SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

【Palo Alto】【Prisma Access】運用管理② -インシデント&アラート-

  1. ホーム
  2. 技術ブログ
  3. セキュリティ
  4. 【Palo Alto】【Prisma Access】運用管理② -インシデント&アラート-
セキュリティ
2024.08.15

Prisma Accessの運用管理に関する内容を複数回に分けてご紹介します。
第2回は運用管理機能の中から、インシデントやアラート、ログの確認方法についてご紹介します。

1. 運用管理機能について

Prisma Accessでは以下5つの標準機能を活用することで、Prisma Accessインフラ状況・利用状況・脅威などの可視化や、インシデント・アラートの確認が可能です。
本機能はStrata Cloud Manager (SCM) 経由でご利用いただけます。

  • Command Center
    Strataプラットフォームでネットワークセキュリティ全体を統合し、リアルタイムで包括的に可視化
  • Insights
    実際のユーザートラフィックに基づいたアプリの検出、使用状況・脅威の可視化
  • Dashboard
    モバイルユーザーや拠点の接続状況に関するインフラ状況(健全性)のダッシュボードから、各セキュリティに関するダッシュボードなど複数用意があり、用途に合わせて状況を確認可能
  • Incident & Alerts
    Prisma Accessインフラに関するインシデントのダッシュボード上への表示、アラート通知
  • Monitor
    ブランチサイト、データセンター、ネットワークサービス、サブスクリプションの使用状況、Prisma Accessロケーションなど、各項目の情報を詳しくモニタリング

今回は「Incident & Alerts」についてご紹介します。

 

2. Incident & Alerts について

  • インシデント
    Prisma Access上のセキュリティイベントやインフラ上の異常動作、特定のルールやポリシーに違反した場合、それらをインシデントとしてみなします。
  • アラート
    Prisma Access上のインシデントを検出した際に関係者に通知するための機能を提供します。ネットワーク障害や重要なセキュリティイベントに関する警告を受け取ることで、セキュリティチームや管理者が迅速に対処することが可能となります。Prisma Accessが生成するアラートには、優先アラートと情報アラートがあります。

SCMから、Incident & Alerts > Prisma Accessをクリックします。

013.png 014.png

インシデントやアラートの情報が表示されます。通知プロファイル設定やインシデント設定も可能です。
画面上部のタブで、「Overview」「インシデントリスト」「優先アラート」「情報アラート」「通知プロファイル」「ServiceNow監査ログ」「インシデント設定」から表示するカテゴリを選択します。
014-01.png

2.1. Overview

Overviewでは、その日に発生したインシデント、時系列、ユーザーへの影響などをインシデントの重大度ごとに確認することができます。また最新のインシデントとして、直近で発生しているインシデントがパネル式で表示されます。

各インシデントのリンクをクリックすると、そのインシデントに対する詳細情報を確認できます。

015.png

2.2. インシデントリスト

インシデントリストでは、発生したインシデントの一覧が表示されます。

016.png

Add Filter」をクリックして、インシデントの状態/ロケーション/重大度/カテゴリなど項目ごとにフィルタをかけることができます。

017.png

また、カラムアイコンをクリックして表示するカラムをカスタマイズ可能です。

018.png

インシデント名をクリックすると、インシデントの詳細ページに画面遷移します。

019.png

以下は、インシデントの詳細画面です。

インシデントカテゴリやインシデントコード情報、影響を受けるオブジェクトやユーザー数、イベントの時系列など、発生しているインシデントについての詳細が1つのページにまとまっています。

020.png

2.3. 優先アラート

優先アラートは、Prisma Access上で発生したセキュリティイベントやネットワークの重大な問題、迅速に対応が必要な状況に対して通知されるアラートです。

021.png

Add Filter」をクリックして、アラートの状態/ロケーション/重大度/カテゴリなど項目ごとにフィルタをかけることができます。

022.png

また、ダウンロードアイコンをクリックして、優先アラート情報をCSV形式でダウンロード可能です。

023.png
024.png

アラート名をクリックすると、アラートの詳細がポップアップで表示されます。

025.png

2.4. 情報アラート

情報アラートは一般的な情報を提供し、即座に対応する必要のないイベントを通知するアラートです。Prisma Accessのソフトウェアアップグレード関連の通知、進行状況や完了のステータスの通知を確認することができます。

優先アラートと同様に情報アラートにフィルタをかけて表示することや、アラート情報をCSV形式でダウンロードすることが可能です。

026.png

2.5. 通知プロファイル

通知プロファイルでは、管理者向けの通知設定を行うことができます。
デフォルトの通知プロファイルは無効にすることはできず、作成したプロファイルをデフォルトにすることもできません。デフォルトプロファイルに必要な管理者の宛先を追加してご利用ください。

通知サブスクリプション欄右上の「通知プロファイルを追加」から、新規プロファイルを作成できます。
また、通知サブスクリプションログ欄には、通知プロファイルを追加/変更/削除した際のログが表示されます。
※こちらのログは電子メール等で通知はされません

027.png

「通知プロファイルを追加」をクリックして、通知プロファイルを作成します。
① 通知プロファイル名を入力し、必要に応じて説明を記載します。
② 通知方法は、電子メール、Webhook、ServiceNow*の3パターンから選択可能です。
  (*ServiceNowとPrisma Accessを統合した場合のみ利用可能)
③ 【電子メールの場合】電子メール連絡先で「+連絡先を追加」をクリックし、管理者のメールアドレスを追加します。カーソルを合わせてダブルクリックすると入力できます。
④ サブスクリプション欄で通知内容を選択します。アラートカテゴリもしくはアラートコードごとに、受信したい通知を選択可能です。

028.png

※推奨設定
アラートカテゴリ「INFORMATIONAL」のチェックを有効にすることがメーカー推奨設定となります。
特に「AL_PRISMA_ACCESS_INFRASTRUCTURE_NOTIFICATION」を有効にすることで、Prisma Accessのソフトウェアアップグレード関連の通知を受信できるようになります。

029.png

2.6. インシデント設定

インシデントは、各機能のカテゴリもしくはインシデントコードごとに設定可能です。
表示されるカテゴリはご購入ライセンスによって異なります。
デフォルトでは、全てのカテゴリでインシデントが有効になっています。

030.png

カテゴリごとの設定

「カスタマイズ」をクリックすると、カテゴリごとのインシデント設定が可能です。

031.png

インシデント生成のルール (有効/無効/時間指定で無効)を指定し、1つ以上の通知プロファイルを選択します。選択後、「カスタマイズを保存」をクリックします。

032.png

インシデント設定で、「詳細設定を開いてインシデントコードをカスタマイズします」をクリックします。

034.png

インシデントコード欄にある「カスタマイズ」をクリックします。

033.png

インシデント生成のルール (有効/無効/時間指定で無効)を指定し、1つ以上の通知プロファイルを選択します。選択後、「カスタマイズを保存」をクリックします。

035.png

2.7. Log Viewer

ログの確認

Incident & Alerts > Log Viewerをクリックします。

036.png

ログの一覧が表示されます。
ログタイプの選択、ログ検索、クエリ保存/検索、期間指定、リスト出力などが可能です。

037.png

●ログタイプ
▽をクリックすると、選択可能なログタイプが表示されます。

038.png

Firewallはネットワークやセキュリティに関するログ、Commonはシステムや設定に関するログ、EndpointはGPアプリやZTNAエージェントに関するログを確認することができます。

039.png

●検索クエリ
クエリ入力欄をクリックすると、利用可能なクエリ構文が表示されます。
こちらから選択することで、簡単にクエリを作成することができます。

040.png

また、表示されているログの情報をクリックすると、選択した条件のクエリが自動入力されます。

041.png

クエリ構文についての詳細はTECHDOCSをご参照ください。
https://docs.paloaltonetworks.com/strata-logging-service/administration/view-logs/retrieve-logs/about-queries

●クエリ保存/検索

042.png

クエリ保存のアイコンをクリックして、使用頻度の高いクエリを保存しておくことができます。

043.png

また、過去に保存したクエリを選択してログ検索が可能です。

044.png

●期間指定

デフォルトでは、過去60分間のログが表示されます。
表示する時間範囲を一覧から選択、もしくはCustomから日時指定することも可能です。

045.png 046.png

各ログの左側にあるアイコンをクリックすると、ログの詳細を確認することができます。
General」「Source」「Destination」「Details」「Flags」の5つのカテゴリごとに表示されます。

047.png

 

3. まとめ

今回は運用管理機能に関して、インシデントやアラート、ログの確認方法についてご紹介しました。

本手順を実施することで、インシデント発生時に通知を受け取り迅速な対応を行うことが可能です。
重大度別に表示されるため、インシデントに優先をつけて対処することが可能になります。
またクエリ保存を活用することで、詳細条件を指定したログ検索を容易に実行できます。

次回はモニター機能についてご紹介します。

__________________________________________________________________________________

※本ブログの内容は投稿時点での情報となります。
 今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。

他のおすすめ記事はこちら

【Palo Alto】【初心者向け】PAN-OSアップグレード

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
PCNSE, PSE Strata/SASE Professional
中村 愛佳 -Manaka Nakamura-

Related Posts

関連記事