Question & Answer
Question
イベントが、同じフィールドに制限された応答で索引付けされたオフェンスを作成するルールをトリガーする場合、このルールは複数のオフェンスを作成します。 これらのオフェンスのいずれかがクローズされると、応答リミッターに関係なく、一致する次のオフェンスですべてのルールが応答を再起動します。 この記事では、この状況で応答リミッターが無視される理由について説明します。
Cause
索引付けされたオフェンス項目がクローズされた場合にのみ、その応答リミッターがリセットされます。
Answer
リミッターはオフェンスに属するものではなく、そのルールに属するものです。オフェンスに関連するすべてのルール・チェーンは、そのオフェンスがクローズされるとリセットされるため、オフェンスをクローズすると、それらのルールに関連するすべての機能、リミッター、およびタイマーがリセットされます。次の例は、この動作を説明しています。
ルール A と B があります。
ルール A と B をトリガーするイベントが発生し、それぞれのオフェンス A1 と B2が作成されます。
オフェンス A1をクローズすると、ルール A に関連するすべてのルール・チェーンがリセットされます。
ルール A をトリガーするイベントが発生すると、QRadar は新しいイベントをディスパッチし、A の新しいオフェンスを作成します。
ルール B をトリガーするイベントが発生すると、QRadar は新しいイベントをディスパッチし、そのイベントをオフェンス B2に追加します。 これは、B の応答リミッターにカウントされます。
Related Information
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwthAAA","label":"Offenses"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
13 June 2023
UID
ibm16967493