購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
1152
閲覧回数
5
いいね!
3
返信

Stealthwatch セキュリティインサイトダッシュボード 本日のアラームについて

解決策を見る
cja56910tf
VIP
VIP

‎2021-07-15 11:53 PM

Stealthwatch 7.3.2 を使用しています。

セキュリティインサイトダッシュボード の「本日のアラーム」の円グラフですが、その大部分を下記の2つが占めています。

・Addr_Scan/tcp

・Addr_Scan/UDP

 

このアラームは何によって発生するものなのでしょうか。

また、これは有害あるいは注視すべきものでしょうか。

さらにはこれをアラーム対象外とすることは出来るのでしょうか。

 

これのせいで他の重要なイベントが埋もれてしまい、見過ごしてしまわないかを心配しています。

Stealthwatchの経験者あるいは詳しい方からのご回答をお待ちしております。

ラベル:
0 いいね!
1 件の受理された解決策

受理された解決策

解決策を見る
TUN88
Level 1
Level 1

‎2022-04-14 05:27 PM

こんにちは。まずアラームやアラームカテゴリーの情報はこちらに記載があります。
https://community.cisco.com/t5/%E3%81%9D%E3%81%AE%E4%BB%96%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E9%96%A2%E9%80%A3/bd-p/5281-discussions-others

 

Addr_Scan/tcpの方は、TCPを使ったスキャン行為を検出するアラームで、ドキュメントによればこのスキャンイベントは通常とは異なるTCPフラグの通信、SYNパケットを送信するもSYN-ACKが返っていない通信など複合的な要因で発生するとありました。
Addr_Scan/UDPは同様で、こちらはUDPを使ったスキャンを検出するもので、こちらだと具体的にはICMPの拒否応答や、ファイアウォールなどによるDenyが帰ってきた場合などの複合要因が原因とあります。

 

チューニングの具体的な方法はあまり詳しくないのですが、下記の記事の中段辺りのように[Tune Alarm]からアラーム発生に関する設定を変更できるみたいです。
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/stealthwatch-usecase-stealthwatch-%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3...

元の投稿で解決策を見る

3件の返信3

解決策を見る
TUN88
Level 1
Level 1

‎2022-04-14 05:27 PM

こんにちは。まずアラームやアラームカテゴリーの情報はこちらに記載があります。
https://community.cisco.com/t5/%E3%81%9D%E3%81%AE%E4%BB%96%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E9%96%A2%E9%80%A3/bd-p/5281-discussions-others

 

Addr_Scan/tcpの方は、TCPを使ったスキャン行為を検出するアラームで、ドキュメントによればこのスキャンイベントは通常とは異なるTCPフラグの通信、SYNパケットを送信するもSYN-ACKが返っていない通信など複合的な要因で発生するとありました。
Addr_Scan/UDPは同様で、こちらはUDPを使ったスキャンを検出するもので、こちらだと具体的にはICMPの拒否応答や、ファイアウォールなどによるDenyが帰ってきた場合などの複合要因が原因とあります。

 

チューニングの具体的な方法はあまり詳しくないのですが、下記の記事の中段辺りのように[Tune Alarm]からアラーム発生に関する設定を変更できるみたいです。
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/stealthwatch-usecase-stealthwatch-%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3...

解決策を見る
cja56910tf
VIP
VIP
TUN88に対する応答

‎2022-04-14 10:52 PM

こんばんは。

随分前の過去投稿にもかかわらず、コメントいただきまして誠にありがとうございます。

 

実はご教示いただきましたURLは自分でも発見しまして、そちらを参考にしながらチューニングを行い、現在はStealthwatch(Secure Analytics)は順調に安定稼働しております。

 

当該サイトは非常に役立ちましたので、そちらをTUN88様からも教えていただいたという事で、ベストソリューションとさせていただきました。

0 いいね!

解決策を見る
TUN88
Level 1
Level 1
cja56910tfに対する応答

‎2022-04-15 09:36 AM

安定稼働しているのなら何よりです。Stealthwatchは、結構サポートコミュニティへドキュメントの投稿があるようで、私もよく参考にしています。

ベストソリューション頂きありがとうございます。

0 いいね!
Customers Also Viewed These Support Documents