| |
セキュリティエベント一覧レポート はネットワーク上に現存する数々のセキュリティイベント表示します。 イベント一覧に含まれるパラメーターを以下の表で一覧表示します。
| パラメーター | 説明 |
| アルゴリズム・タイプ | 使われるアルゴリズムのタイプ、すなわち、送信元集約、宛先集約、およびルーター集約のイメージ表示 |
| ID | 識別の利便性のため、ひとつのイベントに関して割り当てられたひとつの一意なID |
| 問題 | イベントが所属するクラスおよび特有の問題 |
| 違反者の位置 | 違反者の地理的/トポロジー的位置 |
| 違反者 | イベントの一意な送信元IP/ネットワークアドレス |
| ルート経由 | イベントがルーティングされるルーターおよびインターフェース |
| ターゲット ロケーション | ターゲットの地理的/トポロジー的位置 |
| ターゲット | イベントの一意な宛先IP/ネットワークのアドレス |
| 時間 | イベントの最初のフローと最後のフローの日時 |
| ヒット数 | 特定のイベントでの集約されたフローの数 |
| 重大度 | 生成されたイベントの重大度。 重大度は以下の4タイプ - 情報、警告、重要、重大。 これらはアルゴリズムに基づいて割り当てられる |
| ステータス | オープン、クローズのようなイベントのステータス。イベントをクローズするかオープンするかを選択することができ、問題が解決すれば、削除可能 |
| ビュー | ビュー をクリックし、イベント詳細レポートを取得する |
メモ: DNS表示 オプションを用いて、解決されたDNS 値としてIP アドレスを参照することもできます。
2.1a. ホワイトリスト: ホワイトリスト オプションにより、特定のイベントを無視し、あるリソースおよび問題に関する信頼された、あるいは許可されたと思われる特定のフローを破棄することができます。
イベントを無視: 任意のリソースに関する問題の特定のイベントを無視することができます。 無視したい特定のイベントを選択し ホワイトリスト をクリックし イベントを無視 を選択します。 表示されたダイアログボックスにおいて、無視された問題名とリソースを参照することができます。 OK をクリックし、選択肢を確定します。
メモ: ここで表示された問題は基本の問題であり、基本の問題から出てくる全ての問題に関して、選択された基準を管理することができます。
無視されたビュー: 特定の問題に関して無視されたリソースを参照することができます。 すでに無視した特定のイベントを選択し ホワイトリスト をクリックして 無視されたビュー を選択します。 表示された新規ウィンドウにおいて、無視された問題名とリソースを参照することができます。 このオプションを用いて、無視されたリソースを削除することもできます。
メモ: リソース上でマウスを動かして、削除ボタンを参照します。
フローを破棄: 特定の問題に関するフローを破棄することができます。 それに関するフローを破棄したいところの特定の問題の任意のひとつのイベントを選択し ホワイトリスト をクリックし フローを破棄 を選択します。 表示された新規ウィンドウにおいて、フローを破棄したい適当な基準を選択します。 プレビュー オプションを使い、選択された基準を参照します。 保存 をクリックし、選択肢を確定します。
メモ: ここで表示された問題は基本の問題であり、選択された基準は、基本の問題から出てくる全ての問題に関して適用することができます。 ASAM によって検出された全ての問題に関して選択された基準を適用するために 全ての問題 を選択します。
廃棄されたビュー: フローのフィールドと、破棄されたフローに関する値を参照することができます。 フローを破棄した特定の問題のイベントを選択します。 ホワイトリスト をクリックし 破棄されたビュー を選択します。 表示された新規ウィンドウにおいて、問題名および選択された全ての基準を参照することができます。 このオプションを用いて、選択された基準を削除することもできます。
メモ: フィールド値上でマウスを動かして、削除ボタンを参照します。
2.1b. 管理: 管理オプションにより、問題、アルゴリズム、およびリソースを管理することができます。
問題を管理: 特定の、あるいはいくつかの問題を有効化、あるいは無効化することができます。 問題を管理 をクリックし、問題を有効化するか、あるいは無効化するかを選択します。 特定の問題が無効化された場合、その問題に関連するイベントが生成されます。
アルゴリズムを管理: 特定の、あるいはいくつかのアルゴリズムを有効化、あるいは無効化することができます。 アルゴリズムを管理 をクリックし、アルゴリズムを有効化するか、あるいは無効化するかを選択します。 特定のアルゴリズムを無効化した場合、ASAM はイベントを生成するためにそのアルゴリズムを使いません。 TCP Syn 違反のような基本的問題に関して、以下のような3つの異なるアルゴリズムを管理することができます。 送信元からのTCP Syn 違反(送信元集約)、宛先へのTCP Syn 違反(宛先集約)、ルーター経由TCP Syn 違反(ルーター集約)
リソースを管理: 特定のリソース タイプに関するリソースを有効化、あるいは無効化することができます。 表示された新規ウィンドウ において リソースを管理 をクリックし リソース タイプを選択 し、選択されたリソース タイプに関するリソースを有効化するか、無効化するかどちらかを選択します。 新規リソースを追加するために 入力 テキストボックスにおいてリソース名を特定して、"追加"をクリックします。
メモ: リソースは、イベントに関するフローをグループ化するために使われる属性です。
例: 単一のルーターIP を通じてルーティングされるフローは、ひとつのイベント(ルーター集約)として集約されます。
単一の送信元IP を通じてルーティングされるフローは、ひとつのイベント(送信元集約)として集約されます。
単一の宛先IP を通じてルーティングされるフローは、ひとつのイベント(宛先集約)として集約されます。
2.1c.アルゴリズム設定: イベント一覧レポートにおける攻撃者および標的カラムに表示されるしきい値およびフィールド タイプを設定することができます。
攻撃者 / ターゲット設定: このオプションを用いて、イベント一覧レポートにおいて表示される、特定の攻撃者/標的フィールドを選択することもできます。 攻撃者/標的設定 をクリックして、イベント一覧において表示される送信元および宛先のIP/ネットワーク フィールドを選択します。
2.1d. ロケーション: ロケーション オプションにより、攻撃者および標的に関する地理的およびトポロジー的な位置を管理することができます。 これを用いて地理的な位置をロード/更新し、トポロジー的な位置を設定し、トポロジー的な位置リストを参照/編集し、位置モード設定を設定することができます。
地理的位置をロード: IP アドレスの地理的位置をロード/更新することができます。
トポロジー的位置を追加: IP アドレスのトポロジー的位置を設定することができます。
トポロジー的位置を参照: 設定されたトポロジー的位置および関連するIP アドレスを表示します。 選択されたトポロジー的位置に関するIP アドレスを追加/削除することもできます。
位置モード:攻撃者および標的カラムに関する位置モードの一覧を表示します。 イベント一覧レポートにおける攻撃者位置および標的位置のカラムにおいて表示される位置のタイプを選択することができます。
2.1c. その他のアクション: 特定の、あるいはいくつかの選択されたイベントのステータスを変更することができます。 選択されたイベントを開いたり、閉じたり、あるいは削除することができます。
イベント詳細レポートは、発生した特定のイベントにおける全ての属性を表示します。 イベント一覧レポートにおいて"参照"をクリックし、このページを表示します。 イベント詳細レポートは、選択したイベントID および問題を表示します。 レポートは以下の項目を表示します: 容量、パケット数、ユニーク送信元IP、ユニーク宛先IP、ユニーク送信元ネットワーク、ユニーク宛先ネットワーク、ユニーク送信元ポート、ユニーク宛先ポート、ユニーク アプリケーション、ユニークTCP フラッグ、ユニーク プロトコル、ユニークToS 値、ユニーク受信側インターフェース、ユニーク送信側インターフェース、ユニーク接続、ユニーク ルーターIP
ひとつのイベントに関する集約されたフローの一覧を表示します。 イベント詳細レポートにおいて ユニークなルーターIP をクリックし、このレポートを参照します。 このレポートは、送信元から宛先までのパケットとトラフィックの分布に関して一覧表示し、発生したイベントに関する詳細情報を提供します。 また、アプリケーションタイプ、使用ポート番号、使用プロトコル、ToS、TCPフラグを確認できます。
| |