IBM Cloud Docs
アラート・ポリシーの構成

アラート・ポリシーの構成

IBM Cloud® Internet Services には、イベント発生時に警告を出すように API を介して設定できるアラートがあります。

Webhook の使用方法については、 「Webhook の構成」を 参照してください。

アラートは、エンタープライズ・プランでのみ使用可能です。

アラートのタイプ

CIS には、以下のアラート・タイプが用意されています。

  • DDoS 攻撃レイヤー 7 アラート は、攻撃が軽減されたときに通知を受け取りたいと考えている WAF および CDN のお客様を対象としています。

    DDoS 攻撃レイヤー 7 アラートを受け取った場合、アクションは必要ありません。 各アラートには、簡略説明、攻撃が検出されて軽減された時間、攻撃タイプ、最大攻撃率、およびターゲットが含まれます。

  • 証明書アラート には、TLS 証明書に関するアラートが含まれます。 以下のアラート・タイプは、必要な更新の側面を指定します。

    • Dedicated/Advanced は、Dedicated/Advanced 証明書の検証、発行の更新、および有効期限に関する通知を受け取ります。
    • Universal SSL 証明書は自動的にリフレッシュされ、ユーザー・アクションは必要ありません。
    • 相互 TLS は、 mTLS 証明書の有効期限が切れるときにアラートを出します。

  • Logpushのジョブアラートは、最初に障害が発生したときではなく、一貫して障害が発生したためにジョブが無効になったときに警告します。 影響を受けるジョブ先はすべてアラートに含まれます。

  • Web メトリック・レポート は、アカウントの Web メトリックからのレポートを含む週次サマリーです。

  • Cloudflare 保守レポート には、スケジュール済み、変更済み、またはキャンセル済みの Cloudflare 保守ウィンドウが表示されます。

  • Cloudflare インシデント・レポート には、進行中の Cloudflare インシデントが表示されます。

  • セキュリティー・アラート には、WAF アラートと拡張 WAF アラートが含まれます。

    • WAF アラート は、ファイアウォール・イベントでログ・エントリーを生成するすべてのサービスにわたるスパイクを探します。 平均検出時間は2時間。
    • 拡張 WAF アラート. モニターするサービスを選択できます。選択した各サービスは個別にモニターされます。 平均検出時間は5分。

  • ロード・バランシング・ヘルス・チェック・アラート は、ロード・バランシング・ヘルス・チェックのヘルス状況が変化したときに送信されます。

  • プールのトグルアラートは、プールが手動で有効または無効にされたときに通知されます。

    プール・トグル・アラートを受信した場合、アクションは必要ありません。 各アラートには、プールがトグルされた状態、それが発生した時間、およびどのユーザーが変更を行ったかが含まれる。

コンソールでアラートポリシーを設定する

UI を使用して、警告ポリシーの作成、更新、および削除を行います。

コンソールでアラートポリシーを設定するには、 アカウントページに移動し、 アラートタブを選択します。 「アラート」セクションで、**「アラート・ポリシー」**タブを選択します。

コンソールでセキュリティ警告ポリシーを作成する

  1. 「作成」 をクリックします。
  2. 作成するアラートポリシーのタイプを選択します:
    • HTTP DDoS 攻撃アラート。いずれかのドメインに対する HTTP DDoS 攻撃を検出して軽減します。
    • 専用/拡張アラート。専用証明書の有効期限が切れたとき、およびそれらの証明書が更新されたときにアラートを出します。
    • ユニバーサル SSL アラート。ユニバーサル証明書が自動的にリフレッシュされるとアラートが出されます。
    • 相互 TLS アラート。相互 TLS 証明書の有効期限が切れるとアラートを出します。
    • Logpush ジョブ・アラート。構成されている Logpush ジョブが失敗した場合にアラートを出します。
    • Web メトリック・レポート。これは、時間の経過に伴うアプリケーションのトラフィックとパフォーマンスの変化を識別するのに役立つ週次レポートです。
    • Cloudflare メンテナンス・レポート。これは、スケジュールされた、変更された、またはキャンセルされた Cloudflare メンテナンス・ウィンドウについて報告します。
    • Cloudflare インシデント・レポート。進行中の Cloudflare インシデントについて報告します。
    • セキュリティイベントアラートは、すべてのセキュリティイベントの急増を検知してから2時間以内に警告を発します。
    • オプションのサービス・フィルタにより、セキュリティ・イベントの急増を検出すると5分以内に警告を発する、高度なセキュリティ・イベント・アラート。
    • ロード・バランシング・ヘルス・チェック・アラート。プール・ヘルス・チェックまたはプール起点のヘルス状況が変更されたときにアラートを出します。
    • プール使用可能化アラート。これは、プールの使用可能または使用不可のトグル状況に基づくアラートです。
  3. アラート・ポリシーの名前を入力し、オプションで説明を入力します。
  4. アラート方式を選択します。 Webhook を選択するか、アラートの送信先の E メール・アドレスを入力するか、またはその両方を実行できます。 構成を完了するために必要な通知は 1 つのみです。
    • Cloud Internet Services (CIS) がアラートを送信する E メール・アドレスを入力します。 +をクリックして、アラートにアドレスを追加します。 すべての E メール・アドレスについて繰り返します。
    • Webhook の追加 をクリックし、使用可能な Webhook を選択します。 Webhook が存在しない場合、このオプションは使用できません。
  5. 作成 をクリックします。

デフォルトでは、アラート・ポリシーは作成時に有効になります。 作成したアラートを無効にするには、「 有効」 列のトグルを切り替えます。

コンソールで高度なセキュリティ警告ポリシーを作成する

コンソールで高度なセキュリティ警告を作成するには、以下の手順を実行する:

  1. 「作成」 をクリックします。
  2. 「拡張セキュリティー・イベント・アラート」を選択します。
  3. アラート・ポリシーの名前を入力し、オプションで説明を入力します。
  4. アラート方式を選択します。 Webhookを選択するか、アラートを送信する電子メールアドレスを入力するか、またはその両方を行うことができます。 構成を完了するために必要な通知は 1 つのみです。
    • Cloud Internet Services (CIS) がアラートを送信する E メール・アドレスを入力します。 +をクリックして、アラートにアドレスを追加します。 すべての E メール・アドレスについて繰り返します。
    • Webhook の追加 をクリックし、使用可能な Webhook を選択します。 Webhook が存在しない場合、このオプションは使用できません。
  5. 次へ をクリックします。
  6. アラート・ポリシーがモニターするドメインを選択します。
  7. アラート・ポリシーがモニターするサービスを選択します。
  8. 「作成」 をクリックします。

コンソールでアラートポリシーを編集する

アラート・ポリシーを編集するには:

  1. アラートセクションでアラートのアクションメニューをクリックし、 編集を選択します。
  2. 名前と説明の変更、メールアドレスの追加・削除、ウェブフックの追加・削除・編集を行います。
  3. 編集をクリックして変更を保存します。

コンソールで警告ポリシーを削除する

アラート・ポリシーを削除する場合:

  1. アラートセクションでアラートのアクションメニューをクリックし、 削除を選択します。
  2. 確認メッセージで削除をクリックします。

自分が作成したアラートのみ削除できます。

CLIからアラートポリシーを設定する

CLI からアラート・ポリシーを構成します。

CLIからすべてのアラートポリシーを一覧表示する

CLIからすべてのアラートポリシーを一覧表示するには、次のコマンドを実行します:

ibmcloud cis alert-policy list [-i, --instance INSTANCE] [--output FORMAT]

ここで、

  • -i, --instance value は、インスタンス名または ID です。
  • --出力値は出力形式を指定します。JSON のみがサポートされます。

CLIからアラートポリシーの詳細を取得する

CLIから警告ポリシーの詳細を取得するには、次のコマンドを実行します:

ibmcloud cis alert-policy get POLICY_ID [-i, --instance INSTANCE] [--output FORMAT]

ここで、

  • POLICY_ID は、アラート・ポリシーの ID です。
  • -i, --instance value は、インスタンス名または ID です。
  • --出力値は出力形式を指定します。JSON のみがサポートされます。

CLI から DDoS 攻撃アラートを作成する

CLI から DDoS 攻撃アラートポリシーを作成するには、次のコマンドを実行します:

ibmcloud cis alert-policy ddos-attack-l7-alert-create --name NAME (--emails EMAILS | --webhooks WEBHOOKS) --enabled (true | false) [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]

ここで、

  • --name value は、アラート・ポリシーの名前です。
  • --description value は、アラート・ポリシーの説明です。
  • --emails value は、アラート通知をディスパッチするための E メール・アドレスです。 例えば、--emails test1@cn.ibm.com,test2@cn.ibm.com です。
  • --webhooks value は、アラート通知をディスパッチするための Webhook ID です。 例えば、--webhooks webhookID1,webhookID2 です。
    • -enabled値は、アラートポリシーが有効かどうかを決定する。
  • -i, --instance value は、インスタンス名または ID です。
  • --出力値は出力形式を指定します。JSON のみがサポートされます。

CLIからプールのトグル警告を作成する

CLIからプール・トグル・アラートを作成するには、以下のコマンドを実行する:

ibmcloud cis alert-policy pool-toggle-alert-create --name NAME (--emails EMAILS | --webhooks WEBHOOKS) --enabled (true | false) --pools POOLS --trigger-condition (enabled | disabled | either) [--include-future-pools (true | false)] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]

ここで、

  • --name value は、アラート・ポリシーの名前です。
  • --description value は、アラート・ポリシーの説明です。
  • --emails value は、アラート通知をディスパッチするための E メール・アドレスです。 例えば、--emails test1@cn.ibm.com,test2@cn.ibm.com です。
  • --webhooks value は、アラート通知をディスパッチするための Webhook ID です。 例えば、--webhooks webhookID1,webhookID2 です。
    • -enabled値は、アラートポリシーが有効かどうかを決定する。
  • --pools value は起点プールの ID です。 all に設定すると、すべてのプール ID が使用されます。
  • --trigger-condition value は、プール切り替え状況の条件です。
  • --include-future-pools value は、将来のプールを組み込むかどうかを決定します。
  • -i, --instance value は、インスタンス名または ID です。
  • --出力値は出力形式を指定します。JSON のみがサポートされます。

CLI からセキュリティ警告を作成する

CLIからセキュリティ・アラートを作成するには、以下のコマンドを実行する:

ibmcloud cis alert-policy firewall-events-alert-create --name NAME (--emails EMAILS | --webhooks WEBHOOKS) --enabled (true | false) --domains DOMAINS [--services SERVICES] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]

ここで、

  • --name value は、アラート・ポリシーの名前です。
  • --description value は、アラート・ポリシーの説明です。
  • --emails value は、アラート通知をディスパッチするための E メール・アドレスです。 例えば、--emails test1@cn.ibm.com,test2@cn.ibm.com です。
  • --webhooks value は、アラート通知をディスパッチするための Webhook ID です。 例えば、--webhooks webhookID1,webhookID2 です。
  • --domains value は、アラート・ポリシーのドメイン ID です。 例えば、--domains domainID1,domainID2 です。
  • --services valueは、アラートがモニターするサービスを指定します (拡張セキュリティー・アラートの場合)。 有効なサービス: country-access-ruleswaffirewall-rulesratelimitsecuritylevelip-access-rulesbrowser-integrity-checkua-ruleslockdownsiprange-access-rulesasn-access-rulesmanaged-firewallhotlinkssl-validation。 (エンタープライズ・プランのみ)
    • -enabled値は、アラートポリシーが有効かどうかを決定する。
  • -i, --instance value は、インスタンス名または ID です。
  • --出力値は出力形式を指定します。JSON のみがサポートされます。

セキュリティー・アラートと拡張セキュリティー・アラートは、同じコマンドを使用します。 CLIで高度なセキュリティ・イベント警告コマンドを作成する場合は、警告のサービスを指定します。 アラートのサービスを指定しない場合、平均検出時間は 5 分から 2 時間に変わります。

CLI から DDoS 攻撃アラートポリシーを更新する

CLI から DDoS 攻撃アラートポリシーを更新するには、次のコマンドを実行します:

ibmcloud cis alert-policy ddos-attack-l7-alert-update POLICY_ID [--name NAME] [--emails EMAILS] [--webhooks WEBHOOKS] [--enabled (true | false)] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]

ここで、

  • POLICY_ID は、アラート・ポリシーの ID です。
  • --name value は、アラート・ポリシーの名前です。
  • --description value は、アラート・ポリシーの説明です。
  • --emails value は、アラート通知をディスパッチするための E メール・アドレスです。 例えば、--emails test1@cn.ibm.com,test2@cn.ibm.com です。
  • --webhooks value は、アラート通知をディスパッチするための Webhook ID です。 例えば、--webhooks webhookID1,webhookID2 です。
    • -enabled値は、アラートポリシーが有効かどうかを決定する。
  • -i, --instance value は、インスタンス名または ID です。
  • --出力値は出力形式を指定します。JSON のみがサポートされます。

CLIからのプールトグル警告ポリシーの更新

CLI からプールトグル警告ポリシーを更新するには、以下のコマンドを実行します:

ibmcloud cis alert-policy pool-toggle-alert-update POLICY_ID [--name NAME] [--emails EMAILS] [--webhooks WEBHOOKS] [--enabled (true | false)] [--pools POOLS] [--trigger-condition (enabled | disabled | either)] [--include-future-pools (true | false)] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]

ここで、

  • --name value は、アラート・ポリシーの名前です。
  • --description value は、アラート・ポリシーの説明です。
  • --emails value は、アラート通知をディスパッチするための E メール・アドレスです。 例えば、--emails test1@cn.ibm.com,test2@cn.ibm.com です。
  • --webhooks value は、アラート通知をディスパッチするための Webhook ID です。 例えば、--webhooks webhookID1,webhookID2 です。
    • -enabled値は、アラートポリシーが有効かどうかを決定する。
  • --pools value は起点プールの ID です。 all に設定すると、すべてのプール ID が使用されます。
  • --trigger-condition value は、プール切り替え状況の条件です。
  • --include-future-pools value は、将来のプールを組み込むかどうかを決定します。
  • -i, --instance value は、インスタンス名または ID です。
  • --出力値は出力形式を指定します。JSON のみがサポートされます。

CLI からのセキュリティ警告ポリシーの更新

CLIからセキュリティ警告ポリシーを更新するには、以下のコマンドを実行します:

ibmcloud cis alert-policy firewall-events-alert-update POLICY_ID [--name NAME] [--emails EMAILS] [--webhooks WEBHOOKS] [--enabled (true | false)] [--domains DOMAINS] [--services SERVICES] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]

ここで、

  • --name value は、アラート・ポリシーの名前です。
  • --description value は、アラート・ポリシーの説明です。
  • --emails value は、アラート通知をディスパッチするための E メール・アドレスです。 例えば、--emails test1@cn.ibm.com,test2@cn.ibm.com です。
  • --webhooks value は、アラート通知をディスパッチするための Webhook ID です。 例えば、--webhooks webhookID1,webhookID2 です。
  • --domains value は、アラート・ポリシーのドメイン ID です。 例えば、--domains domainID1,domainID2 です。
  • --services value は、アラートがモニターするサービスを指定します (エンタープライズ・プランのみ)。 有効なサービス: country-access-ruleswaffirewall-rulesratelimitsecuritylevelip-access-rulesbrowser-integrity-checkua-ruleslockdownsiprange-access-rulesasn-access-rulesmanaged-firewallhotlinkssl-validation
    • -enabled値は、アラートポリシーが有効かどうかを決定する。
  • -i, --instance value は、インスタンス名または ID です。
  • --出力値は出力形式を指定します。JSON のみがサポートされます。

CLIからアラートポリシーを削除する

CLIから警告ポリシーを削除するには、次のコマンドを実行します:

ibmcloud cis alert-policy delete POLICY_ID [-i, --instance INSTANCE] [-f, --force]

ここで、

  • POLICY_ID は、アラート・ポリシーの ID です。
  • -f, --force は、確認のプロンプトを出さずにアラート・ポリシーを削除しようとします。
  • -i, --instance value は、インスタンス名または ID です。

APIでアラートポリシーを作成する

E メール・アラートを作成するには、以下の手順を実行します。

  1. IBM Cloud アカウントにログインします。
  2. トークンを取得します。
  3. そのトークンを使用して、以下のいずれかのコマンドを実行します。
    • DDoS 攻撃レイヤー 7
    • プール・トグル・アラート
    • セキュリティー (WAF) アラート
    • 拡張セキュリティー (WAF) アラート

アラート・コマンド

DDoS 攻撃レイヤー 7 コマンド

curl -X POST \
  https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies \
  -H 'content-type: application/json' \
  -H 'x-auth-user-token: Bearer xxxxxx' \
  -d '{"name":"Example Policy","enabled":true,"alert_type":"dos_attack_l7","mechanisms":{"email":[{"id":"cistestemail@ibm.com"}],"webhooks":[]}}'

ここで、

    • dはアラートを作成するために必要な属性の配列である。
    • 名前 はアラートの名前です。
    • 有効 は、アラートの状態 ( truefalseのいずれか) です。
    • alert_type は、アラートのタイプ ( dos_attack_l7load_balancing_pool_enablement_alertclickhouse_alert_fw_anomalyclickhouse_alert_fw_ent_anomalydedicated_ssl_certificate_event_typeuniversal_ssl_event_typeload_balancing_health_alert、または web_analytics_metrics_update のいずれか) です。
    • メカニズム は、少なくとも 1 つの emailwebhooks です。
    • 説明 (オプション) は、アラートの説明です。

プール・トグル・アラート・コマンド

curl -X POST \
  https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies \
  -H 'content-type: application/json' \
  -H 'x-auth-user-token: Bearer xxxxxx' \
  -d '{"name":"Example Policy","enabled":true,"alert_type":"load_balancing_pool_enablement_alert","mechanisms":{"email":[{"id":"cistestemail@ibm.com"}],"webhooks":[]},
       “filters”: {
       “enabled”: [
         “false”,
         “true”
       ],
       “pool_id”: [
         “6e67c08e3bae7eb398101d08def8a68a”,
         “df2d9d70fcb194ea60d2e58397cb35a6”
       ]
       },
       "conditions": {
       }}'

ここで、

    • dはアラートを作成するために必要な属性の配列である。
    • 名前 はアラートの名前です。
    • 有効 は、アラートの状態 ( truefalseのいずれか) です。
    • alert_type は、アラートのタイプ ( dos_attack_l7load_balancing_pool_enablement_alertclickhouse_alert_fw_anomalyclickhouse_alert_fw_ent_anomalydedicated_ssl_certificate_event_typeuniversal_ssl_event_type、または load_balancing_health_alert のいずれか) です。
    • メカニズム は、少なくとも 1 つの emailwebhooks です。
    • 説明 (オプション) は、アラートの説明です。
    • フィルター は、プール・トグル・アラートのすべての使用可能化状況およびプール ID のリストです。
    • 条件 は、プールが使用可能、使用不可、またはその両方のいずれであるかをすべてのプールについて記述します。 フィールドが空の場合、コンテンツは自動的に生成されます。

セキュリティー (WAF) アラート・コマンド

WAF アラートを設定するには、以下のコマンドを使用します。

curl -X POST \
  https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies \
  -H 'Content-Type: application/json' \
  -H 'X-Auth-User-Token: Bearer xxxxxx' \
  -d '{
  "name": "WAF Alerter",
  "description": "Send an email on spike in firewall events for any service",
  "enabled": true,
  "alert_type": "clickhouse_alert_fw_anomaly",
  "mechanisms": {
    "email": [
      {
        "id": "sreteam@techcompany.com"
      }
    ]
  },
  "filters": {
    "zones": [
      "123456ab7d8e9f0g12h2j34l5mn6op78"
    ]
  }
}'

ここで、

    • dはアラートを作成するために必要な属性の配列である。
    • 名前 はアラートの名前です。
    • 説明 (オプション) は、アラートの説明です。
    • 有効 は、アラートの状態 ( truefalseのいずれか) です。
    • alert_type は、アラートのタイプ ( dos_attack_l7load_balancing_pool_enablement_alertclickhouse_alert_fw_anomalyclickhouse_alert_fw_ent_anomalydedicated_ssl_certificate_event_typeuniversal_ssl_event_type、または load_balancing_health_alert のいずれか) です。
    • メカニズム は、少なくとも 1 つの emailwebhooks です。
    • フィルタは、WAFアラートのすべてのゾーンのリストです。

拡張セキュリティー (WAF) アラート・コマンド

拡張 WAF アラートを設定するには、以下のコマンドを使用します。

curl -X POST \
  https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies \
  -H 'Content-Type: application/json' \
  -H 'X-Auth-User-Token: Bearer xxxxxx' \
  -d '{
  "name": "WAF Alerter",
  "description": "Send an email on spike in firewall events for WAF or browser integrity check",
  "enabled": true,
  "alert_type": "clickhouse_alert_fw_ent_anomaly",
  "mechanisms": {
    "email": [
      {
        "id": "sreteam@techcompany.com"
      }
    ]
  },
  "filters": {
    "services": [
      "waf",
      "bic"
    ],
    "zones": [
      "123456ab7d8e9f0g12h2j34l5mn6op78"
    ]
  }
}'

ここで、

    • dはアラートを作成するために必要な属性の配列である。
    • 名前 はアラートの名前です。
    • 説明 (オプション) は、アラートの説明です。
    • 有効 は、アラートの状態 ( truefalseのいずれか) です。
    • alert_type は、アラートのタイプ ( dos_attack_l7load_balancing_pool_enablement_alertclickhouse_alert_fw_anomalyclickhouse_alert_fw_ent_anomalydedicated_ssl_certificate_event_typeuniversal_ssl_event_type、または load_balancing_health_alert のいずれか) です。
    • メカニズム は、少なくとも 1 つの emailwebhooks です。
    • フィルタは、Advanced WAF アラートのセキュリティイベントとゾーンを監視するすべてのサービスのリストです。

以下のサービスをモニターできます。

高度なWAFアラートで監視できるサービス
サービス ログ値
国別 IP アクセス規則 country
WAF waf
ファイアウォール規則 firewallrules
速度制限 ratelimit
セキュリティー・レベル securitylevel
IP アクセス規則 ip
検証 validation
ブラウザーの保全性チェック bic
ホット・リンク保護 hot
ユーザー・エージェント・ブロック uablock
ゾーン・ロックダウン zonelockdown
IP 範囲アクセス規則 iprange
ASN IP アクセス規則 asn
カスタム・ファイアウォール firewallCustom
管理対象ファイアウォール firewallManaged
データ損失防止 dlp

APIによるアラートポリシーの編集

E メール・アラートを編集するには、以下のコマンドを実行します。

curl -X PUT \
  https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies/:policy_id \
  -H 'content-type: application/json' \
  -H 'x-auth-user-token: Bearer xxxxxx' \
  -d '{"name":"Example Policy","enabled":true,"alert_type":"dos_attack_l7","conditions":{},"mechanisms":{"email":[{"id":"cistestemail@ibm.com"}],"webhooks":[]}}'

条件 フィールドは、空の場合もありますが、必須です。

APIでアラートポリシーを削除する

E メール・アラートを削除するには、以下のコマンドを実行します。

curl -X DELETE \
  https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies/:policy_id \
  -H 'content-type: application/json' \
  -H 'accept: application/json' \
  -H 'x-auth-user-token: Bearer xxxxxx'