WatchGuardのログを収集・分析する方法

統合ログ管理

WatchGuardログの分析

ネットワークセキュリティ関連のデバイスは、組織のネットワークを外部のサイバー脅威から保護する際に重要な役割を果たします。ネットワークデバイスで生成されるログデータを監査することで、ネットワークで発生する、セキュリティに関わるさまざまなイベントについて有益な情報を取得できます。しかし、ネットワークデバイスで生成されるログデータは大量であり、リアルタイムでの監視および分析は困難です。そこで、 EventLog Analyzer を使用すれば、監視・分析のプロセス全体を簡素化できます。

EventLog AnalyzerによるWatchGuardトラフィックの監視と分析

EventLog Analyzerは、Webベースの統合ログ管理ツールです。WatchGuardのすべてのセキュリティデバイスとVPNに対応した、 ITコンプライアンスログ管理を実現できます。管理者は直感的に操作可能なインターフェイスを使って、包括的なログの監視と管理、エージェントベース・エージェントレスのログ収集、 カスタムログ解析、レポートとアラートを用いた網羅的なログ分析、強力なログ検索エンジン、柔軟なログアーカイブ機能を利用できます。

EventLog Analyzerは、すべての新しいログを監視し、タイムスタンプ、ログのサイズ、WatchGuardデバイスの情報と一緒に格納します。このため、アーカイブされたログから、レポートの読み込み、分析、生成が簡単に行えます。

WatchGuardログの分析

EventLog Analyzerは異種のログを処理できるため、WatchGuardのログを、他のネットワークデバイスのログと共通の形式に統一できます。これにより、さまざまなデバイスのログを監視し、 相関分析を実施し、ネットワーク全体のデータフローを簡単に把握できます。WatchGuardデバイス(WatchGuard Fireboxなど)で収集されるすべてのログは、定義済みの収集間隔に関係なく、アーカイブできます。アーカイブされたファイルは、いつでもデータベースにロードできます。

WatchGuardネットワークログ監視レポートによるネットワーク脅威の分析

EventLog Analyzerには、WatchGuardネットワーク専用の、 すぐに使用可能なレポートが用意されています。レポートは大きく分けて、以下のカテゴリーに分類されています。

許可されたファイアウォールトラフィックのレポート

許可されたファイアウォールトラフィックのレポート:

ネットワークへのアクセスが許可されたトラフィックに関する情報を表示します。ソース、宛先、プロトコル、ポートに基づいてトラフィックが分類されています。トラフィックのパターンや傾向の監視も可能です。

使用可能なレポート

許可されたトラフィック | 上位のソースベースのトラフィック | 上位の宛先ベースのトラフィック | 上位のプロトコルベースのトラフィック | 上位のポートベースのトラフィック | 許可されたトラフィックの傾向

拒否されたファイアウォールトラフィックのレポート:

ネットワークへのアクセスが拒否されたすべての接続を表示し、トラフィックのパターンや傾向を監視します。

使用可能なレポート

拒否された接続 | 上位のソースベース拒否された接続 | 上位の宛先ベース拒否された接続 | 上位のプロトコルベースの拒否された接続 | 上位のポートベースの拒否された接続 | 拒否された接続の傾向

ファイアウォールのウェブサイトトラフィックのレポート:

ファイアウォールウェブサイトトラフィックのレポート

許可されたトラフィックとトラフィックの傾向を追跡し、ソース、宛先、プロトコル、ポートに基づくウェブサイトトラフィックを監視します。

使用可能なレポート

ウェブサイトトラフィック | 上位のソースベースのWebサイトトラフィック | 上位の宛先ベースのWebサイトトラフィック | 上位のWebサイトベースのWebサイトトラフィック | ウェブサイトトラフィックの傾向

ログオンレポート:

ログオンの傾向、ファイアウォールへのすべての成功したログオン、ログオン回数が多いホストおよびユーザーを監視します。

使用可能なレポート

ログオン | ソースからの成功した上位のログオン | 上位のユーザーベースログオン | ログオンの傾向

失敗したログオンのレポート:

失敗したログオンの傾向、ファイアウォールへのすべての失敗したログオン、失敗したログオン回数が多いホストおよびユーザーを追跡します。

使用可能なレポート

失敗したログオン | ソースからの失敗した上位のログオン | 上位のユーザーベースの失敗したログオン | 失敗したログオン傾向

ファイアウォールアカウントの管理レポート:

アカウント変更情報を追跡し、すべての新しい管理者または削除された管理者を特定することで、ファイアウォールアカウントを管理・監視します。

使用可能なレポート

追加された管理者 | 削除された管理者 | 変更された管理者

ファイアウォールのポリシー管理レポート:

ファイアウォールルールとネットワーク監視ポリシーに対する変更を分析します。組織のファイアウォールポリシーの定期的な整理に役立てることができます。

使用可能なレポート

追加されたポリシー | 変更されたポリシー | 削除されたポリシー

ファイアウォールIDS/IPSレポート:

脆弱性を監視し、攻撃に頻繁に関係している送信元または宛先のデバイスを特定します。攻撃の傾向も表示します。

使用可能なレポート

すべての攻撃 | 上位のソースベースの攻撃 | 上位の宛先ベースの攻撃 | 攻撃の傾向

システムイベントレポート:

WatchGuardファイアウォールの設定変更、クロックの更新、システム状態の変更、起動に失敗したサービスなどのシステムイベントを監視します。

システムイベントレポート

使用可能なレポート

構成変更 | 時計のアップデート | システム状態 | 失敗したサービス開始 | 機能スタータス | ライセンス状態

デバイス重大度レポート:

WatchGuardのデバイスログを分析し、ネットワークで発生しているイベントを重大度に基づいて明確に把握します。すべてのアクセスポイント、重大度(緊急、アラート、エラーなど)に基づくセキュリティイベント、警告イベントを監視します。

使用可能なレポート

緊急イベント | アラートイベント | クリティカルイベント | エラーイベント | 警告イベント | 通知イベント | 情報イベント | デバッグイベント

VPNログオンレポート:

すべての成功したVPNログオン、ログアウト、ログオンの傾向を追跡します。

使用可能なレポート

VPNログオン | VPNログアウト | VPNログオン傾向レポート

失敗したVPNログオンレポート:

失敗したVPNログオンと失敗したログオンの傾向を追跡します。

使用可能なレポート

失敗したVPNログオン | 失敗したVPNログオン傾向レポート

既存の広範なレポートに加えて、カスタマイズ可能な独自のレポートを追加できます。既存のレポートとユーザーが作成したレポート、どちらもエクスポート・送信の予約が可能です。レポートをPDFまたはCSV形式でエクスポートし、メールで関係者に自動送信する予約設定ができます。

EventLog Analyzerを使用してWatchGuardのデバイスとVPNを監視するメリット:

  • 改ざん防止機能を備えたセキュアなログアーカイブ
  • 直感的に操作可能なインターフェイス
  • 高度な検索が可能な 強力なログフォレンジック
  • コンプライアンス準拠に役立つカスタムコンプライアンスレポート
  • 社内ポリシーの要求に応えるための、簡単にカスタマイズ可能なレポートテンプレート
  • 設定変更と特定のイベント発生に関するメール・SMSによる即時アラート通知

疑わしいイベント発生時のリアルタイムアラート通知

リアルタイムアラート機能

EventLog Analyzerの リアルタイムアラート機能によって、攻撃の検知と対応にかかる時間を短縮できます。脅威の兆候があれば、アラートが起動し、EventLog AnalyzerがメールまたはSMSで即時に通知します。

アラートには、注意、警告、重大の3つの重要度があります。管理者は重要度に基づいてアラートに優先順位を付け、最も重大なアラートから先に修復できます。

アラートプロファイルの追加

WatchGuardのセキュリティデバイスで発生した特定のイベントを監視するための、アラートをEventLog Analyzerでは設定できます。構成変更、警告イベント、失敗したログオン、重大なイベント、ポリシー変更などのイベントを監視できます。

EventLog Analyzerによるネットワークデバイスの監視

EventLog AnalyzerでWatchGuardデバイスのトラフィックを監視しましょう。

無料評価版を試してみる 概要資料をダウンロード