はじめに
SEGやSMAにはアラートを送信する機能がありますが、CESではお客様自身でアラートを設定することができないため、CISCOへ依頼することになります。
構築段階のお客様はオンボーディングチームへ依頼しますが、運用段階への移行後はTACへ依頼することになります。本稿ではTACのSRオープン時にご提供いただく情報をまとめています。
アラートの設定項目
SEG
SMA
アラートには「Critical(クリティカル)」、「Warning(警告)」、「Info(情報)」の3種類のSeverityがあります。「All(すべて)」を選択すると、これら3種類のアラートが全て有効になります。
出力されるアラートの情報は、各バージョンのUser Guideが参考になります。
例: SEGのアラート説明ページ(AsyncOS14.0)
https://www.cisco.com/c/ja_jp/td/docs/security/ces/user_guide/esa_user_guide_14-0/b_ESA_Admin_Guide_ces_14-0/b_ESA_Admin_Guide_12_1_chapter_0100010.html#con_1485975
例: SMAのアラート説明ページ(AsyncOS14.0)
https://www.cisco.com/c/ja_jp/td/docs/security/security_management/sma/sma14-0/b_sma_admin_guide_14_0/b_NGSMA_Admin_Guide_chapter_01011.html#con_1056477
TACへ提供する情報
設定依頼時は、以下の情報をご用意ください。
1. CESのホストネーム:
設定対象のSEG/SMAのホストネームご提示ください。
2. Support Tunnelの情報(Serial NumberとSeed String)
TACから機器へリモートアクセスして設定しますので、SEGとSMAのSupport Tunnelを有効にします。Cluster Modeでは全てのSEGの設定を一度に行うことができるため、SEGは一台のみ有効化します。
参考: [CES] GUIからサポート・トンネル有効化・無効化の手順
https://community.cisco.com/t5/-/-/ta-p/4441507
3. SEGの設定
Recipient Address(受信者アドレス):
Release and Support Notifications (リリースとサポート通知): 有効、無効
System (システム): All, Critical, Warning, Info, 無効
Hardware (ハードウェア): All, Critical, Warning, Info, 無効
Updater (アップデータ): All, Critical, Warning, Info, 無効
Message Delivery (送信メッセージ): All, Critical, Warning, Info, 無効
SAML (SAML): All, Critical, Warning, Info, 無効
Outbreak Filters (アウトブレイクフィルタ): All, Critical, Warning, Info, 無効
Anti-Virus (アンチウイルス): All, Critical, Warning, Info, 無効
Anti-Spam (スパム対策): All, Critical, Warning, Info, 無効
AMP (AMP): All, Critical, Warning, Info, 無効
Directory Harvest Attack Prevention (ディレクトリ獲得攻撃防御): All, Critical, Warning, Info, 無効
Threatfeeds (脅威フィード): All, Critical, Warning, Info, 無効
4. SMAの設定
Recipient Address(受信者アドレス):
System (システム): All, Critical, Warning, Info, 無効
System (ハードウェア): All, Critical, Warning, Info, 無効
Updater (アップデータ): All, Critical, Warning, Info, 無効
SAML (SAML): All, Critical, Warning, Info, 無効
*青色の部分を選択します。
依頼例:
1. CESのホストネーム:
esa1.hc00-0.ap.iphmx.com
esa2.hc00-0.ap.iphmx.com
sma1.hc00-0.ap.iphmx.com
2. Support Tunnelの情報
SEG:
Serial Number: XXXXXXXXXXXXXXX-YYYYYYYYYY
seed string: ZZZZZZZZZZZZZZZZ
SMA:
Serial Number: XXXXXXXXXXXXXXX-YYYYYYYYYY
seed string: ZZZZZZZZZZZZZZZZ
3. SEGの設定
Recipient Address(受信者アドレス): test@example.com
Release and Support Notifications (リリースとサポート通知): 無効
System (システム): All
Hardware (ハードウェア): Critical, Warning
Updater (アップデータ): Critical, Warning
Message Delivery (送信メッセージ): Critical, Warning
SAML (SAML): 無効
Outbreak Filters (アウトブレイクフィルタ): Critical, Warning
Anti-Virus (アンチウイルス): Critical, Warning
Anti-Spam (スパム対策): Critical, Warning
AMP (AMP): All
Directory Harvest Attack Prevention (ディレクトリ獲得攻撃防御): 無効
Threatfeeds (脅威フィード): 無効
4. SMAの設定
Recipient Address(受信者アドレス): test@example.com
System (システム): All
Hardware (ハードウェア): Critical, Warning
Updater (アップデータ Critical, Warning
SAML (SAML): 無効
この設定はあくまでも一例となります。 TACからご案内している推奨設定はありませんので、それぞれのお客様が必要とされる設定をご依頼ください。
アラートの受信確認
System(システム)のInfo(情報)レベルアラートが有効になっている場合、Support Tunnelを有効/無効にした際に以下のようなタイトルのアラートが発生しますので、設定完了後にそのアラートが受信できていることを確認します。
有効化時:
Info <System> esa1.example.com: Tech support: Service tunnel has been enabled, port 25
無効化時:
Info <System> esa1.example.com: Tech support: Service tunnel has been disabled
参考: [CES] GUIからサポート・トンネル有効化・無効化の手順
https://community.cisco.com/t5/-/-/ta-p/4441507
参考ドキュメント
Cisco クラウド E メール セキュリティ エンドユーザ ガイド
https://www.cisco.com/c/ja_jp/support/security/cloud-email-security/products-user-guide-list.html
Cisco Secure Email and Web Manager エンドユーザ ガイド
https://www.cisco.com/c/ja_jp/support/security/content-security-management-appliance/products-user-guide-list.html
Eメールセキュリティアプライアンスでのアラートの設定
https://www.cisco.com/c/ja_jp/support/docs/security/secure-email-gateway/220346-configure-alerts-in-email-security-appli.html