セキュリティチームが「少ないリソースでより多くの成果」を上げられるようにする自動化
Auto-Triageの詳細
多くの企業では、年末までリモート勤務を継続する見込みです。この新たな運用環境により、セキュリティインフラ運用チームの業務負荷は大幅に増加しています。幸いなことに、Indeniの自動化機能を活用すれば、トラブルシューティングやインシデント報告に必要な関連情報の収集を行うことで、チームの負担を軽減することができます。
Indeniの「Auto-Triage」機能が、リモート運用を24時間365日、安全かつ完全に機能させ続ける上で、いかに重要な役割を果たすかをご覧ください。
Auto-Triageはどのように役立つのでしょうか?
Indeniが問題を特定すると、通常は手動で行われるのと同じ調査手順を自動的に実行できます。 その手順は、追加のコンテキスト診断情報の収集といった単純なものから、一般的なトラブルシューティングタスクの分析や実行といった詳細なものまで多岐にわたります。ベストプラクティスに基づく手順を適用することで、エンジニアにすべての情報を提供する場合でも、より具体的な是正措置の推奨事項を用いて問題を自動的に絞り込む場合でも、解決までの時間を短縮できます。
例:可視性を最大化するログ管理
突如として導入されたリモートワーク体制により、運用環境は一変しました。ログは、フォレンジックやセキュリティインシデント対応における主要なデータソースです。ログ分析はセキュリティ意識を高めるだけでなく、プロセスの異常、ネットワーク障害、プロトコルの不具合を迅速に検出します。また、アプリケーションやインフラストラクチャの効果的な管理にも役立ちます。 ログの収集が行われない場合、それはP1(最優先)の事象とみなされます。企業がサービスの中断を防ぎ、脅威を検知するためには、ログに依存するとともに、大規模かつ継続的にログの収集状況を監視する必要があります。
ログ収集で何が問題になり得るのでしょうか?
- Logging rate is higher than what the device can handle.
- Devices are stressed due to a high number of connections.
- Unable to reach the log management server(s).
- Network connection issues.
- Limited local storage on the device to temporarily store log data.
Auto-Triageは、継続的なログ収集を保証します
Indeniは、Palo Alto Networksデバイスのログ転送における破棄状況を追跡することで、ログ収集を継続的に監視しています。ログが破棄された場合、Indeniは直ちにユーザーに通知し、自動的に調査を開始します。
調査の最初のステップは、デバイスからログ記録レートを取得することです。

Indeniは、ロギングレートがデバイスの制限範囲内にあるかどうかを判断します。ロギングレートがデバイスのレート制限を超えている場合、ログは破棄されます。これはハードウェアリソースの制限による可能性があります。 
Indeniは、特定のトラフィック種別(DNSやPING)のログ記録を無効にするなどの回避策を提案します。別の提案として、コンテナページのみをログに記録し、それ以降のページは記録しないという方法もあります。URLフィルタリングは大量のログエントリを生成する可能性があるため、これは有効な回避策となり得ます。
ログ記録率がデバイスの制限範囲内である場合、Indeniはセッションの利用率を確認します。 
ログの破棄は、トラフィックレートが上昇し、デバイスの制限を超えたことが原因である可能性があります。一部のトラフィック種別(例:DNS、PING)は、より多くのセッションを生成し、セッションの検索、セッション開始時のログ記録、セッション終了時のログ記録などに多くのリソースを消費します。 セッション使用率がデバイスのセッションテーブルの 70% を超える場合、使用率は高いとみなされます。この問題が継続する場合は、ハードウェアの制限を示している可能性があります。
セッション使用率が70%未満の場合、Indeniはログコレクターに到達可能かどうか、および接続を確立できるかどうかを判断します。 
結論として、ロギングレートがデバイスの制限範囲内であり、セッション使用率が接続テーブルの70%未満で、かつコレクターに到達可能である場合は、Palo Alto Networksにトラブルチケットを発行する時期です。自動化された調査手順により、ユーザーはケースを開くために必要な関連情報をすでに収集済みとなります。
次のステップ
Indeniは、皆様が通常通りの業務を維持できるようサポートいたします。お客様には、この困難な時期においてもセキュリティインフラを円滑に運用できるよう設計された「Auto-Triage」を有効にすることをお勧めします。お探しのAuto-Triage Element(ATE)が見つからない場合は、いつでもコミュニティにリクエスト を送信してください。 Indeniを初めてご利用になる方には、ぜひご自身の環境で当社の自動化機能を試していただく機会を提供できれば幸いです。
この記事は、リモート運用が増える中でIndeniのAuto-Triage機能がセキュリティインフラ運用チームの負荷を軽減し、24時間365日のログ収集と自動調査でインシデント対応を迅速化する仕組みを説明します。具体例としてPalo Alto Networksデバイスのログ破棄を検出し、ロギングレート、セッション使用率、コレクター到達性を順に自動確認して原因を特定し、実行可能な回避策や必要に応じたトラブルチケット作成を支援する運用フローを示しています。結果として、Auto-Triageはフォレンジックや可用性維持に必要な関連情報を事前に収集してエンジニアの作業時間を短縮し、継続的なログ収集の保証と運用効率化をもたらします。
Auto-Triageはログ破棄を検出したときに最初に何を行いますか?
IndeniのAuto-Triageはログ破棄を検出すると直ちにユーザーへ通知し、自動的に調査を開始します。調査の最初のステップはデバイスからロギングレートを取得して、そのレートがデバイスの制限範囲内かどうかを判定することです。ロギングレートが制限を超えている場合はハードウェアリソースの制約が疑われ、ログ破棄の根本原因として扱われます。
ロギングレートがデバイス制限内でもログが破棄される場合、Auto-Triageはどのように対応しますか?
ロギングレートが制限内であると判断した場合、Auto-Triageは次にセッションの利用率を確認します。セッション使用率がデバイスのセッションテーブルの70%を超えていれば、トラフィック増加によるハードウェア制限が原因と見なされます。一方70%未満であれば、Auto-Triageはログコレクターへの到達性と接続確立可否を判定し、到達不能や接続トラブルがあればその旨を報告して追加の対処を促します。
Auto-Triageが提案する回避策にはどのようなものがありますか?
Auto-Triageは、ログ破棄の原因に応じて複数の回避策を提案します。例えば、特定トラフィック種別(DNSやPING)のログ記録を無効化してログ量を削減することや、URLフィルタリングなど大量のログを生成する機能についてはコンテナページのみを記録するなどの方法があります。これらの回避策はログ記録率やセッション使用率の制約に応じて適用可能で、必要に応じてPalo Alto Networksへのトラブルチケット作成に必要な関連情報も自動収集します。