IBM Support

QRadar : ルーティング・ルール・オプションの優先順位は何ですか

Question & Answer


Question

ルーティング・ルール・オプションの優先順位は何ですか。

Answer

ルーティング・ルールは、ユーザーがイベントに対してさまざまなアクションを実行できるようにする機能です。ルーティング・ルールのメニューにアクセスするには、次の手順に従います。
  1. ナビゲーション・メニューで、「管理 ( Admin )」をクリックします。
    admin
  2. システム構成 ( System Configuration )」セクションで、「ルーティング・ルール ( Routing Rules )」をクリックします。
    routingrule
ルーティング・ルールの作成方法の詳細については、次の記事を参照してください。
Configuring routing rules to forward data
ルーティング・ルールには、イベントに対して使用するアクション・オプションが 4 つあります。
options
各オプションと可能な組み合わせの詳細については、次の記事を参照してください。
ルーティング・ルール・オプションには階層があり、優先順位の高いルールが、同じイベントを対象とする他のルールを上書きします。優先順位は、高いものから順に次のようになります。
  1. 転送 (Forward) + 相関をバイパス( Bypass Correlation ) : データは指定された転送先に転送されます。 データはデータベースにも保管されますが、カスタム・ルール・エンジン ( CRE ) によって処理されません。
  2. 転送 ( Forward ) + ログのみ ( Log Only ) : イベントは、指定された転送先に転送されます。 イベントはローカル QRadar データベースに「ログのみ」として保管され、フラグが立てられます。カスタム・ルール・エンジン ( CRE ) はバイパスされます。
  3. 転送 ( Forward ) : データは指定された転送先に転送されます。 また、データはデータベースに保管され、カスタム・ルール・エンジン ( CRE ) によって処理されます。
  4. 転送 ( Forward ) + 除去 ( Drop ): データは指定された転送先に転送されます。 データはデータベースに保管されず、カスタム・ルール・エンジン ( CRE ) によって処理されません。
  5. 相関をバイパス ( Bypass Correlation ) : データはカスタム・ルール・エンジン ( CRE ) をバイパスしますが、データベースに保管されます。
  6. ログのみ ( Log Only ) : イベントは、「ログのみ」としてデータベースに保管され、フラグが立てられ、カスタム・ルール・エンジン ( CRE ) をバイパスします。 これらのイベントは、ヒストリカル相関には使用できず、ライセンスに 100% 戻されます。
  7. 除去 ( Drop ) : データはデータベースに保管されず、カスタム・ルール・エンジン ( CRE ) によって処理されません。 ドロップされたイベントは、ライセンスに 100% 戻されます。

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"},{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSKMKU","label":"IBM QRadar on Cloud"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
21 December 2022

UID

ibm16849081

Page Feedback