Reading Time: 1 minutes
本ブログでは、NetFlow・sFlow対応 フローコレクタ NetFlow Analyzer のアドバンストセキュリティ分析モジュールについて紹介します。
アドバンストセキュリティ分析モジュール(ASAM)は、NetFlow Analyzerのオプションで、
ネットワーク上を流れるフローの挙動を解析する機能です。
IDSやファイアウォールを潜り抜けた不審なふるまいのフローを発見するなど、
1つ1つのフローを監視して、異常な通信をリアルタイムで検知できます。
なお、略字ASAMは、Advanced Security Analytics Moduleを意味しています。
アドバンストセキュリティ分析モジュールの詳細は次のとおりです。
・異常な通信として登録されたパターンに合致したときにイベントとして表示する
・フローの送信元、宛先、問題と検知した理由を確認できる
・トラブルシューティングレポートから生データを確認できる
・疑いのあるフローをN個受信したらイベントとするようなパターンを調整できる
・特定の問題をイベントとしてカウントしないよう設定できる(ホワイトリスト)
以下、いくつかスクリーンショットを紹介します。
セキュリティ関連のスナップショット:
セキュリティ関連のイベントのリスト:
セキュリティ関連のイベントの詳細:
検知する問題を有効化する画面:
しきい値の設定画面(1):
しきい値の設定画面(2):
アドバンストセキュリティ分析モジュールを利用することにより、
標的型攻撃やゼロディ攻撃の被害を最小限に抑えることができます。
アドバンストセキュリティ分析モジュールについてさらに詳しく知りたい方はこちらをご参照ください。
問題の分類方法については、英語ですがこちらから確認いただけます。
少しでもご興味を持っていただけましたら、
「30日間の無料トライアル(評価版)」を是非お試しください。
評価期間中は、技術サポートもご利用可能です。
NetFlow Analyzerのダウンロードページ
https://www.manageengine.jp/products/NetFlow_Analyzer/download.html
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。