カスタムアクション

この設定は、[設定] → [処理]の[カスタムアクション]セクションにあります。以下に述べるカスタムアクションが常に実行されるのはイベントトリガーに対してのみであり、イベント更新に対しては実行されないこともあります(イベントトリガーとイベント更新の詳細については、「ストリーム処理」を参照してください)。

メール通知

Flowmon ADSモジュールでは、アプリケーションからメールで送信される定期レポートを定義できます。

各メールレポートは、確実に1つのパースペクティブにバインドされている必要があります。レポートはアクティブの状態にも非アクティブの状態にもできます。非アクティブなレポートはシステム内では定義されますが、定期的に送信されることはありません。レポートには任意の数の受信者アドレスを含めることができ、[新規メールアドレスの追加]をクリックして追加できます。また、[空のレポートを送信しない]オプションもあります。このオプションを有効にすると、空の日次または週次サマリーレポートは送信されません(受信箱が溢れないようにするために、即時レポート、1時間サマリー、6時間サマリーは設定にかかわらず空の状態では送信されません)。また、レポートするイベントの最小優先度を設定するオプション([レポートの最小優先度])もあります。レポートは以下のルールに従って送信されます。

• 重大: フローデータが処理された直後にレポート。空のレポートは決して送信されません。

• 高: 1時間ごとにサマリーをレポート

• 中: 6時間ごとにサマリーをレポート

• 低: 1日に一度サマリーをレポート

• 情報: 週に一度サマリーをレポート

その他のオプション:

• アクティブリンク: フルメールレポートのすべてのリンクをクリック可能に設定します

• タイムゾーン情報を表示: フル、コンパクト、およびイベントメールレポートごとのメールでタイムゾーンを表示します

Flowmon ADSモジュールでは、メールレポートを複数のフォーマットで送信できます。

サマリーレポート

以下で、各サマリーレポートの内容について説明します。

• フルフォーマットでは、HTML形式テーブルとして提供されます。

• コンパクトフォーマットでは、レポートはプレーンテキストとして送信されます。

• エクストラコンパクトフォーマットでは、同じくプレーンテキストとして送信されますが、一部(イベント詳細やイベントターゲットなど)が省略されます。

また、イベントタイプに基づいて集約されます。これら3つのタイプはすべてサマリーレポートで、特定の期間および優先度のすべてのイベントをレポートします。期間は上記の優先度ルールに対応します。

個別のイベントレポート

イベントごとのメールフォーマットでは、単一のイベントに関する情報のみが提供されます。このフォーマットは特に自動処理に使用されます。この設定では、大量の(複数のイベントに等しい数の)メールレポートが生成される場合があります。メールイベントレポートは、その他のフォーマットと同様に、優先度ルールに基づいて送信されます。

RTメールフォーマット

Flowmon ADSでは、レポートをRTチケットシステムへのチケットとして送信することもできます。この機能を有効にするには、フォーマットをRTの値に設定する必要があります。このフォーマットでは、X-RT-Tool-Name、X-RT-Incident-IP、X-RT-Incident-Timeの3つの属性がメールヘッダーに追加されます。最初の属性は常に「Flowmon ADS」に設定され、イベント名が連結されます。その他の2つの属性は、レポートされたイベントに従って値が割り当てられます。1つのメールまたはチケットには、1つのIPアドレスに対して同じタイプのイベントがすべて表示されます。たとえば、1つのメールまたはチケットには、IPアドレス1.1.1.1に対して10個のBLACKLISTSイベントが表示されます。期間は優先度ルールに対応します。行の最初のイベントはリーダーイベントとして使用されます。すべての対応するイベントがイベント詳細に表示されます。

[イベントごとのメール]形式の本文

<ID>: (一意のイベントID);
<Category>: (検知メソッドのコード);
<Type>: (検知メソッドの名前);
<Perspective>: (レポートに割り当てられているパースペクティブの名前);
<Severity>: (イベントの優先度);
<Time>: (UTCでの開始時間);
<Protocol>: (イベントに関連するプロトコルまたは空の値);
<Source>: (送信元IPアドレス);
<Target IPs>: (最初の10個のターゲットIPアドレス);
<Ports involved>: (イベントに関連するポート番号または空の値);

RTメールの本文(イベント詳細は省略されています)

IP: 192.168.1.1 // イベントソース
Type: DNS traffic anomaly // 検知メソッドの説明
Severity:
Use of unauthorized DNS server (connections: 20). // リーダーイベント
detail Time: 2015-11-05 17:00:13 GMT+0100 // リーダーイベントの検知時間
Incident details: // イベント ID、検知時間、詳細、ターゲット
5102353 2015-11-05 17:00:13 GMT+0100 Use of ... (connections: 20). 8.8.8.8
5102382 2015-11-05 17:00:13 GMT+0100 Use of ... (connections: 20). 8.8.8.8

[ストレージ設定]セクションの[フローの添付]パラメータがアクティブになっている場合、イベント検知に使用されるフローサンプルがRTおよびイベントごとのメールレポートとしてフォーマットされたレポートに添付されます。

以前は、お客様自身のSMSゲートウェイを使用したレポートの送信設定は、要求があった場合のみ可能でした。今は、SMSを送信するユーザ定義スクリプトの挿入を許可するカスタムスクリプト機能を使用して(以下の「カスタムスクリプト」のセクションを参照)、お客様自身が必要に応じて設定できるようになりました。

Syslog

アプリケーションでは、Common Event Format (CEF)でのイベントエクスポートもサポートされます。[設定] → [処理] → [Syslogメッセージ]セクションでは、Syslogメッセージの複数のターゲットを設定できます。Syslogメッセージはlocal6設備に割り当てられます。以下のパラメータを設定できます。

• 名前: 設定の名前。

• パースペクティブ: syslogメッセージのベースとして機能するパースペクティブ。優先度はCEF重大度に変換され、設定に従ってsyslog重大度にも変換されます(以下の表を参照してください)。

• アクティブ: syslogメッセージの送信のアクティブ化。

• 重大度として機能する優先度: Flowmon ADS優先度のsyslog重大度への変換をアクティブにします。以下の表を参照してください。

• ターゲット: Flowmon OSのグローバル設定を(Flowmon Configuration**Centerから)適用する必要があるかどうか、またはsyslogメッセージを特定のIPとポートに送信するかどうかを選択します。

• リモートIP: syslogメッセージを送信するためのIPアドレス。

• ポート: syslogメッセージを送信するためのポート番号(UDPプロトコル)。

• イベントIDの使用: syslogメッセージにイベントIDを追加します(ユーザインターフェースでのイベントの検索に使用できます)。

• イベントターゲットで分割: 複数のイベントターゲットを1つのsyslogメッセージで送信するか、イベントターゲットごとに1つのsyslogメッセージで送信するかを指定します。

• イベントあたりの最大メッセージ数: syslogメッセージの最大数(syslogメッセージが単一イベントターゲット割り当てに従って分割される場合)。最後のメッセージには残りのすべてのイベントターゲットが含まれます。

• 機器読み込み可能な詳細: 後の機器処理に適したフォーマットのイベント詳細をアクティブにします。イベント詳細の変数は、パラメータ:値の形式で記述します。

Flowmon ADS優先度の、syslog優先度およびCEF優先度への変換を以下の表に示します。

SNMP

アプリケーションでは、SNMPを使用したイベントエクスポートもサポートされます。イベントは、MIBファイルFLOWMON-ADS-MIB.txt (このファイルはFlowmonポータルの認証済みサブセクションからダウンロードできます)に基づいて生成されるSNMPトラップとして生成されます。SNMPイベントレポートは、異なるターゲットとパースペクティブを使用して複数回再作成できます。

ターゲットグループを選択することで、宛先IPアドレス、ポート、SNMPバージョン、コミュニティ文字列を簡単に設定できます。これらは、Configuration Centerモジュールの[システム] → [SNMPイベントロギング]で定義します。ADSモジュールでは、以下のパラメータを設定できます。

• 名前: 各設定の名前。

• パースペクティブ: 生成されるSNMPトラップのベースとなるパースペクティブ。

• アクティブ: SNMPトラップの送信をアクティブにします。

• ターゲットグループ: SNMPトラップの送信先を選択します。

カスタムスクリプト

Flowmon ADSアプリケーションでは、イベントエクスポート用に独自のカスタムスクリプトを使用できます(またはbash/sh、Perl、Python、C、C++などの任意の実行可能ファイル)。スクリプト機能は、Flowmonシステムユーザの権限によってのみ制限されます。そのため、管理者が実行可能ファイルを検証することをお勧めします。ユーザスクリプトはフローデータ処理の時間に影響する可能性があります。そのため、このようなスクリプトを十分に高速化することをお勧めします。

カスタムスクリプトの実行は、選択したパースペクティブと事前に設定された最小優先度によって管理されます。スクリプトは、指定されたイベントの優先度に関係なく即座に実行されます。

実行可能ファイルは、adminユーザが[設定] → [システム設定] → [カスタムスクリプト]ビューでアップロードできます。イベントはスクリプトの標準入力に指定されます(1行につき1つのイベント)。

各イベントは、以下のフィールドによって(この順序で)記述されます。

• ID

• イベント検知時間

• 最初のフローのタイムスタンプ

• イベントタイプ

• タイプの説明

• パースペクティブ

• 優先度

• イベント詳細

• ポート番号

• プロトコル

• イベントソース

• キャプチャされたソース名

• イベントターゲット

• データフィード

• ユーザID

これらのフィールドはタブ記号で区切られます。フィールドが空の場合、スペース文字に置き換えられます。

追加のパラメータ

カスタムスクリプトの追加のコマンドラインパラメータを定義できます。これらのパラメータは、補足情報を渡すために使用されます。パラメータの値は、カスタムスクリプトの実行ごとに個別に設定できます。パラメータはオプションで、スクリプトでサポートされている必要があります。パラメータは以下の順序でスクリプトに渡されます: ./script_name.sh PARAM_1 ’VAL_1’ PARAM_2 ’VAL_2’ ... PARAM_n ’VAL_n’

パラメータの名前は空にすることはできず、英数字、ダッシュ、またはアンダースコアで構成できます。パラメータは常に同じ順序で渡されます。そのため、位置番号で参照することができます。

デモスクリプト

デモスクリプトは、インストールした後、または設定テンプレートを適用した後に作成されます。このスクリプトは、メールによるイベントレポートに使用されます。スクリプトは、[設定] → [システム設定] → [カスタムスクリプト]ページで手動で生成できます。ダウンロードすることもできます。このスクリプトは、Bashスクリプトで記述されています。このスクリプトは、メールアドレス、メールの本文、メールの件名を渡すために3つのパラメータを使用します。これらのパラメータは、標準のgetopt関数を使用して解析されます。メールレポートは、Flowmon PHP CLIによって送信されます。SMTP設定は、アプリケーションの設定から取得されます。

トラフィックの記録

検知されたイベントに対応するため、Flowmon Packet Investigator (FPI、バージョン11.0以降が必要)で自動パケットキャプチャを有効化できます。キャプチャは、リモートデバイスまたはローカルデバイスで開始できます。ローカルデバイスでキャプチャを開始するには、[スクリプト所有者向けにローカル]オプションを使用します。このオプションでは、スクリプトの所有者アカウントを使用してローカルパケットキャプチャを開始します。リモートキャプチャの必須パラメータは、[FPIサーバ]、[ログイン]、[パスワード]です。[FPI****エージェンシのID]パラメータは、キャプチャに使用されるFPIグループ(Flowmon Configuration Centerで定義されます)の数値IDです。

キャプチャの実行は、選択したパースペクティブによって管理されます。キャプチャは、最小優先度以上のすべてのイベントに対して即座に実行されます。キャプチャは、[ライブレコーディングの時間]パラメータで定義された期間の後に停止します。この期間のカウントダウンは、ライブキャプチャが開始したときに始まります。

Flowmon Packet Investigatorは、Configuration Center → [モニタリングポート]で指定可能な期間にわたって、過去のパケットを保存します。モニタリングインターフェースごとに[パケットキャプチャ]タブがあり、そこで[TTL]パラメータを指定してこの期間を設定できます。この機能により、過去にキャプチャされたこれらのパケットを最終的なキャプチャファイルに含めることができます。これを行うには、[レコーディング開始のオフセット]パラメータを使用します。このパラメータでは、パケットキャプチャに使用できる過去からの最大秒数を指定します。実際の開始時間には、[検知時間] - [レコーディング開始のオフセット]、または各イベントの一部である最初のフロー時間の2つのうちの高い方が使用されます。このパラメータで指定した期間のパケットは、ライブトラフィックレコーディング中にキャプチャされたパケットと一緒に最終的なキャプチャファイルに含められます。[レコーディング開始のオフセット]フィールドの値が特定のインターフェースの[TTL]フィールドの値より大きい場合は、GUIに通知が表示され、[TTL]パラメータの値が増加します。[レコーディング開始のオフセット]を0に設定した場合、ライブトラフィックのみがキャプチャされます。キャプチャが終了すると、イベント詳細ウィンドウでトラフィックを含むPCAPファイルをダウンロードできるようになります。これらのPCAPファイルには、ライブパケットキャプチャ中にキャプチャされたパケットと過去のパケット(イベント開始前にキャプチャされたパケット)が含まれています。