Większość zdarzeń zaobserwowanych na urządzeniu STORMSHIELD jest zapisywana w logach. Systematyczne przeglądanie logów jest obowiązkiem administratora IT jednak bywa, że czasami powstaje potrzeba szybkiego zareagowania na zdarzenie. System STORMSHIELD pozwala na konfigurację alertów wysyłanych bezpośrednio na adres email.

Pierwszą rzeczą jaką musimy skonfigurować aby takie powiadomienia mogły być wysyłane to utworzenie dedykowanego konta na serwerze pocztowym (SMTP), oczywiście można skorzystać z dowolnego konta pocztowego do którego mamy dostęp ale skorzystanie z dedykowanego konta jest wygodniejsze.

STORMSHIELD wysyła powiadomienia z adresu NAZWA_URZĄDZENIA@domena gdzie NAZWA_URZĄDZENIA to, o ile nie nadaliśmy innej nazwy, numer seryjny urządzenia. W przykładzie na serwerze poczty zostało utworzone konto o nazwie alert i adresie email U30SXA03F3862A7@serwitech.com.

Następnie włączamy powiadomienia oraz konfigurujemy dostęp do powyższego konta celem wysyłania powiadomień z urządzenia po SMTP

Parametr Opóźnienie określa co jaki okres czasu (minuty) powiadomienia mają być wysyłane. Oznacza to, że powiadomienia nie są wysyłane natychmiast po wystąpieniu zdarzenia tylko są wysyłane zbiorczo co określony czas.

Powiadomienia są wysyłane na adresy email należące do grupy mailingowej.

Co na temat działania opcji powiadomień możemy wyczytać z oficjalnej dokumentacji:

Nie jest to jednak do końca zgodne z rzeczywistością. Opcja Do not send nie skutkuje brakiem wysyłania powiadomień jeżeli powiadomienie zostanie skonfigurowane bezpośrednio na wpisie alarmu. Podobnie inaczej, niż to opisuje producent, zachowuje się moduł powiadomień w przypadku wybrania opcji Send only major alarms, Send major and minor alarms.

Abstrahując od opisu producenta, z moich testów (firmware 2.5.2) wynika, że wygląda to następująco:

Do not send (Żaden): Powiadomienia nie będą wysyłane chyba, że powiadomienie zostanie skonfigurowane bezpośrednio na konfiguracji sygnatury (Application and Protections – kolumna Advanced, Alarmy – kolumna Zaawansowane). W takim przypadku powiadomienie zostanie wysłane niezwłocznie po wystąpieniu zdarzenia.

Send only major alarms (Wysyłaj alarmy o priorytecie: wysoki): Wysłane zostanie zbiorcze powiadomienie z wystąpień zdarzeń sygnowanych jako Major (Wysoki)

Send major and minor alarms (Wysyłaj alarm o priorytecie: nisei, wysoki): wysłane zostanie zbiorcze powiadomienie z wystąpień zdarzeń sygnowanych jako Major i Minor (Wysoki i Niski).

Pewną wątpliwość budzi kwestia do kogo zostaną wysłane powiadomienia gdy wybrana jest opcja Do not send. Można to ująć następująco, powiadomienia zostaną wysłane do odbiorców z grupy mailingowej do których byłyby wysłane w sytuacji gdy byłaby wybrana inna niż Do not send opcja 🙂 Wydaje się, że ewidentnie nie o takie zachowanie chodziło producentowi, ale skoro korekty nie wprowadza to być może sytuacji utrzyma się jeszcze przez dłuższy czas.

 

Wykorzystanie praktyczne

Chcemy otrzymać powiadomienie mailowe w chwili gdy ktoś skanuje interfejs zewnętrzny naszego urządzenia.

Na profilu IPS_00 (Alarmy) dla alarmu Port probe klikamy w kolumnie Zaawansowane opcję Skonfiguruj.

Zaznaczamy opcję wyślij e-mail (możemy określić ile minimum alarmów musi wystąpić w zadanym czasie aby wyzwolić wysłanie powiadomienia).

W sytuacji gdy w uastwieniach powiadomień w sekcji Powiadomienia o alarmach IPS ustawimy Żaden na skonfigurowane na liście mailingowej adesy email będą wysyłane tylko powiadomienia o wystąpieniu alarmu Port probe (i innych w ten sam sposób skonfigurowanych Alarrmów).

Jeżeli będziemy wysyłali powiadomienia zbiorcze a Alarm będzie kwalifikował się zarówno do powiadomień zbiorczych i będzie miał w konfikuracji ustawień zaawansowanych ustawione wysyłanie powiadomień email to w momencie gdy urządzenie zarejestruje zdarzenie zostanie wysłane powiadomienie a następnie powiadomienie to będzie również zawarte w powiadomieniu zbiorczym.

Na liście otrzymanych maili łatwo odróżnić powiadomienia zbiorcze od powiadomień „indywidualnych”. Powiadomienia zbiorcze mają w temacie określą w nawiasie kwadratowym liczbę zawartych zdarzeń.