%201.png){kind=logo}
アラート
概要
アラートページでは、リソースへのアクセスに関する通知機能を提供しています。重大な異常に対するトリガー条件を事前に設定しておくことで、ポリシー違反をリアルタイムで検出することができます。これにより、潜在的なセキュリティインシデントを迅速に特定し、解決することが可能となり、センシティブ情報の漏洩や、事前に設定した閾値を超える過剰なクエリからセンシティブ情報を保護することができます。
管理者 > 一般 > 企業管理 > アラート
本書では、以下のトピックについて説明します。
サポートされる通知の種類
一般的な通知に加え、データベースアクセスやシステムアクセスに特化した通知がサポートされています。
各サービスでサポートされる通知の種類は以下のとおりです:
サービス分類 | 通知タイプ | 通知内容 |
|---|---|---|
SAC、DAC、KAC | 新規リクエスト | 新規承認リクエスト通知 |
一般 | 異常なログイン試行 | IP レンジ別ユーザーログイン活動通知 |
DAC | SQL 実行 | 定義された条件に一致する SQL ステートメント実行の通知 |
DAC | 防止された SQL 実行 | 不正 SQL 実行通知 |
DAC | DB接続試行 | データベース接続の成否通知 |
DAC | センシティブデータアクセス | 定義された条件に基づくセンシティブデータへのアクセスの通知 |
DAC | SQL エクスポート | 定義された条件に基づく SQL エクスポート実行の通知 |
SAC | サーバー接続試行 | サーバー接続の成否通知 |
SAC | 制限コマンド | サーバー / サーバーグループ別ブロックコマンド実行通知 |
SAC | 特定コマンド | 特定コマンド実行通知 |
SAC | ファイル転送(SFTP) | SFTP によるファイル転送実行通知 |
KAC | K8s API リクエスト | Kubernetes API リクエスト通知
|
通知の作成
アラートページの右上にあるCreate Alertボタンをクリックして、新しい通知を作成します。OKボタンをクリックすると、通知の作成が完了します。
管理者 > 一般 > 会社管理 > アラート > アラートの作成
名前: 通知名
アラートタイプ :通知の種類を選択します。
アラートタイプによって利用できる条件が異なります。詳細は下記ドキュメントをご参照ください。
Message Template : 通知メッセージのテンプレートを設定します。
メッセージテンプレート変数フィールドでサポートされているテンプレート変数を使用して、カスタムメッセージを作成できます。
メッセージテンプレート変数はアラートタイプによって異なります。
チャンネル: 通知を送信するチャンネル
[管理者] > [概要] > [チャンネル] にリストされているチャンネルから選択します。
チャネルの詳細については チャンネルドキュメントを参照してください。
テスト メッセージの送信 :テスト通知メッセージを送信します。
選択したチャネルに、入力したメッセージ テンプレート コンテンツのテスト メッセージを送信します。
新規リクエスト
新規承認リクエスト登録の通知
リクエストタイプ :ワークフローリクエストタイプ
以下から選択します:
DB アクセスリクエスト
SQL リクエスト
SQL エクスポートリクエスト
サーバーアクセスリクエスト
アクセス役割リクエスト
マスク解除リクエスト
すべてのリクエスト (*) :すべてのリクエストタイプの通知を送信
緊急モード : 承認後のリクエストを通知するかどうか
All : すべての承認リクエストに対して通知を送信します。
Urgent Mode Only : 承認後のリクエストに対してのみ通知を送信します。
(10.2.2) テンプレート変数情報
Slack APIベースのチャネルに送信される通知では、
{{assignees}}に対する Slack ユーザのメンションがサポートされます。利用可能なテンプレート変数は、選択したリクエストタイプによって異なります。詳細については、新規リクエストの下のリクエストタイプ別のテンプレート変数に関する 別ドキュメントを参照してください。 .
異常なログイン試行
IP範囲に基づくユーザーのログイン試行に対する通知。
アクション回数:アラートのトリガーとなる認証失敗回数。
2以上の値を入力できます。
特定の時間間隔 (分) :アラートがトリガーされる時間枠 (分)。
1以上の値を入力できます。
例)異常なログイン試行に対するアラートの送信 - QueryPie へのログイン試行が 5分以内に 3回失敗した場合。
アクション数 : 3
特定の内部時間 (分):5
SQL 実行
定義された条件を満たす SQL クエリに対する通知。
行数 :アラートのトリガーとなる行数。
レコードを変更しない SQL イベントの場合、0を入力すると正しく動作します。
(例:Create、Drop、Revoke、Truncate)。
その他の SQL イベントの場合は、1以上を入力してください。
特定の時間間隔(分):アラートがトリガーされる時間枠(分単位)(バージョン 10.2.2以降で使用可能)。
0を入力すると、時間条件のない単一の SQL クエリの実行に基づいてアラートがトリガーされます。
最大値は 1440分です。
SQL イベント:アラートのトリガーとなる SQL クエリ(複数選択可)。
Connection : クエリ実行時にアラートが送信される接続(バージョン10.2.2以降で使用可能、複数選択可)。
"All Connections (*)" を選択すると、将来のすべての接続に対するアラート条件を作成できます。
例1) データ一括取得(100行以上)のアラート
行数 100
SQL イベント:
SELECT
例2) データ変更または削除の試みに対するアラート
行数 1
SQL イベント:
UPDATE、DELETE
阻止された SQL 実行
未許可 SQL 実行の警告
接続:クエリ実行時にアラートを送信する対象の接続(バージョン 10.2.2以降で使用可能 - 複数選択可)
すべての接続 (*):今後追加されるすべての接続に対してアラート条件を作成する
DB 接続試行
DB 接続の成功または失敗に対するアラート
アラートトリガー条件アラート送信条件(複数選択可)
成功:DB 接続成功時にアラート送信
失敗 DB 接続失敗時にアラート送信
接続失敗トリガーと間隔:接続失敗の回数と期間に基づいてアラート条件を設定します。
このオプションは Failure が選択されている場合のみ有効です。有効にすると、追加の入力フィールドが表示されます。
アクション回数:アラートをトリガーするまでの障害数
1以上の値を入力できます。
特定の時間間隔(分):障害カウントを追跡する期間(分)。
1以上の値を入力できます。
接続クエリ実行時にアラートを送信する対象の接続(バージョン 10.2.2以降で使用可能 - 複数選択可)
すべての接続 (*):今後追加されるすべての接続に対してアラート条件を作成します。
例:異常な DB 接続試行に対するアラート - 5分以内に 3回DB接続試行に失敗したらアラートをトリガーする
アラートトリガー条件失敗
接続失敗トリガー、インターバルあり:オン
アクション・カウント:3
特定の時間間隔(分):5
センシティブデータアクセス
定義された基準に基づくセンシティブデータアクセスの警告
基準アラートをトリガーする条件を選択します。
センシティブレベル : [センシティブデータポリシー] > [ルール] で定義されたセンシティブレベルに基づいています。
オプション低、中、高
ポリシー:特定のセンシティブデータポリシーを選択します。
登録されているセンシティブデータポリシーから選択します。
行数:アラートのトリガーとなる行数(バージョン 10.2.2以降で使用可能)
最小値: 1
特定の時間間隔(分):アラートトリガーの時間間隔(分)(バージョン 10.2.2以降で使用可能)
0を設定すると、時間条件なしの単一の SQL 実行に基づいてアラートがトリガーされます。
最大値:1440分
Sensitive Data Access アラートタイプを使用するには、個人情報を含むテーブルとカラムが Sensitive Data Policy で事前に定義されている必要があります。詳細情報については センシティブデータドキュメントを参照してください。
例 1 : 高感度レベルのセンシティブデータにアクセスした場合にアラートを送信する:
基準 :センシティブレベル
センシティブレベル : 高
例 2 : 特定のデータベース内の個人データにアクセスした場合にアラートを送信する:
基準 :ポリシー
ポリシー :{定義済みのセンシティブデータポリシー}。
SQL エクスポート
定義された条件の SQL エクスポート通知
行数:通知のトリガとなる行数。
1 以上の値を入力できます。
特定の時間間隔(分):通知をトリガする時間間隔(バージョン 10.2.2以降で使用可能)。
0 を入力すると、時間条件なしで単一の SQL エクスポートに基づいて通知がトリガされます。
最大値は 1440 分です。
接続:SQL エクスポートが実行されたときに通知をトリガする接続(バージョン 10.2.2 以降で使用可能 - 複数選択可)。
すべての接続 (*):今後追加されるすべての接続に対する通知条件を作成できます。
例 100行以上のデータをエクスポートしようとしたときにアラートを送信する
アラートの種類 SQL エクスポート
トリガー条件(行):100
コマンドの制限
サーバー / サーバーグループによるコマンド実行ブロックのアラート
接続 :アラートを送信する接続を選択します。
サーバーおよびサーバーグループを選択でき、複数選択が可能です。
同じ対象を複数回選択した場合、アラートの送信は 1回のみとなります。
すべての接続 (*) :今後追加されるすべての接続に対してアラート条件を作成します。
特定のコマンド
特定のコマンド実行に対するアラート
接続:アラートを送信する接続を選択します。
サーバーおよびサーバーグループを選択でき、複数選択も可能です。
同じ対象を複数回選択した場合、アラートの送信は 1回のみとなります。
すべての接続 (*) :今後追加されるすべての接続に対してアラート条件を作成します。
コマンド :実行時にアラートをトリガーするコマンドの条件を定義します。
Keyword : コマンドに指定したキーワードが含まれている場合にアラートをトリガーします。
RegEx : コマンドが指定された正規表現にマッチした場合にアラートをトリガーします。
ファイル転送(SFTP)
SFTP によるファイル転送のアラート
アラートトリガー条件 : アラートのトリガーとなる条件(複数選択可)
File Upload : ファイルがアップロードされたときにアラートをトリガーします。
ファイルダウンロード :ファイルがダウンロードされたときにアラートをトリガーします。
接続 : アラートを送信する接続を選択します。
サーバーおよびサーバーグループを選択でき、複数選択が可能です。
同じ対象を複数回選択した場合、アラートの送信は 1回のみとなります。
すべての接続 (*) :今後追加されるすべての接続に対してアラート条件を作成します。
K8s API リクエスト 10.2.2
Kubernetes API リクエストアラート
Result : API リクエスト結果(複数選択可)
Success :リクエストが成功した場合にアラートをトリガーします。
失敗 :リクエスト失敗時にアラートを発します。
クラスタ : API リクエストのアラートが送信されるクラスタ
すべてのクラスタ (*) :今後追加されるすべてのクラスタに対してアラート条件を作成します。
Verbs : アラートをトリガーする対象の動詞
サポートされる動詞:
create、update、patch、delete、deleteecollection(5種類)。
リソースの種類:アラートの対象となるリソースの種類
サポートされるリソースの種類:
ポッド、ポッド/exec、ポッド/log、ポッド/ポートフォワード、サービス、イングレス、デプロイメント、レプリカセットなど(合計 24種類)。すべてのリソース (*) :今後追加されるすべてのリソースタイプに対してアラート条件を作成します。
アラートの詳細情報の表示と編集
アラートの詳細情報を表示するには、アラートページからアラートを選択します。詳細ページの[詳細]タブでは、アラート作成時に入力したアラート条件とメッセージを表示および変更できます。必要な変更を行ったら、右上の[変更を保存]ボタンをクリックして変更を適用します。
管理者 > 一般 > 企業管理 > アラート > リスト詳細(詳細)
アラート配信履歴の表示
アラートリストからアラートを選択すると、その配信履歴が表示されます。その後、詳細ページの[ログ]セクションで配信の詳細を確認できます。
管理者 > 一般 > 企業管理 > アラート > リストの詳細(ログ)
アラートの削除
登録したアラートを削除するには、2つの方法があります:
アラートページから削除:アラート一覧で、削除したいアラートをチェックボックスで選択します。
削除ボタンが表示されます。ボタンをクリックすると、確認のモーダルが表示されます。OKをクリックすると削除が完了します。アラートの詳細ページから削除する : 削除したいアラートの詳細ページで、右上の
削除ボタンをクリックします。確認のモーダルが表示されます。OKをクリックすると削除が完了します。