本ドキュメントでは、AMP ConnectorやCloudで検知したイベント(Threat Detected/検出された脅威 など)を、メールで通知を受ける手順についてご案内いたします。

なお、本記事の記述内容は、以下の環境で確認をしております。

・AMP for Endpoints Console v5.4.2018031416

バージョンアップに伴う仕様変更によって将来的に変更される場合もございますので、あらかじめご了承ください。

通知先メールアドレスの確認

まず、通知先メールアドレスが設定されていることをご確認ください。
通知先を変更されたい場合は、Editボタンを押下することで変更もできます。
詳細についてはこちらをご確認ください。

イベント通知の設定方法

AMP ConsoleにログインしEventsの一覧を表示させてください。

ここで、Not Subscribed / サブスクライブされていませんとなっている箇所を変更し、
フィルタとして保存することで、マルウェア検知などのイベントをメールにて通知することが可能となります。

通知タイミングについてはいくつかの中から選ぶことができますので、
運用されている環境に合わせてご指定ください。

英語	日本語

ただしこの設定だけでは、ご利用のビジネスで検知される全てのイベントに関してメール通知してしまいます。
通知させる内容を絞り込む場合には、必要に応じてEvent Type、GroupやTimeRangeでフィルタ設定してください。

(参考)通知メール

EICARファイルをConnectorに検知させた場合に通知されるメールの一部を、
参考までに以下に紹介させていただきます。

英語の場合

To: 登録メールアドレス
From: Cisco <no-reply@amp.cisco.com>
Title: [Cisco AMP for Endpoints Subscription] [フィルター名] Matching Events Found On Computer名
本文：
Hello XXX,

Cisco AMP for Endpoints found a total of 1 events matching your subscription named XXXXX since 2018-03-23 04:55:00 UTC.

Event Type: Threat Detected
Computer: XXXXX
<略>

日本語の場合

To: 登録メールアドレス
From: Cisco <no-reply@amp.cisco.com>
Title: [Cisco AMP for Endpointsのサブスクリプション] [フィルタ名]一致するイベントが見つかりましたオン Computer名
本文：
XXX様

Cisco AMP for Endpointsで、2018-03-23 05:40:00 UTC以後に実行された、XXXXXという名前のサブスクリプションと一致するイベントが合計1個見つかりました。

イベントタイプ: 検出された脅威
コンピュータ: XXXXX
<略>