トリガー
例 (クエリ A が発生し、次にクエリ B が発生した場合) のシグナルをトリガーしたい場合は、Create rules cases with Then operator を有効にしてください。then 演算子は、1 つのルールケースにのみ使用できます。
すべてのルールケースは case ステートメントとして評価されます。したがって、ケースの順序は、最初にマッチしたケースがシグナルを生成するため、どの通知を送信するかに影響します。ルールケースをクリックしてドラッグすると、順序を変更できます。
ルールケースには、過去に定義されたクエリのイベント数に基づいてシグナルを生成すべきかを判断するための論理演算 (>、>=、&&、||) が含まれます。ここで ASCII 小文字の クエリラベルが参照されます。クエリ a のルールケースの例は a > 3 です。
注: クエリラベルは演算子に先行しなければなりません。たとえば、a > 3 は使用できますが、3 < a は許容されません。
各ルールケースにつき、「ケース 1」のような名前を付与します。シグナルの生成時には、この名前がルールの名称に追加されます。
重大度および通知
Set severity to ドロップダウンメニューで、適切な重大度レベル (INFO、LOW、MEDIUM、HIGH、CRITICAL) を選択してください。
Notify セクションで、オプションで各ルールケースに対する 通知ターゲットを構成できます。
また、通知ルールを作成して、個々の検出ルールに対する通知設定の手動での編集を避けることが可能です。
タイムウィンドウ
An evaluation window is specified to match when at least one of the cases matches true. This is a sliding window and evaluates cases in real time.
After a signal is generated, the signal remains “open” if a case is matched at least once within the keep alive window. Each time a new event matches any of the cases, the last updated timestamp is updated for the signal.
A signal closes once the time exceeds the maximum signal duration, regardless of the query being matched. This time is calculated from the first seen timestamp.
ケースを追加する場合は、Add Case をクリックします。
注: この evaluation window は、keep alive および maximum signal duration 以下でなければなりません。
重大度および通知
Set severity to ドロップダウンメニューで、適切な重大度レベル (INFO、LOW、MEDIUM、HIGH、CRITICAL) を選択してください。
Notify セクションで、オプションで各ルールケースに対する 通知ターゲットを構成できます。
また、通知ルールを作成して、個々の検出ルールに対する通知設定の手動での編集を避けることが可能です。
価値を忘れる
一定期間表示されない場合に値を忘れるには、ドロップダウンメニューからオプションを選択します。
同じシグナルを更新する
設定された時間枠内に新しい値が検出された場合にシグナルを更新し続ける最大期間を設定します。 たとえば、1 hour 以内に新しい値が検出されると、同じシグナルが更新されます。最大期間は 24 hours です。
注: 新しい値ごとに一意のシグナルが必要な場合は、この値を 0 minutes に構成してください。
重大度および通知
Set severity to ドロップダウンメニューで、適切な重大度レベル (INFO、LOW、MEDIUM、HIGH、CRITICAL) を選択してください。
Notify セクションで、オプションで各ルールケースに対する 通知ターゲットを構成できます。
また、通知ルールを作成して、個々の検出ルールに対する通知設定の手動での編集を避けることが可能です。
タイムウィンドウ
Datadog は、データの季節性を自動的に検出し、異常と判断された場合にセキュリティシグナルを生成します。
一度シグナルが発生すると、データが異常な状態のまま、最終更新のタイムスタンプが異常な期間更新された場合、シグナルは「オープン」のままとなります。
異常が残っているかどうかにかかわらず、時間が最大シグナル継続時間を超えると、シグナルは「クローズ」します。この時間は、最初に見たタイムスタンプから計算されます。
不可能移動検出方式は、ルールケースの設定を必要としません。
重大度および通知
Set severity to ドロップダウンメニューで、適切な重大度レベル (INFO、LOW、MEDIUM、HIGH、CRITICAL) を選択してください。
Notify セクションで、オプションで各ルールケースに対する 通知ターゲットを構成できます。
また、通知ルールを作成して、個々の検出ルールに対する通知設定の手動での編集を避けることが可能です。
タイムウィンドウ
An evaluation window is specified to match when at least one of the cases matches true. This is a sliding window and evaluates cases in real time.
After a signal is generated, the signal remains “open” if a case is matched at least once within the keep alive window. Each time a new event matches any of the cases, the last updated timestamp is updated for the signal.
A signal closes once the time exceeds the maximum signal duration, regardless of the query being matched. This time is calculated from the first seen timestamp.
トリガー
すべてのルールケースは case ステートメントとして評価されます。したがって、ケースの順序は、最初にマッチしたケースがシグナルを生成するため、どの通知を送信するかに影響します。ルールケースをクリックしてドラッグすると、順序を変更できます。
ルールケースには、過去に定義されたクエリのイベント数に基づいてシグナルを生成すべきかを判断するための論理演算 (>、>=、&&、||) が含まれます。ここで ASCII 小文字の クエリラベルが参照されます。クエリ a のルールケースの例は a > 3 です。
注: クエリラベルは演算子に先行しなければなりません。たとえば、a > 3 は使用できますが、3 < a は許容されません。
重大度および通知
Set severity to ドロップダウンメニューで、適切な重大度レベル (INFO、LOW、MEDIUM、HIGH、CRITICAL) を選択してください。
Notify セクションで、オプションで各ルールケースに対する 通知ターゲットを構成できます。
また、通知ルールを作成して、個々の検出ルールに対する通知設定の手動での編集を避けることが可能です。
ケースを追加する場合は、Add Case をクリックします。
