Help us understand the problem. What is going on with this article?

Deep Securityの侵入防御ルールイベントをアラート登録する設定(検知間隔の変更)

More than 5 years have passed since last update.

こんにちは、ひろかずです。

Deep Securityで侵入防御イベントを検知しても、アラート登録されなければメール通知も行えません。
今回は、侵入防御イベントを検知した際にアラート登録される設定について一筆書きます。

前提

参照情報

一応、マニュアルの24頁,42頁,186-187頁になります。

工程

1.アラート設定の変更
2.検知間隔の変更
3.テスト等で直ぐに検知したい時の操作

1.アラート設定の変更

アラートタブから「アラートの設定」を選択します。
アラート設定1.png

「侵入防御ルールアラート」をダブルクリックします。
アラート設定2.png

「(ルールに関係なく)すべてのルールでアラート」にチェックを入れて「適用」します。
アラート設定3.png

それでは、動作確認としてのhttp://fnifni.com/Helloにアクセスします。

#上記動作確認がよくわからない人は、Deep Security Manager導入後の動作確認(Agentの導入とManagerへの追加)を参照してください。

しばらくすると、アラート画面に侵入防御アラートとして記録されます。
アラート検知したのは、10:25ですね。
動作確認のアクセスをしてから随分経ってますが・・・
アラート設定4.png

イベントとレポート画面を見ると、検知日時は10:16になっています。
アラート設定5.png

これは、Managerが定期的に行うハートビートの際に、侵入防御ルールに合致した(処理した)というAgentのイベントを回収しており、Managerがログを確認した時点でアラート通知しているためです。
この辺の話は、マニュアルの42頁に書いてあります。

もう一つ試してみましょう。
そのまま、再度、動作確認としてのhttp://fnifni.com/Helloにアクセスします。

イベントとレポート画面には記録されますが、
アラート設定6.png

アラート画面の時刻には変化がありません。
アラート設定7.png

これは、連続検知した場合でもアラート通知(主にメール:要追加設定)が大量記録(大量配信)されないようにする措置だと思われます。
アラートをキーにして運用する場合、検知したら速やかにアラートを消去すると良いでしょう。

2.検知間隔の変更

アラートの時刻とイベントに記録された時刻に差(上記例では9分程度)がありました。
これは、ハートビート間隔がデフォルト「10分」になっているためです。

できるだけ早くアラート検知したい場合は、ハートビート間隔を短くすることで対応できます。

ハートビート間隔は、ポリシー単位、コンピュータ単位で設定できます。
今回は、コンピュータ単位での設定を紹介します。

コンピュータ画面から対象のインスタンスをダブルクリックし、設定タブ内の「ハートビート間隔(分)」を調整します。
最短で1分間隔に設定することができます。
ハートビート1.png

お馴染みの動作確認としてのhttp://fnifni.com/Helloにアクセスします。
10:42にアラートが記録されましたね。
ハートビート2.png

イベント記録時刻は、10:41:58でした。
誤差は1分以内ですので、ハートビート間隔の変更は機能してますね。
ハートビート3.png

3.テスト等で直ぐに検知したい時の操作

ハートビート間隔を変更しないまでも、テスト等で直ぐにアラート検知したい場合があります。
その際は、コンピュータ画面で対象のインスタンスを右クリックして「イベントの取得」を選択します。
イベントの取得.png

以上で、侵入防御ルールイベントについてのアラート設定は終わりです。
お疲れ様でした。

fnifni
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした