アラート監視のセットアップ
アラート監視は、[Configuration -> Inputs] で設定します。 デフォルトでは、アラート監視は設定されていません。
アラート監視入力を追加すると、次の処理が行われます。
- アプリは Recorded Future の API にアクセスし、設定された条件に一致するアラートを探します。
- 一致する Recorded Future アラートがある場合は、これらに関する情報が取得されます。 これらのアラートごとに、Splunkシステムにイベント(sourcetype rf:alerts)が作成されます。 これらのイベントを使用して、Splunkベースのアラートを設定したり、レポートを生成したりできます。
アプリは、アラートを既に取得しているかどうかを追跡しません。 アラートがフィルター条件に一致する限り、イベントが作成されます。
アラート監視を追加する
-
緑色の「Create New Input」をクリックし、「Recorded Future alerts」を選択します。
- 「名前」はリスク・リスト・ハンドルです。
- この間隔は、Splunkがアラートをポーリングする頻度を制御します。 デフォルトは300秒ごとですが、これは会社の要件に応じて調整できます。 間隔を短くすると多くのAPIクレジットが消費される可能性がありますが、間隔を長くすると、Recorded FutureアラートがトリガーされてからSplunkで使用可能になるまでに遅延が生じる可能性があります。
- Index は、rf:alerts イベントのインデックスを作成するインデックスを制御します。 正しいロールの割り当てを持つインデックスを選択してください - 不明な場合は main/default のままにします。
- アラートの状態。 既定では、フィルターはすべてのアラート ステータスと一致しますが、これは必要に応じて構成できます。
-
トリガー済み: アラートがトリガーされた日時でフィルター処理します。 既定値は [anytime] です。 表記は、Recorded Future Web クライアントと同じです。 旧:
- 「-2Dから現在まで」
- 「-2hから-1h」
- 「イエステデイ」
- アラート ルール。 既定では、すべてのアラート ルールが一致しますが、必要に応じて特定のルールを指定できます。
アラート監視の維持
設定済みの入力のリスト([Configuration -> Inputs])には、各入力のドロップダウンメニューがあります。
「編集」を使用して、アラート監視を再構成します。 監視を無効にするには、「無効にする」を使用して、同じドロップダウンメニューでいつでも再度有効にすることができます。