Webhook とアラート
アラートの構成
ポータルの [アラートの構成] ページから、組織全体、単一サイト、または複数のサイトに対してアラートを構成できます。
このページを見つけるには 、Juniper Mist ポータル の左側のメニューから [Monitor > Alerts ] > [ Alerts Configuration ] を選択します。
ここに表示されるすべてのアラートは、アラートを有効にするだけでアラート Webhook を送信できます。
アラートは、次のように重大度に基づいて色別に分類されます。
-
赤 - クリティカル
-
オレンジ - 警告
-
青:情報
アラームは、次のグループにも分類されます。
-
インフラストラクチャ—インフラストラクチャアラームは状態を保持しません。これらは、デバイスイベントに直接基づいています。インフラストラクチャ アラームからデバイスを監視する場合、通常は各イベントをスタンドアロン イベントとして扱うか、ステートフル デバイスの変更を照合します。
-
Marvis—Marvisイベントは、[Marvis Actions]で識別されるイベントです。通常、これらのイベントはステートフルです。ペイロード内には、
details
と呼ばれるキーがあります。details
の下に、state
と値(open
またはvalidated
)が表示されます。-
open
は、この問題が現在発生していることを意味します。 -
validated
は、問題が解決されたことをMarvisが検証したことを意味します。問題が検証されたと見なされると、同じ Webhook の種類が更新された状態で設定されます。MarvisのアクションにはAIという性質があるため、これらのアラームが正確で実用的であることを保証するには十分なデータが必要です。Marvisは、誤検知を排除するために十分なデータを蓄積する必要があります。この要件により、イベントが到着するまでの回数が異なります。
-
-
セキュリティ - セキュリティのイベントのほとんどは 1 回限りのイベントです。これらのアラートでは、特定の攻撃のみが検出され、攻撃がアクティブかどうかは判断されません。不正 AP は 10 時間に 1 回の報告に制限されています。不正クライアントとハニーポットAPイベントは10分ごとに送信されます。
次のアラートには、構成可能な障害しきい値もあります。
-
ARP 障害
-
DHCP 障害
-
DNS 障害
-
デバイスがオフライン
アラートの設定については、Juniper Mist ネットワーク監視ガイドのアラート 設定情報 を参照してください。
Webhook アラートの種類
アラート/Webhook 名 | グループ カテゴリ | の説明 | トリガーメカニズムの | コメント | |
---|---|---|---|---|---|
adhoc_network | 安全 | AP | アドホック ネットワークが検出されました | 1 つ以上の AP が、未承認のアドホック ネットワークを検出しました。 | |
air_magnet_scan | 安全 | AP | エアマグネットスキャンが検出されました | 誰かがRF分析のためにエアマグネットスキャンを実行しています。 | |
ap_bad_cable | Marvis | AP | ジュニパーAPに接続された不良イーサネットケーブル | 頻繁なイーサネットの切断と再起動、イーサネットエラーの増加、100Mbpsでの接続 | 要件 SUB-VNA |
ap_offline | Marvis | AP | オフライン(Marvis) |
|
要件 SUB-VNA |
arp_failure | Marvis | 接続 | サイト全体の無線接続障害 | サイト全体で障害が急激に増加、またはサーバー/WLAN/APで障害が100% 発生 | 要件 SUB-VNA |
authentication_failure | Marvis | 接続 | サイト全体での無線および有線接続の障害 | サイト全体で障害が急激に増加、またはサーバー/スイッチ/WLAN/VLAN/APで障害が100%発生 | 要件SUB-VNAまたはSUB-SVNA |
bad_cable | Marvis | スイッチ | ジュニパースイッチポートに接続されたケーブルの不良 | ポートエラー、イーサネットリンクがない場合の消費電力、バイトアウトと0インの増加(またはその逆) | 要件 SUB-VNA |
bad_wan_uplink | Marvis | ルーター | パフォーマンスが低い/問題のあるインターフェイス(SRX、SSR) | レイテンシ、ジッター、パケットロス、送信パケットの出力ドロップとドロップ | 要件 SUB-WNA |
beacon_flood | 安全 | 偽のAPフラッディングが検出されました-新しいBSSIDのフラッド | 定義された時間枠内に AP によってスキャンされた新しい SSID の数が、定義されたしきい値を超えました。 | ||
bssid_spoofing | 安全 | AP | BSSID スプーフィングが検出されました | 信号強度が -30 dBm 以下のデバイスは、信号強度が良好な AP と同じ BSSID をブロードキャストしています。 | |
device_down | インフラ | AP | デバイスがオフライン | APは、設定されたしきい値よりも長い時間、クラウドから切断されます。 | |
device_restarted | インフラ | AP | デバイスが再起動されました | AP が再起動します。 | |
dhcp_failure | Marvis | 接続 | サイト全体での無線および有線接続の障害 | サイト全体で障害が急増している、またはサーバー/WLAN/VLAN/APで障害が100%発生している。 | 要件SUB-VNAまたはSUB-SVNA |
disassociation_flood | 安全 | AP | アソシエーション解除攻撃が検出されました | Juniper Mist は、攻撃者が IEEE 802.11 で規定されている特定の関連付け解除フレームを使用して、被害者のデバイスと AP の関連付けを解除する DoS 攻撃を検出します。 | |
dns_failure | Marvis | 接続 | サイト全体の無線接続障害 | サイト全体で障害が急激に増加しているか、サーバー/WLAN/APで障害が100%発生している。 | 要件 SUB-VNA |
eap_dictionary_attack | 安全 | AP | EAP 辞書攻撃が検出されました | 辞書に載っている異なる単語を試してパスワードを推測しようとする複数のパスワード失敗。 | |
eap_failure_injection | 安全 | AP | EAP 失敗インジェクションが検出されました | 何者かが偽のEAP失敗を送信した。 | |
eap_handshake_flood | 安全 | AP | EAP ハンドシェイク フラッドが検出されました | 一部のクライアントまたはシミュレーターは、802.1x 認証を要求する大量の EAPOL メッセージを生成します。 | |
eap_spoofed_success | 安全 | AP | EAP スプーフィング成功が検出されました | 何者かがEAPパケットを盗聴し、偽のEAP成功を送信しようとします。 | |
eapol_logoff_attack | 安全 | AP | EAPOL-Logoff 攻撃が検出されました | 一部のクライアントまたはシミュレーターが過剰な EAP ログオフ メッセージを送信しています。 | |
essid_jack | 安全 | AP | ESSID ジャックが検出されました | 一部のクライアントまたはシミュレーターは、ブロードキャスト プローブ要求を送信しようとします。 | |
excessive_client | 安全 | AP | 過剰なクライアントが検出されました | AP に関連付けられているクライアントの数が、構成されたしきい値を超えています。 | |
excessive_eapol_start | 安全 | AP | 過剰な EAPOL-Start が検出されました | 一部のクライアントまたはシミュレーターが過剰な EAP START メッセージを送信しています。 | |
gateway_down | インフラ | SRX | WAN エッジがオフライン | SRXがオフラインです。 | |
gw_bad_cable | Marvis | ルーター | Juniperゲートウェイ(SRXのみ)ポートに接続されたケーブルの不良 | インターフェイス統計エラー、入出力バイトが0 | 要件 SUB-WNA |
gw_dhcp_pool_exhausted | インフラ | SRX | WAN Edge DHCP プールの枯渇 | WANエッジのDHCPプールが枯渇し、 | |
gw_negotiation_mismatch | Marvis | ルーター | ネットワークで見られるMTUパケットサイズの違い(SRXのみ) | パケットのフラグメント化、MTU エラー。 | 要件 SUB-WNA |
health_check_failed | Marvis | AP | 交換する問題のあるAP | APでの自動修復/自己修復の失敗。 | 要件 SUB-VNA |
honeypot_ssid | 安全 | AP | ハニーポット SSID | SSIDをアドバタイズする未承認のAP。 | |
idp_attack_detected | 安全 | SRX/SSR | IDP 攻撃が検出されました | SRXまたはセッションSMartルーターは、IDP_ATTACK_LOG_EVENTタイプのイベントを報告します。 | |
infra_arp_failure | インフラ | AP | ゲートウェイ ARP の障害 | デフォルト ゲートウェイの ARP 要求は応答を受信していません。 | |
infra_dhcp_failure | インフラ | AP | DHCP 障害 | 10 分以内に 10 を超えるクライアントが、障害発生/応答不能の DHCP サーバーの影響を受けています。 | |
infra_dns_failure | インフラ | AP | DNS 障害 | 10 分以内に 10 を超えるクライアントが障害または応答しない DNS サーバーの影響を受けている場合、このイベントに対して電子メールがトリガーされます。 | |
insufficient_capacity | Marvis | AP | Wi-Fi容量の少ないAP | RRM の変更後、1 つ以上のクライアントで大量の消費が発生し、その結果、AP チャネルの使用率が高くなります。 | 要件 SUB-VNA |
insufficient_coverage | Marvis | AP | Wi-Fiカバレッジが一貫して低いAPの周辺エリア | RRMが変更された後も、クライアントのRSSIは一貫して低くなります。 | 要件 SUB-VNA |
krack_attack | 安全 | AP | リプレイインジェクションが検出されました - KRACK攻撃 | 1 つ以上の AP が KRACK 攻撃の試みを検出します。 | |
loop_detected_by_ap | インフラ | ワイヤレス | APがリフレクション経由でループを検出しました | AP は送信したフレームを受信します。 | |
missing_vlan | Marvis | スイッチ | AP上に設定されたVLANがスイッチポートまたはアップストリームにない | AP は各 VLAN のトラフィックを監視し、同じスイッチ上の AP とサイト内の他の AP を比較します。 | 要件SUB-VNAまたはSUB-SVNA |
monkey_jack | 安全 | AP | モンキージャックが検出されました | APが中間者攻撃の試みを検出します。 | |
negotiation_mismatch | Marvis | スイッチ | 有線クライアントと接続ポートの設定の違い | 二重不一致または自動ネゴシエーションの失敗 | 要件 SUB-VNA |
non_compliant | Marvis | AP | ファームウェアが一致しないAP | APのファームウェアバージョンは、そのサイトにあるそのモデルモデルの他のほとんどのAPとは異なります。 | 要件 SUB-VNA |
out_of_sequence | 安全 | AP | Out of Sequence Detected(順序が正しくない検出されました) | 順序を逸脱したパケットが多すぎます。 | |
port_flap | Marvis | スイッチ | ポートは絶えず上下する | 高頻度かつ継続的なポートフラッピング。 | 要件 SUB-VNA |
repeated_auth_failures | 安全 | AP | クライアント認証の失敗が繰り返されるクライアント | クライアントは、RADIUSサーバーに到達できない、共有シークレットが間違っているなどにより、クライアント認証の失敗が続いています。 | |
rogue_ap | 安全 | AP | Rogue AP Detected (不正 AP 検出) | Juniper Mist は、企業に要求されていないが、同じ有線ネットワークに接続されている AP を検出します。 | |
rogue_client | 安全 | AP | 不正 AP へのクライアント接続が検出されました | クライアントは、不正 AP(組織に要求されていないが、同じ有線ネットワークに接続されている AP)にアソシエートします。 | |
ssid_injection | 安全 | AP | SSID インジェクションが検出されました:名前にコードインジェクションの可能性がある悪意のある SSID 名を検出します | Juniper Mist は、SSID 名に含まれる可能性のあるコード インジェクション言語を検出します。 | |
sw_alarm_chassis_partition | インフラ | スイッチ | スイッチ ストレージ パーティション アラーム | パーティションの使用率が高い。 | |
sw_alarm_chassis_pem | インフラ | スイッチ | スイッチPEMアラーム | PEMの問題、障害スロット、CPU使用率の上昇、CBの問題などです。 | |
sw_alarm_chassis_poe | インフラ | スイッチ | Junos PoE コントローラアラーム | ハードウェアの問題。 | |
sw_alarm_chassis_psu | インフラ | スイッチ | Junos 電源アラーム | 電源装置がありません。 | |
sw_bad_optics | インフラ | スイッチ | スイッチの光インターフェイス不良 | トランシーバーが不良です。 | |
sw_bgp_neighbor_state_changed | インフラ | スイッチ | BGP ネイバーの状態が変更されました | BGP ピアリングがアップまたはダウンします。 | |
sw_bpdu_error | インフラ | スイッチ | スイッチ BPDU エラー | ブリッジングループの可能性。 | |
sw_dhcp_pool_exhausted | インフラ | スイッチ | スイッチのDHCPプールが枯渇しました。 | スイッチのDHCPプールが枯渇しました。 | |
switch_down | インフラ | スイッチ | オフラインにする | スイッチがオフラインです。 | |
switch_restarted | インフラ | スイッチ | スイッチが再起動されました | スイッチが再起動されました。 | |
switch_stp_loop | Marvis | スイッチ | 同じフレームがスイッチによって複数回認識される | 頻繁なSTPトポロジー変更とTX/RXの急激な増加。 | 要件 SUB-VNA |
tkip_icv_attack | 安全 | AP | TKIP ICV攻撃 | AP は、設定されたしきい値を超える TKIP MIC 障害を検出します。 | |
url_blocked | 安全 | SRX/SSR | URLがブロックされました | SRX または SSR は、イベント タイプWEBFILTER_URL_BLOCKEDレポートします。 | |
vc_backup_failed | インフラ | スイッチ | バーチャルシャーシ - バックアップメンバー選出 | ||
vc_master_changed | インフラ | スイッチ | バーチャルシャーシ - アクティブな役割に選出された新しいデバイス | ||
vc_member_added」 | インフラ | スイッチ | 新しい VC メンバーの追加 | 新しい VC メンバーが追加されました。 | |
vc_member_deleted | インフラ | スイッチ | バーチャルシャーシメンバーが削除されました | VC メンバーが削除されました。 | |
vendor_ie_missing | 安全 | AP | MistベンダーのIEがビーコンまたはプローブの応答にない | 制裁対象のMist APのなりすまし。 | |
vpn_path_down | Marvis | ルーター | VPN ピア パス ダウン(SSR のみ) | ピアパスの100%障害。 | 要件 SUB-WNA |
vpn_peer_down | インフラ | SRX | VPN ピア ダウン | ハブとスポーク間の WAN インターフェイスの IPSec トンネルがダウンします。 | |
WAN エッジオフライン | インフラ | SSRの | WAN エッジがオフライン | WANエッジデバイスがオフラインです。 | |
watched_station | 安全 | AP | アクティブ監視ステーションが検出されました | Juniper Mistは、監視ステーションリストにリストされているクライアントまたはステーションを検出します。 | |
zero_ssid_association | 安全 | AP | ゼロ SSID アソシエーション要求が検出されました | AP は、長さ 0 の SSID を含むビーコンをスキャンします。 |
アラートの詳細の表示
アラームタイプとその定義の完全なリストを表示するには、次のリクエストを発行できます。
GET /api/v1/const/alarm_defs
これを試すには、 アラーム定義の一覧表示を参照してください。
次の表は、一部のアラートの詳細情報を示しています。
次の表に、特定の Webhook のサブスクリプション要件を示します。監査ログ、アラーム、デバイスイベントなどに関連する一般的な Webhook アラートには、無線、有線、WAN Assurance のいずれかのサブスクリプションが必要です。
各アラーム内には、複数のデバイスを比較してイベントの関連付けを推定できるコンテキストデータが含まれています。既存のすべてのアラート(アラーム)定義の例は、関数 /api/v1/const/alarm_defs
で見つけることができます(リンクを使用するにはJuniper Mistにログインする必要があります)。
イベント アグリゲーション
Juniper Mist は、設定したトピックに基づいてイベントを集計します。ただし、すべてのイベントが集約されるわけではありません。イベントは、location、asset-raw-rssi、sdkclient-scan-data、rssi-zone トピックなど、位置情報サービスに関連するすべてのトピックについて集計されます。
指定した集計期間中に同じトピックに対して複数のイベントが発生した場合、Juniper Mist はそれらを 1 つのメッセージにグループ化します。メッセージ集約のため、受信時に各メッセージからイベントを解析する必要があります。