Question & Answer
Question
QRadar のオフェンスはいつまでアクティブになっているでしょうか?
Answer
Qradar のオフェンス
QRadar のオフェンスは、クローズまたは非アクティブでない場合、無期限に保持することができます。
最初のオフェンス・ルールが開始されると、そのオフェンスは QRadar でアクティブとしてマークされます。 QRadar は、10 分ごとに新しいイベントがオフェンスに追加されたかどうかを確認します。この状態は、オフェンスの新しいイベントまたはフローがオフェンス・ルール・テストでヒットするのを待っています。新しいイベントが検出された場合はオフェンス・クロックがリセットされ、オフェンスが 30 分間アクティブとして維持されます。30 分後に新しいイベントまたはフローが発生した場合、QRadar はオフェンスに休止状態のマークをします。また、イベントは 4 時間後に処理されていなくとも、オフェンスに休止状態のマークをすることができます。
オフェンスの保存
QRadar の休止期間は、5 日間続きます。 5 日間が経過すると、オフェンスは非アクティブとしてマークされます。オフェンス・ルール・テストをトリガーとする新規イベントは、非アクティブ・オフェンスに影響しません。オフェンス・モデルは 5 日以内に各日付をチェックして、どのオフェンスがまだ休止しており、どのオフェンスが非アクティブであるかを判別します。休止時間中にイベントが受信されると、休止時間は 0 にリセットされます。オフェンスが非アクティブになるためには、イベントまたはルール・テストがトリガーされないよう、更に 5 日間待つ必要があります。
メモ: デフォルトでは、システムは 2,500 のオープン (アクティブ) オフェンスおよび 100,000 の(非アクティブ) オフェンスを許可します。
これらの値に達すると、管理者に対してクローズ可能なオフェンスまたはルールを調整して QRadar で生成されるオフェンス総数を減らすためのルールを検討する必要があることを通知するために、システム通知が生成されます。デフォルトでは、システムは 2 時間ごとに全ての非アクティブ・オフェンスを 0.05 % 排除します。
オフェンスの保守
オフェンスを手動または判定機能によりクローズされると、そのオフェンスは非アクティブとなり、オフェンスの保存期間の設定が適用されます。オフェンスの保存期間によって、非アクティブ・オフェンスの保存期間が決定され、この間はコンソールから排除されます。
管理者は、「管理」タブ > 「拡張」 > 「 SIM モデルのクリーンアップ」からオフェンスを管理できます:
- Soft Clean - このオプションは、すべてのオフェンスをクローズしますが、QRadar からは削除しません。
- Hard Clean - このオプションは、システムから全てのオフェンスをクローズおよび削除します。QRadar サポートからのアドバイスがない限り、SIM モデルのハード・クリーニングは推奨されていません。
Related information
Related Information
Was this topic helpful?
Document Information
Modified date:
08 April 2020
UID
ibm10730003