Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Webhook とアラート

アラートの構成

ポータルの [アラートの構成] ページから、組織全体、単一サイト、または複数のサイトに対してアラートを構成できます。

Alerts page in the Juniper Mist portal

手記:

このページを見つけるには 、Juniper Mist ポータル の左側のメニューから [Monitor > Alerts ] > [ Alerts Configuration ] を選択します。

ここに表示されるすべてのアラートは、アラートを有効にするだけでアラート Webhook を送信できます。

アラートは、次のように重大度に基づいて色別に分類されます。

  • 赤 - クリティカル

  • オレンジ - 警告

  • 青:情報

アラームは、次のグループにも分類されます。

  • インフラストラクチャ—インフラストラクチャアラームは状態を保持しません。これらは、デバイスイベントに直接基づいています。インフラストラクチャ アラームからデバイスを監視する場合、通常は各イベントをスタンドアロン イベントとして扱うか、ステートフル デバイスの変更を照合します。

  • Marvis—Marvisイベントは、[Marvis Actions]で識別されるイベントです。通常、これらのイベントはステートフルです。ペイロード内には、detailsと呼ばれるキーがあります。 details の下に、stateと値( openまたはvalidated)が表示されます。

    • open は、この問題が現在発生していることを意味します。

    • validated は、問題が解決されたことをMarvisが検証したことを意味します。問題が検証されたと見なされると、同じ Webhook の種類が更新された状態で設定されます。

      MarvisのアクションにはAIという性質があるため、これらのアラームが正確で実用的であることを保証するには十分なデータが必要です。Marvisは、誤検知を排除するために十分なデータを蓄積する必要があります。この要件により、イベントが到着するまでの回数が異なります。

  • セキュリティ - セキュリティのイベントのほとんどは 1 回限りのイベントです。これらのアラートでは、特定の攻撃のみが検出され、攻撃がアクティブかどうかは判断されません。不正 AP は 10 時間に 1 回の報告に制限されています。不正クライアントとハニーポットAPイベントは10分ごとに送信されます。

次のアラートには、構成可能な障害しきい値もあります。

  • ARP 障害

  • DHCP 障害

  • DNS 障害

  • デバイスがオフライン

アラートの設定については、Juniper Mist ネットワーク監視ガイドのアラート 設定情報 を参照してください。

Webhook アラートの種類

表 1:Webhook アラート テーブル
アラート/Webhook 名 グループ カテゴリ の説明 トリガーメカニズムの コメント
adhoc_network 安全 AP アドホック ネットワークが検出されました 1 つ以上の AP が、未承認のアドホック ネットワークを検出しました。  
air_magnet_scan 安全 AP エアマグネットスキャンが検出されました 誰かがRF分析のためにエアマグネットスキャンを実行しています。  
ap_bad_cable Marvis AP ジュニパーAPに接続された不良イーサネットケーブル 頻繁なイーサネットの切断と再起動、イーサネットエラーの増加、100Mbpsでの接続 要件 SUB-VNA
ap_offline Marvis AP オフライン(Marvis)
  • サイトダウン—すべてのAPがほぼ同時に接続を失います。

  • スイッチダウン/問題:同じスイッチ上のすべてのAPがほぼ同時に接続を失います。

  • [ローカル オンライン(Locally online)]:AP はローカルで聞こえますが、クラウド接続が失われました。

  • ローカルオフライン—APはローカルで認識されず、クラウド接続が失われました。

要件 SUB-VNA
arp_failure Marvis 接続 サイト全体の無線接続障害 サイト全体で障害が急激に増加、またはサーバー/WLAN/APで障害が100% 発生 要件 SUB-VNA
authentication_failure Marvis 接続 サイト全体での無線および有線接続の障害 サイト全体で障害が急激に増加、またはサーバー/スイッチ/WLAN/VLAN/APで障害が100%発生 要件SUB-VNAまたはSUB-SVNA
bad_cable Marvis スイッチ ジュニパースイッチポートに接続されたケーブルの不良 ポートエラー、イーサネットリンクがない場合の消費電力、バイトアウトと0インの増加(またはその逆) 要件 SUB-VNA
bad_wan_uplink Marvis ルーター パフォーマンスが低い/問題のあるインターフェイス(SRX、SSR) レイテンシ、ジッター、パケットロス、送信パケットの出力ドロップとドロップ 要件 SUB-WNA
beacon_flood 安全   偽のAPフラッディングが検出されました-新しいBSSIDのフラッド 定義された時間枠内に AP によってスキャンされた新しい SSID の数が、定義されたしきい値を超えました。  
bssid_spoofing 安全 AP BSSID スプーフィングが検出されました 信号強度が -30 dBm 以下のデバイスは、信号強度が良好な AP と同じ BSSID をブロードキャストしています。  
device_down インフラ AP デバイスがオフライン APは、設定されたしきい値よりも長い時間、クラウドから切断されます。  
device_restarted インフラ AP デバイスが再起動されました AP が再起動します。  
dhcp_failure Marvis 接続 サイト全体での無線および有線接続の障害 サイト全体で障害が急増している、またはサーバー/WLAN/VLAN/APで障害が100%発生している。 要件SUB-VNAまたはSUB-SVNA
disassociation_flood 安全 AP アソシエーション解除攻撃が検出されました Juniper Mist は、攻撃者が IEEE 802.11 で規定されている特定の関連付け解除フレームを使用して、被害者のデバイスと AP の関連付けを解除する DoS 攻撃を検出します。  
dns_failure Marvis 接続 サイト全体の無線接続障害 サイト全体で障害が急激に増加しているか、サーバー/WLAN/APで障害が100%発生している。 要件 SUB-VNA
eap_dictionary_attack 安全 AP EAP 辞書攻撃が検出されました 辞書に載っている異なる単語を試してパスワードを推測しようとする複数のパスワード失敗。  
eap_failure_injection 安全 AP EAP 失敗インジェクションが検出されました 何者かが偽のEAP失敗を送信した。  
eap_handshake_flood 安全 AP EAP ハンドシェイク フラッドが検出されました 一部のクライアントまたはシミュレーターは、802.1x 認証を要求する大量の EAPOL メッセージを生成します。  
eap_spoofed_success 安全 AP EAP スプーフィング成功が検出されました 何者かがEAPパケットを盗聴し、偽のEAP成功を送信しようとします。  
eapol_logoff_attack 安全 AP EAPOL-Logoff 攻撃が検出されました 一部のクライアントまたはシミュレーターが過剰な EAP ログオフ メッセージを送信しています。  
essid_jack 安全 AP ESSID ジャックが検出されました 一部のクライアントまたはシミュレーターは、ブロードキャスト プローブ要求を送信しようとします。  
excessive_client 安全 AP 過剰なクライアントが検出されました AP に関連付けられているクライアントの数が、構成されたしきい値を超えています。  
excessive_eapol_start 安全 AP 過剰な EAPOL-Start が検出されました 一部のクライアントまたはシミュレーターが過剰な EAP START メッセージを送信しています。  
gateway_down インフラ SRX WAN エッジがオフライン SRXがオフラインです。  
gw_bad_cable Marvis ルーター Juniperゲートウェイ(SRXのみ)ポートに接続されたケーブルの不良 インターフェイス統計エラー、入出力バイトが0 要件 SUB-WNA
gw_dhcp_pool_exhausted インフラ SRX WAN Edge DHCP プールの枯渇 WANエッジのDHCPプールが枯渇し、  
gw_negotiation_mismatch Marvis ルーター ネットワークで見られるMTUパケットサイズの違い(SRXのみ) パケットのフラグメント化、MTU エラー。 要件 SUB-WNA
health_check_failed Marvis AP 交換する問題のあるAP APでの自動修復/自己修復の失敗。 要件 SUB-VNA
honeypot_ssid 安全 AP ハニーポット SSID SSIDをアドバタイズする未承認のAP。  
idp_attack_detected 安全 SRX/SSR IDP 攻撃が検出されました SRXまたはセッションSMartルーターは、IDP_ATTACK_LOG_EVENTタイプのイベントを報告します。  
infra_arp_failure インフラ AP ゲートウェイ ARP の障害 デフォルト ゲートウェイの ARP 要求は応答を受信していません。  
infra_dhcp_failure インフラ AP DHCP 障害 10 分以内に 10 を超えるクライアントが、障害発生/応答不能の DHCP サーバーの影響を受けています。  
infra_dns_failure インフラ AP DNS 障害 10 分以内に 10 を超えるクライアントが障害または応答しない DNS サーバーの影響を受けている場合、このイベントに対して電子メールがトリガーされます。  
insufficient_capacity Marvis AP Wi-Fi容量の少ないAP RRM の変更後、1 つ以上のクライアントで大量の消費が発生し、その結果、AP チャネルの使用率が高くなります。 要件 SUB-VNA
insufficient_coverage Marvis AP Wi-Fiカバレッジが一貫して低いAPの周辺エリア RRMが変更された後も、クライアントのRSSIは一貫して低くなります。 要件 SUB-VNA
krack_attack 安全 AP リプレイインジェクションが検出されました - KRACK攻撃 1 つ以上の AP が KRACK 攻撃の試みを検出します。  
loop_detected_by_ap インフラ ワイヤレス APがリフレクション経由でループを検出しました AP は送信したフレームを受信します。  
missing_vlan Marvis スイッチ AP上に設定されたVLANがスイッチポートまたはアップストリームにない AP は各 VLAN のトラフィックを監視し、同じスイッチ上の AP とサイト内の他の AP を比較します。 要件SUB-VNAまたはSUB-SVNA
monkey_jack 安全 AP モンキージャックが検出されました APが中間者攻撃の試みを検出します。  
negotiation_mismatch Marvis スイッチ 有線クライアントと接続ポートの設定の違い 二重不一致または自動ネゴシエーションの失敗 要件 SUB-VNA
non_compliant Marvis AP ファームウェアが一致しないAP APのファームウェアバージョンは、そのサイトにあるそのモデルモデルの他のほとんどのAPとは異なります。 要件 SUB-VNA
out_of_sequence 安全 AP Out of Sequence Detected(順序が正しくない検出されました) 順序を逸脱したパケットが多すぎます。  
port_flap Marvis スイッチ ポートは絶えず上下する 高頻度かつ継続的なポートフラッピング。 要件 SUB-VNA
repeated_auth_failures 安全 AP クライアント認証の失敗が繰り返されるクライアント クライアントは、RADIUSサーバーに到達できない、共有シークレットが間違っているなどにより、クライアント認証の失敗が続いています。  
rogue_ap 安全 AP Rogue AP Detected (不正 AP 検出) Juniper Mist は、企業に要求されていないが、同じ有線ネットワークに接続されている AP を検出します。  
rogue_client 安全 AP 不正 AP へのクライアント接続が検出されました クライアントは、不正 AP(組織に要求されていないが、同じ有線ネットワークに接続されている AP)にアソシエートします。  
ssid_injection 安全 AP SSID インジェクションが検出されました:名前にコードインジェクションの可能性がある悪意のある SSID 名を検出します Juniper Mist は、SSID 名に含まれる可能性のあるコード インジェクション言語を検出します。  
sw_alarm_chassis_partition インフラ スイッチ スイッチ ストレージ パーティション アラーム パーティションの使用率が高い。  
sw_alarm_chassis_pem インフラ スイッチ スイッチPEMアラーム PEMの問題、障害スロット、CPU使用率の上昇、CBの問題などです。  
sw_alarm_chassis_poe インフラ スイッチ Junos PoE コントローラアラーム ハードウェアの問題。  
sw_alarm_chassis_psu インフラ スイッチ Junos 電源アラーム 電源装置がありません。  
sw_bad_optics インフラ スイッチ スイッチの光インターフェイス不良 トランシーバーが不良です。  
sw_bgp_neighbor_state_changed インフラ スイッチ BGP ネイバーの状態が変更されました BGP ピアリングがアップまたはダウンします。  
sw_bpdu_error インフラ スイッチ スイッチ BPDU エラー ブリッジングループの可能性。  
sw_dhcp_pool_exhausted インフラ スイッチ スイッチのDHCPプールが枯渇しました。 スイッチのDHCPプールが枯渇しました。  
switch_down インフラ スイッチ オフラインにする スイッチがオフラインです。  
switch_restarted インフラ スイッチ スイッチが再起動されました スイッチが再起動されました。  
switch_stp_loop Marvis スイッチ 同じフレームがスイッチによって複数回認識される 頻繁なSTPトポロジー変更とTX/RXの急激な増加。 要件 SUB-VNA
tkip_icv_attack 安全 AP TKIP ICV攻撃 AP は、設定されたしきい値を超える TKIP MIC 障害を検出します。  
url_blocked 安全 SRX/SSR URLがブロックされました SRX または SSR は、イベント タイプWEBFILTER_URL_BLOCKEDレポートします。  
vc_backup_failed インフラ スイッチ バーチャルシャーシ - バックアップメンバー選出    
vc_master_changed インフラ スイッチ バーチャルシャーシ - アクティブな役割に選出された新しいデバイス    
vc_member_added」 インフラ スイッチ 新しい VC メンバーの追加 新しい VC メンバーが追加されました。  
vc_member_deleted インフラ スイッチ バーチャルシャーシメンバーが削除されました VC メンバーが削除されました。  
vendor_ie_missing 安全 AP MistベンダーのIEがビーコンまたはプローブの応答にない 制裁対象のMist APのなりすまし。  
vpn_path_down Marvis ルーター VPN ピア パス ダウン(SSR のみ) ピアパスの100%障害。 要件 SUB-WNA
vpn_peer_down インフラ SRX VPN ピア ダウン ハブとスポーク間の WAN インターフェイスの IPSec トンネルがダウンします。  
WAN エッジオフライン インフラ SSRの WAN エッジがオフライン WANエッジデバイスがオフラインです。  
watched_station 安全 AP アクティブ監視ステーションが検出されました Juniper Mistは、監視ステーションリストにリストされているクライアントまたはステーションを検出します。  
zero_ssid_association 安全 AP ゼロ SSID アソシエーション要求が検出されました AP は、長さ 0 の SSID を含むビーコンをスキャンします。  

アラートの詳細の表示

アラームタイプとその定義の完全なリストを表示するには、次のリクエストを発行できます。

これを試すには、 アラーム定義の一覧表示を参照してください。

次の表は、一部のアラートの詳細情報を示しています。

手記:

次の表に、特定の Webhook のサブスクリプション要件を示します。監査ログ、アラーム、デバイスイベントなどに関連する一般的な Webhook アラートには、無線、有線、WAN Assurance のいずれかのサブスクリプションが必要です。

各アラーム内には、複数のデバイスを比較してイベントの関連付けを推定できるコンテキストデータが含まれています。既存のすべてのアラート(アラーム)定義の例は、関数 /api/v1/const/alarm_defs で見つけることができます(リンクを使用するにはJuniper Mistにログインする必要があります)。

イベント アグリゲーション

Juniper Mist は、設定したトピックに基づいてイベントを集計します。ただし、すべてのイベントが集約されるわけではありません。イベントは、location、asset-raw-rssi、sdkclient-scan-data、rssi-zone トピックなど、位置情報サービスに関連するすべてのトピックについて集計されます。

指定した集計期間中に同じトピックに対して複数のイベントが発生した場合、Juniper Mist はそれらを 1 つのメッセージにグループ化します。メッセージ集約のため、受信時に各メッセージからイベントを解析する必要があります。