アラートの通知と対応

EventLog Analyzerは、2つのアラート通知メカニズムを提供します

さらに、ワークフローを作成して、アラートに対応することもできます。

メールでアラートを通知する設定

電子メールでアラート通知を送信するために必要な詳細を入力します。

1. [通知設定]タブの[メール通知]にチェックを入れて、メール通知を有効にします。
2. [通知を送信]（アラート通知を受信する頻度）を選択します。
   • 全てのアラート：アラートが作成される度にアラート通知が送信されます。
   • 一日一回：アラート通知が1日に1回だけ送信されます。
   • 週一回：アラート通知が週に1回だけ送信されます。
   • 月一回：アラート通知が毎月1回だけ送信されます。
   • カスタム：通知間隔の日数、時間数、分数を事前に指定して、通知スケジュールをカスタマイズできます。
   
3. 受信者のメールアドレスを指定します。複数のメールアドレスを指定する場合は、メールアドレスをカンマ（,）で区切ります。
4. メール通知の[件名]を追加します。件名にアラート引数を追加することもできます。[マクロ]のリストから引数を選択します。
5. [メッセージ]には、デフォルトのメッセージ内容が表示されます。[マクロ]のリストから引数を追加することもできます。[プロファイルの保存]をクリックします。

注記：相関アラートのメッセージ内容は、ルール名、コリレーション時間、およびアクションを含むようにカスタマイズできます。さらに、アクションをクリックした際に表示されるリストから、アクションの特定のフィールドを選択して追加できます。以下の画像を参照してください。


6. EventLog Analyzerにメールサーバーが設定されていない場合は、[メール通知]を選択した際に設定を求めるメッセージが表示されます。
   

SMSでアラートを通知する設定

SMSを使用してアラート通知を送信するために必要な詳細を入力します。

1. SMS通知を有効にするには、[通知設定]タブの[SMS通知]にチェックを入れて、SMS通知を有効にします。
2. 受信者の携帯電話番号を入力します。
3. [SMSメッセージ]の横にある[フィールドを追加]をクリックすると、SMSコンテンツをカスタマイズできます。
4. EventLog AnalyzerにSMSサーバーが設定されていない場合は、[SMS通知]を選択した際に設定を求めるメッセージが表示されます。
   

セキュリティインシデントへのワークフローの割り当て

製品で設定しているアラートに、ワークフローを関連付けることができます。これにより、アラートが発報されると、対応するワークフローが自動的に実行を開始し、そのステータスを[ワークフローを管理]画面で確認できます。

新しいアラートにワークフローを割り当てる方法は、以下のとおりです。

• [アラート]タブ → [+アラート追加]（または、[+追加] → [アラート]）に移動します。
• アラートプロファイルの作成時に[ワークフロー]タブでワークフローを設定します。

既存のアラートにワークフローを割り当てる方法は、以下のとおりです。

• [アラート]タブ → [アラートプロファイルの管理]に移動し、対象のアラートの[編集]（鉛筆）アイコンをクリックします。
• [ワークフロー]タブでワークフローを設定します。

オンデマンドワークフロー

アラートの発報後にコンソールから直接ワークフローを実行し、そのステータスを表示することもできます。

アラートのワークフローを実行する方法は、以下のとおりです。

1. アラートを選択し、[ワークフローの状態]の下にある[ワークフローを実行する]をクリックします。
   
2. ドロップダウンメニューから実行するワークフローを選択し、[実行]をクリックします。
   
3. [アラートプロファイルに関連付ける]をクリックすると、アラートプロファイルにワークフローを直接割り当てることができます。
   
4. [履歴の表示]をクリックすると、ワークフローのステータスを確認できます。
   
5. 1つのアラートに対して複数のワークフローを実行することもできます。