Firepower Management Center アラート応答
SNMP、syslog、または電子メールでの外部イベント通知はクリティカルなシステムのモニタリングに役立ちます。Firepower Management Center はアラート応答を構成して外部サーバと対話します。アラート応答は、電子メール、SNMP、syslog サーバへの接続を表す構成です。これが応答と呼ばれるのは、これを使用して Firepower により検出されたイベントに応答してアラートを送信できるためです。異なるタイプのアラートを異なるモニタリング サーバまたはユーザ(あるいはその両方)に送信するための複数のアラート応答を構成できます。
(注) |
デバイスおよび Firepower のバージョンによっては、アラート応答は syslog メッセージを送信する最適な方法ではない可能性があります。Syslog についておよびセキュリティ イベント syslog メッセージングを設定するためのベストプラクティスを参照してください。 |
(注) |
アラート応答を使用するアラートは、Firepower Management Center によって送信されます。アラート応答を使用しない侵入の電子メール アラートも、Firepower Management Center によって送信されます。対照的に、個別の侵入ルールのトリガーに基づく SNMP および syslog アラートは管理対象デバイスから直接送信されます。詳細については、侵入イベントに関する外部アラートを参照してください。 |
ほとんどの場合、外部アラートに含まれる情報はデータベースにロギングされたいずれかの関連イベントに含まれる情報と同じです。ただし、相関ルールに接続トラッカーが含まれる相関イベント アラートについては、受信する情報はベースのイベントの種類に関係なく、トラフィック プロファイル変更のアラート情報と同じです。
アラート応答の作成や管理は [アラート(Alerts)] ページ()で行います。新しいアラート応答は自動的に有効になります。アラート応答を削除するのではなく無効にすることで、アラートの生成を一時的に止めることができます。
アラート応答への変更は、接続ログを SNMP トラップまたは syslog サーバに送信する場合を除き、ただちに有効になります。
マルチドメイン展開では、アラート応答を作成すると、作成された応答は現在のドメインに属します。このアラート応答は子孫ドメインでも使用できます。
アラート応答のサポート設定
アラート応答を作成した後、それを使用して、次のような外部アラートを Firepower Management Center から送信できます。
アラート/イベントのタイプ |
詳細情報 |
---|---|
侵入イベント(インパクト フラグ別) |
|
検出イベント(タイプ別) |
|
ネットワーク向け AMP(「ネットワークベース」)によって検出されたマルウェアとレトロスペクティブ マルウェア イベント |
|
相関イベント(相関ポリシー違反ごと) |
|
相関イベント(ログ ルールまたはデフォルト アクション別)(電子メール アラートのサポートなし) |
|
ヘルス イベント(ヘルス モジュールおよび重大度レベル別) |