| ファイアーウォールログの自動異常検出 |
概要
| ファイアーウォールログ解析と異常検出 | |
|
ファイアーウォールログ解析の目的のひとつにトラフィックの異常を検出し将来のセキュリティリスクの発生の可能性に先行して対策を実施することにあります。 トラフィック量において絶対的な異常ということはありませんので、各ユーザーの現在の環境における異常を検出することになります。
SFR v4におけるADS(異常検出システム)は@ファイアーウォールのログを連続的に監視し、A正常の範囲内か異常かを判断し、B異常とみなせばリアルタイムにアラートを送信するための機能です。多くの場合ファイアーウォールログ解析は一定期間のログファイルを読みバッチ処理でレポートを作成します。このような解析では前述の@〜Bを自動的に実行する機能はありませんので、机上の作業で異常の検出を行う担当者に負担がかかり、スキルも必要になります。実際の作業はログ収集からはかなり時間が経過しており効果も限定的です。SFR v4 ADSは異常の検出を自動的に、そしてリアルタイムに行いますので担当者に負担がかからず、より迅速な対応が可能になります。 |
| SFR ADSの考え方と設定画面(画面をクリックすると拡大します) |
 |
| 監視サービスと 項目 |
アラート条件 (カテゴリー1〜3) |
アラート受信時の対応例 | 考えられる原因 |
| 全てのサービスのアテンプト数 | 平常値50%オーバーが5分継続 | ファイアーウォールポリシーの再点検(Sawmillを使用すると個別のポリシーのアクティビティを詳細に解析できます) 内部サーバーに対するセキュリティスキャン |
侵入の予備調査 |
| 平常値100%オーバーが1分継続 | |||
| 平常値200%オーバーが発生 | |||
| http接続数と帯域 | 平常値100%オーバーが1分継続 | ファイアーウォールポリシーの調整 内部サーバーのサービスアベイラビリティやリソースのチェック |
サービス不能攻撃 |
| 平常値200%オーバーが発生 | |||
| smtp接続数 | 平常値100%オーバーが5分継続 | ウィルスやスパイウェアスキャンの実施 | ウィルスやスパイウェア感染 |
| ADSは過去4週間のログデータを集計し、平均平均値を計算します。この平均値をファイアーウォールログから得た現在値と比較し、あらかじめ設定した閾値を超えた場合に異常と判断しアラートを送信します。 |