概要
初回の推奨設定の検索 (Recommendation Scan) 時にはアラートメールを受け取りましたが、二回目以降の推奨設定の検索ではアラートメールが送信されてきません。
推奨設定の検索が正常に完了したことを知る手段はありますか?
推奨設定の検索が正常に完了したことを知る手段はありますか?
詳細
Deep Security 9.0 以降より、”Deep Packet Inspection”および”DPI” が"侵入防御" に名称変更されました。
Deep Security では、本来対応が必要なアラートに確実に対処出来るように管理者の負荷軽減を目的として、不必要と考えられるアラートの生成を極力排除する設計になっています。
初回のアラート生成により管理者は当該サーバーに対して推奨設定の検索が完了したことを認識することが可能であり、その後、当該アラートを管理コンソール上で意図的に解除することにより、次回以降のアラートの生成は不要であると考えられます。
万が一、推奨設定の検索が何らかの理由で失敗した場合には、該当するアラートが生成されるため、通常のオペレーションでは成功のアラートを受け取る必要はないと考えられます。
ただし成功した場合のアラートも運用上必要な場合には、syslog をご利用頂くことで管理者はアラートを受信することが可能となります。
当該機能をご利用頂く際に関連する syslog 設定は以下の通りです。
初回のアラート生成により管理者は当該サーバーに対して推奨設定の検索が完了したことを認識することが可能であり、その後、当該アラートを管理コンソール上で意図的に解除することにより、次回以降のアラートの生成は不要であると考えられます。
万が一、推奨設定の検索が何らかの理由で失敗した場合には、該当するアラートが生成されるため、通常のオペレーションでは成功のアラートを受け取る必要はないと考えられます。
ただし成功した場合のアラートも運用上必要な場合には、syslog をご利用頂くことで管理者はアラートを受信することが可能となります。
当該機能をご利用頂く際に関連する syslog 設定は以下の通りです。
DS 9.0、9.5、9.6
・[管理]>[システム設定]>[SIEM]画面から、システムイベントの通知設定を設定する。
・[管理]>[システム設定]>[システムイベント]画面から、[300 推奨設定の検索 / 300 Scan for Recommendations] の「記録する / Record」 および「通知 / Notify」のチェックが有効になっていること (既定では有効になっています)。
DS 10.0以降
・[管理]>[システム設定]>[イベントの転送]画面から、システムイベントの通知設定を設定する。
・[管理]>[システム設定]>[システムイベント]画面から、[300 推奨設定の検索 / 300 Scan for Recommendations] の「記録する」 および「転送する」のチェックが有効になっていること (既定では有効になっています)。
