アラートプロファイルの作成

指定した条件に合致したログをFirewall Analyzerが受信した際にアラートを発報することができます。
発報時には、WebUI上にポップアップとして表示されるだけでなく、メール通知により特定のユーザーに通知することも可能です。

新規アラートプロファイルの作成
通常アラート
異常アラート
帯域アラート
アラートプロファイル一覧
各フィルターの値について

作成可能なアラートプロファイル数に上限はありません。
複数のアラートプロファイルに該当するログを受信しアラートが大量に発生した場合、解析処理の影響で一時的にパフォーマンスが低下する可能性があります。

新規アラートプロファイルの作成

以下の手順でアラートプロファイルを作成します。

［設定］→［その他］→［アラートプロファイル］に移動
［アラートプロファイル］画面右上の［追加］をクリック
任意のプロファイル名を入力し、プロファイルタイプを選択
以下の中からプロファイルタイプを選択
アラートプロファイルを適用する対象装置を選択
※デフォルトではすべての装置が選択されています。
［アラート条件の定義］で以下のいずれかを選択
- カスタム
  ユーザー任意の条件を設定します。
- 事前定義
  各種イベントタイプ（VPN、Severity、Attack、Security、Virus、Spam、Admin）に対して、事前にアラート条件を実装しています。
［しきい値設定］の項目でアラートの優先度、アラート間隔を設定
通知設定
アラート発生時に毎回通知を行うか、任意のタイミングで1度のみ通知するか選択します。
通知を有効にする
［通知テンプレート］機能で作成したテンプレートを選択します。

以下、各プロファイルタイプの設定手順について記載します。

通常アラート

アラート条件をユーザーが任意にカスタマイズすることができます。
※上記、「新規アラートプロファイルの作成」手順と同様です。

対象装置を選択
［アラート条件の定義］で以下のいずれかを選択
- カスタム
  ユーザー任意の条件を設定します。
- 事前定義
  各種イベントタイプ（VPN、Severity、Attack、Security、Virus、Spam、Admin）に対して、事前にアラート条件を実装しています。
［しきい値設定］の項目でアラートの優先度、アラート間隔を設定
通知設定
アラート発生時に毎回通知を行うか、任意のタイミングで1度のみ通知するか選択します。
通知を有効にする
［通知テンプレート］機能で作成したテンプレートを選択します。

手順2で、［事前定義（Predefined）］を選択した場合、以下の各カテゴリから条件を選択します。

項目	説明
Successful User Login	ログイン成功のイベント
Successful User Logout	ログアウト成功のイベント
Failed User Login	ログイン失敗のイベント
Command Executed	コマンドが実行されたイベント
Admin Events	すべての管理イベント
Portscan Attack	ポートスキャン攻撃のイベント
Attack Event	攻撃のイベント
Virus Event	ウイルスのイベント
Spam Event	スパム攻撃のイベント
Failed VPN Login	VPNログイン失敗のイベント
High Severity Event	Severity Highのイベント
Low Severity Event	Severity Lowのイベント
Emergency Event	Severity Emergencyのイベント
Alert Event	Severity Alertのイベント
Critical Event	Severity Criticalのイベント
Error Event	Severity Errorのイベント
Blocked URL	URLへのアクセスがブロックされたイベント
Denied Event	拒否（Deny）イベント

異常アラート

トラフィックの何らかの異常を検知する場合に選択します。異常アラートは、NBA（Network Behavior Analysis：ネットワーク動作解析) として利用されます。

対象装置を選択
［アラート条件の定義］で以下の中からレポートタイプを選択し、各条件を設定
- トラフィックレポート
- 攻撃レポート
- ウイルスレポート
- VPNレポート
- URLレポート
- ルールレポート
［しきい値設定］の項目で、対象期間や重要度、異常の有無を確認する時間間隔を指定
通知設定
アラート発生時に毎回通知を行うか、任意のタイミングで1度のみ通知するか選択します。
通知を有効にする
［通知テンプレート］機能で作成したテンプレートを選択します。

異常アラートのサンプルシナリオ

シナリオ例
1時間に、送信元「192.168.x.x」からのトラフィックが100MBを超えた場合、重要度が「重大」のアラートを発報し、アラートが5回発生するごとにメール通知を送信する
※15分に1度、trafficが100MBを超えたかどうかを確認するように設定

条件を設定
レポートタイプ：トラフィックレポート
送信元：192.168.x.x（次の値に等しい）
しきい値を設定
期間：1時間
合計トラフィック
超過：100MB
アラートの重要度：重大
確認する時間間隔：15分
通知条件を設定
アラート発生回数：5th ※事前に作成した通知テンプレート（メール通知）を選択

以下のサンプル値で、Firewall Analyzerがログを受信すると、メール通知が送られます。

スケジュール時刻	時間範囲	総バイト数（MB）	アラート	メール
8月10日 10:00	9:00～10:00	104	はい	なし
8月10日 10:15	9:15～10:15	106	はい	なし
8月10日 10:30	9:30～10:30	200	はい	なし
8月10日 10:45	9:45～10:45	167	はい	なし
8月10日 11:00	10:00～11:00	154	はい	あり

帯域アラート

対象装置のインターフェースで使用する帯域の異常を検知します。

帯域アラートを設定するには、事前に［SNMP設定］で対象装置のSNMP情報を登録する必要があります。

対象装置を選択
アラート条件を設定
対象のインターフェースを選択
トラフィックタイプ（受信トラフィック、送信トラフィック、合計トラフィック）を選択
トラフィックの条件、値を設定
しきい値（優先度、アラート間隔）を設定
通知条件を設定
1度のみ通知を送信
通知を有効にする

アラートプロファイル一覧

作成したアラートプロファイルは、［アラートプロファイル］一覧に追加されます。

プロファイル名
作成したアラートプロファイル名
プライオリティ
アラートプロファイル作成時に指定した優先度（重大、警告、注意）
プロファイルタイプ
アラートプロファイルのタイプ（通常/Alert、異常/Anomaly、帯域/Bandwidth）
アラート
発報されたアラートの回数
通知テンプレート
アラートプロファイル作成時に指定した通知テンプレート名
テンプレートタイプ
通知テンプレートのタイプ（Send EmailやSend Trapなど）
ステータス
アラートプロファイルの有効化、無効化状態
アクション
アラートプロファイルに対する各種アクション（編集、コピー、アラート回数をクリア、削除、アラートの発生状況をPDFで出力）を実行できます。

各フィルターの値について

各アラートプロファイルで選択できるアラート条件の項目について以下に記載します。

通常アラート

重要度（syslogのプライオリティ値：emerg、alert、critical、err、warning、notice、info、debug、none）
次の値に等しい
でない
受信（バイト）
送信（バイト）
継続（秒）
プロトコル
送信元（送信元IPアドレス）
ユーザー
宛先（宛先IPアドレス）
URL
ステータス（permit/deny）
ファイル名
ルール
VPN
ウイルス/攻撃
プロトコル識別子
メッセージ
レコードタイプ
ログID
URLカテゴリー
アプリケーション
送信元の国名
宛先の国名
次の値に等しい
でない
次の値を含む
次の値を含まない
次の値が開始文字列
次の値が終了文字列

異常アラート

トラフィックレポート
日時
送信元
プロトコル
宛先
ユーザー
アプリケーション
送信元の国名
宛先の国名
攻撃レポート
日時
送信元
プロトコル
宛先
攻撃
メッセージ
重要度
送信元の国名
宛先の国名
ウイルスレポート
日時
送信元
プロトコル
宛先
ウイルス
メッセージ
重要度
送信元の国名
宛先の国名
VPNレポート
日時
送信元
プロトコル
宛先
ユーザー
VPN
VPNグループ
URLレポート
日時
送信元
プロトコル
宛先
ユーザー
カテゴリー
URL
ルールレポート
日時
送信元
プロトコル
宛先
ユーザー
ルール
メッセージ
送信元の国名

帯域アラート

受信トラフィック
送信トラフィック
合計トラフィック
＜＝
＞＝
Gbps、Mbps、Kbps、bps、%