概要
このドキュメントでは、SecureXタイルのキャッシュの仕組みについて説明します。
情報はSecureX Live Dataにありますか。
この質問に対する答えは「いいえ」です。これは、SecureXでは各統合と各タイルが特定のキャッシュの対象になるためです。
有効期限は、統合とタイル自体に基づいて異なります。
たとえば、セキュアエンドポイント(CSE)とSecureX統合を使用できます。
最初に、統合が有効で機能していることを確認してから、 Integration Modules > My Integration Modules
.
セキュアエンドポイントモジュールを検索し、それが統合されており、エラーが表示されていないことを確認します。
統合チェック
次に、CSEコンソールで検疫イベントをトリガーします。
コンソールイベント
SecureXに戻り、検疫に対応するタイルを確認すると、データがないことがわかります。
SecureXデータなし
図に示すように、イベントがCSEコンソールで発生してから少なくとも2分経過しています。
クエリの時間
ダッシュボードにデータが表示されない理由を詳しく調べるには、Quarantines Tileに移動し、 ellipsis (...) > Information.
SecureX検疫
この情報は、SecureXのこの特定のタイルにハードコードされているValid_time値を示します。
dataに移動し、valid_timeと表示されているセクションを展開します。
API情報
照会する時間に関係なく、start_timeとend_timeの差は常に5分です。
前に説明したように、このstart_timeとend_timeの違いは統合とタイル自体に依存することに注意してください。
少なくとも5分経過してからSecureXに戻ると、イベントが表示されます。
検疫イベント
ポストキャッシュ時間
情報は自動的に更新されますが、詳細情報が必要な場合は、トラブルシューティングセッション中にHTTP Archive Format(HAR)ログをキャプチャできます。
注:Persistent Harログを使用することを推奨します。ログの重量は増えますが、リダイレクト後も保持され、ページが更新されます。
HARログを収集して開くと、イベントが発生した時間の有効期間を確認でき、Secure Endpoint ConsoleとSecureXで検出時間を関連付けることができます。
有効時間
start_timeが19:30:00 UTCであることに注意してください。セキュアエンドポイントコンソールにイベントが表示された場合、隔離はUTC 19:31:20に発生しています。
ただし、SecureXでは、情報を検索する時点(19:33:26 UTC/13:33:26 CST頃)までにend_timeが終了していないため、キャッシュは期限切れになっていません。
それでも、テレメトリがSecureXにポストされたことがわかります。
API情報
HARログで、キャッシュが期限切れになり、新しいstart_timeが始まることを確認できます。
注:SecureXのAPI情報では、使用されているURLを確認できるため、HARログを確認して比較できます。
キャッシュの有効期限の例
- セキュアクライアント – コンピュータの概要:ほぼ瞬時
- FMC:Event Summary(イベントの概要):1分
- SMA – 受信メールの概要:5分
- 包括 – カテゴリ別セキュリティブロック(一般):5分