでもクローズされたオフェンスでもないオフェンスは、無期限に保持されます。
重要: システムが多数の非アクティブ・オフェンスおよびクローズされたオフェンスを保持している場合、システム・パフォーマンスは悪影響を受けます。 最適なパフォーマンスを得るためには、保存期間を可能な限り最小に設定してください。 推奨される保存期間は 3 日です。
オフェンスがシステムから除去されないようにするには、オフェンスを保護することができます。 オフェンスを保護する前に、それが持つパフォーマンスへの影響を考慮してください。 一部のオフェンスは、システム・パフォーマンスに他の影響を与えるもの。 例えば、多数のイベントおよびフローを持つオフェンスは、パフォーマンスに大きな影響を与えます。 多くのターゲットおよび宛先を持つオフェンスは、単一のターゲットまたは宛先のみを持つオフェンスよりもパフォーマンスに影響を与えます。
システムからオフェンスが削除された後に再作成する必要がある場合は、ヒストリカル相関ジョブを実行してヒストリカル・データを分析してください。 詳しくは、ヒストリカル相関を参照してください。