アラートを設定する
Firewall Analyzerは受信したログを解析し、それぞれのレポート表示用データベースへ保存します。 アラート設定では、保存したデータベースの内容を定期的に設定したルールにて異常有無を確認し、異常があればアラートとして管理者への通知が可能です。
このページでは、それらの設定手順について解説します。
標準アラートプロファイル
標準アラートは、指定した条件のイベントが発生した際にアラートとして管理者へ通知を行います。
Firewall Analyzer 標準アラート設定画面設定項目解説
フィルタ
トリガーとなるアラートの条件を以下より指定
Severity, Protocol, Date, Received(in Bytes), Sent(in Bytes), Source, User, Destination, URL, Status, FileName, Rule, VPN, Virus, Attack, Protocol Identifier, Message, Duration(in secs), RecordType, Log ID,Category
「条件追加」と「条件削除」ボタンにより、トリガーとなるイベントの条件数を加減できます。
閾値
通知するアラートの重要度は必要に応じて 「高」, 「中」, 「低」 に設定
トリガーとなるイベントの閾値条件を入力
例:アラート発生頻度:「5」イベントが「2」分間以内に発生した場合
アラートの管理者を割り当てる
アラートの担当者を選択します。リストは利用可能なユーザー全てが表示されます。
閾値の適用範囲
「全デバイスの合計」または「各デバイス毎」かを選択
「1度のみ通知を送信」 チェックボックスを選択した場合、「今日」、「今週」、「今月」、「カスタム期間」より選択すると、 アラートが発生した際に指定した期間に1度だけアラートが送信される
カスタム期間については、__日間、__時間、__分のように指定が可能
異常検知アラートプロファイル
異常検知アラートは、トラフィックやイベントに何らかの異常検知を通知したい場合に選択します。異常検知アラートは NBA(Network Behavior Analysis:ネットワーク動作解析) としても利用できます。
Firewall Analyzer 異常検知アラート設定画面サンプルシナリオ
サンプルシナリオとして、1時間の間に「送信元:192.168.1.1」からのトラフィックが「100MB」を超えたかを、15分間隔で確認を行い、 5回超えた場合に、重要度「高」の通知メールを送信する アラートプロファイルの作成方法をご案内します。1.ィルタ セクション 「送信元」 に 「192.168.1.1」を設定2.閾値 セクション 期間:「1時間」、この期間の総トラフィック」/「すべて」に設定する閾値:「100」「MB」 閾値を超えた場合に生成するアラートの重要度:「高」 アラートの管理者を割り当てる:「admin」 確認する時間間隔:「15分」アラートの発生回数:「5回」発生時に通知3.「通知メールを送信する」チェックボックスをチェックし、通知するメールアドレスを入力。