2021-07-15 11:53 PM
Stealthwatch 7.3.2 を使用しています。
セキュリティインサイトダッシュボード の「本日のアラーム」の円グラフですが、その大部分を下記の2つが占めています。
・Addr_Scan/tcp
・Addr_Scan/UDP
このアラームは何によって発生するものなのでしょうか。
また、これは有害あるいは注視すべきものでしょうか。
さらにはこれをアラーム対象外とすることは出来るのでしょうか。
これのせいで他の重要なイベントが埋もれてしまい、見過ごしてしまわないかを心配しています。
Stealthwatchの経験者あるいは詳しい方からのご回答をお待ちしております。
解決済! 解決策の投稿を見る。
2022-04-14 05:27 PM
こんにちは。まずアラームやアラームカテゴリーの情報はこちらに記載があります。
https://community.cisco.com/t5/%E3%81%9D%E3%81%AE%E4%BB%96%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E9%96%A2%E9%80%A3/bd-p/5281-discussions-others
Addr_Scan/tcpの方は、TCPを使ったスキャン行為を検出するアラームで、ドキュメントによればこのスキャンイベントは通常とは異なるTCPフラグの通信、SYNパケットを送信するもSYN-ACKが返っていない通信など複合的な要因で発生するとありました。
Addr_Scan/UDPは同様で、こちらはUDPを使ったスキャンを検出するもので、こちらだと具体的にはICMPの拒否応答や、ファイアウォールなどによるDenyが帰ってきた場合などの複合要因が原因とあります。
チューニングの具体的な方法はあまり詳しくないのですが、下記の記事の中段辺りのように[Tune Alarm]からアラーム発生に関する設定を変更できるみたいです。
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/stealthwatch-usecase-stealthwatch-%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3...
2022-04-14 05:27 PM
こんにちは。まずアラームやアラームカテゴリーの情報はこちらに記載があります。
https://community.cisco.com/t5/%E3%81%9D%E3%81%AE%E4%BB%96%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E9%96%A2%E9%80%A3/bd-p/5281-discussions-others
Addr_Scan/tcpの方は、TCPを使ったスキャン行為を検出するアラームで、ドキュメントによればこのスキャンイベントは通常とは異なるTCPフラグの通信、SYNパケットを送信するもSYN-ACKが返っていない通信など複合的な要因で発生するとありました。
Addr_Scan/UDPは同様で、こちらはUDPを使ったスキャンを検出するもので、こちらだと具体的にはICMPの拒否応答や、ファイアウォールなどによるDenyが帰ってきた場合などの複合要因が原因とあります。
チューニングの具体的な方法はあまり詳しくないのですが、下記の記事の中段辺りのように[Tune Alarm]からアラーム発生に関する設定を変更できるみたいです。
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/stealthwatch-usecase-stealthwatch-%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3...
2022-04-14 10:52 PM
こんばんは。
随分前の過去投稿にもかかわらず、コメントいただきまして誠にありがとうございます。
実はご教示いただきましたURLは自分でも発見しまして、そちらを参考にしながらチューニングを行い、現在はStealthwatch(Secure Analytics)は順調に安定稼働しております。
当該サイトは非常に役立ちましたので、そちらをTUN88様からも教えていただいたという事で、ベストソリューションとさせていただきました。
2022-04-15 09:36 AM
安定稼働しているのなら何よりです。Stealthwatchは、結構サポートコミュニティへドキュメントの投稿があるようで、私もよく参考にしています。
ベストソリューション頂きありがとうございます。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド
下記より関連するコンテンツにアクセスできます