本ブログ記事は、ntop社のブログ「Dispatching Alerts: How to Master Notifications in ntopng」を意訳してご紹介しております。
文:ジュピターテクノロジー よしひろ
本日は、ntopngのアラートの設定方法をご紹介します。ntopngがバージョンアップされ、アラート、通知設定が変更となりましたので是非本記事を参考に設定を施してください。
Checksの働き
ntopngのアラートは、Checksと呼ばれるプラグイン実行により実装されています。Checksは、トラフィック指標になんらかの注意が必要であることを知らせてくれます。
たとえば、動作スコアが特定のしきい値を超えたホストや、データを盗み出しているフローなどをntopngが発見した場合にアラートが発報されます。Checksは、特定のネットワーク要素に関するトラフィック情報を処理します。
このため、それらはファミリ(ホスト、インターフェイス、フローなど)に分類されます。ファミリに関係なく、セキュリティの側面をカバーしたり、ネットワークパフォーマンスを監視することもできます。
つまり、それらは異なるカテゴリ(ネットワーク、サイバーセキュリティ、アクティブモニタリングなど)に属することになります。
Checksは、ntopng(左側のメニューバー)の[設定]-> [Checks]ページで有効、無効、設定(しきい値の設定など)することができます。図1では、ファミリーに基づいて複数のページに分割され、カテゴリに基づいてマークが付けられていることがわかります。
トラフィック処理の結果として、何かしらの閾値に接触した場合、Checksはトリガーアラートを発報します。アラートはntopngによって内部データベース(デフォルトではSQLite、または有効な場合はClickHouse)に保存されます。
そして、メッセージングシステム(Telegram、Slack、Discord、Teamsなど)、ログシステム(syslog、Elastic)、コールバックなど、さまざまな方法で通知できます(Webフック、シェルスクリプト)、電子メール。
ntopngのアラート
内部データベースからのアラートは、アラートエクスプローラー(左側のサイドバー、アラートアイコン)を使用して確認することができます。過去にさかのぼり、すべてのアラートフィールドのフィルタリングを使って、アラートを分析できます。
デフォルトでは、アラートは中小規模のサイトに適したSQLiteに保存されますが、大規模なサイトや長期保存のアラートを保持する場合は、ClickHouseを有効にすることをお勧めします。
発報されたアラートは、常にアラートデータベースに保存されます。代わりに、アラート通知をリモート受信者に配信するには、特定の設定が必要です。
このプロセスは、最新のntopng(開発版)バージョンで大幅に簡素化され、以前のようにプールと受信者の設定に関連する品雑な設定が不要となりました。
通知設定
最初のステップとして、エンドポイントを設定する必要があります。この設定により、通知を受信できるターゲットが識別されます。
たとえば、Discordの場合、これはWebHook URLを使います。これは、Discordチャネルにメッセージを配信するために使用される識別子です。
2番目のステップとして、エンドポイントごとに、少なくとも受信者を設定する必要があります(1つ以上の受信者を同じエンドポイントに設定できます)。受信者は、通知の宛先を表します。
受信者の設定は、特定の宛先に配信するアラートの種類を決定するためのフィルターが含まれています。たとえば、受信者に配信されるアラートを最小のSeverityに定義することができますし、複数の宛先、Checksカテゴリを指定できます。
さらに、アラートフィルタリングのより詳細な設定が必要になることがよくあります。特に、フローとホストのアラートを配信する場合、カーディナリティが高くなる可能性があり、多くのホストに関連したたくさんのアラートから、疑わしいホストに対するアラート通知を受信することに興味がわくはずです。
これを可能にするために、 ホストプールのセット(1つ以上)を設定することもできます。
受信者設定で選択したホストプールは、IP、サブネット、MACアドレスを指定することにより、プールメニュー から設定することができます。
終わりに
これが現在の最先端技術です。今後数週間で、次のような新機能を追加してアラートをさらに改善します。
・ノイズアラートを消音する機能(たとえば、最近同じようなアラートが配信された場合は、新しいアラートを送信しない)
・さらなるアラートフィルター(たとえば、特定の値を含む受信者Xアラートに送信)
特定の受信者に気になるアラートを配信することでアラートノイズを減らし、問題が定期的に繰り返される場合に特定のアラートを頻繁に送信しないようにします。
Enjoy!
お問い合わせ
ntopngにご興味のある方は、以下リンクよりいつでも弊社までお問い合わせください。
10分間機能制限なし!無償でご利用いただける評価版も以下のダウンロードリンクにご用意しております。簡単に検証が開始できますので、評価ガイド(PDF)を参考にぜひお試しください!
