学ぶ (英語版)
ドキュメント (英語版)
サポート (英語のみ)
コミュニティ (英語版)

Finder を使用した調査ベースのアラートの作成 (クラシック)

Nexthink FinderはWindows専用のデスクトップアプリケーションであり、その機能は現在Nexthinkのwebインターフェースで利用できます。 Nexthinkは現在、ブラウザから直接使用でき、ほとんどの機能に追加のデスクトップアプリケーションは必要ありません。

あらゆるタイプのオブジェクトに対して調査ベースのアラートを定義できます。 その名前が示すように、調査ベースのアラートは調査の形式でトリガー条件を表現します。 システムは、各アラートに指定された頻度に応じて、アラートに関連する調査を定期的に実行します。

以下のいずれかによって調査ベースのアラートを作成できます:

  • ゼロからアラートを定義する

  • 既存の調査を開始点として使用する

Finderでアラートを作成するためのダイアログボックスは、調査を設計するためのものと非常に似ていますが、いくつかの違いがあります:

  • アラートに関連する調査はオブジェクトに基づいている必要があります。 アクティビティまたはイベントに基づく調査をアラートに関連付けることはできません。

  • 調査の時間枠はアラートの頻度に依存します。 調査を設計するダイアログボックスで異なる時間枠を指定することはできません。

  • アラートのためのダイアログボックスの終わりには、アラートがトリガーされたときに取るべき重要度、頻度、アクションを指定できる追加のセクションがあります。

ゼロから調査ベースのアラートを作成する

ゼロから調査ベースのアラートを作成するには:

  1. Finderにログインします。

  2. アコーディオン内の設定セクションに移動します。

  3. 設定パネル内で、ドロップダウンリストのセクションをクリックし、以下のいずれかを選びます:

    • グローバルアラートを選択して、すべてのユーザーに表示されるアラートを作成します。 このオプションは、グローバルアラートを作成するための適切な権限があるアカウントのみが利用できます。 現在、ユーザーはデバイスビューのタイムラインでのみグローバルアラートを見ることができます。 したがって、Finderでアラートが表示されるには、そのアラートの調査はデバイスに基づいている必要があります。

    • Finderで自分だけが見えるアラートを作成するには、私のアラートを選択します。 このオプションはすべてのユーザーが利用可能です。 アラートがデバイスに基づいている場合、それはデバイスビューのタイムラインに表示されます。

  4. セクションの領域を右クリックして、新しいアラートを作成を選択するか、Ctrl+Nを入力します。 新しいアラートを設計するダイアログボックスが表示されます。

  5. ダイアログボックスの上部にあるデフォルトのUntitled alert xを置き換えて、アラートの名前を入力します。

  6. オプション:名前の下にアラートの簡単な説明を入力します。

  7. アクティビティやイベントではなく、オブジェクトを取得する必要があるという制限を除いて、他の調査と同様にアラートの調査セクションを編集します。時間枠を定義する必要はありません。 表示する属性を指定した後、特定のアラートセクションに進みます。

  8. ドロップダウンリスト重要度でアラートのレベルを設定します。

    • 非クリティカルなアラートには通常を選択します。 デバイスに基づく通常のアラートはデバイスビューのタイムラインで黄色で表示されます。

    • クリティカルなアラートにはを選択します。 デバイスに基づくクリティカルアラートはデバイスビューのタイムラインで赤で表示されます。

  9. システムがアラートをトリガーするための条件を確認する頻度を指定します。

    • システムにほぼ連続的(30秒ごと)にアラートをトリガーする条件をチェックさせるには即時を選択します。 即時アラートの性質上、通常の調査では利用可能な多くの表示属性を選択することはできません。 Finderは、即時アラートと互換性のない表示属性を選択すると、即時キーワードの右側に赤いバツを表示して警告します。 カーソルを赤いバツの上にホバーさせると、選択した互換性のない属性のリストが表示されます。 2つの連続した即時アラートの間には同じオブジェクトに対して1時間の間隔が必要です。

    • 毎時アラートとして、毎時終了後15分後に条件を評価し、過ぎた1時間の結果を得るには毎時を選択します。

    • 毎日の終了後15分後に条件を評価し、過ぎた日の結果を得るには毎日を選択します。

    • 週の終了後15分後に条件を評価し、過ぎた1週間の調査結果を送信するには毎週を選択します。

  10. アラートがトリガーされたときに取るべきアクションを選択します。 調査ベースのアラートの結果は、1つのオブジェクトに15の属性で最大250個のオブジェクトに限られています。 これらの値を超える結果は、データを送りすぎないように抑制されます。

    • Send syslog をチェックして、アラートに関連する調査結果を アプライアンスのシステムログに書き出す ことができます。 このオプションは、グローバルアラートのみがサポートしています。

    • Send e-mail をチェックして、アラートの結果を選択された受信者にメールで送信することができます。 いずれの受信者も、グローバル及び非グローバルアラートの両方を受け取ることができます。

  11. Save & Preview をクリックして、新しいアラートを保存し、関連する調査を実行します。

既存の調査からアラートを作成する

既存の調査から調査ベースのアラートを作成するには次を行います:

  1. Finder にログインします。

  2. アコーディオン内で目的の調査を見つけます。

  3. 調査の名前を右クリックし、Add to My alerts... (適切な権限がある場合は Add to Global alerts...)を選択します。 アラートをデザインするためのダイアログボックスが表示され、調査のデータが事前入力されているので、ALERT セクションだけを埋める必要があります。

  4. オプション: ダイアログボックスの上部でアラートの名前を変更します。 デフォルトでは、アラートは調査からその名前を借用します。

  5. オプション: アラートの名前の下にある説明を変更します。 デフォルトでは、アラートの説明も調査から継承されます。

  6. 上記のようにアラートの重大性、頻度、アクションを設定します。

  7. オプション: ニーズに応じて調査設定を変更します。 元の調査は変更されません。

  8. Save & Preview をクリックして、アラートを保存し、関連する調査を実行します。

アラートの数の制限

上記の方法を使用して、最大50個のグローバルアラートを作成して有効化することができます。 ユーザーは、自身の役割から作成(または受け取る)し、別途10個までのローカルアラートをいるかのEngineでアカウントごとに有効化できます。

Engine内で有効化されたアラートの合計数は、グローバルアラートおよびユーザーのすべてのローカルまたは役割ベースのアラートを含んで150までに制限されています。

アプリケーションライブラリフィールドの即時アラートに関するタイミングの考慮事項

アプリケーションライブラリからデータを取得するのは瞬時ではないため、アプリケーションライブラリフィールドの値に依存する即時アラートは、その目的を果たせない可能性があります。

たとえば、システムに新しいバイナリの高脅威レベル出現を検出するように設定された即時アラートは、そのバイナリの最初の実行を検出できません。 実際には、新しいバイナリの実行とそのEngineでの生成が行われた直後に、即時アラートの条件が評価されます。 しかしその時点では、Engineはまだバイナリの脅威レベルを更新していません。 Engineがアプリケーションライブラリに接続し、脅威レベルの値を設定するのは約5分後です。

この場合、最良の方法は即時アラートと同じ条件の追加の1時間ごとのアラートを作成することです。 このやり方で、高脅威レベルのバイナリの最初の実行は即時アラートから逃れてしまう可能性がありますが、Engineがバイナリの正しい脅威レベルを設定すると、1時間ごとのアラートでその時間間隔の終わりまでには検出されます。

Last updated

© Nexthink

プライバシーポリシー (英語版)責任ある情報開示ポリシー (英語版)