アラートのスケジュールと取得

オーストラリアセキュリティ管理

Release

australia

ft:locale

ja-JP

ft:publication_title

オーストラリアセキュリティ管理

ft:clusterId

security

bundleId

security

workflow

Technology

Splunk Enterprise Event Ingestion 統合でのアラートのスケジュールおよび取得

リリースバージョン: Australia

更新日 2026年03月12日

所要時間：5分

自動アラート取り込みプロファイルの場合、このステップはイベントプロファイル構成の最後のステップです。このステップでは、必要に応じて、アラート取得のデフォルトの設定を確認したり、スケジュールを変更したりすることができます。このステップでは、日付範囲に基づいてアラートの取得をフィルタリングできます。

始める前に

必要なロール:sn_si.ingestion_profile_admin

注:

sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。

このタスクについて

次の図に示すように、プロファイル構成の進捗状況バーのすべてのステップを完了すると、手動イベント転送のプロファイルの構成が完了します。Splunk Enterprise コンソールから手動で転送されたイベントにはスケジュールは利用できません。自動アラート取り込みプロファイルの場合、[スケジュール] ステップで履歴アラートを取り込むかどうかを選択できます。また、アラートプロファイル構成に一致する将来のアラートをポーリングする頻度も選択します。

自動アラート取り込みプロファイルの場合は、プロファイルをアクティブ化する前に、スケジュールとアラートの取得を確認して変更します。スケジュール済みアラートプロファイルの場合、このステップはイベントプロファイル構成プロセスの最後のステップです。

ポーリング間隔をプロファイルごとに設定します。Splunk イベントの取り込み統合のパフォーマンスは、ポーリング間隔が異なると影響を受けます。スケジュールするときは、インシデントの緊急度とシステム負荷のバランスを取るように計画してください。5 分間のデフォルト値が任意のプロファイルに設定されますが、インシデントの緊急度とシステムの予想される負荷に基づいて変更できます。

Splunk Enterprise コンソールで、インクリメントまたは特定の時間に基づいてアラートをトリガーするように設定します。この設定を使用すると、ServiceNow AI Platform インスタンスのスケジュールを設定し、Splunk Enterprise コンソールの時間インクリメントを ServiceNow AI Platform インスタンスで設定したスケジューリングと同期させることができます。

手順

進捗状況バーに [スケジュール] ページが表示されない場合は、[スケジュール] を選択します。

Splunk Enterprise コンソールからアラートをプルする方法とタイミングをスケジュールするものを選択します。

オプション	説明
[進行中のアラート] フィールドを選択 [1 回限りの取得] フィールドをクリア	[進行中のアラート] デフォルト設定に基づいて、ServiceNow AI Platform インスタンスは Splunk Enterprise サーバーから新しいアラートを 5 分ごとにプルします。トリガーアラートが検出され、フィルター条件が一致すると、セキュリティインシデントが作成されます。アラートの取り込みとサーバーの負荷のバランスを取り、最新のデータをプルするには、5 分が推奨される設定です。ただし、この値は必要に応じて変更できます。
[進行中のアラート] フィールドをクリア [1 回限りの取得] フィールドを選択	1 回限りの取得履歴イベントに基づいて 1 回限りのプルでアラートを取り込む場合は、この設定を使用します。この設定を構成すると、日付範囲に基づいて履歴イベントからアラートを含むトリガーアラームを取得するためにプロファイルが 1 回使用されます。[開始日] フィールドの右側にあるカレンダーアイコンをクリックします。表示されるカレンダーで、アラートのプルを開始する日付を選択します。[開始日] の値から、現在の日付までのトリガーアラートが取得されます。アラートがプルされた後、この設定では、現在の日付以降、このプロファイルのトリガーアラートは取得されません。この設定により、入力した範囲で検出されたすべてのアラートがセキュリティインシデントに入力されます。

オプション

説明

[進行中のアラート] フィールドを選択
[1 回限りの取得] フィールドをクリア

[進行中のアラート]

デフォルト設定に基づいて、ServiceNow AI Platform インスタンスは Splunk Enterprise サーバーから新しいアラートを 5 分ごとにプルします。トリガーアラートが検出され、フィルター条件が一致すると、セキュリティインシデントが作成されます。アラートの取り込みとサーバーの負荷のバランスを取り、最新のデータをプルするには、5 分が推奨される設定です。ただし、この値は必要に応じて変更できます。

[進行中のアラート] フィールドをクリア
[1 回限りの取得] フィールドを選択

1 回限りの取得

履歴イベントに基づいて 1 回限りのプルでアラートを取り込む場合は、この設定を使用します。

この設定を構成すると、日付範囲に基づいて履歴イベントからアラートを含むトリガーアラームを取得するためにプロファイルが 1 回使用されます。[開始日] フィールドの右側にあるカレンダーアイコンをクリックします。表示されるカレンダーで、アラートのプルを開始する日付を選択します。[開始日] の値から、現在の日付までのトリガーアラートが取得されます。

アラートがプルされた後、この設定では、現在の日付以降、このプロファイルのトリガーアラートは取得されません。この設定により、入力した範囲で検出されたすべてのアラートがセキュリティインシデントに入力されます。

カレンダーが表示された [スケジュール] ページ。

スケジュールの例として、現地時間の午前 4 時に 1 日 1 回実行される日次 Splunk アラートがある場合、ServiceNow AI Platform インスタンスで対応するアラートプロファイルを現地時間午前 4 時 5 分に実行するように設定して、アラートをすぐにキャプチャし、セキュリティインシデントを作成できます。[初期アラートの取り込み] フィールドに「04 05 00」と入力します。[インクリメント (分)] フィールドに「1440 (24 時間)」と入力して、初期アラートの取り込みから 24 時間後に次のアラートの取り込みをスケジュールします。初期アラートの取り込み時刻と次のアラートの取り込み時刻の両方がフィールドに表示されます。

この例の設定を構成するには、次のステップを実行します。
1. 表示された [スケジュール] ページで、[進行中のアラート] チェックボックスをオンにしてこのオプションを有効にします。
2. [インクリメント (分)] フィールドに「1440 (24 時間)」と入力します。
3. [初期アラートの取り込みを選択 (Select Initial alert ingestion)] チェックボックスをオンにして [初期アラートの取り込み] と [次のアラートの取り込み] フィールドの編集を有効にします。
4. [初期アラートの取り込み] フィールドに「04 05 00」と入力します。
  [次のアラートの取り込み (推定)] フィールドに、次のアラートの取り込み時刻が表示されます。
[完了] をクリックして、構成を完了します。
確認ダイアログが表示されます。これで統合のセットアップと構成が正常に完了しました。このプロファイルをアクティブ化して、スケジュールに基づいて Splunk Enterprise コンソールからアラートをプルします。24 時間内に作成できるセキュリティインシデント数は 1,000 件に制限されます。発生したアラートごとに最大 100 件のイベントに制限されます。制限に達すると、後続のイベントは無視されます。