概要
Deep Securityにおける、「イベントの抑制」アラートの発令条件について教えてください。
詳細
アラートの発令条件
ファイアウォール・侵入防御(DPI)機能の有効時にファイアウォール・侵入防御(DPI)イベントが発生してからDeep Security Agent (DSA)のログファイルに書き込みを行う際、以下の状況が発生した場合に該当アラートが発生します。
- 大量のファイアウォール・侵入防御(DPI)イベントが瞬間的に発生した場合など、ログファイルへの書込み前にバッファのサイズを超えてしまった場合
- 各コンピュータもしくはポリシーの詳細画面から[設定]-[ネットワークエンジン]-[ネットワークエンジンの詳細設定]欄にある「最大イベント数 (秒単位)」で指定されている、ログエントリを超えた場合(初期設定では秒間100イベントとなっています)
アラート発令時の影響範囲
本アラートが発生している場合、ファイアウォール・侵入防御(DPI)機能によってパケットが破棄されたものの、そのイベントがDeep Security Manager (DSM)上に記録されていない可能性があります。ただし、本アラートが発生してもファイアウォール・侵入防御(DPI)機能自体が停止する恐れはありません。
アラート発令時の対処方法
- 突発的に本アラートが発生した場合、ネットワーク上から何らかの攻撃を受けた可能性が疑われるものの、ネットワークドライバモードが「タップモード」に設定されていない限りはDSAが正常に不審なパケットを破棄していますので、特に対処を行う必要はありません。
- 本アラートが頻繁に発生する場合、ファイアウォール・侵入防御(DPI)イベントが日常的に大量発生している可能性が高いため、本来ブロックすべき対象では無いはずのパケットがイベントに記録されていないか確認し、ファイアウォール・侵入防御(DPI)ルールの設定を見なおしてください。
- イベントの発生頻度が想定範囲内である場合、各コンピュータもしくはポリシーの詳細画面から[設定]-[ネットワークエンジン]-[ネットワークエンジンの詳細設定]欄にある「最大イベント数 (秒単位)」を調整します。
上記設定はDSAによるカーネルメモリの消費量に影響します。特に32ビットOSではカーネルで利用可能なメモリ領域が極度に制限されているため、この値を引き上げるとカーネルメモリが枯渇する恐れがあります。イベントが頻発するような環境では、可能であれば負荷分散や上位ネットワークデバイス等によるパケットのフィルタリングをご検討ください。
