アラートプロファイルの作成

指定した条件に合致したログをFirewall Analyzerが受信した際にアラートを発報することができます。
発報時には、WebUI上にポップアップとして表示されるだけでなく、メール通知により特定のユーザーに通知することも可能です。

作成可能なアラートプロファイル数に上限はありません。
複数のアラートプロファイルに該当するログを受信しアラートが大量に発生した場合、 解析処理の影響で一時的にパフォーマンスが低下する可能性があります。


新規アラートプロファイルの作成

以下の手順でアラートプロファイルを作成します。

  1. [設定]→[その他]→[アラートプロファイル]に移動
  2. [アラートプロファイル]画面右上の[追加]をクリック
  3. 任意のプロファイル名を入力し、プロファイルタイプを選択
    以下の中からプロファイルタイプを選択
  4. アラートプロファイルを適用する対象装置を選択
    ※デフォルトではすべての装置が選択されています。
  5. [アラート条件の定義]で以下のいずれかを選択
    • カスタム
      ユーザー任意の条件を設定します。
    • 事前定義
      各種イベントタイプ(VPN、Severity、Attack、Security、Virus、Spam、Admin)に対して、事前にアラート条件を実装しています。
  6. [しきい値設定]の項目でアラートの優先度、アラート間隔を設定
  7. 通知設定
    アラート発生時に毎回通知を行うか、任意のタイミングで1度のみ通知するか選択します。
  8. 通知を有効にする
    [通知テンプレート]機能で作成したテンプレートを選択します。

以下、各プロファイルタイプの設定手順について記載します。

通常アラート

アラート条件をユーザーが任意にカスタマイズすることができます。
※上記、「新規アラートプロファイルの作成」手順と同様です。

  1. 対象装置を選択
  2. [アラート条件の定義]で以下のいずれかを選択
    • カスタム
      ユーザー任意の条件を設定します。
    • 事前定義
      各種イベントタイプ(VPN、Severity、Attack、Security、Virus、Spam、Admin)に対して、事前にアラート条件を実装しています。
  3. [しきい値設定]の項目でアラートの優先度、アラート間隔を設定
  4. 通知設定
    アラート発生時に毎回通知を行うか、任意のタイミングで1度のみ通知するか選択します。
  5. 通知を有効にする
    [通知テンプレート]機能で作成したテンプレートを選択します。

手順2で、[事前定義(Predefined)]を選択した場合、以下の各カテゴリから条件を選択します。

項目 説明
Successful User Login ログイン成功のイベント
Successful User Logout ログアウト成功のイベント
Failed User Login ログイン失敗のイベント
Command Executed コマンドが実行されたイベント
Admin Events すべての管理イベント
Portscan Attack ポートスキャン攻撃のイベント
Attack Event 攻撃のイベント
Virus Event ウイルスのイベント
Spam Event スパム攻撃のイベント
Failed VPN Login VPNログイン失敗のイベント
High Severity Event Severity Highのイベント
Low Severity Event Severity Lowのイベント
Emergency Event Severity Emergencyのイベント
Alert Event Severity Alertのイベント
Critical Event Severity Criticalのイベント
Error Event Severity Errorのイベント
Blocked URL URLへのアクセスがブロックされたイベント
Denied Event 拒否(Deny)イベント

異常アラート

トラフィックの何らかの異常を検知する場合に選択します。 異常アラートは、NBA(Network Behavior Analysis:ネットワーク動作解析) として利用されます。

  1. 対象装置を選択
  2. [アラート条件の定義]で以下の中からレポートタイプを選択し、各条件を設定
    • トラフィックレポート
    • 攻撃レポート
    • ウイルスレポート
    • VPNレポート
    • URLレポート
    • ルールレポート
  3. [しきい値設定]の項目で、対象期間や重要度、異常の有無を確認する時間間隔を指定
  4. 通知設定
    アラート発生時に毎回通知を行うか、任意のタイミングで1度のみ通知するか選択します。
  5. 通知を有効にする
    [通知テンプレート]機能で作成したテンプレートを選択します。

異常アラートのサンプルシナリオ

シナリオ例
1時間に、送信元「192.168.x.x」からのトラフィックが100MBを超えた場合、重要度が「重大」のアラートを発報し、アラートが5回発生するごとにメール通知を送信する
※15分に1度、trafficが100MBを超えたかどうかを確認するように設定

  1. 条件を設定
    レポートタイプ:トラフィックレポート
    送信元:192.168.x.x(次の値に等しい)
  2. しきい値を設定
    期間:1時間
    合計トラフィック
    超過:100MB
    アラートの重要度:重大
    確認する時間間隔:15分
  3. 通知条件を設定
    アラート発生回数:5th ※事前に作成した通知テンプレート(メール通知)を選択

以下のサンプル値で、Firewall Analyzerがログを受信すると、メール通知が送られます。

スケジュール時刻 時間範囲 総バイト数(MB) アラート メール
8月10日 10:00 9:00~10:00 104 はい なし
8月10日 10:15 9:15~10:15 106 はい なし
8月10日 10:30 9:30~10:30 200 はい なし
8月10日 10:45 9:45~10:45 167 はい なし
8月10日 11:00 10:00~11:00 154 はい あり

帯域アラート

対象装置のインターフェースで使用する帯域の異常を検知します。

帯域アラートを設定するには、事前に[SNMP設定]で対象装置のSNMP情報を登録する必要があります。

  1. 対象装置を選択
  2. アラート条件を設定
    対象のインターフェースを選択
    トラフィックタイプ(受信トラフィック、送信トラフィック、合計トラフィック)を選択
    トラフィックの条件、値を設定
  3. しきい値(優先度、アラート間隔)を設定
  4. 通知条件を設定
    1度のみ通知を送信
    通知を有効にする

アラートプロファイル一覧

作成したアラートプロファイルは、[アラートプロファイル]一覧に追加されます。

  • プロファイル名
    作成したアラートプロファイル名
  • プライオリティ
    アラートプロファイル作成時に指定した優先度(重大、警告、注意)
  • プロファイルタイプ
    アラートプロファイルのタイプ(通常/Alert、異常/Anomaly、帯域/Bandwidth)
  • アラート
    発報されたアラートの回数
  • 通知テンプレート
    アラートプロファイル作成時に指定した通知テンプレート名
  • テンプレートタイプ
    通知テンプレートのタイプ(Send EmailやSend Trapなど)
  • ステータス
    アラートプロファイルの有効化、無効化状態
  • アクション
    アラートプロファイルに対する各種アクション(編集、コピー、アラート回数をクリア、削除、アラートの発生状況をPDFで出力)を実行できます。

各フィルターの値について

各アラートプロファイルで選択できるアラート条件の項目について以下に記載します。

通常アラート

  • 重要度(syslogのプライオリティ値:emerg、alert、critical、err、warning、notice、info、debug、none)
    次の値に等しい
    でない
  • 受信(バイト)
  • 送信(バイト)
  • 継続(秒)
  • プロトコル
  • 送信元(送信元IPアドレス)
  • ユーザー
  • 宛先(宛先IPアドレス)
  • URL
  • ステータス(permit/deny)
  • ファイル名
  • ルール
  • VPN
  • ウイルス/攻撃
  • プロトコル識別子
  • メッセージ
  • レコードタイプ
  • ログID
  • URLカテゴリー
  • アプリケーション
  • 送信元の国名
  • 宛先の国名
    次の値に等しい
    でない
    次の値を含む
    次の値を含まない
    次の値が開始文字列
    次の値が終了文字列

異常アラート

  • トラフィックレポート
    日時
    送信元
    プロトコル
    宛先
    ユーザー
    アプリケーション
    送信元の国名
    宛先の国名
  • 攻撃レポート
    日時
    送信元
    プロトコル
    宛先
    攻撃
    メッセージ
    重要度
    送信元の国名
    宛先の国名
  • ウイルスレポート
    日時
    送信元
    プロトコル
    宛先
    ウイルス
    メッセージ
    重要度
    送信元の国名
    宛先の国名
  • VPNレポート
    日時
    送信元
    プロトコル
    宛先
    ユーザー
    VPN
    VPNグループ
  • URLレポート
    日時
    送信元
    プロトコル
    宛先
    ユーザー
    カテゴリー
    URL
  • ルールレポート
    日時
    送信元
    プロトコル
    宛先
    ユーザー
    ルール
    メッセージ
    送信元の国名

帯域アラート

  • 受信トラフィック
  • 送信トラフィック
  • 合計トラフィック
    <=
    >=
    Gbps、Mbps、Kbps、bps、%