本記事は TechHarmony Advent Calendar 2024 12/8付の記事です。 |
Catoクラウドの管理者の皆様には、日々様々な通知が届いていませんか?
今回はCatoクラウドの通知機能についてまとめてみました。
通知というと、セキュリティ関連やネットワーク関連の警告、またはサービス障害関連の通知を思い浮かべる方が多いと思います。
ですが実際には他にも様々な通知が届いているはずです。
今回はCatoではどんな通知機能があるのか整理してみたいと思います。
通知の種類
まず、Catoの通知を大きく分類するとこんな感じです。
No | 通知の種類 | 内容 |
1 | セキュリティに関する通知 | 各種セキュリティポリシーにマッチした通信の発生をトリガーに通知します |
2 | Socketの接続に関する通知 | Link Health RulesによるSocket 接続状態の異常検知をトリガーに通知します |
3 | インシデントの通知 | XDR機能によるインシデントの検知をトリガーに通知します |
4 | CMAのシステム通知 | Socketのアップグレード結果やライセンスの有効期限などを通知します |
5 | アップデート情報の通知 | 週に1度、機能強化や新機能に関する情報が通知されます |
6 | サービス障害・メンテナンス通知 | 各PoPのメンテナンスやサービス全体に関する障害が発生した場合に通知されます |
これらの通知は、デフォルトで通知が有効化されているものとそうでないものがあります。
結論からお伝えすると、CMAのシステム通知(No.4)とアップデート情報の通知(No.5)はデフォルトで有効化されており、その他は管理者の設定次第となっています。
- デフォルトで有効化されているもの
→ アップデート情報の通知,CMAのシステム通知 - デフォルトで有効化されていないもの
→ セキュリティに関する通知,Socketの接続に関する通知,インシデントの通知,サービス障害・メンテナンス通知
こう見ると、ほとんどが管理者の設定次第ということがわかります。
さらに、有効/無効化および通知先と通知タイミングの設定は、CMAからできるものとできないものがあります。
少しややこしいので、今回はこのあたりを整理していきます。
CMAで設定するもの
それでは、まずCMAから設定できるものです。
No.1 セキュリティ機能による通知
セキュリティ機能による通知は管理者であればご存知と思いますが、ポリシーにマッチした通信の発生をトリガーに通知するものです。
例えばInternet Firewallであれば下図のような「Security Alert」が通知されます。
各ポリシーを定義する際に通知の設定を行いますが、この時すべてのポリシーに対して通知設定をする必要はなく、重要なポリシーに対してのみ通知の設定を行うとよいかと思います。
また、Catoがデフォルトでポリシーを定義している場合があります。
例えばIPS・DNS Protection・Anti-Malwareです。Internet Firewallのカテゴリフィルタなどのポリシーもそうですね。
このようなデフォルトで定義されているポリシーは通知が無効化されていることが多いです。
これらのデフォルトポリシーは、通知が大量に飛んでしまう可能性を考慮し基本的にはそのまま(無効の状態)で問題ございませんが、各企業のセキュリティポリシーに沿って変更を検討いただくのもよいかと思います。
No.2 Socketの接続に関する通知
Socketの接続に関する通知は、Link Health Rulesという機能をを使います。
Link Health RulesにてSocketの接続状態における異常を検知するようルールを定義し、異常の検知をトリガーに通知します。
例えば、SocketのDisconnectを検知した際は下図のような「Health Alert」が通知されます。
また、Link Health RuleにはConnectivity Health RulesとQuality Health Rulesの2つがあり、CatoのBest Practiceによるとこれらは設定しておくことが推奨となっております。
詳しい設定方法は本記事では割愛しますが、それぞれで検知できる内容をまとめるとこんな感じです。
- Connectivity Health Rules
以下のような接続の正常性に関するイベントを選択し、そのイベントの発生をトリガーに通知します。No イベントの種類 説明 1 Failover プライマリリンクとセカンダリリンク間、またはその逆のフェイルオーバー 2 Primary Disconnect アクティブ状態のリンクの切断 3 Secondary Disconnect パッシブ状態またはラスト リゾート ステートのリンクの切断 4 Socket Failover HA 構成のソケット間のフェイルオーバー 5 Internet as a Transport インターネット(Cato Cloudではない)を介してデータを転送しているリンクの切断 - Quality Health Rules
以下のような接続の品質閾値を設定し、評価期間にその設定した閾値を満たない場合に通知します。
この時、品質閾値は複数を組み合わせて設定することができます。No 品質閾値の種類 説明 1 Packet Loss 送信パケットの割合 2 Distance (msec) 送信元と PoP 間でパケットが移動するのにかかる時間 (ミリ秒) 3 Jitter (msec) パケット間の遅延 (ミリ秒単位) 4 Congestion 輻輳(評価期間に破棄されたパケットが1%を超えた状態)
No.3 インシデントの通知
CatoではXDRという機能により、セキュリティを脅かすインシデントを自動的に検知する機能が提供されています。
検知したインシデントのことを「ストーリー」と呼んでいますが、Detection & Responseという機能を使えばそのストーリー生成をトリガーに通知させることができます。
例えば、危険なマルウェアの侵入口なる可能性を秘めたダウンローダーを検知するストーリーが生成された際に「Detection & Response Alert」を通知します。
また、各ストーリーには「Criticality」という重要度を表す値が1 (低) ~ 10 (高) で付与されます。
Criticalityが7以上のストーリーは注意が必要だと言われていますので、Criticalityが7以上のストーリー生成をトリガーに通知を行うことを推奨しています。
こちらも設定方法の詳しい説明は割愛しますが、このようにCriteriaで条件を定義することができます。
No.4 CMAのシステム通知
CMAのシステム通知とは、Socketのアップグレード結果の通知やライセンスの有効期限の通知など様々です。
2024年12月時点では、CMAのSystem Notificationsのページで設定ができるようになっており、デフォルトで以下のイベントをすべての管理者へ通知する設定となっています。
No | イベントの種類 | 内容 |
1 | Data Export | CSVファイルなどのデータエクスポート |
2 | Expired Signing Certificate | デバイス認証に使用されるルートCA署名証明書の有効期限切れ |
3 | SCIM Provisioning | SCIMプロビジョニングの成功または失敗 |
4 | Admin Locked/Unlocked | CMAの管理者アカウントロックとロック解除 |
5 | User Locked/Unlocked | Catoクライアントのロックとロック解除 |
6 | License Updated | ライセンスの有効期限切れ・更新・変更 |
7 | Activate New Socket | Socketのアクティベート(Siteとの紐づけ)準備完了 |
8 | General Notification | CMAアカウントに影響を与える状況に対する特別なお知らせ ※ほとんど送信されません。 |
9 | Socket Upgrade | Socketバージョンアップの連絡 |
10 | DC Connectivity Failure | User Awarenessのディレクトリ サービス同期に使用されるWMI コントローラの失敗 |
11 | Directory Services Sync | LDAPを使用したディレクトリ サービス同期の失敗 |
例えば、Socketのアクティベート準備が完了した際は、下図のように「Activate New Socket」が通知されます。
次に、設定方法についてです。
設定方法
設定方法はNo.1~4すべて同様です。
「Send Notification」にチェックを入れることで通知機能の有効化を行い、通知先と通知タイミングを定義していきます。
以下は管理者全員に即時でメール通知する方法で、一番スタンダードな設定方法です。
- Send notification to:Mailing List(All Admins)
- Frequency:immediate
事前に定義しておけばCMAの管理者以外にメール通知させることも可能です。
また、メールによる通知だけでなくWebhookを使ってSlack、ServiceNow、Jira、その他Webhook 経由でのアラート受信に対応しているサービスに対して通知を行うことも可能です。
Webhook機能を利用してSlackに通知する方法はこちらの記事をご参照ください。
通知メールのカスタマイズ
少し話が脱線しますが、通知メールのカスタマイズ機能があることをご存知でしょうか?
デフォルトでは下図のようにCatoのテンプレートになっていますが、Email Templateページにて各企業ブランドに合わせてカスタマイズすることができます。
特に③の「Contact us message」の部分関しては、具体的な連絡先に変更すると便利だと思います。
CMAで設定できないもの
では、続いてCMAから設定ができないNo.5、No.6についてです。
No.5 アップデート情報の通知
Catoでは毎週のように機能強化や機能追加が行われており、日本の場合は毎週日曜日の夜中~月曜日の早朝にかけて下図のような「Product Update」が管理者に通知されます。
この通知は、管理者として登録がされた時点でデフォルトで有効になり、Catoから自動でメール配信される設定になっています。
そのため、管理者にてCMAから無効化や通知先・通知タイミングの変更を行うことができません。
もし配信をとめてほしいといった場合は、メール本文の一番下にある「unsubscribe from this list」をクリックし、次のページで「Unsubscribe」をクリックします。こうすることで購読停止が可能です。
ですがアップデート情報の中には、重要な情報も含まれますので、購読停止はせずに内容をご確認いただくことをお勧めします。
No.6 サービス障害・メンテナンス通知
最後に、サービス障害・メンテナンス情報の通知についてです。
サービス障害・メンテナンスはサービス停止を伴う場合があり非常に重要な情報なのですが、なんと管理者ご自身で通知の設定をしないと通知がされません!
ですので、必ず設定をしておくことを推奨します。
通知設定を行うと、例えば緊急メンテナンスが行われる際に下図のような「Emergency Maintenance Notification」が通知されます。
また、PoP障害の場合は「PoP Infrastructure – Services degradation due to(原因)」が通知されます。
詳細はこちらの記事でご説明しておりますのでご参照ください。
まとめ
最後に、本記事のまとめです。
この記事が、今一度通知設定を見直すきかっけになれば幸いです!
- 通知機能はデフォルトで有効化されているものとそうでないものがある
- 通知機能はCMAで設定できるものとできないものがある
- サービス障害・メンテナンス通知はデフォルトで無効になっているため設定するを推奨します
- Socketの接続に関する通知もCatoのBest Practiceに準じて設定することを推奨します