i-FILTER Ver.10
i-FILTER Ver.9
i-FILTER Reporter
m-FILTER
D-SPA
D-SPA Manager
DigitalArts@Cloud
i-FILTER ブラウザー&クラウド Ver.3/Ver4
FinalCode
m-FILTER MailAdviser
お知らせ
サポート終了製品

URLをクリップボードにコピーしました
FAQ_URL:https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=3219
  FAQ_ID:3219
Business > i-FILTER Ver.9
Business > i-FILTER Ver.9 > APT Protection(FE Adapter)
 
「i-FILTER FE Adapter」 FireEyeで検知したアラートがブロックされません

対応バージョン: i-FILTER Ver.9.2~
対応OS: すべてのOS


FireEyeで検知したアラートがブロックされない場合は、以下を確認してください。

URLリスト「AlertList」にアラートが登録されているか

FireEyeで検知したアラートは、「FE Adapter」によってURLリスト「AlertList」に登録されます。
対象のURLが登録されているかを確認してください。


設定箇所
[ルールセット / ルールパーツ / URLリスト]
 └ 「AlertList」


登録されていない場合には、以下2点を確認してください。

 
(1)「FE Adapter」が起動しているか

 下記コマンドにて「FE Adapter」が起動しているかを確認してください

 # /etc/init.d/if_alert status
 if_alert (pid 9892) is running...
 set_alert is stopped
 get_alert (pid 9894) is running...

※「set_alert」は通常停止しています

 
(2)アラート取得間隔を経過しているか

 FireEyeで検知したアラートは、下記設定のタイミングでURLリスト「AlertList」に
 登録されます。

  ▽設定ファイル
  
/usr/local/if_alert/if_alert.conf

  ▽対象パラメーター
  polling_interval = 3600

  ※ 初期値:3600(秒)


【URLリスト「AlertList」がブロックアクションに設定されているか】


URLリスト「AlertList」は、[優先フィルタリング設定](全体)もしくは、[高度な設定](グループ)に
ブロックアクションで登録することで動作します。

 

 設定箇所
 [共通設定 / 優先フィルタリング設定]
 [グループ設定 / 基本モード / (グループ名) / 高度な設定]


 登録されているにも係わらずブロックされない場合には、以下を確認してください。

  
(1)[優先フィルタリング設定]で設定している場合

   ・URLリスト「AlertList」を登録した行より高い優先度に許可設定がないか

  
(2)[高度な設定]で設定している場合

   ・URLリスト「AlertList」を登録した行より高い優先度に許可設定がないか
   ・別グループの[高度な設定]に設定していないか
関連コンテンツ
「i-FILTER FE Adapter」 ブロックがFireEye検知によるも...
「i-FILTER FE Adapter」 FireEye検知によるブロック動作...
「i-FILTER FE Adapter」 FireEyeで検知したアラートをブ...
「i-FILTER FE Adapter」 インストール方法を教えてください
「i-FILTER」AV Adapter オプションでブロック時にウイルス名が表...
 

感動しました
解決しました
参考になりました
もっと詳しく
わかりにくい
問い合わせます