ダッシュボードを活用した、状況把握の迅速化について
対象
バージョン12
ご利用中のバージョン、ビルド番号の確認方法は、こちらのページをご参照ください。
概要
本ナレッジでは、Firewall Analyzer(以下、FWA)のトップメニューであるダッシュボード機能の活用例について記載します。
ダッシュボード機能を使用して、組織内で発生している通信の状況把握の迅速化を実現します。
ダッシュボード画面のカスタマイズ
ダッシュボード画面では、デフォルトで追加されているウィジェットを任意にカスタマイズすることや、
ユーザー独自のダッシュボード画面を新規に作成することができます。
各ウィジェットの装置名やデータをクリックし、ドリルダウンする(データを掘り下げる)ことで、必要な情報を即座に特定します。
また、アラートプロファイル機能との併用により、事前に設定したしきい値に違反があった際や異常な通信を検知した際に、該当の通信をスムーズに特定することが可能です。
本ナレッジでは、ダッシュボード画面を起点とした、セキュリティやトラフィックの異常を特定する活用例を記載します。
活用例
活用例では、以下の構成で記載します。
事前準備:セキュリティとトラフィック関連のウィジェットを含むダッシュボードを作成
ダッシュボードのカスタマイズに記載の内容を参考に、以下のウィジェットを追加
セキュリティ関連
- セキュリティ統計
- トップN攻撃:ヒット数順
- トップNウイルス:ヒット数順
トラフィック関連
- 装置ライブトラフィック
- トラフィック統計
- トップNユーザー:トラフィック順
- トップNアプリケーション:トラフィック順
セキュリティ例:攻撃の存在を確認し、該当の通信を特定
特定方法1
- ダッシュボード画面のセキュリティ関連のウィジェットから、脅威となる通信の有無を確認
- ウィジェット「トップN攻撃:ヒット数順」から、検知した攻撃名をクリック
- 攻撃元(攻撃者)と攻撃先(ターゲット)の情報を確認
特定方法2
- ダッシュボード画面のセキュリティ関連のウィジェットから、脅威となる通信の有無を確認
- ウィジェット「セキュリティ統計」から、装置名をクリック
装置スナップショット画面の「セキュリティ」タブが表示されます。
- 「トップ攻撃ステータス」の攻撃名をクリックし、概要を表示
- ホスト名をクリックし、生ログベースのログまで深掘りして表示
↓
- ダッシュボード画面を確認することで、攻撃名、ウイルス名ごとに、件数を一覧で表示します。
- 特定方法1では、攻撃名から対象の通信を簡易的に確認できるのに対し、
特定方法2では、生ログベースで通信の発生時刻まで特定することが可能です。 - アラートプロファイル機能で、「通常アラート」や「異常アラート」を事前に設定することにより、
セキュリティに影響を及ぼす通信が発生したことを検知し、メール等で通知することも可能です。 - その他、ウィジェット「トップNユーザー:ログオン拒否順」により、不正と疑われる、ファイアウォールへのアクセス有無を確認することも可能です。
トラフィック例:突出的なトラフィックの上昇から、関連の通信を特定
- ウィジェット[ライブトラフィック]から、突出的なトラフィックの有無を確認
- ウィジェット[トラフィック統計]で対象装置をクリック
- 装置スナップショット画面の[帯域]タブで、該当の箇所をカーソルでドラッグし範囲を指定
範囲指定した時間帯が抽出されます。
抽出した時間帯は、スナップショット画面の他のタブに移動した場合も維持されます。
上記の操作で該当の時間帯を抽出後、以下の各画面から関連の通信を特定します。
[帯域]タブのグラフ上をクリックし、通信情報を表示
[トップ10]タブから、通信量の多いホストやプロトコル情報を表示
ホスト名やプロトコルグループ名をクリックすることで、更に詳細な情報を深掘りできます。
↓
[アプリケーション]タブを表示し、通信量の多いアプリケーションを表示
アプリケーション名をクリックすることで、ユーザー情報や送信元/宛先の通信情報を表示します。
↓
アラートプロファイル機能の「帯域アラート」を設定することで、
一定のしきい値を超過するトラフィックを検知し、メール等で通知します。
その通知を起点に、上記のような流れで関連性の高い通信を特定する運用方法もございます。