注目イベントのスケジュール設定と取得

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:6分

    • 自動注目イベントの取り込み用プロファイルの場合、このステップはイベントプロファイル構成で必要です。このステップでは、必要に応じて、注目イベント取得のデフォルトの設定を確認したり、スケジュールを変更したりすることができます。このステップでは、日付範囲を使用して履歴注目イベントを取得することもできます。

    始める前に

    必要なロール:sn_si.ingestion_profile_admin

    注:
    sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。

    このタスクについて

    自動注目イベント取り込み用プロファイルの場合、[スケジュール] ステップで履歴注目イベントを取り込むかどうかを選択できます。また、アラートプロファイル構成に一致する将来の新しい注目イベントと更新された注目イベントをポーリングする頻度も選択します。

    自動注目イベント取り込み用プロファイルの場合は、プロファイルをアクティブ化する前に、スケジュールとアラートの取得を確認して変更します。スケジュール済みアラート用プロファイルの場合、このステップはすべてのイベントプロファイル構成プロセスで必要なステップです。

    これらのポーリング間隔をプロファイルごとに設定します。Splunk イベントの取り込み統合のパフォーマンスは、ポーリング間隔が異なると影響を受けます。スケジューリングでは、Splunk Enterprise Security サーバーのポーリングのオーバーヘッドを減らすことと、注目イベントが作成または更新されたときにできるだけ早く通知することのバランスを取ることをお勧めします。どのプロファイルにも 5 分のデフォルト値が設定されていますが、必要に応じてこの設定を 1 分に変更することもできます。

    新規および更新された注目イベントのプル

    ポーリングスケジュールが設定されると、スケジュール済みジョブは、以前にプルされたが、インシデントのフィルター条件を満たしていなかった新規の注目イベントと更新された注目イベントの両方をプルします。これにより、注目イベントが最初に作成されたときに存在しなくても、たとえば調査フェーズ中に更新が発生した後に存在する可能性がある条件に基づいて、インシデントを作成できます。特定の注目イベントに対してインシデントが作成されると、その後の更新は無視されます。これは、注目がアクティブな ServiceNow® セキュリティインシデントとして扱われていることが想定されるためです。ただし、以前に取り込まれたが、インシデント生成条件を満たしていない他のすべての注目は引き続きプルされ、アクティブなインシデントの一部になるまでインシデント生成条件と照合されます。

    手順

    1. 進捗状況バーに [スケジュール] ページが表示されない場合は、[スケジュール] を選択します。
    2. Splunk Enterprise Security コンソールから注目イベントをプルする方法とタイミングをスケジュールするものを選択します。
      オプション説明
      • [進行中のイベントの取り込み] フィールドを選択
      • [1 回限りの取得] フィールドをクリア
      		 進行中のイベント

      デフォルト設定に基づいて、ServiceNow AI Platform インスタンスは Splunk Enterprise Security サーバーから新しい注目イベントと更新された注目イベントを 5 分ごとにプルします。注目イベントが検出され、インシデント生成のフィルター条件が一致すると、セキュリティインシデントが作成されます。最新のデータを取得するための取り込みポーリングのオーバーヘッドのバランスを取るため、デフォルト設定は 5 分です。ただし、この値は必要に応じて 1 分程度に変更できます。
      • [進行中の注目イベント] フィールドをクリア
      • [1 回限りの取得] フィールドを選択
      		 1 回限りの取得

      1 回限りのプルで履歴注目イベントを取り込む場合は、この構成を使用します。

      この設定を構成すると、日付範囲に基づく履歴イベントから注目イベントを取得するためにプロファイルが 1 回使用されます。[開始日] フィールドの右側にあるカレンダーアイコンをクリックします。表示されるカレンダーで、アラートのプルを開始する日付を選択します。[開始日] の値から、現在の日付までの注目イベントが取得されます。現在の日付から 7 日間さかのぼって注目イベントを取得できることに注意してください。この機能は、アーカイブ上の理由により Splunk Enterprise Security から大量の履歴イベントを取得することを意図したものではなく、プロファイルをアクティブ化する時にアクティブに作業されている最小限の実行中のイベントを取得します。

      注目イベントがプルされた後、この設定では、現在の日付以降はこのプロファイルの注目イベントは取得されません。この設定により、入力した範囲で検出されたすべての注目イベントがセキュリティインシデントに入力されます。

      カレンダーが表示された [スケジュール] ページ。

      初期注目イベントの取り込み時刻をスケジュールする例として、現地時間の午前 4 時に 1 日 1 回実行される日次 Splunk セキュリティチェックがある場合、ServiceNow AI Platform インスタンスで対応する注目イベントプロファイルを現地時間午前 4 時 5 分に実行するように設定して、セキュリティ障害イベントをすぐにキャプチャし、セキュリティインシデントを作成できます。[初期イベントの取り込み] フィールドに「04 05 00」と入力します。[インクリメント (分)] フィールドに「1440 (24 時間)」と入力して、最初のイベントの取り込みから 24 時間後に次のイベントの取り込みをスケジュールします。初期イベントの取り込み時刻と次のイベントの取り込み時刻の両方がフィールドに表示されます。

    3. この例の設定を構成するには、次のステップを実行します。
      1. [スケジュール] ページを表示した状態で、[進行中のイベントの取り込み] チェックボックスをオンにしてこのオプションを有効にします。
      2. [インクリメント (分)] フィールドに「1440 (24 時間)」と入力します。
      3. [初期イベントの取り込みを選択 (Select Initial event ingestion)] チェックボックスをオンにして [初期イベントの取り込み] と [次のイベントの取り込み] フィールドの編集を有効にします。
      4. [初期イベントの取り込み] フィールドに「04 05 00」と入力します。
        [次のイベントの取り込み (推定)] フィールドに、次のイベントの取り込み時刻が表示されます。
    4. 次のいずれかをクリックして、プロファイル構成を続行します。
      オプション説明
      続行 [その他のオプション] フォームが表示されます。進捗状況バーで [その他のオプション] が選択されます。次のステップでは、SIR インシデントが作成および/またはクローズされたときに、注目イベントを更新します。
      更新 データが保存され、[Splunk イベントセキュリティプロファイル] リストが表示されます。
      前へ [スケジュール] フォームが表示されます。
      削除 このイベントプロファイルを削除すると、[Splunk Enterprise Security イベントプロファイル] リストが表示されます。