Log Forwarding 通知設定(メール/Syslog/Slack)

Printer Friendly Page

Cortex XDRで検知したアラートはメールやSyslog, Slackによる通知を行うことができます。

これらの設定はCortex XDRの管理コンソール上で設定を行います。最新の設定方法はこちらからご確認ください。

 

【注意】Log Forwarding Appを利用したCortex XDRの通知機能の終了は2020年6月末を予定しているため、Cortex XDR側で通知機能を有効化してください。既存のLog Forwarding Appの設定はDisabledモードとしてCortex XDRの設定に移行されます。

 

 

【設定手順】

1. Cortex XDRの管理コンソールにログインし、画面右上の設定アイコン(ギアマーク)からSettingsをクリックします。

2020-04-06_12h35_06.png

 

 

 

 

 

 

 

 

 

2. SyslogやSlackを利用して通知を行う場合には、画面左側のIntegrations -> External Applicationsをクリックします。

(メール通知の場合には本作業は不要です)

2020-04-06_12h39_12.png

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Syslogの場合には、SYSLOG SERVERS内の「+New Server」をクリックしてSyslogサーバを登録します。

Slackの場合も同様に登録を行ってください。(メール通知の場合には本作業は不要です)

2020-04-06_12h41_13.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

※Syslogの場合には、送信元IPアドレスがこちらのURLに記載されていますので、Firewall等でSyslogの転送を許可する場合などにご利用ください。

 

 

4. 次に画面左側のNotificationsをクリック後、「Add Forwarding Configuration」をクリックして通知設定を追加します。

2020-04-06_12h48_13.png

 

5. Name, DESCRIPTION, LOG TYPEを指定してNextをクリックしてください。

アラートを通知する場合には、LOG TYPEはAlertsを選択します。

2020-04-06_12h50_12.png

 

 

 

 

 

 

 

 

 

 

 

 

 

6. アラートのフィルタリング設定を行います。すべてのアラートを通知したい場合にはそのままNextをクリックしてください。特定のアラートのみをフィルタしたい場合には、フィルタ条件を設定してください。フィルタ条件を設定した場合にはフィルタ条件に一致したアラートが表示されます。

2020-04-06_12h52_01.png

 

7. メールで通知したい場合にはメールアドレスの指定、Syslogの場合には事前に設定したSyslogサーバの設定を行ってください。また、メール通知の場合には、メールの送信間隔を「EMAIL GROUPING TIME FRAME」で指定可能です。アラート発生時にすぐに送信したい場合には「0」を設定してください。設定が終了しましたらDoneをクリックします。

2020-04-06_12h59_07.png

 

8. 設定終了後にアラートを発生させて正しく通知が受信できるかを確認します。下記はメールで通知を行った場合に受信した例となります。アラートのフォーマットについてはこちらを参照してください。

 

2020-04-06_13h03_14.png

 

 

 

Ask Questions Get Answers Join the Live Community
バージョン履歴
改訂番号
11/11
最終更新:
4 週間前
更新者:
 
寄稿者: