カトにおけるクォータ超過

問題

カトには二種類のクォータがあります:一つはイベントに関係し、もう一つはアラートに関係します。 デフォルトの制限は、顧客が持っているDPAライセンスに基づいて変わります。

  • DPA 2021ライセンスを持つ顧客の場合、イベント生成のデフォルトしきい値はサブタイプごとに時間あたり250万イベントに設定されています。 
  • DPA 23では、しきい値は更新またはオンボーディングプロセス中に顧客が取得するデータユニットの数によって決まります。 具体的には、1データユニットは、すべてのサブタイプの集計で時間あたり250万イベントに相当します。 

注意: Cato APIのeventsFeedの速度はイベントのクォータによって制限されませんが、「Cato APIのレート制限の理解」で説明されているように、異なるAPIのレート制限に従います。

アラートのためには、アラート生成のデフォルトキャップはサブタイプごとに時間あたり50アラートに設定されています。 

どのDPAライセンスを持っているかを確認するには、管理 > ライセンスに移動します

例。 DPA 2021の

dpa.jpg

例。 DPA 2023の

詳細情報については、Cato Cloud Thresholds and Limitsを参照してください。

この記事は、イベントのクォータおよび/またはアラートのクォータを超えたことを通知するメールを受け取った状況に対処する方法についてのガイダンスを提供することを目的としています。

トラブルシューティング

  1. カト イベントのクォータ超過
  2. カト アラートのクォータ超過

カト イベントのクォータ超過

アカウントのイベント数が最大クォータを超えた場合、カトは電子メールのアラートを生成します 

以下のスクリーンショットは、インターネットファイアウォールイベント用のイベント割り当て数超過メッセージのサンプルアラートを示しています: 

blobid0.png

ソリューション 

Catoは、特定のイベントタイプのイベント数が毎時のイベントの最大限を超えたときにイベント割り当て数超過アラートを生成します。イベント制限についての詳細は、Catoクラウドのしきい値と制限を参照してください。

WANとインターネットイベント

イベントを大量に生成するWANやインターネットのルールを特定し、その後トラック > イベントオプションを無効にします。  

ファイアウォールルールを特定し、トラックイベントオプションを無効にするには: 

  1. Cato管理画面を開き、 ホーム > イベントに移動します。 
  2. 展開 ルール フィールドを、 項目 セクションの下で展開します。 
  3. 大規模な イベント を生成するファイアウォールルールを見つけます 

以下のスクリーンショットは、例として、ファイアウォールルール(全てのアウトバウンドを許可)によって生成された5.6 百万件のイベントを示しています: 

blobid1.png

    4. セキュリティ > WAN または インターネットファイアウォール、ルールを見つけて(前のステップから)トラック設定を編集します。

   5。 このルールのイベントオプションを無効にする。

   6. 適用」をクリックし、その後「保存」をクリックします。

IPSイベント

脆弱性スキャンなどの予期されたトラフィックを侵入防御システム (IPS) エンジンがブロックし、多数のイベントを生成している場合は、トラフィックの送信元を許可リストに追加することができます。詳細はIPS署名の許可リスト追加を参照してください。

送信元IPを識別し、許可リストに追加する:

  1. Cato管理画面を開き、ホーム > イベントに移動します。 
  2. IPSプリセットを選択します。
  3. 送信元IPアドレスを項目の下で展開し、最も多くのIPSイベントがあるIPアドレスを選択します。
  4. シグネチャーIDをクリックし、便利に許可リストを設定します。 トラッキングが無効化されていることを確認してください。
  5. 適用をクリックします。

 

Catoアラートのクォータを超えました。

アカウントに対して時間あたり50を超えるアラートが生成されると、一般通知の下で顧客のメーリングリストにメールが送信されます。 顧客は「Catoアラート クォータ超過」という件名のメールを受け取ります。

Screenshot 2023-04-01 at 20.38.27.png

ソリューション

  1. どのCato機能に対してアラートクォータ超過のメールが生成されたかを決定します。 例えば、上記のアラートクォータ超過メールはIPSアラートのためでした。 
  2. このアラートの信憑性を確認するためにCMAにログインしてください。
    • ホーム > イベントに移動
    • プリセット選択の下で、侵入防止システムを選択し、メール受信時点を基にして時間をカスタマイズします。 しきい値が時間当たり50件のアラートEmail超過メール生成のため、受信一時間前から開始する時間のカスタマイズを行います。  
      Screenshot 2023-04-01 at 21.28.17.png
  3. イベントを確認してアラートの理由を特定します。 例えば、下のスクリーンショットでは、可能性のある攻撃に対して複数のイベントがあり、それらが同一の攻撃元から発信されていました。
    Screenshot 2023-04-01 at 21.47.53.png
  4. イベントを調査し、必要なアクションを取ります。
  5. これらのアラートが偽陽性であることが確認された場合、Catoサポートに問い合わせる。 サポートケースを開くには、 サポートチケットの提出を参照してください。
  6. もし今後の同様のアラートについて通知を希望しない場合、このアラートに関連するそれぞれのルールまたは機能に移動し、メール通知を無効化することができます。 

この記事は役に立ちましたか?

6人中1人がこの記事が役に立ったと言っています

0件のコメント