はじめに
こんにちは、 ネクストモード株式会社 の sobar です。Netskope運用におけるTips(小ネタ)をご紹介します。
「日々大量に発生する不要なアラートによって重要なインシデントを見逃してしまわないか不安…」そんなお悩みはありませんか?今回は、Netskope運用におけるTipsとして、対応不要なアラートを抑制し、運用負荷を軽減するポリシー設定の一例をご紹介します。
前回はブロックしたアラートのSkope IT > Alerts への出力を抑制する機能(Suppress Alerts in Real-time Protection Policies)についてご紹介しました。今回は弊社が考えるブロックされた Skope IT > Alerts への出力を抑制すると良いポリシーの一例をご紹介いたします。
※Suppress Alerts in Real-time Protection Policies 機能については以下のブログをご確認ください。
アラート生成を抑制する不要なブロックポリシーの一例
DNS Over HTTPSのブロック
DNS over HTTPS は、Netskopeのステアリングとの互換性がないためポート443(HTTPS)経由のDNSをブロックするポリシーを作成します。こちらはNetskope ドキュメント(Best Practices for Utility Policies)に従った内容となりますが、たとえばChromeを利用している場合はDNS環境が対応していればDoHが自動的に利用され、このアラートが大量に生成されてきます。意図した通りにブロックできている大量の通信をインシデントとして毎回確認する必要はなく、特段Alertsとして残しておく必要もありませんので運用負荷軽減のためにもアラート生成の抑制をお勧めいたします。
Online Ads カテゴリのブロック
Online Ads カテゴリはオンライン広告、クリック課金型広告(PPC)、クリック単価広告(CPC)などのカテゴリとなり、Webアクセス時の付帯されたリンクより読み込んでしまうものとなりますが、必要に応じてこういったものをBlockされている場合は特にAlerts で後から確認が必要といったものでも無いかと思いますのでアラート生成の抑制対象とすることをお勧めいたします。
不要なFallback Actionのアラート生成の抑制
Fallback Action は Advanced File Scanning 機能についてもご確認いただく必要がございますが、DLP、Threat Protection、File Profile 等の検査がファイルサイズ制限等で実施できなかった場合にAlerts に出力されます。アラート生成を抑制はDLP、Threat Protection、File Profile 単位で実施できます。現状出力されるアラートの内容を一度ご確認いただき、アラート生成の要否を精査いただいたのちアラート生成の抑制が可能であれば設定を実施してください。
※Advanced File Scanning の機能やフォールバックアラートがどういったものか?については以下ブログをご確認ください。こちら、Real-time Protectionポリシーではありませんがブロックのアラート出力抑制ができるためご紹介いたしました。
その他不要なブロックポリシーのAlerts
その他のBlock Alertsの出力が予め想定されていて、Skope IT のAlertsへの出力が不要と判断されるものは抑制対象としていただければと思います。
参考
さいごに
今回は弊社が考えるSuppress Alerts in Real-time Protection Policies 機能を適用すると良いポリシーをご紹介いたしました。運用時に毎回発生するちょっとした不要な確認・対応を少しでも減らすことにつながればと思います。
Skope IT のAlerts出力を抑制したものは Advanced Analytics などでの統計のカウントからも除外されますのでご注意ください。
この記事が皆さまのNetskope運用の一助となれば幸いです 。
Netskope についてのお問い合わせ
Netskope の導入、実践的な活用方法、ライセンス体系や価格についてさらに詳しく知りたい方は、ぜひ弊社窓口までお気軽にお問い合わせください。
