自動対応

検出した際、イベントで自動対応をアクティベートできます。SmartEvent管理者は、システムの必要に応じて、1つまたは複数の自動対応を設定することができます。

例:メール対応を定義して、適用するイベントの管理者に通知できます。複数の自動メール対応を作成し、各イベントのタイプ別の責任者に通知できます。

自動対応を作成するには

  1. イベント定義、または一般設定 > オブジェクト > 自動対応から自動対応オブジェクトを作成します。

  2. 自動対応をイベントを割り当てます(またはイベントに例外を割り当てます)。

  3. イベントポリシーを保存するには、ファイル > 保存をクリックします。

  4. イベントポリシーをSmartEvent相関ユニットにインストールするには、アクション > イベントポリシーのインストールをクリックします。

自動対応のタイプには以下があります。

  • メール - イベントが発生したことをメールで管理者に通知します。メール対応の作成を参照してください。

  • 発信元のブロック - 設定可能な期間に検出されたイベントから発信元のIPアドレスをブロックするようSecurity Gatewayに指示します。期間を1分~3週間以上で選択します。発信元ブロック対応の作成を参照してください。

  • イベントアクティビティのブロック - 設定可能な期間に複数の発信元から発生する分散型攻撃や、複数を対象にする攻撃をブロックするようSecurity Gatewayに指示します。期間を1分~3週間以上で選択します。イベントアクティビティブロック対応の作成を参照してください。

  • 外部のスクリプト - ユーザが指定するスクリプトを実行します。外部スクリプトの自動対策の作成を参照して、SmartEventデータを活用できるスクリプトを書きます。

  • SNMPトラップ - SNMPトラップを生成します。SNMPトラップ対応の作成を参照してください。

    イベントフィールドをSNMPトラップメッセージで送信できます。

    イベントフィールドののフォーマットは[seam_event_table_field]です。

    このリストはseam_eventテーブルフィールドを表します。

    AdditionalInfo varchar(1024)

    AutoReactionStatus varchar(1024)

    Category varchar(1024)

    DetectedBy integer

    DetectionTime integer

    Direction integer

    DueDate integer

    EndTime integer

    EventNumber integer

    FollowUp integer

    IsLast integer

    LastUpdateTime integer

    MaxNumOfConnections integer

    Name varchar(1024), NumOfAcceptedConnections integer

    NumOfRejectedConnections integer

    NumOfUpdates integer

    ProductCategory varchar(1024)

    ProductName varchar(1024)

    Remarks varchar(1024)

    RuleID varchar(48)

    Severity integer

    StartTime integer

    State integer

    TimeInterval integer

    TotalNumOfConnections varchar(20)

    User varchar(1024)

    Uuid varchar(48)

    aba_customer varchar(1024)

    jobID varchar(48)

    policyRuleID varchar(48)

メール対応の作成

  1. 追加 > メールを選択します。

  2. 自動対応にわかりやすい名前を付けます。

  3. FromToccのメールパラメータを指定します。

  4. 複数の受信者を追加する場合は、セミコロンでメールアドレスを区切ります。

    - 件名フィールドにはデフォルト値で[EventNumber] - [Severity] - [Name]の変数があります。これらの変数には、イベント番号、重要度、この対応をトリガするイベントの名前が自動的に追加されます。ユーザが変数を削除することもできます。

  5. オプション:各メール対応に汎用テキストを入力します。

  6. SMTPサーバのドメイン名を入力します。

  7. 保存を選択します。

SNMPトラップ対応の作成

  1. 追加 > SNMPトラップを選択します。

  2. 自動対応にわかりやすい名前を付けます。

  3. SNMPトラップパラメータホストメッセージOIDコミュニティ名を入力します。

    コマンドsend_snmpでは、ディレクトリ$CPDIR/lib/snmp/にあるchkpnnt.mibファイルにある値を使用します。SNMPトラップパラメータウィンドウで使用するOID値はchkpnnt.mibまたは参照するファイルで定義してください。OIDフィールドが空白の場合は、iso.org.dod.internet.private.enterprises.checkpoint.products.fw.fwEvent = 1.3.6.1.4.1.2620.1.1.11から判断されます。

    自動対応が発生すると、SNMPトラップが256バイトのDisplayStringテキストで送られます。OIDタイプがテキストではない場合、メッセージは送られません。

  4. 保存を選択します。

発信元ブロック対応の作成

  1. 追加 > 発信元のブロックを選択します。

  2. 自動対応にわかりやすい名前を付けます。

  3. ドロップダウンリストから、この発信元をブロックする時間(分)を選択します。

  4. 保存を選択します。

イベントアクティビティブロック対応の作成

  1. 追加 > イベントアクティビティのブロックを選択します。

  2. 自動対応にわかりやすい名前を付けます。

  3. ドロップダウンリストから、この発信元をブロックする時間(分)を選択します。

  4. 保存を選択します。

外部スクリプトの自動対策の作成

外部スクリプトを追加するには

  1. スクリプトを作成します。

  2. スクリプトをSmartEvent Serverに置きます。

    1. $RTDIR/binにフォルダext_commandsを作成:

      mkdir $RTDIR/bin/ext_commands

    2. スクリプトを$RTDIR/bin/ext_commands/、またはこの場所のフォルダ内に入れます。

      パスとスクリプトの名前にはスペースは入れないでください。

    3. スクリプトに実行権限を与えます:

      chmod +x <script_filename>

  3. SmartEvent GUIクライアントのポリシータブの、自動対応で、追加 >外部スクリプトを選択します。

  4. 自動対応の追加ウィンドウで

    1. 自動対応オブジェクトにわかりやすい名前を付けます。

    2. コマンドラインで、実行するスクリプトの名前を入力します。$RTDIR/bin/ext_commands/ディレクトリにあるスクリプトの名前を指定します。必要に応じて関連パスを使用します。$RTDIR/bin/ext_commands/のフルパスは指定しないでください。

    3. 保存を選択します。

スクリプトの作成ガイドライン

  • スクリプトを手動で実行して正常に動作するか確認します。

  • スクリプトの実行時間は10分以内にしてください。それ以上になるとSmartEventサーバでスクリプトを停止します。

  • スクリプトのイベントフィールドを使用します。

    スクリプトのイベントを参照するには、この環境変数を定義:

    EVENT=$(cat)

    $EVENTを使用

    ラインエディタコマンド(awksedなど)を使ってイベントを解析して特定のフィールドを参照します。フォーマットを確認するために$EVENTを一度出力できます。

    イベントコンテンツのフォーマットはname-valueになっていて、次のフィールドの構成セットになります:

    (name: value ;* );

    名前は文字列で値はセミコロンで区切るフリーテキストか、ネストされたname-valueセットになります。

    サンプルイベント:

    (Name:Check Point administrator credential guessing; RuleID:
    {F182D6BC-A0AA-444a-9F31-C0C22ACA2114}; Uuid:
    <42135c9c,00000000,2e1510ac,131c07b6>; NumOfUpdates:0; IsLast:0;
    StartTime:16Feb2015 16:45:45; EndTime:Not Completed; DetectionTime:
    16Feb2015 16:45:48; LastUpdateTime:0; TimeInterval:600;
    MaxNumOfConnections:3; TotalNumOfConnections:3; DetectedBy:2886735150;
    Origin:(IP:192.0.2.4; repetitions:3; countryname:United States;
    hostname: theHost) ; ProductName:SmartDashboard; User:XYZ; Source:
    (hostname: theHost; repetitions:3; IP:192.0.2.4; countryname:United
    States) ; Severity:Critical; EventNumber:EN00000184; State:0;
    NumOfRejectedConnections:0; NumOfAcceptedConnections:0) ;

イベントにフィールドをさらに追加する必要がある場合:

  1. SmartEvent GUIクライアントのポリシータブで、イベントを右クリックしてプロパティ > イベントフォーマットタブを選択します。

  2. 表示カラムで、イベントに表示するイベントフィールドを選択します。

  3. イベントポリシーをSmartEvent相関ユニットにインストールします。

自動対応のイベントへの割り当て

SmartEventに自動対応を追加し、このタイプのイベントが検出されたとき実行するよう設定できます。

  1. [...]アイコンを選択します。

  2. リストから作成した自動対応を選択するか、新規追加を選択します。各タイプの自動対応の作成方法は、上記セクションを参照してください。

  3. 自動対応を設定します。

  4. 保存を選択します。

  5. [OK]をクリックします。。