Webhook 接続用の Scheduled Search

最後の更新
PDFとして保存

Scheduled Search とは、指定された間隔で自動的に実行される保存済み検索です。アラートを送信するように Scheduled Search を設定した場合、Webhook 接続を使用して別のツールにアラートを送信することができます。

まったく新しい検索を作成することも、既存の保存済み検索または Scheduled Search に基づくこともできます。既存の検索を使用する場合、検索の現在のスケジュールが上書きされないようにクエリを新規検索として保存する必要があります。

Webhook 用の Scheduled Search をセットアップする前に、Webhook 接続を設定します。詳細については、「WebHook 接続のセットアップ」を参照してください。

各 Scheduled Search のペイロードはカスタマイズできます (接続先のツールによる)。ペイロードをカスタマイズしても、接続で定義したペイロードは検索レベルで定義されているため、影響しません。

Webhook 接続の Scheduled Search をセットアップする手順

検索を保存します。
[Save Item (項目の保存)] ページで、[Schedule this search (この検索をスケジュールする)] をクリックします。
[Run Frequency (実行頻度)] を [Never (なし)] から目的の頻度に変更します。
設定オプションのすべてについては、「検索のスケジュール」を参照してください。
Alert Type (アラートタイプ)。[Webhook] を選択します。
[Connection (接続)] リストから [Webhook] を選択します。
- (省略可能) 検索結果ごとに異なるアラートが送信されるようにする場合は、チェックボックスをオンにします。最大 100 のアラートを設定できます。設定した最大数を超えた結果にはアラートが生成されません。たとえば、最大 50 のアラートを送信するように Scheduled Search が設定されている場合に、60 件の結果が生成されると、最初の 50 件の結果にアラートが生成され、残りの結果にはアラートが生成されません。
  - Webhook ペイロードの変数は、各結果で生成された値になります。たとえば、次のように定義されたペイロードには、
    
    {{Results.client_ip}} had {{Results.errors}} errors
    
    次の 3 つのアラートからのペイロードが含まれます。
    - 70.69.152.165 had 391 errors
    - 17.233.159.60 had 381 errors
    - 169.107.162.237 had 319 errors
  - このチェックボックスがオンで、結果を ServiceNow セキュリティまたは ITSM インシデントに送信するようにこの検索をスケジュールしている場合は、correlation_id というフィールドが各検索結果全体で一意になるように設定する必要があります。たとえば、検索結果の IP アドレスごとに個別のアラートを作成するのであれば、このフィールドを次のように作成します。

| now() as timestamp | base64Encode(source_ip) as random | concat(timestamp, random) as correlation_id

次に、次の行を JSON ペイロードに追加します。

"correlation_id": "{{Results.correlation_id}}",

(省略可能) JSON ペイロードをカスタマイズする場合は、[Customize Payload (ペイロードのカスタマイズ)] ボタンを切り替えます。デフォルトのペイロードを使用する場合は、そのままにします。JSON ペイロードのパラメータとして使用できる変数の詳細については、「Webhook ペイロードの変数」を参照してください。
[Save (保存)] をクリックします。