購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1464
閲覧回数
0
いいね!
0
コメント

Stealthwatch: UseCase - Stealthwatch システムを設定する: アラームチューニング

taknakam
Cisco Employee
Cisco Employee

‎2020-07-24 11:43 PM

 

はじめに

Stealthwatch のセキュリティイベントやアラーム機能は利用環境のトラフィックに合わせて適切にチューニングしないと誤検知や見逃しが発生してしまいます。本ドキュメントではアラームをチューニングする方法について説明します。

 

 

ソリューション

ユーザはデータを整理してアラームのチューニングを行うことによって Stealthwatch から最も価値を得ることができます。これは Stealthwatch の導入過程において実施すべき基本的なアクションであると考えられます。提供されたデータを解析して、役に立つデータだけを見抜いて利用することにより、セキュリティ管理者はすぐに利用できる必要なデータだけを確実に持っている状態になります。導入された Stealthwatch システムは、適切にチューニングを行うことで、より価値のある使いやすいものになっていきます。

 

 

最小要件

Cisco Stealthwatch システム構成の最小要件は以下の通りです。

  • Core/Distribution レイヤから全てのホスト間通信が見えること。
  • Stealthwatch バージョン 7.0 またはそれ以降を使用していること。

 

 

アラームをチューニングする

アラームチューニングのプロセスにおける最初のステップは全てのホストが正しいホストグループに分類されているか確認することです。

以下のシナリオはアラームのチューニングにおける基本的な操作手順を提供します。このシナリオでは、High Traffic セキュリティイベントを使います。Stealthwatch Management Console (SMC) Web User Interface (UI) Insight Security Dashboard を開きます。High Traffic イベントが、発生しているイベントの大部分を占めてしまっており、他のセキュリティイベントが見づらくなっています。

image.png

"Today's Alarm" ウィジェットにて、High Traffic イベントのボリュームが残り全てを合わせた数を超えてしまっています。

image.png

同様に、"Alarms by Type" ウィジェットでも同様に過去1週間において High Traffic イベントが大部分を占めてしまっています。

image.png

共通のベストプラクティスは、これらのアラームを調査して、どれが役に立つものでどれが無視してもいいものであるか判断することです。"Today's Alarms" の円グラフで "High Traffic" の部分をクリックすると、このイベントの詳細情報が得られます。High Traffic イベントの履歴が表示され、これらのホストではポリシーで設定された最大トラフィックレートを超えるトラフィックが発生したためにイベントが上がっていることが分かります。ほとんどのケースにおいて最大が 1Gbps のところを 2Gbps 以上のトラフィックが観測されています。

image.png

ネットワーク上のホストは通常時において 3G bps までのトラフィックを流していることが分かったため、このことをポリシーに反映させて High Traffic の誤検知を抑制する必要があります。これらのホストの大部分は Catch All ホストグループに所属していますので、これらを正しいホストグループに分類する必要があります。

このイベントのポリシーをチューニングするには、"Actions" カラムの (…) マークをクリックして、"Tune Alarm" を選択します。

image.png

Policy Management ページが表示されます。このシナリオでは、Default Inside Hosts ポリシーだけにこのイベントのポリシーが設定されています。許容レベルは 75 にセットされており、"Never trigger alarm when less than 100M bps"(100M bps 未満ではアラームを発生させない) と "Always trigger alarm when greater than 1G bps" (1G bps を超える場合は常にアラームを発生させる)がトリガーレベルにセットされています。

image.png

3G bps までを許容範囲とするようにイベントを設定するには、許容レベルを 75 のままとして、設定を以下のように変更します。

  • "Never trigger alarm when less than:" を 3G bps にセットします。
  • "Always trigger alarm when greater than:" を 4G bps にセットします。

 

許容レベルに関しては、"Stealthwatch Managenetn Console User Guide" に説明がありますので、参照してください。

image.png

新しい設定を適用し、ベースラインの計算が終わると、ダッシュボードが正常化していきます。Today's Alarm と Alarms by Type ウィジェットの表示がきれいになり、これまで High Traffic のイベントに埋もれていた他のイベントが見やすく表示されるようになります。

image.png

Catch All ホストグループのホストが分類されているので、ダッシュボードは時間とともに正常になり続けます。

image.png

アラームチューニングは繰り返し実施すべきものであり、アラームを発生させる最も重要ですぐに利用できるイベントを決定することにより、導入した Stealthwatch システムの価値が得られます。

ラベル:
0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents