Firepower Management Center アラート応答
SNMP、syslog、または電子メールでの外部イベント通知はクリティカルなシステムのモニタリングに役立ちます。Firepower Management Center はアラート応答を構成して外部サーバと対話します。アラート応答は、電子メール、SNMP、syslog サーバへの接続を表す構成です。これが応答と呼ばれるのは、これを使用して Firepower により検出されたイベントに応答してアラートを送信できるためです。異なるタイプのアラートを異なるモニタリング サーバまたはユーザ(あるいはその両方)に送信するための複数のアラート応答を構成できます。
(注) |
アラート応答を使用するアラートは、Firepower Management Center によって送信されます。アラート応答を使用しない侵入の電子メール アラートも、Firepower Management Center によって送信されます。対照的に、個別の侵入ルールのトリガーに基づく SNMP および syslog アラートは管理対象デバイスから直接送信されます。詳細については、侵入イベントに関する外部アラートを参照してください。 |
ほとんどの場合、外部アラートに含まれる情報はデータベースにロギングされたいずれかの関連イベントに含まれる情報と同じです。ただし、相関ルールに接続トラッカーが含まれる相関イベント アラートについては、受信する情報はベースのイベントの種類に関係なく、トラフィック プロファイル変更のアラート情報と同じです。
アラート応答の作成や管理は [アラート(Alerts)] ページ()で行います。新しいアラート応答は自動的に有効になります。アラート応答を削除するのではなく無効にすることで、アラートの生成を一時的に止めることができます。
アラート応答を使って SNMP トラップまたは syslog サーバに接続ログを送信している場合(外部電子メール アラートは接続イベントではサポートされていません)、これらのアラート応答を編集したあとに設定の変更を展開する必要があります。そうしないと、アラート応答への変更はただちに反映されます。
マルチドメイン展開では、アラート応答を作成すると、作成された応答は現在のドメインに属します。このアラート応答は子孫ドメインでも使用できます。
アラート応答のサポート設定
アラート応答を作成した後、それを使用して、次のような外部アラートを Firepower Management Center から送信できます。
アラート/イベントのタイプ |
詳細情報 |
---|---|
侵入イベント(インパクト フラグ別) |
|
検出イベント(タイプ別) |
|
ネットワークベースのマルウェアとレトロスペクティブ マルウェアのイベント |
|
相関イベント(相関ポリシー違反ごと) |
|
相関イベント(ログ ルールまたはデフォルト アクション別)(電子メール アラートのサポートなし) |
|
ヘルス イベント(ヘルス モジュールおよび重大度レベル別) |