セキュリティ上の脅威を監視する
重要なシステム構成の変更や、Data Center 製品のシステム管理者アクセス権の付与など、疑わしい可能性のあるアクティビティをプロアクティブに検出します。メール通知や、セキュリティ アラートを表示、検索、分類できる製品内の中央追跡ハブを使用して、これらのイベントの最新情報を入手してください。これらのアラートには、同じユーザーが実行したアクションの詳細を示すグラフが含まれています。
次の Data Center バージョンのシステム管理者は、既定でセキュリティの監視と警告機能を利用できます。
- Jira 10.0 以降
Confluence 9.1 以降
Bitbucket 9.1 以降
システム管理者は、セキュリティ チームのメンバーなど、他のユーザーにこのデータへのアクセスを許可できます。アクセスを許可されたユーザーは、疑わしいと思われるアクティビティを詳細に調査し、必要なアクションを取ることができます。
はじめる前に
セキュリティ アラートを受信するには、次のものが必要です。
- 有効な SMTP メール サーバー
- システム管理者権限または
security-monitoring-alertsという名前のカスタム グループのメンバーシップ。
製品追跡ハブにセキュリティ アラートを表示するには、次のものが必要です。
- システム管理者権限または
security-monitoring-alertsという名前のカスタム グループのメンバーシップ。
その他のユーザーにアクセスを許可する
既定でシステム管理者のみがセキュリティ アラートを受信します。その他のユーザーに通知するには、この機能のために導入された security-monitoring-alerts カスタム グループに追加してください。このグループを設定して少なくとも 1 人のアクティブ ユーザーを含めると、グループのメンバーだけがメール アラートを受信することにご注意ください。システム管理者はメール アラートを受信しませんが、製品内のセキュリティ アラートのページにはアクセスできます。
別のグループを使用してアラートを受信したい場合は、次のシステム プロパティを使用してグループの名前を構成できます。
plugin.lighthouse.security.group.name=<your-group-name>
クラスター化されたインスタンスの場合は、すべてのノードでシステム プロパティを設定します。
セキュリティ アラートを表示する
アラートを表示するには、管理設定ページに移動して、[セキュリティ] > [セキュリティ アラート] の順に選択します。
このページには、<instance_base_url>/plugins/servlet/lighthouse から直接アクセスすることもできます。
このページでは各イベントの概要を説明します。アラート、日付、アクター、ステータスでフィルタリングできます。このページからステータスを更新することもできます。
アラートの詳細を確認するには、[アラート] 列で対象アラートのリンクを選択します。追加の詳細、インサイト、リンクを含む新しいページが表示されます。
セキュリティ アラートのリスト
次のイベントでアラートがトリガーされます。
- 許可リストの変更
- お知らせバナーの変更
- 監査構成の変更
- 認証設定の変更
- 新しいアプリのインストール
- セキュリティ設定の変更 (すべての変更が追跡されるわけではありません)
- セキュリティ グループ (security-monitoring-alerts) の変更
- システム管理者と管理者グループの変更
- システム管理者と管理者ユーザーの詳細の変更
- システム管理者と管理者ユーザー権限の変更
- ユーザー ディレクトリの変更
- サイトまたはインスタンスのバックアップと復元
既知の制限事項
この機能には、注意すべき制限がいくつかあります。
| エリア | 制限事項 |
|---|---|
| 管理者権限 | 管理者システム管理者の権限の変更には 5 秒の更新遅延があります。この期間内に権限が付与され、削除された (両方のアクションが完了した) 場合は、アラートがトリガーされない可能性があります。 |
| LDAP 経由で管理者パスワードがリセットされた | LDAP 経由でパスワードが変更されても、アラートはトリガーされません。 |
| アラート ID の欠番 | アラート ID は、Oracle データベースの数字をスキップすることがあります。監視するには、文字列 [Atlassian Lighthouse] Error while alerting and notifying のログを検索します。この文字列は、アラートの作成に失敗したときにログとして記録されます。 |
| 監査ログ | セキュリティ モニタリングとアラート機能は監査ログからのアラートに依存しています。すべての監査イベントを監視し、補償規則や除外事項は無視します。監査イベントが生成されない場合は、アラートは検出されません。 |
| サイトの復元 | サイトの復元中は、送信メールを無効にすると通知が送信されなくなります。 |
トラブルシューティング
すべてのアラートを無効にする
[管理] の [アプリの管理] セクションからアプリを無効にすることで、すべてのアラートを無効にできます。アプリ名は、[アトラシアン セキュリティ モニタリングおよびアラート] です。将来のバージョンではこのアプリが必須になるため、無効にできなくなります。
特定のアラートを無効にする
次のシステム プロパティを使用して、特定のアラートを無効にできます。plugin.lighthouse.disabled.alert.types
その値は、以下にリストされているアラート ID のコンマ区切りリストです。
例:
plugin.lighthouse.disabled.alert.types=advanced-auditing-config-modified, admin-group-deleted
アラート ID のリスト
以下はアラート ID をすべて含めたリストです。
- advanced-auditing-config-modified
- admin-group-deleted
- admin-group-permission-added
- admin-group-permission-deleted
- admin-user-deleted
- admin-user-added-to-group
- admin-user-deleted-from-group
- admin-user-permission-added
- admin-user-permission-deleted
- admin-user-permission-modified
- admin-user-anonymized
- admin-user-details-modified
- admin-username-modified
- admin-user-password-modified
- user-added-to-security-group
- user-removed-from-security-group
- announcement-banner-added
- announcement-banner-deleted
- announcement-banner-updated
- authentication-method-added
- authentication-method-deleted
- authentication-method-modified
- basic-authentication-configuration-disabled
- basic-authentication-configuration-enabled
- allowlist-disabled
- allowlist-enabled
- allowlist-entry-added
- allowlist-entry-deleted
- allowlist-entry-modified
- app-installed
- configuration-changed
- export-started
- import-started
- logging-enabled
- logging-disabled
- profiling-enabled
- profiling-disabled
- site-export-completed
- site-import-completed
user-directory-added
user-directory-deleted
user-directory-updated