みなさん、こんにちは!
本日はZIAで先日アップデートされたSecurity Alert機能についてご紹介いたします。セキュリティアラートのルールを管理し、イベントタイプや重要度に応じて統計的にアラートを確認することができる機能となっております。また、Webhookを利用しイベントアラートをサードパーティApp(slack, ServiceNow, Splunk)と共有することもできますので、運用面でも使える機能となっています。
■普通のアラート設定との違いは?
✔ 普通のアラート設定
管理>アラート配下にもアラートを設定できる項目があります。
アラートの追加(画面左)でアラートを上げたいトリガーとなるイベントを決め、アラートの対象となるユーザ/部署/ロケーションを設定します。緊急度合いを決め、アラートのサブスクリプション(画面右)からメールアドレスを指定して緊急度合いにチェックをつけることで対象のアラートを飛ばすことが可能です。あくまでアラートの設定のみで、アラートの発生している原因や影響は把握することができません。
✔セキュリティアラート
まずこちらがトップ画面です。文字通りセキュリティのアラートに特化しているのですが、一番の違いは可視化にあります。この画面では、発生したセキュリティのイベントを一目で確認でき、影響を受けるロケーションやシステムまで即座にチェックすることができます。
通常はアラートを飛ばす設定のみに対し重要度の高いセキュリティアラートについてはアラートが発生している原因と影響が可視化されています。続いて実際に動作を確認してみました!
■利用イメージ
ここでは検証を基に利用イメージを確かめたいと思います。行った内容はテストファイルがマルウェアポリシーにより検出されセキュリティアラートが発生した際に、Wevhookを利用しslackにアラートが通知されるまでを確認しています。
WebhookによるSlack連携
今回は「#zscaler-alert」チャンネルに対して通知がいくようにWebhook URLを生成しています。slack側の設定になるので詳細は割愛しますが、slackで受け取りたいチャンネルに紐づいたWebhook URLを生成しています。ServiceNowやSplunkなど通知を受け取りたいサービスに応じてURLや認証情報をご確認ください。
Slackで宛先となるURLを生成出来たらセキュリティアラート>Webhookから詳細情報を追加します。URLと認証情報を入れるだけなのでそこまで難しい設定は必要ありません。
Webhookの設定が済んだ状態でTest Webhookを送って問題なく届いていることを確認しました。これでアラートが発生した際にSlackに送る準備はできました。
アラートルールの作成
アラートルールの追加より新規でルールを作成します。必要な項目はどのポリシーによって検知されたときに発生させるアラートなのかを選択します。今回はマルウェアポリシーを指定し、Slackへのチャットに加えてメールでのアラート送信も試してみます。
アラートルールの設定はこれだけです。設定が済みましたら保存&有効化します。
✔マルウェアの検知
マルウェア検知のアラートを発生させるためマルウェアテスト用のファイルをダウンロードします。ダウンロードを試した段階で、マルウェアポリシーによって検知され画面上でブロックされていることが確認できます。
ログを確認してもマルウェアとしてブロックされていることが確認できます。次は設定した通りWebhookによってSlackにセキュリティアラートが飛んでいるか確認します。
Slackでの確認
webhookによって連携されたSlackにはきちんとアラートがリアルタイムで転送されており、設定したアラートルールに基づいて検知されていることがわかります。
ついでに設定したメールを確認しても同様の内容がしっかりと届いています。
Slackに記載の「ZIA URL」やメールの「View Alert」からZIAの詳細ページに遷移し状況を把握することも可能です。詳細画面では検出されたポリシーに加え、処理の状況、アラートが発生した原因、アクセス先の情報が確認できます。
影響を受けるシステムタブでは、検知された内容が影響を及ぼす部署やロケーションが確認でき、対応の範囲を把握することができます。
今回はSecurity Alert機能のご紹介を動作を交えてお伝えしました。セキュリティのインシデントが発生したことをダッシュボードから確認することはできますがリアルタイム性はありません。その点、セキュリティアラートをご利用いただくと様々な方法でアラートを受け取れ、迅速に状況の把握ができ対応が必要な範囲を特定できます!
ここまで読んでくださりありがとうございました。新機能については検証ができ次第、記事として投稿予定です。定期的なチェックをぜひお願いします!
参考ドキュメント
・About Security Alerts
https://help.zscaler.com/zia/about-security-alerts
・Configuring an Alert Rule
https://help.zscaler.com/zia/configuring-alert-rule
・About Webhooks
https://help.zscaler.com/zia/about-webhooks
※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
正確性、最新性、完全性は保証できませんのでご了承ください。
他のおすすめ記事はこちら
著者紹介
SB C&S株式会社
技術統括部 第2技術部 2課
秋池 幹直