アラートプロファイル
[設定]→[フロー解析]→[アラートプロファイル]
アラート発生条件となるしきい値を設定し、違反を検知した際に事前に設定した通知テンプレートに従って発報することが可能です。
アラートが正しく発報されるよう、監視対象装置のアクティブタイムアウト値は必ず1分にしてください。
※セキュリティは通知テンプレートが不要
・共通操作
・リアルタイム
・集約
・トラフィックパターン
・セキュリティ(Enterprise Edition専用機能)
共通操作
既存アラートプロファイルの変更を行うには、アラートプロファイル名をクリックしてください。プロファイル名を除くすべての設定を変更できます。
「LinkDown」アラートプロファイルは名前変更できます。
[ステータス]項目のスライドボタンを有効化(緑)にすることで、アラートをアクティブにできます。
[アクション]項目のゴミ箱アイコンをクリックすることで、アラートプロファイルを削除できます。
削除されると、そのアラートプロファイルに関連付けられているすべてのアラートが自動的にクリアされます。
※「LinkDown」アラートプロファイルは削除できません。
※セキュリティアラートでのみ、発生アラートのオールクリアが可能です。
リアルタイム
NetFlow Analyzerは、設定したアラートのしきい値条件を1分間に1回確認します。また指定期間に発生するアラートは1件のみです。
例 :
監視インターフェースで、しきい値は帯域使用率60%、回数は3回、期間は30分のアラートプロファイルに対して、使用率が60%を超える通信が常に続いたと仮定します。
1分毎のしきい値違反 × 3回 = 3分後 に設定中のアラートが発報され、計測期間がリセットされます。
同じ状態が続く場合、次回のアラート発生は最初の使用率超過から6分後(初回違反の3分 + 期間リセット後しきい値違反3回分)です。
既存の「LinkDown」アラートは5分以上フローデータを受信しない場合にメール発報を行うデフォルトアラートです。
デフォルトは無効になっており、削除はできません。メールサーバーの設定が必要です。
1. [設定]→[フロー解析]→[アラートプロファイル]→[リアルタイム]画面右上の[追加]をクリック
2.項目を入力し、[保存]をクリック
| 項目1 | 項目2 | 詳細 |
| プロファイル名 | - | 必須/作成後変更不可 |
| 説明 | - | 任意 |
| 出力対象 | - | 監視インターフェースや各種グループの任意対象を選択 |
| アラート条件 | - | トラフィックタイプを受信/送信/送受信から選択 |
| しきい値とアクションの定義 | 「使用率」「容量」「速度」「パケット数」から選択 | 超過(>)/不足(<)> [しきい値]→[発生回数]→[時間間隔]→[重要度(注意/警告/重大)]→[通知手段(全てのテンプレート)]→[作成済みテンプレート] ※"メール"等ではなく"全てのテンプレート"を選択してください |
| 時間フィルター | 週末の除外/タイムゾーン/業務時間フィルター | 任意選択 |
集約
指定の時間帯のトラフィックにしきい値ベースのアラートを作成して管理します。また、しきい値違反の際は通知します。
1. [設定]→[フロー解析]→[アラートプロファイル]→[集約]画面右上の[追加]をクリック
2.項目を入力し、[保存]をクリック
| 項目 | 詳細 |
| プロファイル名 | このアラートプロファイルを特定する一意の名前を入力 作成後、変更不可 |
| 説明 | アラートプロファイルの説明情報を入力 |
| 出力対象 | アラートの判定対象とするインターフェースやグループの選択 |
| アラート期間 | カスタム : 開始/終了日時や業務時間フィルター、週末の除外オプションを自由に設定 定期的 : 開始日時や周期幅、業務時間フィルターや週末の除外オプションを設定 |
| しきい値の定義 | 受信/送信/送受信トラフィックの通信ベクトルを選択 ボリューム(容量)/パケット(数)からしきい値基準を選択し、具体値を入力 |
| しきい値とアクションの定義 | 上記で設定した条件に対して発報されるアラートの重要度を注意/警告/重大から選択 [すべてのテンプレート]から事前に設定した通知テンプレート ※"メール"等ではなく"全てのテンプレート"を選択してください |
トラフィックパターン
※トラフィックパターン分析の詳細はこちらをご確認ください。
※トラフィックパターン分析はビルド12.8.272より実装された機能です。
NetFlow Analyzerの機械学習アルゴリズムは、監視トラフィックのパターンと偏差から将来的なトラフィック上下限値を予測します。
トラフィックが、機械学習アルゴリズムによって予測されたトラフィックパターンから逸脱した際、アラートを生成します。
高度な設定により送受信トラフィックの偏差値は設定が可能です。
1. [設定]→[フロー解析]→[アラートプロファイル]→[トラフィックパターン]→画面右上の[追加]をクリック
2.項目を入力し、[保存]をクリック
| 項目 | 詳細 |
| プロファイル名 | 必須/作成後変更不可 |
| 説明 | 任意 |
| 出力対象 | 監視インターフェースや各種グループの任意対象を選択 |
| アラート条件 | トラフィックタイプを受信/送信/送受信から選択 |
| 高度な設定 | 「受信トラフィック上限」/「受信トラフィック下限」/「送信トラフィック上限」/「送信トラフィック下限」を選択してください。 |
| しきい値とアクションの定義 | 重要度(注意/警告/重大)]→[通知手段(全てのテンプレート)]→[作成済みテンプレート ※"メール"等ではなく"全てのテンプレート"を選択してください |
[高度な設定]
高度な設定では送受信トラフィックの偏差値を変更できます。
例:
インタフェースのトラフィック上下限値の予測速度が、その日の最初の10分間(00:00~00:10)でそれぞれ20Mbpsと10Mbpsであったとします。
上下限値を0%偏差で設定した場合、アラート発報のしきい値はそれぞれ差分無く20Mbpsと10Mbpsとなります(100±0%偏差)。
上下限値を50%偏差で設定した場合、アラート発報のしきい値はそれぞれ30Mbpsと5Mbpsとなります(100±50%偏差)。
| タイプ | 予測値 | 0%偏差 | 25%偏差 | 50%偏差 |
| 上限 | 20Mbps | 20Mbps | 25Mbps | 30Mbps |
| 下限 | 10Mbps | 10Mbps | 7.5Mbps | 5Mbps |
セキュリティ
※セキュリティ機能はEnterprise Edition専用
の機能です。
※Editionの概要はこちらをご確認ください。
※ビルド12.6.288よりUI上の表示機能名が「攻撃」から「セキュリティ」に変更されました。
※事前にセキュリティ分析設定から、機能を有効化する必要があります。
※事前にメールサーバーの設定が必要です。
あらかじめ定義されたアルゴリズム、問題クラス、しきい値に基づき、ネットワークで発生したセキュリティイベントに関するアラートを発報します。
1.設定]→[フロー解析]→[アラートプロファイル]→[セキュリティ]→[画面右上の[追加]をクリック
2.項目を入力し、[保存]をクリック
| 項目 | 詳細 |
| プロファイル名 | このアラートプロファイルを特定する一意の名前(アルファベットとアンダーバーを推奨)を入力
作成後、変更不可 |
| 説明 | アラートプロファイルの説明情報を入力 |
| 出力対象 | アラートの判定対象とする問題を選択 |
| しきい値の定義 | [送信元/宛先IP、関連インターフェース、装置IP、送信元/宛先ポート]からしきい値基準を選択し、具体値を入力 [+]アイコンで複数の条件を指定し、or/and条件を[いずれかの条件に合致]/[すべての条件に合致]から選択 |
| アクションの定義 | 上記で設定した条件に対して発報されるメールアラートの宛先を指定(,)で区切りながら最大5つまで設定可能 例:aaa@aaa.aaa,bbb@bbb.bbb,ccc@ccc.ccc ※SMSはご利用いただけません |