2022-09-16 04:00 PM
Stealthwatchのバージョン7.4.1を使用しています。
重大度がMajor以上のホストアラームがアクティブになるとメール通知をするように設定しました。
設定後、Data Exfiltration や High Total Trafficなどのイベントでは
一度アラートが上がったホストの通信に関する同じ内容のアラート通知が1日の間に何度も届くことがありました。
Policy Managementの設定にある
"Always trigger alarm when greater than:"の閾値を超えたことで
ポイントがリセットされるまで常にアラームがトリガーされるということだと思うのですが
一度上限を超えてしまうと大量にメールが届くのは運用負荷がかかるので
上限を超えたタイミングで1度だけアラートが上がるような設定方法や対処法はないでしょうか。
解決済! 解決策の投稿を見る。
2022-10-11 02:33 PM
rakago001様 メール通知はResponse Managementから設定しますが、閾値を越えたときに一度だけメールを送らせる設定はないようです。
もし同じ通知メールが何度も来てしまうのであれば、Response ManagementのRulesで追加のルールとして、Source / TargetのIPアドレスやホストグループの条件を追加して、本当に重要そうなアラートだけメールを送らせるようにする設定を追加するというのはできますね。
条件設定でメールの数を絞るのが、妥当なように思いました。
2022-10-11 02:33 PM
rakago001様 メール通知はResponse Managementから設定しますが、閾値を越えたときに一度だけメールを送らせる設定はないようです。
もし同じ通知メールが何度も来てしまうのであれば、Response ManagementのRulesで追加のルールとして、Source / TargetのIPアドレスやホストグループの条件を追加して、本当に重要そうなアラートだけメールを送らせるようにする設定を追加するというのはできますね。
条件設定でメールの数を絞るのが、妥当なように思いました。
2022-10-11 05:15 PM
TUNE88様
ご回答ありがとうございます。
やはり、閾値を超えると都度メールが送られてくるのは変更できないということですね。
ご記載いただいたように、条件の追加や閾値を変更するなどして重要なアラートのみメールを送るように調整してみようと思います。
ありがとうございました。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド
下記より関連するコンテンツにアクセスできます