Webhook 接続用の Scheduled Search
Scheduled Search とは、指定された間隔で自動的に実行される保存済み検索です。アラートを送信するように Scheduled Search を設定した場合、Webhook 接続を使用して別のツールにアラートを送信することができます。
まったく新しい検索を作成することも、既存の保存済み検索または Scheduled Search に基づくこともできます。既存の検索を使用する場合、検索の現在のスケジュールが上書きされないようにクエリを新規検索として保存する必要があります。
Webhook 用の Scheduled Search をセットアップする前に、Webhook 接続を設定します。詳細については、「WebHook 接続のセットアップ」を参照してください。
各 Scheduled Search のペイロードはカスタマイズできます (接続先のツールによる)。ペイロードをカスタマイズしても、接続で定義したペイロードは検索レベルで定義されているため、影響しません。
Webhook 接続の Scheduled Search をセットアップする手順
- 検索を保存します。
- [Save Item (項目の保存)] ページで、[Schedule this search (この検索をスケジュールする)] をクリックします。
- [Run Frequency (実行頻度)] を [Never (なし)] から目的の頻度に変更します。
- 設定オプションのすべてについては、「検索のスケジュール」を参照してください。
- Alert Type (アラート タイプ)。[Webhook] を選択します。
- [Connection (接続)] リストから [Webhook] を選択します。
- (省略可能) 検索結果ごとに異なるアラートが送信されるようにする場合は、チェックボックスをオンにします。最大 100 のアラートを設定できます。設定した最大数を超えた結果にはアラートが生成されません。たとえば、最大 50 のアラートを送信するように Scheduled Search が設定されている場合に、60 件の結果が生成されると、最初の 50 件の結果にアラートが生成され、残りの結果にはアラートが生成されません。
- Webhook ペイロードの変数は、各結果で生成された値になります。たとえば、次のように定義されたペイロードには、
{{Results.client_ip}}had{{Results.errors}}errors
次の 3 つのアラートからのペイロードが含まれます。70.69.152.165 had 391 errors17.233.159.60 had 381 errors169.107.162.237 had 319 errors
- このチェックボックスがオンで、結果を ServiceNow セキュリティまたは ITSM インシデントに送信するようにこの検索をスケジュールしている場合は、
correlation_idというフィールドが各検索結果全体で一意になるように設定する必要があります。たとえば、検索結果の IP アドレスごとに個別のアラートを作成するのであれば、このフィールドを次のように作成します。
- Webhook ペイロードの変数は、各結果で生成された値になります。たとえば、次のように定義されたペイロードには、
- (省略可能) 検索結果ごとに異なるアラートが送信されるようにする場合は、チェックボックスをオンにします。最大 100 のアラートを設定できます。設定した最大数を超えた結果にはアラートが生成されません。たとえば、最大 50 のアラートを送信するように Scheduled Search が設定されている場合に、60 件の結果が生成されると、最初の 50 件の結果にアラートが生成され、残りの結果にはアラートが生成されません。
| now() as timestamp
| base64Encode(source_ip) as random
| concat(timestamp, random) as correlation_id
次に、次の行を JSON ペイロードに追加します。
"correlation_id": "{{Results.correlation_id}}",
- (省略可能) JSON ペイロードをカスタマイズする場合は、[Customize Payload (ペイロードのカスタマイズ)] ボタンを切り替えます。デフォルトのペイロードを使用する場合は、そのままにします。JSON ペイロードのパラメータとして使用できる変数の詳細については、「Webhook ペイロードの変数」を参照してください。
- [Save (保存)] をクリックします。