ファイアウォールログによるトラフィック分析

ファイアウォールログによるトラフィック分析

クラウドサービスや営業システムなど、ビジネスを行う上で必要なサービスがネットワーク経由で提供されることが多くなり、ビジネスの多くの場面でネットワークが活用されるようになりました。　ネットワークへの依存度が高まるにつれて、その安定稼働はより一層重要になっています。
そこで、多くのネットワーク管理者が注視しているのが、「ネットワーク遅延」です。

ネットワーク遅延を引き起こす要因の1つに、ネットワーク帯域の輻輳があります。 輻輳とは、ネットワークを通る通信（トラフィック）が多くなり、ネットワーク帯域を圧迫することを意味します。

またその他、攻撃やウイルス、拒否(Deny)されたログといった「不正検知の特定」についても、安定した運用を継続する上で重要になります。

これらに対して求められる対策は、ネットワークトラフィックの「監視」「分析」の2つです。
ファイアウォールで生成される通信ログを収集し分析することで、ネットワークトラフィックにおける異常の特定を行うことができます。
しかし、人力で通信ログを分析することは容易ではありません。

そこで多くのネットワーク管理者がツールを活用してファイアウォールの通信ログを収集し分析しています。
ManageEngineでもファイアウォールログ解析ソフト「ManageEngine FIrewall Analyzer」のご提供により、ネットワーク管理者をご支援します。

ManageEngine Firewall Analyzerとは

ManageEngine Firewall Analyzerは、ファイアウォール機器で生成されるログを収集し分析するためのソフトウェアです。

Firewall Analyzerは、ファイアウォール機器で生成される通信ログを収集し分析するためのレポート機能を複数ご提供しております。これにより、より手軽にトラフィックの状況を可視化できるようになり、異常時の原因究明、ネットワークパフォーマンスの向上に寄与します。

ライブトラフィックウィジェット

ライブトラフィックウィジェットでは、ダッシュボード上で対象装置ならびにインターフェースを通過するトラフィック量をグラフとして提供します。 各デバイス毎の受信/送信トラフィック量を簡単に確認することが可能です。 インターフェース情報は、SNMPにて情報取得が可能です。

ライブトラフィック

トラフィックレポート

Host、プロトコルグループ、ユーザー毎に、トラフィック使用量が多い順にレポートを生成します。

• トップ Host-送信
• トップ Host-受信
• トップ Host(送受信)
• トッププロトコルグループ-送信
• トッププロトコルグループ-受信
• トッププロトコルグループ-送受信
• トップユーザー-送信
• トップユーザー-受信
• トップユーザー(送受信)
• イベント生成

※ログ解析対象装置でユーザー認証を行っている場合のみユーザー情報が表示されます。

トラフィックレポート

トレンドレポート

プロトコル使用、トラフィック量、イベント発生、VPN利用を、時間帯ごとに表示したトレンドレポートとして生成します。

• プロトコルトレンドレポート
• トラフィックトレンドレポート
• イベントトレンドレポート
• VPNトレンドレポート
• Active VPNトレンドレポート

イベントトレンドレポート

各プロトコル使用レポート

Web、メール、FTPなどの各プロトコルグループのレポートを出力します。例として、Web使用レポートでは、Web通信（http/https）を実施したHost、ユーザー情報に関するレポートを生成します。

• Web使用レポート
• メール使用レポート
• FTP使用レポート
• Telnet使用レポート
• ストリーミング・チャットサイト レポート

Web使用レポート

Webサイト詳細レポート

プロキシサーバーを介して通信が発生した際の、Webサイト、ドメインなどの情報をレポートで生成します。 社内のWebアクセス利用状況の把握に活用されます。

• トップWebサイト
• トップドメイン
• トップWebページ
• 拒否されたトップユーザー
• トップ拒否されたリクエスト
• プロキシウイルス

Webサイト詳細レポート

Firewallルールレポート

Firewallルールレポート は、対象のファイアウォールで設定されているルールの使用状況、使用頻度の高いHost情報をレポートとして生成します。

• トップ使用ルール
• トップ未使用ルール
• トップルール-プロトコルグループ
• トップルール-Host基準
• トップルール-宛先基準

Firewallルールレポート

Firewall未使用ルールレポート

ファイアウォール機器では、お客様環境に応じて数多くのポリシー/ルールが設定されています。 それらのポリシー/ルールには、使用頻度の高いもの、全く使用されていないものがあるでしょう。 使用されるポリシー/ルール情報はファイアウォールが生成するログに書き込まれるため、Firewall Analyzerはトップ使用ルールとして表示します。 しかし、未使用ルールを得るには、Firewall Analyzerから対象機器に設定されたポリシー/ルールを取得する必要があります。 ファイアウォールに設定されたルールをFirewall Analyzerで取り込むと、設定されているルール情報とログ内に含まれるルール情報の差分を未使用ルールとしてレポートに表示します。 設定詳細はユーザーガイドにて確認できます。(ユーザーガイドトップページはこちら)

ウイルスレポート

ファイアウォールで検知されたウイルス情報をレポートとして表示します。 このレポートでは、ウイルスの送信/受信Host、ウイルスプロトコル、ウイルスステータス（permit/deny）情報を表示します。

ウイルスレポート

攻撃レポート

ファイアウォールで検知された攻撃情報をレポートとして表示します。 このレポートでは、攻撃者/攻撃ターゲット、攻撃プロトコル、攻撃ステータス（permit/deny）情報を表示します。

攻撃レポート

Spamレポート

ファイアウォールで検知されたSpam情報をレポートとして表示します。 このレポートでは、ネットワークに悪影響を与えた ウイルスとワームを特定するのに役立ち、被害範囲の分析と攻撃の送信元の追跡をします。

Spamレポート

管理者レポート

ファイアウォールへアクセスしたユーザーのログオン/ログオフの成功/失敗イベントをレポートします。 管理者レポート はCisco PIX, NetScreen, FortiGate, Identiforce Gateway が対象です。

 管理者レポート

Cisco ASAセキュリティ機器の統合ログ解析/レポート

Cisco ASA Netflow ログサポート

Firewall Analyzerは、Cisco Adaptive Security Appliances (ASA) version 8.2 (2)のnetflowログの受信をサポートしました。 Firewall Analyzerは、Cisco ASA機器から送られてくるNetflowログを受信し、解析後レポート化します。 Cisco ASAからのNetflowログをFirewall Analyzerで受信するためには、機器側（Cisco ASA）にて設定を行う必要があります。こちらのページをご参考にNetflowログの送信設定をおこなってください。 Cisco ASA機器のNetflowログには、機器を通過するトラフィック情報とポリシーに反した情報が含まれています。 Firewall Analyzerはこれらの情報をもとにレポートを作成します。 レポートには、帯域情報やセキュリティ脅威となるような情報、アクセス送信元・宛先情報など様々な情報が含まれており、ネットワーク状態の解析に役立てられます。 Firewall Analyzerは、Cisoc ASAのログより以下のレポートを作成します:

• ライブレポート
• トラフィックレポート
• プロトコル使用レポート
• Web使用レポート
• メール使用レポート
• FTP使用レポート
• Telnet使用レポート
• イベント概要レポート
• Firewallルールレポート
• 受信・送信レポート
• イントラネットレポート
• インターネットレポート
• ストリーミング・チャットサイトレポート
• セキュリティレポート
• 攻撃レポート
• 管理者レポート

なお、ManageEngineが提供するNetFlow・sFlow対応フローコレクターには下記もございます。ご参照ください。 >>ManageEngine「NetFlow Analyzer」