履歴的相関

新しいユースケースを展開または設計し、過去に自社がその脅威にさらされていたかどうかを知りたい場合はどうしますか？

ArcSight を使用しているとき、多くの人が過去の相関を実現する方法があるのか疑問に思っています。そのためのいくつかの実際のシナリオも持っています。最初のシナリオはバッチ処理されるイベントであり、たとえばイベントがリアルタイムではなく一定の時間間隔（一時間ごと、一日ごとなど）で ESM に送信される場合です。2 番目は、歴史的データに相関を適用することで、将来の事象だけでなく過去の事象にも対処するというものです。3 番目は、業務時間外に「非緊急」ルールを実行して相関エンジンを圧迫しないようにする能力です。

ArcSight ESM には、これらのタスクをすべて実行する機能があります。それをスケジュールされたルールと呼びます。

スケジュールされたルールは、履歴データをライブデータと併せて考慮するルールを展開したい場合や、ルールの実行を制御したい場合に、リアルタイムルールの有用な代替手段です。スケジュールされたルールエンジンは、履歴データを処理し、実際のアクションを実行し、リアルタイムルールエンジンと同様の相関イベントを生成することができます。

ルールをどのようにスケジュールしますか？ 単一のルールではなく、ルールグループをスケジュールする場合があります。1 つまたは複数のルールをスケジュールするには、これらをフォルダーに入れます。ルールグループをスケジュールするには、次の手順を行います：

1. ナビゲータ内のルールリソースに移動します。
2. ルールグループを選択し、右クリックしてコンテキストメニューから「ルールグループのスケジュール」を選択します。（必要なルールがグループにない場合は、新しいルールグループを作成し、リンクまたは移動してルールをそれに入れます。）
3. ジョブを追加し、名前を付けて説明を記入します。画面下部の「スケジュール頻度の設定をクリック」からルールグループを実行するスケジュールを指定します。
4. これらのルールに適用するフィルタを指定します。デフォルトではフィルタは「すべてのイベント」に設定されています。「フィルタ結果」をクリックして、ルールに関連するイベントだけを表示するようフィルタを調整します。フィルタを狭めると、ルール実行時のパフォーマンスが向上します。
5. 「適用」または「OK」をクリックして展開します。

ルールはジョブタブのルールグループエディタで指定されたスケジュールに従って展開され、その条件が満たされた場合にトリガーされます。

ジョブ頻度エディタと時間パラメータに関して注意が必要なことがあります。最初の実行時には、『開始』タイムスタンプから $Now（実行時間）までのすべてのイベントに対してルールが評価されます。次の実行時には、前回の実行から $Now までのイベントのみが評価されます。

これで、最も複雑で洗練されたシナリオを適用する準備が整いました。