ファイアウォールは、組織のネットワーク内における重要なコンポーネントの一つです。システム管理者は、ファイアウォール機器を使用してネットワーク間のトラフィックを制御可能です。ファイアウォール機器から出力されるログを分析することで、組織のイントラネットとインターネットまたは他の外部ネットワークとの間のトラフィックを把握することができます。以下が、ファイアウォール機器のログに対する分析箇所の例となります:
- ファイアウォールによって拒否されたトラフィックを監視し、疑わしい接続元にフラグを付与
- ネットワークに対するすべてのリモート接続とVPN接続を監視
- ファイアウォール機器のベースとなるルールの変更を監視
- セキュリティ攻撃の兆候に対して対策の実施、
ファイアウォール機器の監視ソフトとしてのEventLog Analyzer
- 様々な種類のファイアウォールに対するログを管理・分析
- 定義済みレポートにより、ファイアウォール機器の活動を追跡するために必要なログを可視化
- Windowsファイアウォールレポート は、Microsoftファイアウォールログの情報を個別に表示
- 表形式、一覧、および数種類のグラフで表示可能なグラフィックのレポートが利用可能
- カスタマイズが可能なアラート機能を使用して、疑わしいログが生成時に直ちにメールによる通知が可能
- コリレーション機能により、疑わしい一連の動きを検知
- EventLog Analyzerがサポートしているファイアウォール機器は以下の通りです:
- Astaro Firewall ASG
- Check Pointファイアウォール、Edge Xファイアウォール
- Cisco FWSM(ファイアウォールサービスモジュール)
- eSoft:InstaGate Firewall 404、604、806
- Microsoft Windowsファイアウォール
- Palo Altoファイアウォール:PA-2000、PA-4000、PA-500シリーズ
- SonicWallファイアウォール
Windowsファイアウォールの監査
- このレポートグループは、ネットワーク内の他のファイアウォールとは独立したMicrosoft Windowsファイアウォールログの情報を分析。
- ファイアウォールルールのセットの変更を監視。
- 変更を監視し、ファイアウォール設定にリセット。
コンプライアンスのためのファイアウォールGPGレポート
- GPG(Good Practice Guide)コンプライアンスポリシーでは、このレポートグループで説明されている一連のファイアウォール監査レポートが必要。
- これには、すべてのファイアウォールとVPNログオンの監視を含む。
ファイアウォールによって拒否された接続
- ファイアウォールによって拒否された接続を調査し、懸念事項を強調することが重要。
- これらのレポートは、ファイアウォールトラフィックの監視を簡素化し、拒否された接続をソース、デバイス、プロトコル、およびポート別に分類。
ファイアウォールログオンレポート
- このグループに含まれているレポートを使用して、すべてのログオン試行を監視。
- すべての失敗したログオン試行を検出。
- 成功したログオンと失敗したログオンは、ユーザー、リモートデバイス、およびポートによって分類。
ファイアウォールVPNログオンレポート
- このグループに含まれているレポートを使用して、すべてのVPNログオン試行を監視。
- すべてのVPNロックアウト、その後のロック解除を表示し、最も多くのVPNロックアウトを持つユーザーを識別。
- ログオンの成功と失敗は、ユーザー、リモートデバイスごとに分類。
ファイアウォールアカウントの管理レポート
- これらのレポートでアカウント変更情報を表示。
- 新規および削除されたすべてのユーザーとグループポリシーを特定。
- ユーザー権限レベルの変更を検出。
- ユーザーが実行したコマンドを表示。
ファイアウォールセキュリティレポート
- 徹底したファイアウォールセキュリティ監査を実施し、潜在的なセキュリティ脅威をすべて認識し、即座に対応してネットワークを保護。
- これらのレポートは、スプーフやフラッド攻撃などの最も一般的なファイアウォールの脅威をカバー。
- トップの攻撃者、最も攻撃されたデバイスなどを上位N個のレポートで特定。
- Windowsファイアウォールの脅威は独立して見ることが可能。
ファイアウォールトラフィックレポート
SonicWallファイアウォールレポート
EventLogアナライザは、事前に定義されたアラートプロファイルと網羅的なレポートを備えたSonicWALLファイアウォールデバイスに対するすぐに使用できるサポートを提供します。SonicWALLファイアウォールデバイスでは、次のレポートが利用できます:
- ネットワークおよびウェブサイトトラフィックの監視:送信元、送信先、プロトコル、ポートに基づいて、許可されたトラフィックおよびウェブサイトトラフィックを監視。トラフィック傾向に関するレポートも利用可能。
- 拒否されたファイアウォール接続の追跡:ソース、デバイス、プロトコル、およびポートに基づいて、すべての拒否された接続を監督。異常を検出する拒否された接続傾向レポートを瞬時に取得。
- ファイアウォールのユーザーログオンを監視:すぐに使えるファイアウォールのユーザーログオンとログオフレポートを入手可能。成功したログオンと失敗したログオンの傾向に関するレポートも利用可能。
- ファイアウォールのユーザーアカウントの変更を監視:これらのレポートを使用して、新規ユーザーや削除ユーザー、ユーザー特権レベルの変更など、ユーザーベースの情報をすべて表示。
- ファイアウォール攻撃に関する洞察を入手:これらのレポートを使用して、発信元、宛先、および重大度に基づく可能性のあるクリティカル攻撃と攻撃傾向を追跡可能。
- 重大度とシステムイベントを継続確認:緊急事態、アラート、警告イベントや、時計の更新、PCカードの除去・挿入、ログの状態などのシステムイベントなど、重大度イベントに関するレポートを表示可能。