小ネタです。 Notionのブロック要素として利用できるコールアウト(Callout)の設定について、地味ではありますが嬉しい機能アップデートが幾つかあったようです。
はじめに
こんにちは、 ネクストモード株式会社 の sobar です。Netskope運用におけるTips(小ネタ)をご紹介します。
今回は新しくSuppress Alerts in Real-time Protection Policies 機能が利用可能となりましたのでご紹介します。
例えば、こんなお悩みありませんか?
「業務上、アクセスを禁止している特定のSNSや動画サイトへのアクセスが大量に発生し、その都度ブロックアラートが通知されてしまう」
「セキュリティ上は問題ないが、ポリシーで意図的にブロックしている通信のアラートが、本当に重要なインシデントのアラートを埋もれさせてしまう」
今回ご紹介する機能は、このような「意図通りにブロックできているが、通知は不要なアラート」を抑制し、運用負荷を軽減するためのものです。
Suppress Alerts in Real-time Protection Policies について
Netskopeリリースノート130.0.0 より本機能Suppress Alerts in Real-time Protection Policies がリリースされました。機能を有効化することにより、管理者は「不要な」ブロックポリシーによるアラート生成を抑制できます。運用時に目に入ってしまう大量の不要アラート確認と除外のひと手間が無くなるため地味にうれしいアップデートです。
※2025年9月時点では本機能自体は無効化状態でのリリースとなっているため、該当機能をご利用の有効化する必要がございます。機能有効化につきましてはご利用の販売代理店にご確認ください。
こちらを設定することにより、アラート疲れの軽減、SIEMコストの削減に加え、セキュリティチームが重要なアラートに集中できるようになります。リアルタイム保護ポリシーでは、選択されたアクションが「ブロック」の場合、チェックボックスをオンにすることでアラートを抑制できます。さらに、フォールバックアクションが「ブロック」でコンテンツ検査が失敗した場合、フォールバックアラートを抑制することもできます。
設定方法
「不要な」ブロックポリシーに対するアラート生成を抑制
Real-time Protection > 設定しているポリシー のなかからブロックアラート生成を抑制したいポリシーを選択し、Profile & Action の右側に「Don't generate Alerts」という項目が出てきますので、そちらにチェック、ポリシーを保存(SAVE)し、Apply Changes を実施すれば該当通信はブロックされるがアラートは生成されなくなります。
※アラート生成が抑制されたブロックについては、Real-time Protection の一覧で確認できる #ALERTS のカウントにも値は反映されません
アクション「ブロック」でコンテンツ検査が失敗したフォールバックアラートの抑制
Settings > Manage > Advanced File Scanning より EDIT をクリック。
EDIT をクリック。
DLP、Threat Protection、File Profile のアクションをそれぞれBlock を選択すると「Don't generate Alerts」がそれぞれ表示されますので、ブロック且つアラート生成不要なものは「Don't generate Alerts」にチェックをつけて保存(SAVE)することで設定は完了です。
※Advanced File Scanning の機能やフォールバックアラートがどういったものか?については以下ブログをご確認ください。
参考
さいごに
今回はリリースノート130.0.0 よりリリースされたブロックポリシーによるアラート生成を抑制、アクション「ブロック」でコンテンツ検査が失敗したフォールバックアラート生成の抑制をご紹介いたしました。運用時に毎回発生するちょっとした不要な確認・除外といった対応を少しでも減らすことにつながればと思います。
この記事が皆さまのNetskope運用の一助となれば幸いです 。
Netskope についてのお問い合わせ
Netskope の導入、実践的な活用方法、ライセンス体系や価格についてさらに詳しく知りたい方は、ぜひ弊社窓口までお気軽にお問い合わせください。
