セキュリティ
※セキュリティ機能はEnterprise Edition専用
の機能です。
※Editionの概要はこちらをご確認ください。
※ビルド12.6.288よりUI上の表示機能名が「攻撃」から「セキュリティ」に変更されました。
※事前にセキュリティ分析設定から、機能を有効化する必要があります。
特定のコレクターを選択 > セキュリティ
該当コレクターで発生するセキュリティイベントの一覧を表示します。
インベントリ
画面左側のドーナツグラフからセキュリティイベントを分類、さらにフィルターアイコンから期間 / ステータス(オープン(開く)、クローズ(閉じる)、無視、全て) /
詳細な条件定義に基づく絞り込み表示が可能です。
画面右上のカレンダーアイコンからセキュリティイベントの表示対象期間を調節することが可能です。
セキュリティイベントの4分類の解説はこちらをクリック
| 分類 | 説明 |
| 不良送信元・宛先 | 監視パケット内の送信元/宛先IPアドレスが疑わしい |
| 疑わしいフロー | 監視パケット内の送信元/宛先IP以外(ポートやプロトコルなど)が疑わしい |
| DoS/Flash Crowd | Dos攻撃(サービス拒否攻撃/Denial of Service)やDDoS攻撃、FlashCrowd攻撃に該当 |
| スキャンとプローブ | 複数ポート/ホストから特定ポート/ホストへのスキャン通信、もしくは単一ポート/ホストから複数ポート/ホストへのスキャン通信に該当 |
任意イベントのチェックボックスをクリック > 三点(…)アイコン > [アクション]項目からステータス(オープン(開く)、クローズ(閉じる)、削除)移行、[ホワイトリスト]項目から該当イベントのホワイトリスト関連の操作が可能です。
ホワイトリスト項目の解説はこちらをクリック
| タブ | 解説 | |
| イベントを無視 | 以降のホワイトリストの対象として、カウントが不要なセキュリティイベントを設定いただけます。 問題をチェックし、アルゴリズムが表示される場合、任意の条件を指定してください。 例:問題[不正形式TCP パケット]の[イベントを無視]では、デフォルトで[不正形式TCPパケット]が対象の問題として選択されています。 アルゴリズムとして、認識された送信元/宛先ネットワークを少なくとも一つ選択し、[ok]をクリックします。 |
|
| 無視されたイベントを表示 | [イベントを無視]で設定した条件の一覧が表示されます。 ゴミ箱アイコンをクリックすることで条件を解除することが可能です。 |
|
| フロー廃棄 | 以降のホワイトリストの対象として、セキュリティイベントとしてカウントが不要な通信条件を設定いただけます。
|
|
| 廃棄済みフローを表示 | [フロー廃棄]で設定した条件の一覧が表示されます。 ゴミ箱アイコンをクリックすることで条件を解除することが可能です。 |
|
任意イベントをクリックすることで、イベント発生の原因となった通信の概要がポップアップで表示されます。
画面右上の拡張(□↗)アイコンをクリックするとスナップショット画面へ遷移します。
問題のスナップショット
概要
・重要度:各問題に固定されている重要度を表示
・ステータス:Open(オープン/開く)、Close(クローズ/閉じる)、Ignore(無視)を表示、画面右上の[三](ハンバーガーアイコン)からステータスを移行可能
・容量:問題を発生させた通信トラフィックの総量を表示
・パケット数:問題を発生させた通信トラフィックのパケット総数を表示
・ヒット数:問題の閾値を超過したパケット総数を表示
・問題クラス:本問題の分類を表示
・使用されるアルゴリズム:問題を認識したアルゴリズムを表示
・イベント集約しきい値:超過したしきい値種を表示
・時間:問題の発生期間を年月日で表示
・イベントID:NetFlow Analyzer製品内で発行される表示問題へのIDを表示
違反者/ターゲット
問題を発生させているトラフィックの送信元/宛先IPアドレスを表示します。
[リゾルブIP]をクリックすることで、定義済みの設定内容でIPアドレスが名前解決されます。
各種アイコン
からメール送付やレポートの出力が可能です。
トラフィックソース
問題を発生させているトラフィックの送信元装置を表示します。
各種アイコンからメール送付やレポートの出力が可能です。
一意の接続
問題を発生させているトラフィックの一意の通信情報を表示します。
各種アイコンからメール送付やレポートの出力が可能です。
フィールド詳細
問題を発生させている通信情報をフィールドごとに表示します。
値は要素数:[具体的な要素]のフォーマットで表示されます。
各種アイコンからメール送付やレポートの出力が可能です。