UTX100/UTX200のセキュリティーログの確認方法について解説します。セキュリティーログを利用したトラブルシューティングやセキュリティーチェックにご活用ください。
※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001680) のキャプチャーになります。
※ 推奨:Google Chrome, Mozilla Firefox
https://UTXのIPアドレス:4434
※ または、デバイスアクセスのURLでアクセスします
セキュリティーログのレコードは左から順番に以下の項目で表示されます。
セキュリティーログの詳細は、以下の手順で表示することができます。
詳細情報の内、主要なログ情報を以下にまとめます。
※ 以下のログ詳細情報は一例です。ログにより表示項目の数は変化します。
ブレード | セキュリティーブレードの種類 |
---|---|
タイプ | 「セッション」や「コネクション」など通信の種類 |
アクション | 通信に対してのアクション 例: Accept / Block / Drop / Detect / Flag / Bypass など(詳細は「5. アクションの解説」を参照) |
---|---|
ルール | どのアクセスポリシーが適用されたか |
ルール名 | アクセスポリシーの種類 例:Incoming/Internal 外部から内部への通信(外部アクセスポリシー) Outgoing/External 内部から外部への通信(着信、内部アクセスポリシー) |
ソース | 送信元IPアドレス |
---|---|
宛先 | 送信先IPアドレス |
サービス | サービス名、またはポート番号 |
インターフェースの方向 | 通信の方向 例:inbound 外部から内部 outbound 内部から外部 |
プロトコル | IPプロトコル番号 例: TCP・・・#6, UDP・・・#17 など |
宛先ポート | 宛先ポート番号 |
ソースポート | 送信元ポート番号 |
説明 | アクションが行われた理由 |
---|---|
インゾーン | 通信の入力方向 |
アウトゾーン | 通信の出力方向 |
【ポリシー】の「ルール名」や【その他】の「説明」にある「Default Policy」や「Default Application Policy」とは、UTXが自動生成しているポリシーを指します。
「アクセスポリシー」 > 「ファイアウォール」の【ポリシー】メニューを開くと、「インターネットへの外部アクセス」と「着信、内部およびVPNトラフィック」のそれぞれに設定されていることが確認できます。
外部アクセスポリシーの最下部にはすべての通信を「許可」するポリシーが、着信ポリシーの最下部にはすべての通信を「ブロック」するポリシーが入っています。
以上の情報を踏まえ、ファイアウォールブレードのログを読み解きます。
1.【時刻】 | :今日の10:32:55に |
2.【ブレード】 | :Firewallブレード が |
3.【インタフェースの方向】 | :内部から外部への(outbound) |
4.【ソース】 | :192.168.10.4 から |
5.【宛先】 | :52.32.120.198 に対する |
6.【プロトコル】 | :TCPの |
7.【宛先ポート】 | :443番ポートに対しての通信を |
8.【ルール名】 | :外部アクセスポリシーの(Outgoing) |
9.【ルール】 | :ルール1により |
10.【アクション】 | :許可(Accept)した |
IPS のログでは、検知した攻撃の内容について確認することができます。
攻撃名 | 攻撃の名称 |
---|---|
Confidence Level | 3段階で表される、脅威判定の信頼性 |
Performance Impact | 本体のパフォーマンスへの影響 |
Protection Name | 脅威対策名(攻撃名と同じ時もあります) |
深刻度 | 5段階で表される、脅威のリスク |
説明 | 脅威の詳細情報(攻撃名と同じときもあります) |
---|---|
インダストリリファレンス | CVE番号 ※ CVE・・・共通脆弱性識別子(業界共通の脆弱性情報データベース) |
以上の情報を踏まえ、以下のログを読み解きます。
1.【時刻】 | :今日の16:03:09に |
2.【ブレード】 | :IPSブレードが、 |
3.【ソース】 | :192.168.10.4 から |
4.【宛先】 | :192.168.10.1 に対する |
5.【プロトコル】 | :ICMPパケット(ping)を |
6.【攻撃名】 | :Large Ping攻撃と判定し |
7.【アクション】 | :防止(Prevent)した |
アンチウイルスのログでは、検知したマルウェアについて確認することができます。
Confidence Level | 3段階で表される、脅威判定の信頼性 |
---|---|
Protection Name | 脅威対策名(ウイルス名) |
深刻度 | 5段階で表される、脅威のリスク |
説明 | 脅威や検知内容の詳細情報 |
---|---|
プロキシソースIP | 発信元のIPアドレス |
クライアントタイプ | どのソフトウェアで検出したか |
マルウェアアクション | 検知した内容 |
リソース | アクセス先のURLなど、リソースの表示 |
Protection Type | 何によって判断されたか |
以上の情報を踏まえ、以下のログを読み解きます。
1.【時刻】 | :今日の10:17:28に |
2.【ブレード】 | :アンチウイルスブレード が、 |
3.【ソース】 | :192.168.10.3 から |
4.【宛先】 | :89.238.73.97 に対して |
5.【クライアントタイプ】 | :Chromeが行った |
6.【サービス】 | :HTTPS通信を、 |
7.【Protection Type】 | :シグネチャーにより |
8.【深刻度】 | :深刻度 High(高)と分類される |
9.【マルウェアアクション】 | :不正ファイル、またはエクスプロイトと判定し |
10.【アクション】 | :遮断(Block)した |
11.【リソース】 | :接続先は ”www.eicar.org/download/eicar_com.zip” |
※ このログは「SSLインスペクション」を有効にした時のものです。SSLインスペクションが無効の場合、HTTPS通信に対してアンチウイルスは動作しません。
アンチボットのログでは、検知した攻撃の内容について確認することができます。
Confidence Level | 3段階で表される、脅威判定の信頼性 |
---|---|
Protection Name | 脅威対策名(ウイルス名) |
深刻度 | 5段階で表される、脅威のリスク |
説明 | 脅威や検知内容の詳細情報 |
---|---|
プロキシソースIP | 発信元のIPアドレス |
Suppressed Logs | セッションにあったコネクション数 |
クライアントタイプ | どのソフトウェアで動きを検出したか |
マルウェアアクション | 検知したアクション |
リソース | アクセス先のURLなど、リソースの表示 |
Protection Type | 何によって判断されたか |
以上の情報を踏まえ、以下のログを読み解きます。
1.【時刻】 | :今日の16:56:36に |
2.【ブレード】 | :アンチボットブレード が |
3.【ソース】 | :192.168.10.3 から |
4.【宛先】 | :209.87.209.71 に対する |
5.【クライアントタイプ】 | :Firefoxが行った |
6.【インターフェイスの方向】 | :外部に向けた |
7.【サービス】 | :HTTP通信を |
8.【Protection Type】 | :URLレピュテーションにより |
9.【深刻度】 | :深刻度 Critical(重大)と分類される |
10.【マルウェアアクション】 | :C&Cサーバーへの接続と判定され |
11.【アクション】 | :遮断(Block)した |
12.【リソース】 | :接続先は ”www.threat-cloud.com/test/files/HighConfidenceBot.html” |
アプリケーションコントロールのログでは、通信からアプリケーション分類やその内容について確認することができます。
プライマリカテゴリ | アプリケーションの分類 |
---|---|
説明 | どのような処理が行われたか |
アプリケーションプロパティ | アプリケーションの用途やリスク 例: 広帯域、情報の転送、暗号化通信、ビデオ共有・・・等 |
---|---|
アプリケーションリスク | 5段階で表されるリスク評価 |
アプリケーション名 | アプリケーションの名称 |
以上の情報を踏まえ、以下のログを読み解きます。
1.【時刻】 | :今日の17:03:47に |
2.【ブレード】 | :アプリケーションコントロールブレードが、 |
3.【ソース】 | :192.168.10.4 から |
4.【宛先】 | :162.125.80.18 に対する |
5.【サービス】 | :HTTPS通信を、 |
6.【アプリケーション名】 | :Dropboxアプリケーションと判定し |
7.【プライマリカテゴリ】 | :File Storage and Sharingカテゴリであるため |
8.【アクション】 | :中断(Drop)した |
9.【アプリケーションプロパティ】 | :このアプリケーションの用途・リスクは、広帯域、情報転送、暗号化通信、ビデオ共有、ファイル共有、高リスク、ファイルストレージや共有、クラウドサービスである |
URLフィルタリングのログでは、URLの分類について確認することができます。
プライマリカテゴリ | 検出した URLの分類 |
---|---|
説明 | どのような処理が行われたか |
クライアントタイプ | どのソフトウェアで検出したか |
リソース | アクセス先のURL |
アプリケーションプロパティ | 分類されるカテゴリやリスク 例: スパイウェア、不正なウェブサイト、ポルノ・・・など |
---|---|
アプリケーションリスク | 5段階で表されるリスク評価 |
アプリケーション名 | アクセス先のURL |
以上の情報を踏まえ、以下のログを読み解きます。
1.【時刻】 | :今日の10:02:09に |
2.【ブレード】 | :URLフィルタリングブレードが、 |
3.【ソース】 | :192.168.10.3 から |
4.【リソース】 | :https://www.eicar.org/download/eicar_com.zip に対する |
5.【サービス】 | :HTTPS通信を、 |
6.【プライマリカテゴリ】 | :スパイウェア / 不正なウェブサイトと判定し |
7.【アクション】 | :遮断(Block)した |
8.【アプリケーションプロパティ】 | :この通信先は、スパイウェア、不正なウェブサイト、高リスクに分類される |
アンチスパムのログでは、処理内容やメールの情報を確認することができます。
Eメールコントロール | スパム判定を行った理由
|
---|---|
スパムメールカテゴリ | スパム判定の分類
|
送信者 | メールの送信元アドレス |
---|
以上の情報を踏まえ、以下のログを読み解きます。
1.【時刻】 | :今日の16:04:26に |
2.【ブレード】 | :アンチスパムブレードが、 |
3.【ソース】 | :192.168.10.2 が |
4.【宛先】 | :173.249.42.161 へ |
5.【サービス】 | :POP3通信で受信した |
6.【送信者】 | :「**-test@**.net」からのメールが (※1) |
7.【Eメールコントロール】 | :その内容から |
8.【スパムメールカテゴリ】 | :「疑わしいスパム」と判定され、 |
9.【アクション】 | :フラグをつけた (※2) |
※ 1: 送信元のなりすましも存在するため、送信者情報が確実とは限りません
※ 2: メールの件名に文字列を追加する場合も「Flag」アクションとなります
1. 検索ボックス | ||
2. 更新 | :ログを最新の状態に更新します | |
3. クエリ構文 | :検索の入力についてのヘルプが表示されます | |
4. 詳細表示 | :選択中のログの詳細が表示されます | |
5. ログのクリア | :セキュリティーログを全て削除します | |
6. オプション | :ログの設定についてのオプション
|
検索ボックスでは以下の検索方法を使用できます。
・日付 | :Today または Yesterday |
・IPアドレス (ソース) | :source:<送信元IPアドレス> |
・IPアドレス (宛先) | :destination:<宛先IPアドレス> |
・サービス | :service:<サービス名> |
・アクション | :action:<アクション名> |
・インタフェースの方向 | :Interface Direction:<インタフェースの方向> |
・ソースポート | :source port:<ソースポート番号> |
・宛先ポート | :destination port:<宛先ポート番号> |
※ 要素が複合した検索(AND/OR検索)には対応しておりません
検索する際は、検索ボックスに条件を入力し、右の虫眼鏡ボタンをクリックします。
例:送信元IPアドレスが「192.168.1.163」の場合
または、IPアドレスのみでも検索が可能です。この場合、送信元、または宛先のどちらかに該当するログが表示されます。
例:利用サービスが「HTTPS」の場合
下記のようなブレード名で検索することも可能です。
通信に対する各アクションの処理は以下になります。
Accept | : | 通信を許可する |
Detect | : | 通信を許可する Acceptよりもリスクが低く、少し疑わしい通信が対象となります |
Drop | : | 通信を破棄する (リプライを返さない) |
Block | : | 通信を破棄する (TCP RESETやICMP UNREACHABLEを返す) |
Flag | : | メールのヘッダーや件名に特定の文字列を付加する |
Key Install | : | 鍵交換の試行 |
Bypass | : | ブレードが検査せずに通信を通す IPS機能のエンジン設定で負荷時のバイパスを設定しているときや、アンチスパム機能の許可リストに設定されている通信などが対象となります |
Redirect | : | URLフィルタリング機能やアンチウイルス機能でブロックページへのリダイレクトが発生した |