アラートプロファイル機能|Firewall Analyzer

ファイアウォール・プロキシ ログ管理

ManageEngine > ファイアウォール・プロキシ ログ管理ツール Firewall Analyzer > 機能 > アプリケーションレポート

アラートプロファイル機能:異常を検知して管理者へ瞬時に通知

アラートプロファイルとは、事前に条件を指定し、条件に該当する通信が発生した際に、メールによるアラート発報で管理者へ迅速に通知を行ったり、特定のスクリプト実行を可能にする機能です。

社内のネットワークは常に、トラフィック急増によるネットワーク障害や、サイバー攻撃、内部不正などのリスクに晒されています。そういった幅広いリスクに対し、業務時間外も含めて人手で常時監視を行うのは困難です。そこで、トラフィックの増加の兆しや不正アクセスの疑いがあるふるまいを事前に検知してメール通知などのアクションを取ることで、被害が大きくなる前に迅速な対処ができます。

トラフィック異常や組織内外の脅威をいち早く検知し対処する上で、ManageEngineがご提供しているファイアウォール/UTM/プロキシログ解析ツール「Firewall Analyzer」のアラートプロファイル機能をお役立ていただけます。

異常を迅速に管理者へお知らせします[日本語サポート付]

評価版ダウンロードはこちら 概要資料ダウンロードはこちら

Firewall Analyzerのアラートプロファイルには、以下の3種類があります。

また、これらのアラートプロファイル作成時に共通する手順は次のとおりです。

  1. 装置とアラートの種類の選択
  2. フィルターの設定
  3. しきい値の設定
  4. 通知の設定

通常アラート

通常アラートとは、フィルターで設定した条件に該当する通信が発生した時点で、即時的に発報するアラートです。

フィルターの設定では、以下の項目から1つまたは複数選択できます。

重要度、時刻(業務時間内/外)、プロトコル、受信バイト、送信バイト、送信元、ユーザー、宛先、URL、ステータス、ファイル名、ルール、VPN、ウイルス/攻撃、プロトコル識別子、メッセージ、継続(秒)、レコードタイプ、ログID、URLカテゴリ、アプリケーション、送信元の国名、宛先の国名

しきい値の設定では、上記で選択した条件に対して、アラートの優先度や、アラートのトリガーとなる間隔(〇分間に〇イベント発生した場合)を入力します。また、アラートの管理者(担当者)などを選択します。

最後に、通知方法の設定で、通知先のメールアドレスや件名のフォーマット、またはスクリプトの実行などを設定して完了です。

通常アラートの設定例

以下の例では、攻撃が疑われる通信が短期間に多く発生した場合に、アラート発報する設定を行っています。

  • ウイルス/攻撃:null(でない)
  • レコードタイプ:attack(次を含む)
  • アラートの重要度:重大
  • しきい値:30分の間に10イベント生成した場合
通常アラートのフィルター/しきい値の設定の例 通常アラートのフィルター/しきい値の設定の例

異常アラート

異常アラートとは、一定期間内に複数回、同様のふるまいをする通信があった場合に発報するアラートです。

フィルターの設定では、レポートタイプを以下の中から選択します。

フィルターで設定できる項目は、上記で選択するレポートタイプにより多少異なります。以下は、「トラフィックレポート」選択時の例です。

  • 日時(業務時間/業務時間外/平日/週末)
  • 送信元
  • 宛先
  • プロトコル
  • ユーザー
  • アプリケーション
  • 送信元の国名
  • 宛先の国名

しきい値の設定では、上記で設定した条件に対して、アラートのトリガーとなる項目を選択し、値を入力します。選択できる項目は、レポートタイプにより異なります(例:合計トラフィック、ヒット数)。また、アラートの管理者(担当者)の割り当てと、確認する時間の間隔などを設定します。

通知方法の設定では、条件に該当する通信が何回発生した時点でアラート通知をするか入力します(1-5回)。最後に、通知先のメールアドレスや件名のフォーマット、またはスクリプトの実行などの設定をして完了です。

異常アラートの設定例

以下の例では、業務時間外にVPN通信(送信元192.168.1.1を除く)が発生し、その合計トラフィック量が1時間に100MB以上の場合にアラート発報をする設定をしています(監視間隔15分)。

  • レポートタイプ:VPNレポート
  • 日時:業務時間外
  • 送信元:192.168.1.1(次に等しくない)
  • しきい値:1時間の合計トラフィック量が100MB以上の場合
  • 確認する時間間隔:15分
  • アラートの重要度:重大
異常アラートのフィルター/しきい値の設定の例 異常アラートのフィルター/しきい値の設定の例

帯域アラート

帯域アラートとは、インターフェースごとのトラフィック量に対するアラートです。

フィルターの設定では、対象装置の各インターフェースならびに監視対象として「合計・受信・送信」トラフィックのいずれかを選択し、上限または下限のしきい値を入力します。
指定可能なしきい値の単位としては、「Gbps/Mbps/Kbps/bps/%」があります。

しきい値の設定では、上記の条件に対してアラートのトリガーとなる間隔(〇分間に〇イベント発生した場合)を入力します。また、管理者(担当者)の割り当てを設定します。

最後に、通知の設定で、通知先のメールアドレスや件名のフォーマット、またはスクリプトの実行などの設定をして完了です。

異常を迅速に管理者へお知らせします[日本語サポート付]

評価版ダウンロードはこちら 概要資料ダウンロードはこちら

関連機能

  • アラート - 画面上で発生中のアラートをわかりやすく可視化します。
  • レポート(一覧) - ログ解析による豊富な種類のレポートを標準装備しています。