Cisco Traffic Anomaly Detector Module Web-Based Manager コンフィギュレーション ガイド (Software Release 5.0)
Detector モジュール とゾーン の動作の監視
Detector モジュールとゾーンの動作の監視
発行日;2012/01/14 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Detector モジュールとゾーンの動作の監視

Detector モジュール要約画面の表示

Detector モジュールのグローバル診断ツールの使用

グローバル カウンタの表示

グローバル受信カウンタのリアルタイムでの表示

イベント ログの表示

ゾーンのステータス画面の表示

ゾーンのステータス バー

ゾーンのトラフィック レートのグラフ

ゾーンのステータス テーブル

ゾーンの最近のイベント テーブル

ゾーンの診断ツールの使用

ゾーンのカウンタの表示

トラフィック フローを分析するためのゾーンのカウンタの使用

ゾーンのカウンタのリアルタイムでの表示

ゾーンのイベント ログの表示

攻撃の要約レポートの表示

攻撃レポートの詳細の表示

過去の攻撃に関するレポートの詳細の表示

現在の攻撃に関する詳細の表示

攻撃レポートの詳細について

一般的な攻撃情報

攻撃に関する統計情報

検出された異常

検出された異常の詳細の表示

攻撃レポートのエクスポート

攻撃レポートの削除

ポリシーの統計情報のテーブルの表示

Detector モジュールとゾーンの動作の監視

この章では、Cisco Traffic Anomaly Detector Module およびゾーンのステータスの監視に使用するタスクの実行方法について説明します。また、ゾーンのトラフィック フローに関する問題を診断できる WBM 統計ツールについても説明します。

この章は、次の項で構成されています。

Detector モジュール要約画面の表示

Detector モジュールのグローバル診断ツールの使用

ゾーンのステータス画面の表示

ゾーンの診断ツールの使用

Detector モジュール要約画面の表示

Detector モジュール要約画面(図 10-1 を参照)には、現在の Detector モジュール アクティビティの要約が示されます。これは、Detector モジュールの WBM に接続したときに最初に表示される画面です。Detector モジュール要約画面は、インターフェイス内の次の場所から表示できます。

ナビゲーション ペインで Detector Summary をクリックする。

情報領域で Home をクリックする。

図 10-1 Detector モジュール 要約画面

 

 

Detector モジュール要約画面には、次の 2 つの領域があります。

Detector Summary :最近 2 時間に Detector が処理した受信トラフィック レートの要約を bps 単位でグラフに示します。

表 10-1 に、グラフの下に表示される情報の説明を示します。

 

表 10-1 Detector モジュール要約グラフに含まれているフィールドの説明

フィールド
説明

Min.

最近 2 時間に測定されたトラフィック レートの最小値(bps 単位)。

Max.

最近 2 時間に測定されたトラフィック レートの最大値(bps 単位)。

Avg.

最近 2 時間に測定されたトラフィック レートの平均値(bps 単位)。

Cur.

現在のトラフィック レート(bps 単位)。

Zones Under Detection :Detector モジュールが現在トラフィックの異常を監視しているゾーンのステータス情報を示します。Detector モジュールがここに表示するゾーンの情報は、次の異常検出モードのどちらをユーザがアクティブにするかによって異なります。

Detect :Detector モジュールは、ゾーンが攻撃を受けているかどうかにかかわらず、ゾーンの情報を表示します。

Detect and Learn :Detector モジュールは、ゾーンが攻撃を受けている場合にのみゾーンの情報を表示します。

Detector モジュールは、攻撃が発生した順序でゾーンを一覧表示します。最後に攻撃を受けたゾーンが、リストの最上部に表示されます。各行に表示される情報をクリックすると、関連付けられているゾーンの要約画面を表示できます。

表 10-2 に、検出実行中のゾーンに含まれているフィールドの説明を示します。

 

表 10-2 異常検出実行中のゾーンに含まれているフィールドの説明

フィールド
説明

Zone

ゾーン名。ゾーン名は、特定のゾーンのステータス画面へのリンクにもなっています。

Activation Time

ゾーン保護がアクティブになった日時。

Attack Start Time

ゾーンに対する攻撃が最後に検出された日時。

#DF

動的フィルタの数。Detector モジュールは異常を検出した場合にのみ動的フィルタを作成するため、#DF の値が 0 より大きい場合はゾーンが攻撃されていることを示します。

#PF

保留動的フィルタの数。インタラクティブ保護モードではなく、自動保護モードでゾーンを実行している場合、画面に N/A と表示されます。

Receive Rate

ゾーンに侵入しようとしたトラフィックの現時点でのレート(bps 単位)。

ゾーン トラフィックの要約のサムネール

最近 30 分間のゾーン トラフィックの要約を表示するグラフ。トラフィック レートは bps 単位で表示されます。正当なトラフィックのレートは緑色で表示されます。悪意のあるトラフィックのレートは赤色で表示されます。

Detector モジュールのグローバル診断ツールの使用

Detector モジュールでは、グローバル イベントの監視およびトラブルシューティングに役立つ診断情報が提供されます。Detector モジュールの要約メニューでは、次の診断ツールを利用できます。

グローバル カウンタの表示

グローバル受信カウンタのリアルタイムでの表示

イベント ログの表示

グローバル カウンタの表示

Counters 画面には、Detector モジュールが Detector モジュールの要約画面に表示するカウンタ情報の詳細な分析が提供されます。Counters 画面から、Detector モジュールがトラフィック レートのグラフに表示する情報を操作できます。

Detector モジュールのカウンタを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで Detector Summary を選択します。Detector モジュールの要約メニューが表示されます。

ステップ 2 Detector モジュールの要約メニューの Diagnostics > Counters を選択します。
Detector モジュールの Counters 画面が表示されます
図 10-2 を参照)。

ステップ 3 (オプション)表示された情報の対象期間を変更するには、Graph Period ドロップダウン リストでグラフの対象期間を選択し、 Update Graph をクリックします。Detector モジュールにより、グラフがアップデートされます。

デフォルトでは、トラフィック レートのグラフには、最近 2 時間に記録したカウンタ情報が表示されます。

ステップ 4 (オプション)Detector モジュールがトラフィック レートのグラフで使用する測定単位を変更するには、Graph Type ドロップダウン リストで測定単位を選択し、 Update Graph をクリックします。Detector モジュールにより、グラフがアップデートされます。

測定単位は次のとおりです。

pps :パケット/秒

bps :ビット/秒


 

図 10-2 Detector モジュールのグローバル カウンタおよびレート

 

 

受信パケットのカウンタは、Detector が受信して分析したパケットの総数を示します。

表 10-3 に、受信パケットのカウンタに含まれているフィールドの説明を示します。

 

表 10-3 受信パケットのカウンタに含まれているフィールドの説明

フィールド
説明

Packets

Detector がリロードされた後のパケットの総数。

Bits

Detector がリロードされた後の総ビット数。

pps

現在のトラフィック レート(パケット/秒単位)。

bps

現在のトラフィック レート(bps 単位)。

グローバル受信カウンタのリアルタイムでの表示

Detector モジュールでは、受信パケットのカウンタ情報をリアルタイムで表示できます。受信パケットのカウンタは、Detector が受信して分析したパケットの総数を示します。


) カウンタ情報をリアルタイムに表示するには、クライアントに JRE をインストールしておく必要があります(第 1 章「概要」「Java 2 Runtime Environment のインストール」の項を参照)。


レート カウンタをリアルタイムに表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで Detector Summary を選択します。Detector モジュールの要約メニューが表示されます。

ステップ 2 Detector モジュールの要約メニューの Diagnostics > Real time counters を選択します。 Real time counters 画面が表示されます。

ステップ 3 (オプション)トラフィック レートのグラフで Detector モジュールが使用する測定単位を変更するには、次のいずれかの Graph Type オプションをクリックします。Detector モジュールにより、トラフィック レートのグラフがアップデートされます。

bps :ビット/秒

pps :パケット/秒


 

Real Time Global Counter/Rates テーブル内の情報の詳細については、 表 10-3 を参照してください。

イベント ログの表示

イベント ログには、検出実行中のゾーンの関連イベントと Detector モジュールの動作の関連イベントについて、監視情報とトラブルシューティング情報が表示されます。

イベント ログの内容を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで Detector Summary を選択します。Detector モジュールの要約メニューが表示されます。

ステップ 2 Detector モジュールの要約メニューの Diagnostics > Event log を選択します。
Events 画面が表示されます
図 10-3 を参照)。 イベント テーブルの上にあるナビゲーション ツールを使用して、表示されたイベントをスクロール表示します。

ステップ 3 (オプション)イベント テーブルに表示するイベントを制御するには、次のいずれかのオプションを選択し、 Filter Events をクリックします。Detector モジュールにより、イベント テーブルがアップデートされます。

Show all Events :すべての重大度レベルのイベントを表示します。

Show events with severity level :選択した重大度レベルのイベントだけを表示します。次の重大度レベルから目的のレベルを選択します。

Emergency

Alert

Critical

Error

Warning

Notify


 

図 10-3 イベント ログ

 

表 10-4 に、使用可能なイベントの重大度レベルを示します。

 

表 10-4 イベントの重大度レベル

イベントのレベル
説明

Emergencies

システムが使用不能

Alerts

ただちに対処が必要

Critical

深刻な状態

Errors

エラー状態

Warnings

警告状態

Notifications

通常、ただし注意が必要

Informational

情報メッセージ

Debugging

デバッグ メッセージ


) イベント ログに表示されるのは、ゾーンに関係するイベントとその重大度レベル(Emergency、Alert、Critical、Error、Warning、または Notification)のみです。ゾーンのイベント ログの詳細については、「ゾーンのイベント ログの表示」の項を参照してください。


ゾーンのステータス画面の表示

ゾーンのステータス画面(図 10-4 を参照)には、ゾーン動作のステータスの要約が示されます。この画面には、次の方法で移動できます。

ナビゲーション ペインの All Zones リストでゾーンを選択する。

ゾーンが検出モードになっている場合は、ナビゲーション ペインの Under detection リストでゾーンを選択する。

ゾーンの特定の画面のナビゲーション パスで、 Zone をクリックする。

ゾーンのリスト( Detector Summary > Zones > Zone list )でゾーンを選択する。

ゾーンのステータス画面は、次の 4 つのセクションに分けられています。

ゾーンのステータス バー(「ゾーンのステータス バー」の項を参照)

ゾーンのトラフィック レートのグラフ(「ゾーンのトラフィック レートのグラフ」の項を参照)

ゾーンのステータス テーブル(「ゾーンのステータス テーブル」の項を参照)

ゾーンの最近のイベント テーブル(「ゾーンの最近のイベント テーブル」の項を参照)

ゾーンのステータス画面では、トラフィック レートのグラフの真上に機能ボタンが表示されます。WBM では、ゾーンの現在の動作モードに応じて、異なる機能ボタンが表示されます。

ゾーンがスタンバイ モードの場合、次の機能ボタンが表示されます。

Detect & Learn :ゾーンを検出とラーニングの動作モードに切り替えます。この操作により、ラーニング プロセスのしきい値調整フェーズの実行中に、ゾーン トラフィックの異常を検出することができます。

Detect :ゾーンを検出の動作モードに切り替えます。これは、ゾーンのメイン メニューで Detection > Detect を選択するのと同じ操作です。

ゾーンが Detect モードまたは Detect and Learn モードの場合、次の機能ボタンが表示されます。

Deactivate :異常検出の動作モードを非アクティブにします。これは、ゾーンのメイン メニューで Detection > Deactivate を選択するのと同じ操作です。ゾーンを Detect and Learn モードで操作中に、 Deactivate をクリックする場合、異常検出、ラーニング、または両方の動作を非アクティブにするオプションがあります。

Report :現在の攻撃レポートへのリンクを提供します。これは、ゾーンのメイン メニューの Diagnostics > Attack reports を選択し、現在の攻撃(終了時刻が attack in progress になっている攻撃)をクリックするのと同じ操作です。Report ボタンは、進行中の攻撃がある場合のみ使用できます。詳細については、「現在の攻撃に関する詳細の表示」の項を参照してください。

図 10-4 ゾーンのステータス画面

 

ゾーンのステータス バー

ゾーンのステータス バーは、ゾーンのステータス画面の最上部に表示され、現在操作しているゾーンのステータスをすばやく参照することができます。ゾーンのステータス バーでは、次の情報が提供されます。

ゾーンの名前。

ゾーンの動作モード:ゾーンの動作モードの設定。この設定により、Detector モジュールがゾーンに対して自動動作モードとインタラクティブ動作モードのどちらで動作するかが決まります。ゾーンの動作モード設定の詳細については、 第 9 章「異常の検出のアクティブ化」 「自動動作モードとインタラクティブ動作モード」および「ゾーンの動作モードの変更」の項を参照してください。

ゾーンの動作ステータス:ゾーンの動作状態。動作ステータスには、Under Detection、Under Detection/Tuning Thresholds、Inactive、Constructing Policy、または Tuning Thresholds があります。

新しい推奨事項の通知:新しい動的フィルタの推奨事項が利用可能になっていることを示します。この通知は、ゾーンの動作モードが interactive に設定されている場合のみ利用可能です。

ゾーンのトラフィック レートのグラフ

ゾーンのトラフィック レートのグラフには、最近 2 時間に受信したトラフィックのレートが bps 単位で表示されます。

表 10-5 に、ゾーンのトラフィック レートのグラフの下に表示されるフィールドの説明を示します。

 

表 10-5 ゾーンのトラフィック レートのグラフの下に表示されるフィールドの説明

フィールド
説明

Min

最近 2 時間に測定されたトラフィック レートの最小値(bps 単位)。

Max

最近 2 時間に測定されたトラフィック レートの最大値(bps 単位)。

Avg

最近 2 時間に測定されたトラフィック レートの平均値(bps 単位)。

Cur

現在のトラフィック レート(bps 単位)。

ゾーンのステータス テーブル

ゾーンのステータス テーブルでは、次の情報が提供されます。

Active Dynamic filters :アクティブになっている動的フィルタの数。

Dynamic filters 画面を表示するには、 Active Dynamic filters をクリックします。動的フィルタの詳細については、 第 9 章「異常の検出のアクティブ化」 「動的フィルタの管理」の項を参照してください。

Pending Dynamic filters:保留動的フィルタの数。保留動的フィルタの数は、ゾーンがインタラクティブ保護モードになっていて新しい推奨事項がある場合は、1 以上になります。

Recommendations 画面を表示するには、Pending Dynamic filters をクリックします。動的フィルタの詳細については、 第 9 章「異常の検出のアクティブ化」 「動的フィルタの管理」の項を参照してください。Detector モジュールの推奨事項の詳細については、 第 9 章「異常の検出のアクティブ化」 「動的フィルタに対する Detector モジュールの推奨事項の管理」の項を参照してください。

Last attack time :ゾーンが最後に攻撃を受けた日時。

Activation time :ゾーンの異常検出がアクティブになった日時。

ゾーンの最近のイベント テーブル

最近のイベント テーブルには、 notify 以上の重大度を持つ、報告されるゾーン イベントが表示されます。また、Detector モジュールは、ゾーンのイベント ログおよび Detector モジュールのイベント ログにもイベントを記録します。

ゾーンの診断ツールの使用

Detector モジュールでは、ゾーン イベントの監視およびトラブルシューティングに役立つ診断情報が提供されます。この項では、次の診断ツールについて説明します。

ゾーンのカウンタの表示

ゾーンのカウンタのリアルタイムでの表示

ゾーンのイベント ログの表示

攻撃の要約レポートの表示

攻撃レポートの詳細の表示

攻撃レポートの詳細について

攻撃レポートのエクスポート

攻撃レポートの削除

ポリシーの統計情報のテーブルの表示

ゾーンのカウンタの表示

ゾーンのカウンタ図 10-5 を参照)を使用すると、ゾーン固有のトラフィック情報を分析して、ゾーンのステータスを確認したりゾーンの異常保護が適切に機能しているかどうかを判断したりできます。ゾーンのカウンタのグラフ表示の期間を変更することで、ゾーンの異常検出がどのように進行しているかを確認できます。

ゾーンのカウンタ情報を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Counters を選択します。ゾーンの Counters 画面が表示されます。

ステップ 3 (オプション)Detector モジュールが表示する情報の対象期間を変更するには、
Graph Period ドロップダウン リストで目的の対象期間を選択し、 Update Graph をクリックします。Detector モジュールにより、画面がアップデートされます。

デフォルトでは、トラフィック レートのグラフには、過去 2 時間に記録したカウンタ情報が表示されます。

ステップ 4 (オプション)Detector モジュールが使用する測定単位を変更するには、Graph Type ドロップダウン リストで目的の測定単位を選択し、 Update Graph をクリックします。Detector モジュールにより、画面がアップデートされます。

測定単位は次のとおりです。

pps :パケット/秒

bps :ビット/秒


 

図 10-5 ゾーンのカウンタ

Zone Current Counters/Rates テーブルには、次の情報が表示されます。

Packets :カウンタがアクティブになった時点からの、ゾーンが宛先となっていたパケットの総数。

Bits :カウンタがリロードされた時点からの、ゾーンが宛先となっていた総ビット数。

pps :ゾーンが宛先となっているトラフィックの現在のレート(パケット/秒単位)。

bps :ゾーンが宛先となっているトラフィックの現在のレート(bps 単位)。

トラフィック レートのグラフの下には、カウンタを識別するための凡例が表示されます。また、選択した期間における各カウンタの最小レート、最大レート、および平均レートが表示されます。

トラフィック フローを分析するためのゾーンのカウンタの使用

トラフィックがアクティブなゾーンに適切に送信されているかどうかを判断するには、トラフィック フローの分析が重要です。次の情報では、トラフィック フローの分析方法、発生する可能性のある問題の認識方法、およびその解決策について説明しています。

受信パケット の数が 0 を超えている場合は、トラフィック フローがゾーンに適切に送信されていることを示します。

受信パケット の数が 0 である場合は、次の状況のいずれかに該当している可能性があります。

Detector モジュールで受信したパケットの現在のレート(pps または bps)、あるいは同じスイッチ上のゾーンで受信したパケットの現在のレート(pps または bps)も 0 である場合は、トラフィックのキャプチャの設定に問題があるか、1 つまたは複数のゾーンが宛先となっているトラフィックが Detector モジュールの接続先のスイッチに到達する前にブロックされている可能性があります。

Detector モジュールで受信したパケットの現在のレート(pps または bps)、あるいは同じスイッチに接続されている他のゾーンで受信したパケットの現在のレート(pps または bps)が 0 を超えている場合は、ゾーンにバイパス フィルタが定義されていないことを確認してください。

ゾーンのカウンタのリアルタイムでの表示


) カウンタ情報をリアルタイムに表示するには、クライアントに JRE をインストールしておく必要があります(第 1 章「概要」「Java 2 Runtime Environment のインストール」の項を参照)。


ゾーンのカウンタ情報をリアルタイムに表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Real time counters を選択します。ゾーンの Real time counters 画面が表示されます。

ステップ 3 (オプション)Detector モジュールが使用する測定単位を変更するには、Graph Type ドロップダウン リストで目的の測定単位を選択し、 Update Graph をクリックします。Detector モジュールにより、画面がアップデートされます。

測定単位は次のとおりです。

pps :パケット/秒

bps :ビット/秒


 

Zone Real Time Counters/Rates テーブルには、次の情報が表示されます。

Packets :カウンタがアクティブになった時点からの、ゾーンが宛先となっていたパケットの総数。

Bits :ゾーンが宛先となっていた総ビット数。

pps :ゾーンが宛先となっているトラフィックの現在のレート(パケット/秒単位)。

bps :ゾーンが宛先となっているトラフィックの現在のレート(bps 単位)。

ゾーン トラフィックを分析するためのカウンタ情報の使用については、「トラフィック フローを分析するためのゾーンのカウンタの使用」の項を参照してください。

ゾーンのイベント ログの表示

ゾーンのイベント ログには、監視とトラブルシューティングに役立つ情報が提供されます。

ゾーンのイベント ログの内容を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Event log を選択します。 ゾーンの Events 画面が表示されます( 図 10-6 を参照)。

ステップ 3 (オプション)表示するイベントを管理するには、次のいずれかのオプションを選択し、 Filter Events をクリックして表示をアップデートします。

Show all Events :すべての重大度レベルのイベントを表示します。

Show events with severity level :選択した重大度レベルのイベントだけを表示します。次の重大度レベルから目的のレベルを選択します。

Emergency

Alert

Critical

Error

Warning

Notify


 

図 10-6 ゾーンのイベント ログ

 

表 10-6 に、さまざまなイベントの重大度レベルの説明を示します。

 

表 10-6 イベント ログの重大度レベル

イベントのレベル
説明

Emergencies

システムが使用不能

Alerts

ただちに対処が必要

Critical

深刻な状態

Errors

エラー状態

Warnings

警告状態

Notifications

通常、ただし注意が必要

Informational

情報メッセージ

Debugging

デバッグ メッセージ

攻撃の要約レポートの表示

Detector モジュールでは、Detector モジュールが検出するゾーンへの攻撃を明確にわかりやすく提示するために、ゾーンごとの高レベルの攻撃要約レポートを提供しています。このレポートは、ユーザが定義した期間中にゾーンが受けた DDoS 攻撃を要約したものです。Detector モジュールは、関連する詳細情報を攻撃の進行中に記録し、そのデータをカテゴリ別に編成します。このレポートには、攻撃の総数および強さに関する詳細、および各攻撃の簡単な要約が示されます。Detector モジュールは、攻撃のデータをグラフ形式でも表示します。

ゾーン攻撃の要約レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。Attacks summary 画面が表示されます。デフォルトでは、レポートに先月分の攻撃情報が表示されます。

ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各日付フィールドの右側にあるカレンダー アイコンをクリックし、カレンダー ポップアップから日付を選択することもできます。


 

Attack Summary Report 画面は、次の領域で構成されています。

検出のグラフ:ユーザが定義した期間中に発生した攻撃の要約がグラフ形式で提示されます。

図 10-7 ゾーンでの検出の要約レポート:検出のグラフ

 

 

X 軸は、攻撃が発生した期間を表示しています。Y 軸は、平均の攻撃レートをパケット/秒(pps)単位で表示しています。各攻撃は 1 つのバーで表されています。マウス カーソルをいずれかの攻撃バーの上に数秒間置いておくと、平均の攻撃レートが表示されます。

攻撃の詳細を表示するには、グラフで攻撃バーをクリックし、攻撃レポートを開きます(「攻撃レポートの詳細の表示」の項を参照)。

攻撃に関する統計情報のテーブル:ゾーンに対する攻撃の数、およびユーザが定義した期間中に発生した攻撃の集計情報が示されます。

図 10-8 ゾーンでの検出の要約レポート:攻撃に関する統計情報

 

表 10-7 に、レポートに含まれているフィールドの説明を示します。

 

表 10-7 攻撃に関する統計情報のテーブルに含まれているフィールドの説明

フィールド
説明

Attacks Detected

検出された攻撃の数。

Attacks Duration

検出された攻撃の持続期間の集計。

Max. Traffic Rate

ゾーンが宛先となっていた悪意のあるトラフィックの最大レート。

Total Rx

ゾーンが宛先となっていたトラフィックの合計レート。

攻撃ごとの要約テーブル:定義した期間中にゾーンが受けた DDoS 攻撃のリストがテーブルで示されます(図 10-9 を参照)。攻撃ごとの要約テーブルに現在表示されている情報を削除(「攻撃レポートの削除」の項を参照)、または攻撃レポートの内容をエクスポート(「攻撃レポートのエクスポート」の項を参照)できます。

図 10-9 ゾーンでの検出の要約レポート:攻撃ごとの要約

 

表 10-8 に、攻撃ごとの要約テーブルのカラムに含まれているフィールドの説明を示します。

 

表 10-8 要約レポートに含まれているフィールドの説明

フィールド
説明

#

検出された攻撃の識別番号(ID)。

Start time

検出された攻撃の発生日時。

Duration

検出された攻撃の持続期間(時、分、および秒)。

Type

検出された攻撃のタイプ。表示される値は、次のいずれかです。

Tcp connections :データを保持している(または保持していない)、異常な数の TCP 同時接続が検出されたフロー。

HTTP :異常な HTTP トラフィック フロー。

Tcp incoming :TCP サービスを攻撃していることが検出されたフロー。

Tcp outgoing :ゾーンがクライアントである場合に、ゾーンが開始した接続に対する SYN-ACK 攻撃など、クライアントがゾーンであるように見える検出済み攻撃フロー。

Unauthenticated tcp :Detector のスプーフィング防止メカニズムが認証できなかった検出済みフロー。たとえば、ACK フラッド、FIN フラッド、その他の未認証パケットによるフラッドなどです。

DNS (Udp) :攻撃的な DNS-UDP プロトコル フロー。

DNS (Tcp) :攻撃的な DNS-TCP プロトコル フロー。

Udp :攻撃的な UDP プロトコル フロー。

Non tcp/udp protocols :TCP/UDP 以外の攻撃的なプロトコル フロー。

Fragments :異常な量の断片化トラフィックが検出されたフロー。

Hybrid :特性の異なる複数の攻撃で構成された攻撃。

IP scan :送信元 IP アドレスが、ゾーンの多数の宛先 IP アドレスにアクセスしようとして開始した検出済みフロー。

port scan :送信元 IP アドレスが、ゾーンの多数のポートにアクセスしようとして開始した検出済みフロー。

user detected :ユーザ定義によって検出された異常フロー。

worm_tcp :TCP/IP プロトコルを介したワーム攻撃。

Peak (pps)

攻撃レートの最大値(パケット/秒単位)。

Received Pkts

攻撃進行中に Detector モジュールが処理した、ゾーンが宛先となっていたパケットの総数。


) 攻撃の詳細を表示するには、攻撃ごとの要約テーブルのいずれかの行をクリックします(「攻撃レポートの詳細の表示」の項を参照)。


攻撃レポートの詳細の表示

Detector モジュールでは、Attacks Summary 画面に一覧表示される攻撃レポートの詳細を表示できます。攻撃レポートには、最初の動的フィルタが作成された時点からユーザによる指示があるまで、または新しい動的フィルタが追加されないように定義された期間が終了するまでの、攻撃の詳細が示されています。

Detector モジュールは、関連する詳細情報を攻撃の進行中に記録し、そのデータをカテゴリ別に編成します。過去および現在の攻撃の詳細を表示できます。

過去の攻撃に関するレポートの詳細の表示

過去のゾーン攻撃に関するレポートの詳細を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのステータス画面とゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。Attacks summary 画面が表示され、前月の攻撃情報が示されます。

ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各日付フィールドの右側にあるカレンダー アイコンをクリックし、カレンダー ポップアップから日付を選択することもできます。

ステップ 4 次のいずれかの方法で、攻撃レポートの詳細を表示します。

検出のグラフの攻撃バーをクリックします。

攻撃ごとの要約テーブルに含まれている攻撃のいずれかのフィールドをクリックします。

Attack report 画面が表示されます。


 

現在の攻撃に関する詳細の表示

ゾーンへの攻撃が進行中である場合、Detector モジュールでは、攻撃を受けているゾーンのステータス画面に Report ボタンが表示されます。このボタンを使用すると、Detector モジュールが現在の攻撃に関して収集している詳細情報にアクセスできます。

ゾーンの現在の攻撃レポートを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのステータス画面とゾーンのメイン メニューが表示されます。

ステップ 2 次のいずれかの方法で、ゾーンの現在の攻撃レポートを表示します。

ゾーンのステータス画面で Report をクリックします。

ゾーンのメイン メニューの Diagnostics > Attack Reports を選択し、 攻撃ごとの要約テーブルにある進行している攻撃のいずれかのフィールドをクリックします。


 

攻撃レポートの詳細について

攻撃レポートには、次のセクションにまとめられたデータ フィールドとデータ テーブルが含まれています。

一般的な攻撃情報

攻撃に関する統計情報

検出された異常

一般的な攻撃情報

攻撃レポートの最初のセクションには、攻撃の日時に関する情報(攻撃の開始日時、終了日時、および持続期間を含む)が示されます。

レポートの詳細を表示するには、 i または Show details for all events をクリックします。

カウンタは、レートを除いてすべて整数値です。画面の一般的な攻撃情報領域から、統計情報の測定単位を選択することができます。

統計情報の測定単位を変更するには、次の手順を実行します。


ステップ 1 Statistics units ドロップダウン リストから、使用する目的の単位を選択します。

ステップ 2 Set units をクリックします。Detector モジュールにより、表示がアップデートされます。


 

攻撃に関する統計情報

攻撃に関する統計情報には、受信したパケットに関する情報が示されます。 表 10-9 に、提供される情報の説明を示します。

 

表 10-9 攻撃に関する統計情報

フィールド
説明

Total

このカテゴリに該当するパケットの総数。

Max Rate

測定されたパケット レートの最大値。

Average Rate

パケット レートの平均値。

トラフィック レートは、一般的な攻撃領域のドロップダウン リストで選択した単位で表示されます(「一般的な攻撃情報」の項を参照)。

検出された異常

検出された異常テーブル(図 10-10 を参照)には、Detector モジュールがゾーンのトラフィックで検出した異常の詳細が示されます。動的フィルタの生成を必要とするトラフィック フローは、異常であると分類されます。このような異常はあまり発生しないか、または体系的な DDoS 攻撃となる可能性があります。Detector モジュールでは、タイプとフロー パラメータ(送信元 IP アドレスまたは宛先ポートなど)が同じトラフィック異常を 1 つのトラフィック異常タイプとしてまとめます。

図 10-10 攻撃レポート:検出された異常

 

それぞれの異常について、次の情報が提供されます。

 

表 10-10 検出された異常に含まれているフィールドの説明

フィールド
説明

#

検出された異常の識別番号(ID)。

Start time

異常を検出した日時。

Duration

異常の持続期間(時、分、および秒)。

Type

検出した異常のタイプ。表示される値は、次のいずれかです。

Tcp_connections :データを保持している(または保持していない)、異常な数の TCP 同時接続が検出されたフロー。

HTTP :異常な HTTP トラフィック フロー。

Tcp incoming :ゾーンがサーバである場合に、TCP サービスへの攻撃が検出されたフロー。

Tcp outgoing :ゾーンがクライアントである場合に、ゾーンが開始した接続に対する SYN-ACK 攻撃など、クライアントがゾーンであるように見える検出済み攻撃フロー。

Unauthenticated tcp :Detector モジュールのスプーフィング防止メカニズムが認証できなかった検出済みフロー。たとえば、ACK フラッド、FIN フラッド、その他の未認証パケットによるフラッドなどです。

DNS (Udp) :攻撃的な DNS-UDP プロトコル フロー。

DNS (Tcp) :攻撃的な DNS-TCP プロトコル フロー。

Udp :攻撃的な UDP プロトコル フロー。

Non tcp/udp protocols :TCP/UDP 以外の攻撃的なプロトコル フロー。

Fragments :異常な量の断片化トラフィックが検出されたフロー。

TCP ratio :各種の TCP パケット(SYN パケットと FIN/RST パケットなど)の比率に異常がある検出済みフロー。

IP scan :送信元 IP アドレスが、ゾーンの多数の宛先 IP アドレスにアクセスしようとして開始した検出済みフロー。

port scan :送信元 IP アドレスが、ゾーンの多数のポートにアクセスしようとして開始した検出済みフロー。

user detected :ユーザ定義によって検出された異常フロー。

Worm Tcp :TCP/IP プロトコルを介したワーム攻撃。

Triggering rate

ポリシーのしきい値を超過した異常トラフィックのレート。

% Threshold

ポリシーのしきい値をトリガー レートが上回った割合。

Anomaly Flow

異常なトラフィック フロー。このフローに共通する特性のパラメータが表示されます。この情報には、異常トラフィックのプロトコル番号、トラフィック フローの宛先 IP アドレス、フローのパケット タイプなどのパラメータが含まれています。

異常フローが特定のポートで発生している場合は、dst= ip address : port と表示されます。

Details

このフィルタに関する追加情報を表示できるかどうかを示します。 i をクリックすると、追加情報が表示されます(「検出された異常の詳細の表示」の項を参照)。

パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。

値が定義されていない。

異常なパラメータに対して複数の値が測定された。

パラメータの値が # になっている場合は、その異常なパラメータとして測定された値の数を示します。

検出された異常の詳細の表示

検出された異常の詳細のテーブルには、検出された異常を処理する動的フィルタに関する追加情報が示されます。

検出された異常の詳細のテーブルを表示するには、検出された異常のテーブルで、トラフィック異常の Details カラムにある i をクリックします。

表 10-11 で、Detector モジュールが提供する異常の詳細情報について説明します。

 

表 10-11 検出された異常の詳細に含まれているフィールドの説明

フィールド
説明

Start time

異常を検出した日時。

End time

動的フィルタの満了日時。

Rate (pps)

レート(パケット/秒単位)。

Thresh :検出された異常が超過したポリシーしきい値を示します。

Triggered :ポリシーのしきい値を超過した異常トラフィックのレートを示します。

Count

動的フィルタが処理したパケットの数。

Detected flow

検出され、動的フィルタの作成原因となった攻撃フローについて、次の情報を示します。

Prot. :プロトコル番号。

Src IP :送信元 IP アドレス。

Src Port :送信元ポート番号。

Dst IP :宛先 IP アドレス。

Dst Port :宛先ポート番号。

frag. :検出されたトラフィック フローの断片化特性を示します。

Type :検出された異常のタイプ。

Action flow

動的フィルタによって処理されたアクション フローに関する情報が示されます。アクション フローは、検出されたフローよりも範囲が広い可能性があります。たとえば、検出されたフローは特定の送信元 IP の特定の送信元ポートを示すのに対して、アクション フローは特定の送信元 IP のすべての送信元ポートを示すことがあります。このカラムは、動的フィルタのトラフィック データを表しています。

Prot. :プロトコル番号。

Src IP :送信元 IP アドレス。

Src Port :送信元ポート番号。

Dst IP :宛先 IP アドレス。

Dst Port :宛先ポート番号。

frag. :アクション フローの断片化特性を示します。

攻撃レポートのエクスポート

FTP サーバに攻撃レポートをエクスポートするには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。Attacks summary 画面が表示されます。

ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各フィールドの右側にあるカレンダー アイコンをクリックして選択することもできます。

ステップ 4 攻撃ごとの要約テーブルで、エクスポートする攻撃レポートの隣にあるチェックボックスをオンにします。テーブルに表示されているレポートをすべて選択するには、番号記号(#)の隣にあるテーブルのヘッダーのチェックボックスをオンにします。

ステップ 5 Export をクリックします。Export FTP Server Parameters ウィンドウが表示されます。

ステップ 6 Select FTP Server Parameters フォームで、使用する FTP 方式を選択します。

FTP :File Transfer Protocol (ファイル転送プロトコル)

SFTP :Secure File Transfer Protocol (セキュア ファイル転送プロトコル)

ステップ 7 Select FTP Server Parameters フォームで、次のいずれかのオプションから使用する FTP サーバを選択して定義します。

Use default FTP definitions :CLI を使用して Detector モジュールの設定に定義した FTP サーバに、パケットダンプ キャプチャをエクスポートします。

Use temporary FTP server :Detector モジュールの設定に定義していない FTP サーバに、パケットダンプ キャプチャをエクスポートします。FTP サーバに関する次の情報を入力します。

Address :FTP サーバの IP アドレス。

Path :完全パス名。パスを指定しない場合、サーバはユーザのホーム ディレクトリに 1 つ以上のファイルを保存します。

Username :(オプション)FTP サーバのログイン名。ユーザ名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

Password :(オプション)リモート FTP サーバのパスワード。ユーザ名を入力してパスワードを入力しなかった場合、Detector モジュールはパスワードを入力するように求めます。

ステップ 8 次のいずれかのオプションを選択します。

OK :FTP サーバに攻撃レポートを保存します。

Clear :Select FTP Server Parameters フォームに追加した情報をすべて消去します。

Cancel :攻撃レポートを保存せずに Export FTP Server Parameters ウィンドウを閉じます。


 

攻撃レポートの削除

攻撃レポートを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。Attacks summary 画面が表示されます。

ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各フィールドの右側にあるカレンダー アイコンをクリックして選択することもできます。

ステップ 4 攻撃ごとの要約テーブルで、削除する攻撃レポートの隣にあるチェックボックスをオンにします。テーブルに表示されているレポートをすべて選択するには、番号記号(#)の隣にあるテーブルのヘッダーのチェックボックスをオンにします。

ステップ 5 Delete をクリックします。攻撃の要約レポートが削除されます。


 

ポリシーの統計情報のテーブルの表示

ポリシーの統計情報のテーブルを使用すると、特定のゾーンの各ポリシーを通過するトラフィック フローのレートを表示できます。 この情報は、正当なトラフィックのみがゾーンに送信されているかどうかを判断して、しきい値を手動で調整するときに役立ちます。

ポリシーの統計情報のテーブルを表示するには、ゾーンのメイン メニューの Diagnostics > Policy Statistics を選択します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Diagnostics > Policy Statistics を選択します。 Policies statistics 画面が表示されます。

ステップ 3 (オプション)この画面でフィルタを設定するには、次の手順を実行します。

a. Set Screen Filter をクリックします。 Policy Filter ウィンドウが表示されます。

b. Policy Filter ウィンドウのドロップダウン リストから、パラメータの値を選択します。

c. OK をクリックします。Policy statistics 画面がアップデートされ、選択したパラメータだけが表示されます。 選択したパス、およびポリシーごとの最大キーの詳細が Screen Filter フレームに表示されます。


 

ポリシーの統計情報のテーブルでは、4 つのセクションに情報が表示されます。各セクションの情報は値に基づいてソートされ、最も大きい値が最上部に表示されます。

Rate ポリシーを通過するトラフィック フローのレート。

Ratio SYN フラグ付きパケット数と FIN/RST フラグ付きパケット数の比率。この情報は、syn_by_fin ポリシーについてのみ表示されます。

Connections :同時接続または送信元 IP アドレスの数。この情報は、
tcp_connections ポリシーおよび分析保護モジュールの in_nodata_conns について表示されます。

Dst IPs :スキャンされたゾーンの宛先 IP アドレスの数。この情報は、
worm_tcp ポリシーで使用できます。

表示された情報の管理を容易にするには、画面フィルタを設定して、利用可能な統計情報のリストの一部のみを表示するようにします。


) いずれかの表示パラメータを変更すると、Detector モジュールは、変更したパラメータの下に表示されているパラメータをすべて自動的に消去します。消去されたパラメータに対して新しい値を入力する必要があります。


表 10-12 に、ポリシーの統計情報に含まれているフィールドの説明を示します。

 

表 10-12 ポリシーの統計情報

フィールド
説明

Policy template

ポリシーの構築に使用されたポリシー テンプレート。

Service

ポリシーに関連付けられているサービス。

Level

トラフィック フローの処理に使用されたレベル。

Type

パケットのタイプ。表示される値は、次のいずれかです。

auth_pkts :TCP ハンドシェイクまたは UDP 認証を受けたパケット。

in_nodata_conns :接続でデータ転送が発生していない、ゾーンへの着信接続(データ ペイロードを含んでいないパケット)。

in_pkts :ゾーンに着信する DNS クエリー パケット。

in_unauth_pkts :ゾーンに着信する未認証の DNS クエリー。

non_estb_conns :確立されていない接続。失敗したゾーン着信接続。要求に対する応答がなかった TCP 接続要求(SYN パケット)。

out_pkts :ゾーンに着信する DNS 応答パケット。

reqs :データ ペイロードを含んだ要求パケット。

syns :同期パケット。つまり、TCP SYN フラグの付いたパケット。

syn_by_fin :SYN フラグ付きパケットと FIN フラグ付きパケット。SYN フラグの付いたパケット数と FIN フラグの付いたパケット数の比率を確認します。

unauth_pkts :TCP ハンドシェイクを受けていないパケット。

pkts :同じ保護レベルになっている他のいずれのカテゴリにも該当しない、すべてのパケット タイプ。

Policy

ポリシー。

Key

ポリシーの集計に使用されたキー(トラフィックの特性)。

ワームに関連するポリシーでは、キーは、ゾーンのネットワーク アドレスをスキャンする送信元 IP アドレス、コロン、およびスキャンされる宛先ポートで構成されます。たとえば、 192.128.100.3:70 となります。

表示される値は、次のいずれかです。

dst_ip :ゾーンの IP アドレスが宛先となっているトラフィック。

dst_ip_ratio :特定の IP アドレスが宛先となっている SYN フラグ付きパケットと FIN フラグ付きパケットの比率。

dst_port_ratio :特定のポートが宛先となっている SYN フラグ付きパケットと FIN フラグ付きパケットの比率。

global :他のポリシー セクションによって定義された、すべてのトラフィック フローの合計。

src_ip :送信元 IP アドレスに基づいて集約された、ゾーンが宛先となっているトラフィック。

src_net :送信元サブネットの IP アドレスに基づいて集計された、ゾーンが宛先となっているトラフィック。

dst_port :ゾーンの特定のポートが宛先となっているトラフィック。

protocol :プロトコルに基づいて集計された、ゾーンが宛先となっているトラフィック。

src_ip_many_dst_ips :IP スキャニングに使用されるキー。1 つの IP アドレスから多くのゾーン IP アドレスに宛てたトラフィックです。

src_ip_many_port :ポート スキャニングに使用される
キー。1 つの IP アドレスから多くのゾーンのポートに宛てたトラフィックです。

scanners :特定の宛先ポート上でゾーンの宛先 IP アドレスをスキャンする送信元 IP アドレスのヒストグラム。

Value

接続のレート、比率、または数。テーブルのセクションに応じて異なります。各セクションの情報は値に基づいてソートされ、最も大きい値が最初に表示されます。