Secureworks CTP チケットの取り込みスケジュールの定義
必要に応じて、チケット取得のデフォルトの設定を確認したり、スケジュールを変更したりすることができます。このステップでは、日付範囲とポーリング間隔に基づいてチケットの取得をフィルタリングできます。
始める前に
必要なロール:sn_si.admin
このタスクについて
また、チケットプロファイル構成に一致する将来のチケットをポーリングする頻度も選択します。ポーリング間隔をプロファイルごとに設定します。スケジュールするときは、インシデントの緊急度とシステム負荷のバランスを取るように計画してください。1 分間のデフォルト値が任意のプロファイルに設定されますが、インシデントの緊急度とシステムの予想される負荷に基づいて変更できます。
手順
-
Secureworks CTP ポータルからチケットをプルする方法とタイミングをスケジュールするものを選択します。
オプション 説明 [進行中のチケットの取り込み] を選択 デフォルト設定に基づいて、Now Platform インスタンスは Secureworks CTP ポータルから新しいチケットを 5 分ごとにプルします。チケットが検出され、インシデント生成のフィルター条件が一致すると、セキュリティインシデントが作成されます。チケットの取り込みとサーバー負荷のバランスを取り、最新のデータをプルするには、5 分が推奨される設定です。ただし、この値は必要に応じて変更できます。 - [進行中のチケットの取り込み] を選択
- 初期チケットの取り込み時刻を設定
初期取り込み時刻 特定の時刻に初期取り込みをスケジュールする場合は、次のステップを実行します。- [進行中のチケットの取り込み] フィールドと [初期チケットの取り込み時刻を設定] フィールドを選択します。
- [初期チケットの取り込み時刻を入力] フィールドに時刻を指定します。
ここで指定した時刻に最初の取り込みが行われます。後続の取り込みは、[ポーリングインクリメント (分)] フィールドで定義されたスケジュールに基づきます。
スケジュールの例として、現地時間の午前 4 時に 1 日 1 回実行される日次チケットジョブがある場合、Now Platform インスタンスで対応するチケットプロファイルを現地時間午前 4 時 5 分に実行するように設定して、チケットをすぐにキャプチャし、セキュリティインシデントを作成できます。
[初期チケットの取り込み] フィールドに「04 05 00」と入力します。[ポーリングインクリメント (分)] フィールドに「1440 (24 時間)」と入力して、初期チケットの取り込みから 24 時間後に次のチケットの取り込みをスケジュールします。初期チケットの取り込み時刻と次のチケットの取り込み時刻の両方がフィールドに表示されます。
この例の設定を構成するには、次のステップを実行します。- [進行中のチケットの取り込み] オプションを選択します。
- [ポーリングインクリメント (分)] フィールドに「1440 (24 時間)」と入力します。
- [初期チケットの取り込み時刻を設定] オプションを選択します。
- [初期チケットの取り込み時刻を入力] フィールドに「04 05 00」と入力します。[次のチケットの取り込み時刻 (推定)] フィールドに、次のチケットの取り込み時刻が表示されます。