はじめに
Stealthwatch のセキュリティイベントやアラーム機能は利用環境のトラフィックに合わせて適切にチューニングしないと誤検知や見逃しが発生してしまいます。本ドキュメントではアラームをチューニングする方法について説明します。
ソリューション
ユーザはデータを整理してアラームのチューニングを行うことによって Stealthwatch から最も価値を得ることができます。これは Stealthwatch の導入過程において実施すべき基本的なアクションであると考えられます。提供されたデータを解析して、役に立つデータだけを見抜いて利用することにより、セキュリティ管理者はすぐに利用できる必要なデータだけを確実に持っている状態になります。導入された Stealthwatch システムは、適切にチューニングを行うことで、より価値のある使いやすいものになっていきます。
最小要件
Cisco Stealthwatch システム構成の最小要件は以下の通りです。
- Core/Distribution レイヤから全てのホスト間通信が見えること。
- Stealthwatch バージョン 7.0 またはそれ以降を使用していること。
アラームをチューニングする
アラームチューニングのプロセスにおける最初のステップは全てのホストが正しいホストグループに分類されているか確認することです。
以下のシナリオはアラームのチューニングにおける基本的な操作手順を提供します。このシナリオでは、High Traffic セキュリティイベントを使います。Stealthwatch Management Console (SMC) Web User Interface (UI) Insight Security Dashboard を開きます。High Traffic イベントが、発生しているイベントの大部分を占めてしまっており、他のセキュリティイベントが見づらくなっています。
"Today's Alarm" ウィジェットにて、High Traffic イベントのボリュームが残り全てを合わせた数を超えてしまっています。
同様に、"Alarms by Type" ウィジェットでも同様に過去1週間において High Traffic イベントが大部分を占めてしまっています。
共通のベストプラクティスは、これらのアラームを調査して、どれが役に立つものでどれが無視してもいいものであるか判断することです。"Today's Alarms" の円グラフで "High Traffic" の部分をクリックすると、このイベントの詳細情報が得られます。High Traffic イベントの履歴が表示され、これらのホストではポリシーで設定された最大トラフィックレートを超えるトラフィックが発生したためにイベントが上がっていることが分かります。ほとんどのケースにおいて最大が 1Gbps のところを 2Gbps 以上のトラフィックが観測されています。
ネットワーク上のホストは通常時において 3G bps までのトラフィックを流していることが分かったため、このことをポリシーに反映させて High Traffic の誤検知を抑制する必要があります。これらのホストの大部分は Catch All ホストグループに所属していますので、これらを正しいホストグループに分類する必要があります。
このイベントのポリシーをチューニングするには、"Actions" カラムの (…) マークをクリックして、"Tune Alarm" を選択します。
Policy Management ページが表示されます。このシナリオでは、Default Inside Hosts ポリシーだけにこのイベントのポリシーが設定されています。許容レベルは 75 にセットされており、"Never trigger alarm when less than 100M bps"(100M bps 未満ではアラームを発生させない) と "Always trigger alarm when greater than 1G bps" (1G bps を超える場合は常にアラームを発生させる)がトリガーレベルにセットされています。
3G bps までを許容範囲とするようにイベントを設定するには、許容レベルを 75 のままとして、設定を以下のように変更します。
- "Never trigger alarm when less than:" を 3G bps にセットします。
- "Always trigger alarm when greater than:" を 4G bps にセットします。
許容レベルに関しては、"Stealthwatch Managenetn Console User Guide" に説明がありますので、参照してください。
新しい設定を適用し、ベースラインの計算が終わると、ダッシュボードが正常化していきます。Today's Alarm と Alarms by Type ウィジェットの表示がきれいになり、これまで High Traffic のイベントに埋もれていた他のイベントが見やすく表示されるようになります。
Catch All ホストグループのホストが分類されているので、ダッシュボードは時間とともに正常になり続けます。
アラームチューニングは繰り返し実施すべきものであり、アラームを発生させる最も重要ですぐに利用できるイベントを決定することにより、導入した Stealthwatch システムの価値が得られます。