Wikis - Page

ESM のルール アクション On Time Window Expiration (タイムウィンドウの有効期限)および On Time Unit(時間単位) の使い方

1 Likes

ESM のルール アクションである On Time Window Expiration (タイムウィンドウの有効期限)を

アクティブにしたが相関イベントが作成されないとのお問い合わせをいただきました。

ドキュメントの記載が分かりにくく誠に申し訳ございませんが、On Time Window Expiration (タイムウィンドウの有効期限)は

単独でご利用いただくものではなく、他の閾値系(「最初の閾値」など)のアクションと一緒にご利用いただくものとなっています。

添付は On Time Window Expiration (タイムウィンドウの有効期限)および On Time Unit(時間単位)の

動作確認の簡単なテストを実施した結果となります。

1.On Time Window Expiration (タイムウィンドウの有効期限)の使い方例

PDF

2.On Time Unit(時間単位)の使い方例

PDF

ご参考になれば幸いです。

Labels:

Support Tips/Knowledge Docs
Comment List
Parents
  • [時間単位](On Time Unit)アクションについて、追加のご質問をいただきましたので
    次の様なご説明用の図を作成してみました。

    PDF


    1.ルールの動作がおかしい
    [時間単位](On Time Unit)アクションの場合一致数を2以上にしていただく必要があります。

    ArcSight Console User Guideに次のように記載されています。
    ---------------------------------------------------------------------------------------
    ArcSight Console User Guide
    www.microfocus.com/.../

    Notes:
    With On Time Unit (OTU), the minimum threshold value you must set is 2.
    ---------------------------------------------------------------------------------------


    2.1分に1回のペースで相関イベントが作成されている

    恐らく[時間単位]のトリガ条件がデフォルトのままなのではないかと推測いたします。
    もしそうでしたら次のようにしてご変更いただけます。

    ----------------------------------------------------
    時間単位[アクティブ]を選択
    時間単位[アクティブ]を右クリックし”編集”を選択
    トリガ条件:時間単位 発生間隔を5分にしていただく。
    (デフォルトでは1分になっています)
    ----------------------------------------------------


    3.ベースイベントが何も紐づいていないイベントが作成される

    図の④の場合、5分間に2つのベースイベントのみの場合は
    On First Threshold に2つのベースイベントが紐づき、
    ベースイベントが紐づかないOn Time Unitが生成されています。


    4.相関イベントの発生が必ずしも5分間隔でない

    ③と④の間のように5分以上空く場合など5分毎には作成されません。
    また、④と⑤の間でベースイベントが5分以上経った場合には
    直前の④のOn Time Unitと⑤のOn First Thresholdの発生間隔が
    5分以内になることもあるかと思います。


    5.5分間に1回しかベースイベントがない場合、発報しない

    現在のルールの仕様(一致数:2)では、5分間で1回しかイベントがなかった場合、検知されません。

    推奨としましては一致数”1”でアクションが”最初のイベント”のもう一つルールを作成されてはいかがでしょうか。
    このルールが発報した場合、既存のルールと紐づけられるベースイベントが重複してしまいますが、
    検知されないということはなくなると考えます。

    例としては次の様な手順となります。
    1. コンソールで既存のルールを適当なフォルダにドラッグ&ドロップ
    2. 「このリソースをコピーしますか?」で「はい」を選択
    3. 既存のルール名の最後に「のコピー」が付いたルールが作成されます
    4. 新しく作成されたルールを右クリックし「ルールの編集」を選択
    5. 「調査/編集」で「アグリゲーション」タブの一致数を1にする
    6. 「アクション」タブで「最初のイベント」のトリガを有効とする
    7. また、「最初の閾値」および「時間単位」のトリガを無効にする
    8. 「適用」または「OK」ボタンを押す
    9. 新しく作成したルールを右クリックし「リアルタイムルールを使用」を選択

  • 確認したところ、1つの相関イベントに紐づけられる Correlated Event ですが、次のパラメータで 100 個に制限されています。

    --------------------------------------- 

    (server.defaults.properties の記載))

    # In a rule's aggregation tab, you can enter a number for Number of Matches.

    # The real-time rule will get triggered once the number of correlated events held in memory meets this aggregation criteria.

    # Therefore, more correlated events are getting aggregated, more memory is used by a rule.

    # We don't recommend customer to aggregate more than 100 events because it might lead to OOM (out of memory).

    # To prevent OOM by a single rule for its excessive aggregation number, we introduce the two following properties to

    # cap number of correlated events in which a rule allows to aggregate.

    # In other words, the rule will get triggered by this max number instead of Number of Matches specified.

    # When the rule is triggered by the max number, you will see audit events and these errors in ESM logs.

    #

    #     Exceeded max rule chain <rules.max.rulechain.size> for the rule <rule name>

     

    # Aggregate only if these fields are identical

    rules.max.rulechain.size=100

    # Aggregate only if these fields are unique

    rules.max.unique.valuechain.size=100

    --------------------------------------- 

    これらの値を変更し、500 個の Correlated Event との紐づけが可能となりましたが、

    こちらに記載がありますように、OOM (out of memory) となる可能性があるとのことで

    変更される際は十分な検証をお勧めいたします。

    また、変更される際は server.defaults.properties の該当の値を

    server.properties にコピーして値を変更されるようお願い致します。

    または、ルールアクションの時間単位の発生間隔を短くされることをご検討されることをお勧めいたします

Comment
  • 確認したところ、1つの相関イベントに紐づけられる Correlated Event ですが、次のパラメータで 100 個に制限されています。

    --------------------------------------- 

    (server.defaults.properties の記載))

    # In a rule's aggregation tab, you can enter a number for Number of Matches.

    # The real-time rule will get triggered once the number of correlated events held in memory meets this aggregation criteria.

    # Therefore, more correlated events are getting aggregated, more memory is used by a rule.

    # We don't recommend customer to aggregate more than 100 events because it might lead to OOM (out of memory).

    # To prevent OOM by a single rule for its excessive aggregation number, we introduce the two following properties to

    # cap number of correlated events in which a rule allows to aggregate.

    # In other words, the rule will get triggered by this max number instead of Number of Matches specified.

    # When the rule is triggered by the max number, you will see audit events and these errors in ESM logs.

    #

    #     Exceeded max rule chain <rules.max.rulechain.size> for the rule <rule name>

     

    # Aggregate only if these fields are identical

    rules.max.rulechain.size=100

    # Aggregate only if these fields are unique

    rules.max.unique.valuechain.size=100

    --------------------------------------- 

    これらの値を変更し、500 個の Correlated Event との紐づけが可能となりましたが、

    こちらに記載がありますように、OOM (out of memory) となる可能性があるとのことで

    変更される際は十分な検証をお勧めいたします。

    また、変更される際は server.defaults.properties の該当の値を

    server.properties にコピーして値を変更されるようお願い致します。

    または、ルールアクションの時間単位の発生間隔を短くされることをご検討されることをお勧めいたします

Children
No Data
Related
Recommended