はじめに

SEGやSMAにはアラートを送信する機能がありますが、CESではお客様自身でアラートを設定することができないため、CISCOへ依頼することになります。

構築段階のお客様はオンボーディングチームへ依頼しますが、運用段階への移行後はTACへ依頼することになります。本稿ではTACのSRオープン時にご提供いただく情報をまとめています。

アラートの設定項目

SEG

SMA

アラートには「Critical(クリティカル)」、「Warning(警告)」、「Info(情報)」の３種類のSeverityがあります。「All(すべて)」を選択すると、これら3種類のアラートが全て有効になります。

出力されるアラートの情報は、各バージョンのUser Guideが参考になります。

例: SEGのアラート説明ページ(AsyncOS14.0)
https://www.cisco.com/c/ja_jp/td/docs/security/ces/user_guide/esa_user_guide_14-0/b_ESA_Admin_Guide_ces_14-0/b_ESA_Admin_Guide_12_1_chapter_0100010.html#con_1485975

例: SMAのアラート説明ページ(AsyncOS14.0)
https://www.cisco.com/c/ja_jp/td/docs/security/security_management/sma/sma14-0/b_sma_admin_guide_14_0/b_NGSMA_Admin_Guide_chapter_01011.html#con_1056477

TACへ提供する情報

設定依頼時は、以下の情報をご用意ください。

1. CESのホストネーム: 

設定対象のSEG/SMAのホストネームご提示ください。

2. Support Tunnelの情報(Serial NumberとSeed String)

TACから機器へリモートアクセスして設定しますので、SEGとSMAのSupport Tunnelを有効にします。Cluster Modeでは全てのSEGの設定を一度に行うことができるため、SEGは一台のみ有効化します。

参考: [CES] GUIからサポート・トンネル有効化・無効化の手順
https://community.cisco.com/t5/-/-/ta-p/4441507

3.  SEGの設定

Recipient Address(受信者アドレス):

Release and Support Notifications (リリースとサポート通知):  有効、無効

System (システム):  All, Critical, Warning, Info, 無効
Hardware (ハードウェア):  All, Critical, Warning, Info, 無効
Updater (アップデータ):  All, Critical, Warning, Info, 無効
Message Delivery (送信メッセージ):  All, Critical, Warning, Info, 無効
SAML (SAML):  All, Critical, Warning, Info, 無効
Outbreak Filters (アウトブレイクフィルタ):   All, Critical, Warning, Info, 無効
Anti-Virus (アンチウイルス):  All, Critical, Warning, Info, 無効
Anti-Spam (スパム対策):  All, Critical, Warning, Info, 無効
AMP (AMP):    All, Critical, Warning, Info, 無効
Directory Harvest Attack Prevention (ディレクトリ獲得攻撃防御):  All, Critical, Warning, Info, 無効
Threatfeeds (脅威フィード):  All, Critical, Warning, Info, 無効

4. SMAの設定

Recipient Address(受信者アドレス):

System (システム):   All, Critical, Warning, Info, 無効
System (ハードウェア):   All, Critical, Warning, Info, 無効
Updater (アップデータ):   All, Critical, Warning, Info, 無効
SAML (SAML):   All, Critical, Warning, Info, 無効

*青色の部分を選択します。

依頼例:

1. CESのホストネーム: 
esa1.hc00-0.ap.iphmx.com
esa2.hc00-0.ap.iphmx.com
sma1.hc00-0.ap.iphmx.com

2. Support Tunnelの情報

SEG:
Serial Number: XXXXXXXXXXXXXXX-YYYYYYYYYY
seed string: ZZZZZZZZZZZZZZZZ

SMA:
Serial Number: XXXXXXXXXXXXXXX-YYYYYYYYYY
seed string: ZZZZZZZZZZZZZZZZ

3.  SEGの設定

Recipient Address(受信者アドレス): test@example.com

Release and Support Notifications (リリースとサポート通知):  無効

System (システム):   All
Hardware (ハードウェア):   Critical, Warning
Updater (アップデータ):   Critical, Warning
Message Delivery (送信メッセージ):   Critical, Warning
SAML (SAML):   無効
Outbreak Filters (アウトブレイクフィルタ):   Critical, Warning
Anti-Virus (アンチウイルス):    Critical, Warning
Anti-Spam (スパム対策):   Critical, Warning
AMP (AMP):    All
Directory Harvest Attack Prevention (ディレクトリ獲得攻撃防御):    無効
Threatfeeds (脅威フィード):   無効

4. SMAの設定

Recipient Address(受信者アドレス): test@example.com

System (システム):   All
Hardware (ハードウェア):   Critical, Warning
Updater (アップデータ    Critical, Warning
SAML (SAML):   無効

この設定はあくまでも一例となります。 TACからご案内している推奨設定はありませんので、それぞれのお客様が必要とされる設定をご依頼ください。

アラートの受信確認

System(システム)のInfo(情報)レベルアラートが有効になっている場合、Support Tunnelを有効/無効にした際に以下のようなタイトルのアラートが発生しますので、設定完了後にそのアラートが受信できていることを確認します。

有効化時:
Info <System> esa1.example.com: Tech support: Service tunnel has been enabled, port 25

無効化時:
Info <System> esa1.example.com: Tech support: Service tunnel has been disabled

参考: [CES] GUIからサポート・トンネル有効化・無効化の手順
https://community.cisco.com/t5/-/-/ta-p/4441507

参考ドキュメント

Cisco クラウド E メール セキュリティ エンドユーザ ガイド
https://www.cisco.com/c/ja_jp/support/security/cloud-email-security/products-user-guide-list.html

Cisco Secure Email and Web Manager エンドユーザ ガイド
https://www.cisco.com/c/ja_jp/support/security/content-security-management-appliance/products-user-guide-list.html

Eメールセキュリティアプライアンスでのアラートの設定
https://www.cisco.com/c/ja_jp/support/docs/security/secure-email-gateway/220346-configure-alerts-in-email-security-appli.html