EDR/SDRによって脅威が検出された場合、そのリスクの度合いに応じて「通常の監視を続ける」「より厳しく監視する」「すぐに隔離(=ネットワークから遮断)する」といった対応策を講じる必要がある。
ADRAの場合、このような状態監視や対応措置は「リスク管理」の画面で行える。
リスク管理における状態は、以下の4段階が用意されている。なお、ここでいう「端末」はエッジハブのネットワークポートを経由して通信を行う機器を指し、インターネットの先にあるサーバなども含む。
状態の移行は、事前に設定したルールに基づいて自動的に行える他、管理者が主導で切り替えることも可能だ。作業時にコメントを残すこともできるので、状態移行の理由を記しておけば備忘録としても使え、複数の管理者がいる場合も「なぜそのような状態に設定されたのか」をすぐに把握できる。
管理画面のポリシー管理にある「ルール」は、リスク管理における「隔離」対応を自動化する機能だ。
ルールの設定は、IPアドレスを個別または範囲で指定して行う。指定したIPアドレスにおいて脅威が検出された場合に、以下の4種類から適用する設定を選択可能だ。
デフォルトでは、全てのソースに対して「リスク通知」が設定されている。
ADRAが検知した脅威や隔離を行った場合の通知は、管理画面の「通知」から行える。ただし、実際の設定はQNE Networkの「通知センター」に遷移し、そこから行うことになる。
行える通知設定は以下の通りだ。
【イベントの種類】
レベルごとの脅威の他、「コントロールマネージャ」「モジュール一般」「セキュリティ操作」から通知するイベントを選択できる。通知ルールを複数作成しておけば、「部長には隔離が行われた時のみ通知して、他のシステム担当者には全イベントを通知」といった設定も容易に行える。
【通知条件】
通知の対象となる重大度(情報/警告/エラー)、キーワードフィルター(特定の文字列を含む/含まない)、時間帯を指定できる。
うまく設定すれば、「頻繁に発生しうる通知はキーワードフィルターで落とす」「夜間は緊急時を除いて通知しない」といった設定も可能だ。
【方法と受信者】
通知は電子メールの他、携帯電話のSMS(ショートメッセージ)、インスタントメッセンジャーなどで行える。1つのイベントに対して複数の受信者(連絡先)や通知方法を組み合わせることも可能だ。
通知は電子メール、インスタントメッセージング、プッシュサービスで行う。一つのイベントに対して複数の連絡先/通知方法を使うこともできるので、体制に応じた柔軟な設定が可能だ。
中小企業にとって、ネットワークセキュリティに対して多くのコストや人員を割くことは難しい。ルールや通知をあらかじめ設定しておけば、何かあったらADRAが自動的に対応して連絡してくれる体制を構築できる。最小限の人員でも運用できることは大きなメリットといえる。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:QNAP株式会社
アイティメディア営業企画/制作:ITmedia PC USER 編集部/掲載内容有効期限:2023年3月14日