みなさんこんにちは。技術1課の北鶴です。
今回はCloud Oneの「イベント」と「アラート」についてご紹介したいと思います。
Cloud Oneコンソールに「アラート」と「イベント」とあるけど何が違うのか、どういう使い分けをしていけばいいのかについての理解の助けになれば幸いです。
アラートとイベントの違い
まず初めに「アラート」と「イベント」のざっくりとした違いについてですが、ドキュメントにはそれぞれ次のように記載があります。
イベント
エージェントは、保護モジュールのルールまたは条件がトリガされたとき(「セキュリティイベント」)に記録されます。エージェントおよび Workload Security は、管理イベントやシステム関連のイベントが発生したときにも記録を作成します(管理者がログインした場合や、アップグレードするエージェントソフトウェアなどの「システムイベント」), の場合)。
アラート
アラートは、 Workload Security が注意する必要がある場合に生成されます。たとえば、管理者発行コマンドの失敗、ハードディスクの空き容量不足などです。Workload Security には、アラートの事前定義されたセットが含まれます(リストについては、 事前定義されたアラート定義を参照してください)。また、保護モジュールのルールを作成するときに、ルールがトリガされたときにアラートを生成するように設定できます。
それぞれの定義について明確に記載はされていませんが、少しかみ砕いて説明をするとイベントはCloud Oneにて発生した事象を記録する単位となります。
不正プログラム対策やWebレピュテーションといったセキュリティ機能に引っかかったときはもちろん、AgentとManagerが通信不能になった時などのシステム関連の事象もすべてイベントという形で記録されます。
一方でアラートは、それらのイベントの中から注意すべき項目をピックアップして、別途お知らせするための機能となります。
つまりアラートとして発生している内容は全てイベントに紐づく内容となるわけです。
イベントとアラートの詳細
次はもう少しそれぞれの内容を詳しく見ていきたいと思います。
システムイベントとセキュリティイベント
先ほど引用した文章にもありましたが、イベントには大きく分けてシステムイベントとセキュリティイベントの2種類があります。
システムイベント
Cloud OneのAgentやManagerに関するイベントやログイン履歴などアカウント全体に関する内容はシステムイベントと呼びます。
代表的なものとして以下のようなイベントが該当します。
オフライン
- 監視対象のコンピューターとManagerの通信ができていないときに発生します。
アラートの消去
- ユーザーがアラートを消去した際に発生します。
予約タスクの開始
- 設定している予約タスクが実行された際に発生します。
上記はシステムイベントの一部となります。 詳細についてはこちらにシステムイベントの一覧が記載されています。
セキュリティイベント
各コンピュータの保護機能にあるルールや設定がトリガーとなって発生するイベントとなります。 代表的なものとしては以下のイベントとなります。
不正プログラム対策イベント
Webレピュテーションイベント
変更監視イベント
侵入防御イベント
セキュリティログ監視イベント
ファイアウォール家イベント
アプリケーションコントロールイベント
デバイスコントロールイベント
セキュリティイベントはCloud Oneの保護機能に直結するイベントが発生するものになるので、どちらかというとこちらのイベントの方が重要視されることが多いかもしれません。(もちろん通信不能のシステムイベントなどは監視の有無にかかわるので一概には言えませんが)
このシステムイベントとセキュリティイベントですが、Cloud Oneにて保管される期限が異なります。
システムイベントは91日、セキュリティイベントは31日となっておりこの期間を過ぎるとイベントの詳細は閲覧できなくなります。
詳細は省きますが、それ以上の期間イベントを保持したい場合は外部SIEM(Security Information and Event Management)へのイベントのエクスポートを検討が必要となる為注意してください。
アラート
先ほど説明したように、アラートとは発生したイベントの中からピックアップしたい項目について別途発砲することができる機能となります。
現在発生しているアラートについてはコンソール画面の「アラート」から確認することができますが、そもそもどのイベントをアラートとして発砲しているのでしょうか。
その答えはCloud Oneのアカウントごとに異なります。つまりアラートとして設定したいイベントをカスタマイズができるということです。
Cloud Oneコンソールの「管理」→「システム設定」→「アラート」→「アラートの設定」から現在の設定の確認および変更が可能となります。
アラートの注意すべき仕様として、同じコンピュータで同一のイベントが複数回発生した場合、アラートを消去するまでは同一のアラートは発生しません。
そのため何か月も前のアラートをずっと放置しておくと、最新のイベントを見逃すといったケースがあるのでアラートはこまめに削除するようにしましょう。
終わりに
いかがでしたでしょうか。 Cloud Oneの利用はあくまでセキュリティの向上が目的であり、他に時間をかけたい作業などがあると思います。
そうなるとダッシュボードにて目立つアラートだけに目が行きがちですが、アラートはイベントありきのものということを念頭に置いて効率よくアラートの調査や管理をしていくことが大事になってきます。
発生したアラートの調査方法なども別の機会にご紹介できればと思っていますので、また別のブログでお会いしましょう。
参考
北鶴 光紀(執筆記事の一覧)
Enterprise Cloud部 技術1課