セキュリティ監視アラートを構成する
セキュリティ監視アラートは、ユーザーがセキュリティセンターでセキュリティメトリックの境界値を構成できるようにします。境界値のそれぞれにアラート、警告、回復の数値を指定することができます。また、ユーザーアラート通知を構成して、脅威メトリックでの境界値超えを監視することができます。
| オプション | 説明 |
|---|---|
| アラート | 評価された指標が指定された値に違反したときに、アラート通知を生成する必須の数値。 |
| 警告 | 評価された指標が値(指定されている場合)に違反したときに、警告通知を生成する任意の数値。 |
| 回復 | 評価された指標が違反していない値(指定されている場合)に戻ったときに、回復通知を作成する任意の数値。 |
アラートの境界値を構成して更新する
回復の境界値が構成されていない場合は、構成されている警告またはアラートで設定済みの境界値よりも多少低い値がデフォルトとして使用されます。
[Security(セキュリティ)]>[Security Center(セキュリティセンター)]>[Threat Monitoring(脅威の監視)]に移動して、メトリックのグラフを選択します。
右上にある[View Details(詳細の表示)]アイコンをクリックします。
グラフの詳細ビューの下に表示される[Thresholds(境界値)]パネルに移動して、[Create(作成)]を選択します。
境界値に名前を付けて、以下の設定を構成します。
境界値が警告を発動するタイミング
境界値がアラートを発動するタイミング
境界値が回復するタイミング
通知の送信先が構成されている場合には、以下を行うことができます。
メトリックのアラート、警告、回復の通知を受け取るための送信先を選択する
[+]を選択して、新しい送信先を作成する
[Mute Notifications(通知をミュートする)]ドロップダウンを使用して、境界値の送信先のすべてに通信を一時的または無期限にミュートする
[Save(保存)]を選択します。
境界値の更新や削除は展開表示画面でも実行できます。同じグラフに異なる境界値がある場合は、右上の境界値ラベルの後ろに表示されます。
通知の送信先を管理する
通知の送信先は、アラートや警告、回復の配信先となるエンドポイントです。送信先のエンドポイントは、テナントのそれぞれについて2つまでに限定されます。また、通信のメッセージをパーソナライズするには、サードパーティーのWebhookエディターの使用をお勧めします。
Dashboardで[Manage Destinations(送信先の管理)]ページに移動して[Thresholds(境界値)]の構成パネルを使用するか、[Security(セキュリティ)]>[Security Center(セキュリティセンター)]>[Manage Destinations(送信先の管理)]に移動します。
[New Destination(新しい送信先)]ボタンを選択して、以下の詳細を提供します。
Name(名前)
Destination URL(送信先のURL)
Authorization token(認可トークン)
[Save(保存)]を選択します。送信先のエンドポイントを削除するには、[More Actions(その他のアクション)]>[Delete(削除)]を選択します。
通知ペイロードのデータ
通知ペイロードには以下のデータが含まれます。
id:セキュリティセンターのアラートのIDですtenant:セキュリティセンターの通知を発信したテナントですevaluated_metric:境界値が適用される脅威メトリックですstate:通知の状態です(ALERT(アラート)、WARN(警告)、RECOVERED(回復))metric_value:過去60分間で評価されたメトリックの値ですalert_threshold:脅威メトリックについて構成済みのアラートの境界値ですwarn_threshold:脅威メトリックについて構成済みの警告の境界値ですrecovery_threshold:脅威メトリックについて構成済みの回復の境界値ですtriggered_at:境界値を超えた時点のUTC日時です
アラート履歴を表示する
発生したアラート、警告、回復の通知を表示するには、[Security(セキュリティ)]>[Security Center(セキュリティセンター)]>[Alert History(アラート履歴)]に移動します。すべての通知は通知に構成済みの送信先にも送信されます。
