Analysis - Alertの確認・設定方法¶
Web Security Analytics(WSA)の画面から、検知状況に応じたアラート設定を行ったり、設定したアラートを確認したりすることができます。
アラート設定を行うことで、例えば過度に遮断が発生している状況でメール通知したりすることで、サイバー攻撃集団等の攻撃キャンペーンではないか警告したり、誤検知が急激に高まってないか警告したりするようにできます。
アラートの画面へは、Web Security Analyticsの画面で右上の方にあるベルのマークをクリックします。
クリックすると、以下の検知トラフィックのグラフとその右にアラートのリストが表示される画面になります。
画像の例ではアラートを設定していませんが、アラートが設定されておりかつ発報していた場合には、グラフ上でアラート事象発生位置も確認することができます。
デフォルトでは左側のメニューは「Triggered」の表示になっています。
こちらは、グラフにも表示される「指定期間中に発報したアラート」を示すもので、グラフ上だけでなく左メニューにも一覧表示します。
Triggeredの文字をクリックすると、画像のようにプルダウンメニューが表示され、Triggered以外にも以下から設定したアラートの状態に合わせ左メニューのアラート表示を変更することができます。
また各アラート種別の右の()内の数字は該当するアラートの数を表しています。
項目 |
説明 |
Enabled |
有効化されているアラートを表示します。
アラートの条件に合致した事象が発生すると発報します。
|
Disabled |
無効化されているアラートを表示します。
この状態のアラートは設定されているだけで発報はしません。
|
Deleted |
削除したアラートを表示します。 |
Customer |
お客様が設定したアラートを表示します。 |
Akamai |
Akamai SOCC等の専属サポート契約がある場合に、Akamai社が設定したアラートを表示します。 |
All Alerts |
上記すべてのアラートを表示します。 |
アラートを新規に設定する場合は+ボタンから行います。
+ボタンをクリックすると以下の画面が表示されます。
表示されたメニューからテンプレートを選択するとアラートの設定画面が表示されます。
各テンプレートの説明は以下の通りです。
テンプレート |
説明 |
Non-Mitigated Volumetric Activity |
検知はしているが遮断されていない量的攻撃が疑われる事象が多量になった場合にアラートします。 |
Non-Mitigated Web App Attack Anomaly |
検知はしているが遮断されていないアプリケーション攻撃のうちクロスサイトスクリプティングやSQLインジェクションなどの攻撃が疑われる事象が多量になった場合にアラートします。 |
Non-Mitigated Generic Web App Attacks |
検知はしているが遮断されていないアプリケーション攻撃のうちトロイの木馬や攻撃ツールなどの攻撃が疑われる事象が多量になった場合にアラートします。 |
Non-Mitigated Slow POST Activity |
検知はしているが遮断されていないSlow POSTが疑われる事象が多量になった場合にアラートします。 |
Mitigated Requests |
遮断されたトラフィックが多量になった場合にアラートします。 |
いずれかを選ぶと以下のアラートの設定画面が、グラフの上部に表示されます。
以下はNon-Mitigated Volumetric Activityの場合の例で、選択した項目に応じてフィルタ条件がセットされます。
ここから発報する条件となる閾値などを設定します。
① Copy Filter above to Alert
現行のグラフ表示のフィルタ条件を設定している場合に、アラートの条件にコピーすることができます。
② Apply Alert Filter to Content
アラートの条件として設定されている内容を、グラフ表示のフィルタ条件にコピーすることができます。
上記を活用することでグラフ表示を確認しながらアラート条件を設定できます。
フィルタ条件を確認したら、左の「Threshold」をクリックして閾値の設定を行います。
① 閾値設定方式
アラートが発呼する閾値の設定方式を選択します。
閾値には3つの要素があり
・前述の条件に合致する「リクエスト数(REQUESTS)」
・そのリクエスト数が何分の間で発生したかを表す「観測期間(DURING)」
・その事象がどれだけの回数発生したかを表す「発生回数(AFTER OCCURRENCES)」
の組み合わせで設定します。
例えば、リクエスト数を200、観測期間を2分、発生回数を2回とした場合「2分の間に条件合致したリクエスト数が200を超える事象が2回発生したとき」という設定になります。
デフォルトでは設定方式は「Advanced」が選択されており、こちらの場合はリクエスト数・観測期間・発生回数を自由に設定します。
「Predefined」を選択すると、リクエスト数は自由に設定しますが、観測期間と発生回数は「LOW」「MEDIUM」「HIGH」の3段階のプリセットから選択する形式になります。
② 閾値設定
①の閾値を実際に設定する欄になります。
閾値に関する詳細は①の通りです。
閾値を設定したら、最後に左の「Settings」をクリックしてアラート送付先等の設定を行います。
① 重要度
アラートの重要度を設定します。
アラートの機能には影響しませんが、グラフ等ポータル上での表示に反映されるため区別することで視認性が向上します。
② アラート概要
アラートの名称と概要説明を記載できます。
アラートの機能には影響しませんが、メール文のタイトルや設定画面でアラートの概要を確認できるため管理上適切になるようご記入ください。
③ アラート送付先
アラートメールの送付先を設定します。
クリックすると入力欄が表示され、メールアドレス入力後にエンターキーを押すことで複数のアドレスを送付先として指定することもできます。
④ 有効/無効化
アラートを有効にするか無効にするか選択します。
新規作成時のデフォルトが「無効」になっていますのでご注意ください。
⑤ セーブ/キャンセル/オプション
アラートの作成が完了したら「Save」をクリックして保存します。
また作成中に不要になった場合は「Cancel」で作成内容を破棄できます。
アラートの変更時も同様で、「Save」で変更を保存、「Cancel」で変更内容を破棄できます。
「・・・」からはオプションを表示でき、アラートの削除(Delete)やアラートの複製(Duplicate)が可能です。
設定したアラートを確認・変更したい場合は、前述のアラート表示を「Triggered」から「All Alerts」などに変更してアラート設定を表示します。
確認・変更したいアラートの「・・・」をクリックするとメニューが表示されます。
「Configure」から前述と同じ流れで設定変更が可能です。