この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Traffic Anomaly Detector Module およびゾーンのステータスの監視に使用するタスクの実行方法について説明します。また、ゾーンのトラフィック フローに関する問題を診断できる WBM 統計ツールについても説明します。
Detector モジュール要約画面(図 10-1 を参照)には、現在の Detector モジュール アクティビティの要約が示されます。これは、Detector モジュールの WBM に接続したときに最初に表示される画面です。Detector モジュール要約画面は、インターフェイス内の次の場所から表示できます。
• ナビゲーション ペインで Detector Summary をクリックする。
Detector モジュール要約画面には、次の 2 つの領域があります。
• Detector Summary :最近 2 時間に Detector が処理した受信トラフィック レートの要約を bps 単位でグラフに示します。
表 10-1 に、グラフの下に表示される情報の説明を示します。
|
|
---|---|
• Zones Under Detection :Detector モジュールが現在トラフィックの異常を監視しているゾーンのステータス情報を示します。Detector モジュールがここに表示するゾーンの情報は、次の異常検出モードのどちらをユーザがアクティブにするかによって異なります。
– Detect :Detector モジュールは、ゾーンが攻撃を受けているかどうかにかかわらず、ゾーンの情報を表示します。
– Detect and Learn :Detector モジュールは、ゾーンが攻撃を受けている場合にのみゾーンの情報を表示します。
Detector モジュールは、攻撃が発生した順序でゾーンを一覧表示します。最後に攻撃を受けたゾーンが、リストの最上部に表示されます。各行に表示される情報をクリックすると、関連付けられているゾーンの要約画面を表示できます。
表 10-2 に、検出実行中のゾーンに含まれているフィールドの説明を示します。
Detector モジュールでは、グローバル イベントの監視およびトラブルシューティングに役立つ診断情報が提供されます。Detector モジュールの要約メニューでは、次の診断ツールを利用できます。
Counters 画面には、Detector モジュールが Detector モジュールの要約画面に表示するカウンタ情報の詳細な分析が提供されます。Counters 画面から、Detector モジュールがトラフィック レートのグラフに表示する情報を操作できます。
Detector モジュールのカウンタを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインで Detector Summary を選択します。Detector モジュールの要約メニューが表示されます。
ステップ 2 Detector モジュールの要約メニューの Diagnostics > Counters を選択します。
Detector モジュールの Counters 画面が表示されます (図 10-2 を参照)。
ステップ 3 (オプション)表示された情報の対象期間を変更するには、Graph Period ドロップダウン リストでグラフの対象期間を選択し、 Update Graph をクリックします。Detector モジュールにより、グラフがアップデートされます。
デフォルトでは、トラフィック レートのグラフには、最近 2 時間に記録したカウンタ情報が表示されます。
ステップ 4 (オプション)Detector モジュールがトラフィック レートのグラフで使用する測定単位を変更するには、Graph Type ドロップダウン リストで測定単位を選択し、 Update Graph をクリックします。Detector モジュールにより、グラフがアップデートされます。
図 10-2 Detector モジュールのグローバル カウンタおよびレート
受信パケットのカウンタは、Detector が受信して分析したパケットの総数を示します。
表 10-3 に、受信パケットのカウンタに含まれているフィールドの説明を示します。
|
|
---|---|
Detector モジュールでは、受信パケットのカウンタ情報をリアルタイムで表示できます。受信パケットのカウンタは、Detector が受信して分析したパケットの総数を示します。
(注) カウンタ情報をリアルタイムに表示するには、クライアントに JRE をインストールしておく必要があります(第 1 章「概要」の「Java 2 Runtime Environment のインストール」の項を参照)。
レート カウンタをリアルタイムに表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインで Detector Summary を選択します。Detector モジュールの要約メニューが表示されます。
ステップ 2 Detector モジュールの要約メニューの Diagnostics > Real time counters を選択します。 Real time counters 画面が表示されます。
ステップ 3 (オプション)トラフィック レートのグラフで Detector モジュールが使用する測定単位を変更するには、次のいずれかの Graph Type オプションをクリックします。Detector モジュールにより、トラフィック レートのグラフがアップデートされます。
Real Time Global Counter/Rates テーブル内の情報の詳細については、 表 10-3 を参照してください。
イベント ログには、検出実行中のゾーンの関連イベントと Detector モジュールの動作の関連イベントについて、監視情報とトラブルシューティング情報が表示されます。
ステップ 1 ナビゲーション ペインで Detector Summary を選択します。Detector モジュールの要約メニューが表示されます。
ステップ 2 Detector モジュールの要約メニューの Diagnostics > Event log を選択します。
Events 画面が表示されます (図 10-3 を参照)。 イベント テーブルの上にあるナビゲーション ツールを使用して、表示されたイベントをスクロール表示します。
ステップ 3 (オプション)イベント テーブルに表示するイベントを制御するには、次のいずれかのオプションを選択し、 Filter Events をクリックします。Detector モジュールにより、イベント テーブルがアップデートされます。
• Show all Events :すべての重大度レベルのイベントを表示します。
• Show events with severity level :選択した重大度レベルのイベントだけを表示します。次の重大度レベルから目的のレベルを選択します。
表 10-4 に、使用可能なイベントの重大度レベルを示します。
|
|
---|---|
(注) イベント ログに表示されるのは、ゾーンに関係するイベントとその重大度レベル(Emergency、Alert、Critical、Error、Warning、または Notification)のみです。ゾーンのイベント ログの詳細については、「ゾーンのイベント ログの表示」の項を参照してください。
ゾーンのステータス画面(図 10-4 を参照)には、ゾーン動作のステータスの要約が示されます。この画面には、次の方法で移動できます。
• ナビゲーション ペインの All Zones リストでゾーンを選択する。
• ゾーンが検出モードになっている場合は、ナビゲーション ペインの Under detection リストでゾーンを選択する。
• ゾーンの特定の画面のナビゲーション パスで、 Zone をクリックする。
• ゾーンのリスト( Detector Summary > Zones > Zone list )でゾーンを選択する。
ゾーンのステータス画面は、次の 4 つのセクションに分けられています。
• ゾーンのステータス バー(「ゾーンのステータス バー」の項を参照)
• ゾーンのトラフィック レートのグラフ(「ゾーンのトラフィック レートのグラフ」の項を参照)
• ゾーンのステータス テーブル(「ゾーンのステータス テーブル」の項を参照)
• ゾーンの最近のイベント テーブル(「ゾーンの最近のイベント テーブル」の項を参照)
ゾーンのステータス画面では、トラフィック レートのグラフの真上に機能ボタンが表示されます。WBM では、ゾーンの現在の動作モードに応じて、異なる機能ボタンが表示されます。
ゾーンがスタンバイ モードの場合、次の機能ボタンが表示されます。
• Detect & Learn :ゾーンを検出とラーニングの動作モードに切り替えます。この操作により、ラーニング プロセスのしきい値調整フェーズの実行中に、ゾーン トラフィックの異常を検出することができます。
• Detect :ゾーンを検出の動作モードに切り替えます。これは、ゾーンのメイン メニューで Detection > Detect を選択するのと同じ操作です。
ゾーンが Detect モードまたは Detect and Learn モードの場合、次の機能ボタンが表示されます。
• Deactivate :異常検出の動作モードを非アクティブにします。これは、ゾーンのメイン メニューで Detection > Deactivate を選択するのと同じ操作です。ゾーンを Detect and Learn モードで操作中に、 Deactivate をクリックする場合、異常検出、ラーニング、または両方の動作を非アクティブにするオプションがあります。
• Report :現在の攻撃レポートへのリンクを提供します。これは、ゾーンのメイン メニューの Diagnostics > Attack reports を選択し、現在の攻撃(終了時刻が attack in progress になっている攻撃)をクリックするのと同じ操作です。Report ボタンは、進行中の攻撃がある場合のみ使用できます。詳細については、「現在の攻撃に関する詳細の表示」の項を参照してください。
ゾーンのステータス バーは、ゾーンのステータス画面の最上部に表示され、現在操作しているゾーンのステータスをすばやく参照することができます。ゾーンのステータス バーでは、次の情報が提供されます。
• ゾーンの動作モード:ゾーンの動作モードの設定。この設定により、Detector モジュールがゾーンに対して自動動作モードとインタラクティブ動作モードのどちらで動作するかが決まります。ゾーンの動作モード設定の詳細については、 第 9 章「異常の検出のアクティブ化」 の「自動動作モードとインタラクティブ動作モード」および「ゾーンの動作モードの変更」の項を参照してください。
• ゾーンの動作ステータス:ゾーンの動作状態。動作ステータスには、Under Detection、Under Detection/Tuning Thresholds、Inactive、Constructing Policy、または Tuning Thresholds があります。
• 新しい推奨事項の通知:新しい動的フィルタの推奨事項が利用可能になっていることを示します。この通知は、ゾーンの動作モードが interactive に設定されている場合のみ利用可能です。
ゾーンのトラフィック レートのグラフには、最近 2 時間に受信したトラフィックのレートが bps 単位で表示されます。
表 10-5 に、ゾーンのトラフィック レートのグラフの下に表示されるフィールドの説明を示します。
|
|
---|---|
• Active Dynamic filters :アクティブになっている動的フィルタの数。
Dynamic filters 画面を表示するには、 Active Dynamic filters をクリックします。動的フィルタの詳細については、 第 9 章「異常の検出のアクティブ化」 の「動的フィルタの管理」の項を参照してください。
• Pending Dynamic filters:保留動的フィルタの数。保留動的フィルタの数は、ゾーンがインタラクティブ保護モードになっていて新しい推奨事項がある場合は、1 以上になります。
Recommendations 画面を表示するには、Pending Dynamic filters をクリックします。動的フィルタの詳細については、 第 9 章「異常の検出のアクティブ化」 の「動的フィルタの管理」の項を参照してください。Detector モジュールの推奨事項の詳細については、 第 9 章「異常の検出のアクティブ化」 の「動的フィルタに対する Detector モジュールの推奨事項の管理」の項を参照してください。
最近のイベント テーブルには、 notify 以上の重大度を持つ、報告されるゾーン イベントが表示されます。また、Detector モジュールは、ゾーンのイベント ログおよび Detector モジュールのイベント ログにもイベントを記録します。
Detector モジュールでは、ゾーン イベントの監視およびトラブルシューティングに役立つ診断情報が提供されます。この項では、次の診断ツールについて説明します。
ゾーンのカウンタ(図 10-5 を参照)を使用すると、ゾーン固有のトラフィック情報を分析して、ゾーンのステータスを確認したりゾーンの異常保護が適切に機能しているかどうかを判断したりできます。ゾーンのカウンタのグラフ表示の期間を変更することで、ゾーンの異常検出がどのように進行しているかを確認できます。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Counters を選択します。ゾーンの Counters 画面が表示されます。
ステップ 3 (オプション)Detector モジュールが表示する情報の対象期間を変更するには、
Graph Period ドロップダウン リストで目的の対象期間を選択し、 Update Graph をクリックします。Detector モジュールにより、画面がアップデートされます。
デフォルトでは、トラフィック レートのグラフには、過去 2 時間に記録したカウンタ情報が表示されます。
ステップ 4 (オプション)Detector モジュールが使用する測定単位を変更するには、Graph Type ドロップダウン リストで目的の測定単位を選択し、 Update Graph をクリックします。Detector モジュールにより、画面がアップデートされます。
Zone Current Counters/Rates テーブルには、次の情報が表示されます。
• Packets :カウンタがアクティブになった時点からの、ゾーンが宛先となっていたパケットの総数。
• Bits :カウンタがリロードされた時点からの、ゾーンが宛先となっていた総ビット数。
• pps :ゾーンが宛先となっているトラフィックの現在のレート(パケット/秒単位)。
• bps :ゾーンが宛先となっているトラフィックの現在のレート(bps 単位)。
トラフィック レートのグラフの下には、カウンタを識別するための凡例が表示されます。また、選択した期間における各カウンタの最小レート、最大レート、および平均レートが表示されます。
トラフィックがアクティブなゾーンに適切に送信されているかどうかを判断するには、トラフィック フローの分析が重要です。次の情報では、トラフィック フローの分析方法、発生する可能性のある問題の認識方法、およびその解決策について説明しています。
• 受信パケット の数が 0 を超えている場合は、トラフィック フローがゾーンに適切に送信されていることを示します。
• 受信パケット の数が 0 である場合は、次の状況のいずれかに該当している可能性があります。
–Detector モジュールで受信したパケットの現在のレート(pps または bps)、あるいは同じスイッチ上のゾーンで受信したパケットの現在のレート(pps または bps)も 0 である場合は、トラフィックのキャプチャの設定に問題があるか、1 つまたは複数のゾーンが宛先となっているトラフィックが Detector モジュールの接続先のスイッチに到達する前にブロックされている可能性があります。
–Detector モジュールで受信したパケットの現在のレート(pps または bps)、あるいは同じスイッチに接続されている他のゾーンで受信したパケットの現在のレート(pps または bps)が 0 を超えている場合は、ゾーンにバイパス フィルタが定義されていないことを確認してください。
(注) カウンタ情報をリアルタイムに表示するには、クライアントに JRE をインストールしておく必要があります(第 1 章「概要」の「Java 2 Runtime Environment のインストール」の項を参照)。
ゾーンのカウンタ情報をリアルタイムに表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Real time counters を選択します。ゾーンの Real time counters 画面が表示されます。
ステップ 3 (オプション)Detector モジュールが使用する測定単位を変更するには、Graph Type ドロップダウン リストで目的の測定単位を選択し、 Update Graph をクリックします。Detector モジュールにより、画面がアップデートされます。
Zone Real Time Counters/Rates テーブルには、次の情報が表示されます。
• Packets :カウンタがアクティブになった時点からの、ゾーンが宛先となっていたパケットの総数。
• pps :ゾーンが宛先となっているトラフィックの現在のレート(パケット/秒単位)。
• bps :ゾーンが宛先となっているトラフィックの現在のレート(bps 単位)。
ゾーン トラフィックを分析するためのカウンタ情報の使用については、「トラフィック フローを分析するためのゾーンのカウンタの使用」の項を参照してください。
ゾーンのイベント ログには、監視とトラブルシューティングに役立つ情報が提供されます。
ゾーンのイベント ログの内容を表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Event log を選択します。 ゾーンの Events 画面が表示されます( 図 10-6 を参照)。
ステップ 3 (オプション)表示するイベントを管理するには、次のいずれかのオプションを選択し、 Filter Events をクリックして表示をアップデートします。
• Show all Events :すべての重大度レベルのイベントを表示します。
• Show events with severity level :選択した重大度レベルのイベントだけを表示します。次の重大度レベルから目的のレベルを選択します。
表 10-6 に、さまざまなイベントの重大度レベルの説明を示します。
|
|
---|---|
Detector モジュールでは、Detector モジュールが検出するゾーンへの攻撃を明確にわかりやすく提示するために、ゾーンごとの高レベルの攻撃要約レポートを提供しています。このレポートは、ユーザが定義した期間中にゾーンが受けた DDoS 攻撃を要約したものです。Detector モジュールは、関連する詳細情報を攻撃の進行中に記録し、そのデータをカテゴリ別に編成します。このレポートには、攻撃の総数および強さに関する詳細、および各攻撃の簡単な要約が示されます。Detector モジュールは、攻撃のデータをグラフ形式でも表示します。
ゾーン攻撃の要約レポートを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。Attacks summary 画面が表示されます。デフォルトでは、レポートに先月分の攻撃情報が表示されます。
ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各日付フィールドの右側にあるカレンダー アイコンをクリックし、カレンダー ポップアップから日付を選択することもできます。
Attack Summary Report 画面は、次の領域で構成されています。
• 検出のグラフ:ユーザが定義した期間中に発生した攻撃の要約がグラフ形式で提示されます。
X 軸は、攻撃が発生した期間を表示しています。Y 軸は、平均の攻撃レートをパケット/秒(pps)単位で表示しています。各攻撃は 1 つのバーで表されています。マウス カーソルをいずれかの攻撃バーの上に数秒間置いておくと、平均の攻撃レートが表示されます。
攻撃の詳細を表示するには、グラフで攻撃バーをクリックし、攻撃レポートを開きます(「攻撃レポートの詳細の表示」の項を参照)。
• 攻撃に関する統計情報のテーブル:ゾーンに対する攻撃の数、およびユーザが定義した期間中に発生した攻撃の集計情報が示されます。
図 10-8 ゾーンでの検出の要約レポート:攻撃に関する統計情報
表 10-7 に、レポートに含まれているフィールドの説明を示します。
|
|
---|---|
• 攻撃ごとの要約テーブル:定義した期間中にゾーンが受けた DDoS 攻撃のリストがテーブルで示されます(図 10-9 を参照)。攻撃ごとの要約テーブルに現在表示されている情報を削除(「攻撃レポートの削除」の項を参照)、または攻撃レポートの内容をエクスポート(「攻撃レポートのエクスポート」の項を参照)できます。
表 10-8 に、攻撃ごとの要約テーブルのカラムに含まれているフィールドの説明を示します。
(注) 攻撃の詳細を表示するには、攻撃ごとの要約テーブルのいずれかの行をクリックします(「攻撃レポートの詳細の表示」の項を参照)。
Detector モジュールでは、Attacks Summary 画面に一覧表示される攻撃レポートの詳細を表示できます。攻撃レポートには、最初の動的フィルタが作成された時点からユーザによる指示があるまで、または新しい動的フィルタが追加されないように定義された期間が終了するまでの、攻撃の詳細が示されています。
Detector モジュールは、関連する詳細情報を攻撃の進行中に記録し、そのデータをカテゴリ別に編成します。過去および現在の攻撃の詳細を表示できます。
過去のゾーン攻撃に関するレポートの詳細を表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのステータス画面とゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。Attacks summary 画面が表示され、前月の攻撃情報が示されます。
ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各日付フィールドの右側にあるカレンダー アイコンをクリックし、カレンダー ポップアップから日付を選択することもできます。
ステップ 4 次のいずれかの方法で、攻撃レポートの詳細を表示します。
• 攻撃ごとの要約テーブルに含まれている攻撃のいずれかのフィールドをクリックします。
ゾーンへの攻撃が進行中である場合、Detector モジュールでは、攻撃を受けているゾーンのステータス画面に Report ボタンが表示されます。このボタンを使用すると、Detector モジュールが現在の攻撃に関して収集している詳細情報にアクセスできます。
ゾーンの現在の攻撃レポートを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのステータス画面とゾーンのメイン メニューが表示されます。
ステップ 2 次のいずれかの方法で、ゾーンの現在の攻撃レポートを表示します。
• ゾーンのステータス画面で Report をクリックします。
• ゾーンのメイン メニューの Diagnostics > Attack Reports を選択し、 攻撃ごとの要約テーブルにある進行している攻撃のいずれかのフィールドをクリックします。
攻撃レポートには、次のセクションにまとめられたデータ フィールドとデータ テーブルが含まれています。
• 一般的な攻撃情報
• 検出された異常
攻撃レポートの最初のセクションには、攻撃の日時に関する情報(攻撃の開始日時、終了日時、および持続期間を含む)が示されます。
レポートの詳細を表示するには、 i または Show details for all events をクリックします。
カウンタは、レートを除いてすべて整数値です。画面の一般的な攻撃情報領域から、統計情報の測定単位を選択することができます。
ステップ 1 Statistics units ドロップダウン リストから、使用する目的の単位を選択します。
ステップ 2 Set units をクリックします。Detector モジュールにより、表示がアップデートされます。
攻撃に関する統計情報には、受信したパケットに関する情報が示されます。 表 10-9 に、提供される情報の説明を示します。
|
|
---|---|
トラフィック レートは、一般的な攻撃領域のドロップダウン リストで選択した単位で表示されます(「一般的な攻撃情報」の項を参照)。
検出された異常テーブル(図 10-10 を参照)には、Detector モジュールがゾーンのトラフィックで検出した異常の詳細が示されます。動的フィルタの生成を必要とするトラフィック フローは、異常であると分類されます。このような異常はあまり発生しないか、または体系的な DDoS 攻撃となる可能性があります。Detector モジュールでは、タイプとフロー パラメータ(送信元 IP アドレスまたは宛先ポートなど)が同じトラフィック異常を 1 つのトラフィック異常タイプとしてまとめます。
|
|
---|---|
• Tcp_connections :データを保持している(または保持していない)、異常な数の TCP 同時接続が検出されたフロー。 • Tcp incoming :ゾーンがサーバである場合に、TCP サービスへの攻撃が検出されたフロー。 • Tcp outgoing :ゾーンがクライアントである場合に、ゾーンが開始した接続に対する SYN-ACK 攻撃など、クライアントがゾーンであるように見える検出済み攻撃フロー。 • Unauthenticated tcp :Detector モジュールのスプーフィング防止メカニズムが認証できなかった検出済みフロー。たとえば、ACK フラッド、FIN フラッド、その他の未認証パケットによるフラッドなどです。 • DNS (Udp) :攻撃的な DNS-UDP プロトコル フロー。 • DNS (Tcp) :攻撃的な DNS-TCP プロトコル フロー。 • Non tcp/udp protocols :TCP/UDP 以外の攻撃的なプロトコル フロー。 • Fragments :異常な量の断片化トラフィックが検出されたフロー。 • TCP ratio :各種の TCP パケット(SYN パケットと FIN/RST パケットなど)の比率に異常がある検出済みフロー。 • IP scan :送信元 IP アドレスが、ゾーンの多数の宛先 IP アドレスにアクセスしようとして開始した検出済みフロー。 • port scan :送信元 IP アドレスが、ゾーンの多数のポートにアクセスしようとして開始した検出済みフロー。 |
|
異常なトラフィック フロー。このフローに共通する特性のパラメータが表示されます。この情報には、異常トラフィックのプロトコル番号、トラフィック フローの宛先 IP アドレス、フローのパケット タイプなどのパラメータが含まれています。 |
|
このフィルタに関する追加情報を表示できるかどうかを示します。 i をクリックすると、追加情報が表示されます(「検出された異常の詳細の表示」の項を参照)。 |
検出された異常の詳細のテーブルには、検出された異常を処理する動的フィルタに関する追加情報が示されます。
検出された異常の詳細のテーブルを表示するには、検出された異常のテーブルで、トラフィック異常の Details カラムにある i をクリックします。
表 10-11 で、Detector モジュールが提供する異常の詳細情報について説明します。
FTP サーバに攻撃レポートをエクスポートするには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。Attacks summary 画面が表示されます。
ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各フィールドの右側にあるカレンダー アイコンをクリックして選択することもできます。
ステップ 4 攻撃ごとの要約テーブルで、エクスポートする攻撃レポートの隣にあるチェックボックスをオンにします。テーブルに表示されているレポートをすべて選択するには、番号記号(#)の隣にあるテーブルのヘッダーのチェックボックスをオンにします。
ステップ 5 Export をクリックします。Export FTP Server Parameters ウィンドウが表示されます。
ステップ 6 Select FTP Server Parameters フォームで、使用する FTP 方式を選択します。
– FTP :File Transfer Protocol (ファイル転送プロトコル)
– SFTP :Secure File Transfer Protocol (セキュア ファイル転送プロトコル)
ステップ 7 Select FTP Server Parameters フォームで、次のいずれかのオプションから使用する FTP サーバを選択して定義します。
• Use default FTP definitions :CLI を使用して Detector モジュールの設定に定義した FTP サーバに、パケットダンプ キャプチャをエクスポートします。
• Use temporary FTP server :Detector モジュールの設定に定義していない FTP サーバに、パケットダンプ キャプチャをエクスポートします。FTP サーバに関する次の情報を入力します。
– Path :完全パス名。パスを指定しない場合、サーバはユーザのホーム ディレクトリに 1 つ以上のファイルを保存します。
– Username :(オプション)FTP サーバのログイン名。ユーザ名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。
– Password :(オプション)リモート FTP サーバのパスワード。ユーザ名を入力してパスワードを入力しなかった場合、Detector モジュールはパスワードを入力するように求めます。
• Clear :Select FTP Server Parameters フォームに追加した情報をすべて消去します。
• Cancel :攻撃レポートを保存せずに Export FTP Server Parameters ウィンドウを閉じます。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Attack Reports を選択します。Attacks summary 画面が表示されます。
ステップ 3 (オプション)攻撃レポートの期間を変更するには、 Period from および to に目的の日付を入力し、 Get Reports をクリックします。 日付は手動で入力することも、各フィールドの右側にあるカレンダー アイコンをクリックして選択することもできます。
ステップ 4 攻撃ごとの要約テーブルで、削除する攻撃レポートの隣にあるチェックボックスをオンにします。テーブルに表示されているレポートをすべて選択するには、番号記号(#)の隣にあるテーブルのヘッダーのチェックボックスをオンにします。
ステップ 5 Delete をクリックします。攻撃の要約レポートが削除されます。
ポリシーの統計情報のテーブルを使用すると、特定のゾーンの各ポリシーを通過するトラフィック フローのレートを表示できます。 この情報は、正当なトラフィックのみがゾーンに送信されているかどうかを判断して、しきい値を手動で調整するときに役立ちます。
ポリシーの統計情報のテーブルを表示するには、ゾーンのメイン メニューの Diagnostics > Policy Statistics を選択します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Policy Statistics を選択します。 Policies statistics 画面が表示されます。
ステップ 3 (オプション)この画面でフィルタを設定するには、次の手順を実行します。
a. Set Screen Filter をクリックします。 Policy Filter ウィンドウが表示されます。
b. Policy Filter ウィンドウのドロップダウン リストから、パラメータの値を選択します。
c. OK をクリックします。Policy statistics 画面がアップデートされ、選択したパラメータだけが表示されます。 選択したパス、およびポリシーごとの最大キーの詳細が Screen Filter フレームに表示されます。
ポリシーの統計情報のテーブルでは、4 つのセクションに情報が表示されます。各セクションの情報は値に基づいてソートされ、最も大きい値が最上部に表示されます。
• Rate : ポリシーを通過するトラフィック フローのレート。
• Ratio : SYN フラグ付きパケット数と FIN/RST フラグ付きパケット数の比率。この情報は、syn_by_fin ポリシーについてのみ表示されます。
• Connections :同時接続または送信元 IP アドレスの数。この情報は、
tcp_connections ポリシーおよび分析保護モジュールの in_nodata_conns について表示されます。
• Dst IPs :スキャンされたゾーンの宛先 IP アドレスの数。この情報は、
worm_tcp ポリシーで使用できます。
表示された情報の管理を容易にするには、画面フィルタを設定して、利用可能な統計情報のリストの一部のみを表示するようにします。
(注) いずれかの表示パラメータを変更すると、Detector モジュールは、変更したパラメータの下に表示されているパラメータをすべて自動的に消去します。消去されたパラメータに対して新しい値を入力する必要があります。
表 10-12 に、ポリシーの統計情報に含まれているフィールドの説明を示します。