疑わしいアクティビティルールのモニタリング

疑わしいアクティビティのモニタリング(SAM)は、SmartView Monitorに統合されているユーティリティです。SmartView Monitorの結果に表示される、疑わしいとされるアクティビティをブロックします。例えば、ネットワークやインターネットリソースに何度も不正にアクセスしようとするユーザをブロックできます。

SAMが有効になったセキュリティゲートウェイには、セキュリティポリシーで制限されない疑わしい接続をブロックするファイアウォールルールがあります。これらのルールは即座に適用されます(ポリシーインストールは必要ありません)。

疑わしいアクティビティルールの必要性

エンタープライズとパブリックのネットワーク間の接続は、ネットワークとアプリケーションが攻撃に対してオープンになるため、セキュリティの課題といえます。すべての受信および送信ネットワークのアクティビティを検査して識別し、疑わしいかどうかを判断できる必要があります。

疑わしいアクティビティルールの作成

SAMルールではCPUリソースを使用します。そのため、トラフィックを検査し、かつパフォーマンスに影響を与えないよう時間制限を設定しておきます。

アクティビティが危険だと判断した場合は、セキュリティポリシーの編集、ユーザの教育、リスクへの対応などを行います。

発信元、宛先、サービスから、疑わしい動作をブロックすることができます。

アクティビティをブロックするには

  1. SmartView Monitorで、ツールバーの疑わしいアクティビティルールアイコンをクリックします。

    実施する疑わしい動作ルールウィンドウが開きます.

  2. 追加をクリックします。

    疑わしい動作のブロックウィンドウが開きます。

  3. 発信元宛先で、IPまたはネットワークを選択します。

    • 他のパラメータに一致するすべての発信元/宛先をブロックするにはAnyを入力します。

    • 疑わしい発信元/宛先を1件ブロックするには、IPアドレスネットワークマスクを入力します。

  4. サービスで:

    • 他のパラメータに一致するすべての接続をブロックするにはAnyを入力します。

    • 疑わしいサービスまたはプロトコルを1つブロックするには、ボタンをクリックして開いたウィンドウからサービスを選択します。

  5. 有効期限で、時間制限を設定します。

  6. 実施をクリックします。

TCPまたはUDPの使用を基にアクティビティルールを作成するには:

  1. 疑わしい動作のブロックウィンドウで、サービスをクリックします。

    サービスの選択ウィンドウが開きます。

  2. カスタムサービスをクリックします。

  3. TCPまたはUDPを選択します。

  4. ポート番号を入力します。

  5. [OK]をクリックします。。

SmartView Monitorのルールの一致アクションを定義するには

  1. 疑わしい動作のブロックウィンドウで、詳細をクリックします。

    詳細ウィンドウが開きます。

  2. アクションでSmartView Monitorでルールマッチを実行するようファイアウォールアクションを選択します:

    • 通知 - アクティビティに関してのメッセージを送信し、ブロックはしません。

    • 破棄 - パケットを破棄し、レスポンスは送信しません。接続はタイムアウトします。

    • 拒否 - RSTパケットを発信元へ送り接続を閉じます。

  3. 追跡で、ログなしログ記録アラートのいずれかを選択します。

  4. アクションが破棄の場合:ルールに一致したら即座に接続を閉じる場合は、接続を閉じるを選択します。

  5. [OK]をクリックします。。

結果からの疑わしい動作ルールの作成

トラフィックを追跡していて疑わしい結果を見つけたら、その結果からすぐにSAMルールを作成することができます。

- 疑わしい動作ルールは、発信元または宛先(上位の発信元、上位P2Pユーザなど)に関すつデータを持つトラフィックビューに対してのみ作成できます。

SAMルールを作成するには

  1. SmartView Monitorでトラフィックビューを開きます。

    ゲートウェイ/インタフェースの選択ウィンドウが開きます。

  2. オブジェクトを選択します。

  3. [OK]をクリックします。。

  4. 結果で、ブロックする発信元、宛先、トラフィックプロパティを示すチャートのバーを右クリック(またはレポートの列)します。

  5. ソースのブロックを選択します。

    疑わしい動作のブロックウィンドウが開きます。

  6. ルールを作成します。

  7. 実施をクリックします。

例:

コーポレートポリシーでは、ピアツーピアファイルの共有は禁止されており、トラフィック > 上位P2Pユーザの結果で確認できます。

  1. 結果バーを右クリックしてソースのブロックを選択します。

    SAMルールが、ユーザのIPアドレスとP2P_File_Sharing_Applicationsサービスと共に自動的に設定されます。

  2. 実施をクリックします。

  3. その後1時間、このトラフィックは破棄およびログ記録され、ユーザに伝えられます。

疑わしいアクティビティルールの管理

実施する疑わしい動作ルールウィンドウには、現在実施されているルールが表示されます。他のルールと競合するルールを追加した場合、競合するルールは非表示になります。例えば、HTTPトラフィックを破棄するルールを定義し、HTTPトラフィックを拒否する既存のルールがある場合は、破棄するルールだけが表示されます。

sam_alert

内容

SAM v1の場合、標準入力から受け取った情報に従って、このユーティリティで疑わしいアクティビティモニタリング(SAM)アクションが実行されます。

SAM v2の場合、ユーザ定義アラートのメカニズムで疑わしいアクティビティモニタリング(SAM)アクションが実行されます。

詳細については、 R81.10 CLI Reference Guide Security Management Serverのコマンドの章のsam_alertのセクションを参照してください。