こんにちは、ひろかずです。
Deep Securityで侵入防御イベントを検知しても、アラート登録されなければメール通知も行えません。
今回は、侵入防御イベントを検知した際にアラート登録される設定について一筆書きます。
前提
- Deep Security Managerの導入が完了していること。
- ライセンスを投入していること。
- 最低でもRelayを導入しており、管理対象になっていること。
- イベントの記録時間とアラート検知時間の差に疑問がある人。
- Deep Security Manager導入後の動作確認(Agentの導入とManagerへの追加)から流れてきた人
参照情報
一応、マニュアルの24頁,42頁,186-187頁になります。
工程
1.アラート設定の変更
2.検知間隔の変更
3.テスト等で直ぐに検知したい時の操作
1.アラート設定の変更
アラートタブから「アラートの設定」を選択します。
「侵入防御ルールアラート」をダブルクリックします。
「(ルールに関係なく)すべてのルールでアラート」にチェックを入れて「適用」します。
それでは、動作確認としてのhttp://fnifni.com/Helloにアクセスします。
#上記動作確認がよくわからない人は、Deep Security Manager導入後の動作確認(Agentの導入とManagerへの追加)を参照してください。
しばらくすると、アラート画面に侵入防御アラートとして記録されます。
アラート検知したのは、10:25ですね。
動作確認のアクセスをしてから随分経ってますが・・・
イベントとレポート画面を見ると、検知日時は10:16になっています。
これは、Managerが定期的に行うハートビートの際に、侵入防御ルールに合致した(処理した)というAgentのイベントを回収しており、Managerがログを確認した時点でアラート通知しているためです。
この辺の話は、マニュアルの42頁に書いてあります。
もう一つ試してみましょう。
そのまま、再度、動作確認としてのhttp://fnifni.com/Helloにアクセスします。
イベントとレポート画面には記録されますが、
アラート画面の時刻には変化がありません。
これは、連続検知した場合でもアラート通知(主にメール:要追加設定)が大量記録(大量配信)されないようにする措置だと思われます。
アラートをキーにして運用する場合、検知したら速やかにアラートを消去すると良いでしょう。
2.検知間隔の変更
アラートの時刻とイベントに記録された時刻に差(上記例では9分程度)がありました。
これは、ハートビート間隔がデフォルト「10分」になっているためです。
できるだけ早くアラート検知したい場合は、ハートビート間隔を短くすることで対応できます。
ハートビート間隔は、ポリシー単位、コンピュータ単位で設定できます。
今回は、コンピュータ単位での設定を紹介します。
コンピュータ画面から対象のインスタンスをダブルクリックし、設定タブ内の「ハートビート間隔(分)」を調整します。
最短で1分間隔に設定することができます。
お馴染みの動作確認としてのhttp://fnifni.com/Helloにアクセスします。
10:42にアラートが記録されましたね。
イベント記録時刻は、10:41:58でした。
誤差は1分以内ですので、ハートビート間隔の変更は機能してますね。
3.テスト等で直ぐに検知したい時の操作
ハートビート間隔を変更しないまでも、テスト等で直ぐにアラート検知したい場合があります。
その際は、コンピュータ画面で対象のインスタンスを右クリックして「イベントの取得」を選択します。
以上で、侵入防御ルールイベントについてのアラート設定は終わりです。
お疲れ様でした。