購入する または契約更新する
購入する または契約更新する
Cisco + Splunk: It’s a new day for your data. Learn more.
 
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
888
閲覧回数
15
いいね!
2
返信

Stealthwatch 同じ内容のアラームが何度も通知されないようにしたい

解決策を見る
rakago001
Level 1
Level 1

‎2022-09-16 04:00 PM

Stealthwatchのバージョン7.4.1を使用しています。

重大度がMajor以上のホストアラームがアクティブになるとメール通知をするように設定しました。

設定後、Data Exfiltration や High Total Trafficなどのイベントでは
一度アラートが上がったホストの通信に関する同じ内容のアラート通知が1日の間に何度も届くことがありました。

Policy Managementの設定にある
"Always trigger alarm when greater than:"の閾値を超えたことで
ポイントがリセットされるまで常にアラームがトリガーされるということだと思うのですが
一度上限を超えてしまうと大量にメールが届くのは運用負荷がかかるので
上限を超えたタイミングで1度だけアラートが上がるような設定方法や対処法はないでしょうか。

 

ラベル:
1 件の受理された解決策

受理された解決策

解決策を見る
TUN88
Level 1
Level 1

‎2022-10-11 02:33 PM

rakago001様 メール通知はResponse Managementから設定しますが、閾値を越えたときに一度だけメールを送らせる設定はないようです。

もし同じ通知メールが何度も来てしまうのであれば、Response ManagementのRulesで追加のルールとして、Source / TargetのIPアドレスやホストグループの条件を追加して、本当に重要そうなアラートだけメールを送らせるようにする設定を追加するというのはできますね。

条件設定でメールの数を絞るのが、妥当なように思いました。

 

元の投稿で解決策を見る

2件の返信2

解決策を見る
TUN88
Level 1
Level 1

‎2022-10-11 02:33 PM

rakago001様 メール通知はResponse Managementから設定しますが、閾値を越えたときに一度だけメールを送らせる設定はないようです。

もし同じ通知メールが何度も来てしまうのであれば、Response ManagementのRulesで追加のルールとして、Source / TargetのIPアドレスやホストグループの条件を追加して、本当に重要そうなアラートだけメールを送らせるようにする設定を追加するというのはできますね。

条件設定でメールの数を絞るのが、妥当なように思いました。

 

解決策を見る
rakago001
Level 1
Level 1

‎2022-10-11 05:15 PM

TUNE88様

ご回答ありがとうございます。

やはり、閾値を超えると都度メールが送られてくるのは変更できないということですね。

ご記載いただいたように、条件の追加や閾値を変更するなどして重要なアラートのみメールを送るように調整してみようと思います。

ありがとうございました。

0 いいね!
Customers Also Viewed These Support Documents