inet_alert

説明

企業内ネットワークが攻撃された場合、インターネットサービスプロバイダ(ISP)に通知する。このコマンドは、Check Point Security Gateway上のアラートデーモンによって生成されたログメッセージを外部の管理ステーションに転送します。この外部管理ステーションは、通常ISPサイトに設置される。ISPはそのアラートを分析し、適切な対応をすることができます。

このコマンドは、Event Logging API(ELA)プロトコルを使用して警告を送信します。警告を受信する管理ステーションは、ELA プロキシを実行している必要があります。

ELA プロキシとの通信を認証または暗号化する場合は、ISP サイトで ELA プロキシを実行している外部管理ステーションと、警告を生成する Check Point Security Gateway との間で鍵の交換を行う必要があります。

手順

ステップ

手順

1

SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。を使用して、外部の管理ステーションにログメッセージを転送するセキュリティ ゲートウェイを管理するセキュリティ管理サーバまたはドメイン管理サーバに接続します。

2

左上のMenu から、Global properties をクリックします。

3

Log and Alert の近くにある[+] をクリックし、Alerts をクリックします。

4

Send user defined alert no. 1 to SmartView Monitor をクリアします。

5

次のオプションを選択しますRun UserDefined script under the above.

6

該当するinet_alert の構文を入力します(下記のSyntax の項を参照)。

7

OKをクリックします。。

8

このSecurity Gatewayオブジェクトにアクセスコントロールポリシーをインストールします。

構文

inet_alert -s <IP Address> [-o] [-a <Auth Type>] [-p <Port>] [-f <Token> <Value>] [-m <Alert Type>]

注:

パラメータ

パラメータ

説明

-s <IP Address>

ELA プロキシの IPv4 アドレス(通常 ISP サイトに配置)。

-o

stdout に受信したアラートログを印刷します。

このオプションは、inet_alert がパイプ構文(<some command> | inet_alert ...)の一部である場合に使用します。

-a <Auth Type>

ELA プロキシへの接続の種類を指定します。

このうちの1つの値。

  • ssl_opsec - 接続は認証され、暗号化されます(これはデフォルトです)。

  • auth_opsec - 接続は認証されています。

  • clear - 接続は認証も暗号化もされていない。

-p <Port>

ELA プロキシのポート番号を指定します。デフォルトのポートは18187です。

-f <Token> <Value>

ログに追加するフィールド。以下のように<Token> <Value> のペアで表される。

  • <Token> - ログに追加されるフィールドの名前です。空白を含むことはできません。

  • <Value> - フィールドの値。空白を含むことはできません。

このオプションを複数回使用すると、複数の<Token> <Value> ペアをログに追加することができます。

-m <Alert Type>

ISP サイトで発生させるアラートです。

このアラートは、アラートデーモンが生成するログメッセージで指定されたアラートより優先されます。

アラートに対する対応は、ISP セキュリティポリシーで規定されたアクションに従って処理される。

これらの警告は、OSのコマンドを実行するものです。

  • alert - ポップアップ警告コマンド

  • mail - メールアラートコマンド

  • snmptrap - SNMPトラップ警告コマンド

  • spoofalert - なりすまし防止警告コマンド

これらのNetQuotaとServerQuotaの警告は、$FWDIR/conf/objects.C: ファイルに指定されたOSコマンドを実行します。

value=clientquotaalert. Parameter=clientquotaalertcmd

存在する状態

退出状況

説明

0

実行に成功しました。

102

未確定エラー。

103

メモリが割り当てられません。

104

からログ情報を取得できない stdin

106

コマンドラインの引数が無効です。

107

OPSEC APIの呼び出しに失敗しました。

inet_alert -s 10.0.2.4 -a clear -f product cads -m alert

このコマンドは、攻撃されたときにこれらの動作を行うように指定します。

  • IPアドレス10.0.2.4に設置されたELAプロキシとのクリアな接続を確立します。

  • 指定されたELAプロキシにログメッセージを送信します。このログメッセージのproductフィールドを cads

  • SmartConsole> Menu > Global properties > Log and Alert > Popup Alert Command フィールドで指定された OS コマンドをトリガーします。