ALIENDEV – 新規またはエイリアンデバイス

メソッドの説明

このメソッドの目的は、監視対象ネットワークの寄生デバイスを検知することです。寄生デバイスを見つけるには、2つの方法があります。

最初の方法を設定するとき、特定のネットワークデバイスに割り当てられたIPアドレスにぴったり一致するフィルタ(KnownSegmentパラメータ)と、使用されているネットワークセグメント全体(DHCPサーバによって割り当て可能なアドレスを含む)に一致するフィルタ(LANFilterパラメータ)を設定する必要があります。KnownSegmentパラメータが空の場合、この検知方法は使用されません。

もう1つの検知方法は、簡単な機械学習メソッドの使用です。ネットワークセグメント全体(ギャップを含む)を定義するLANFilterパラメータを設定する必要があります。ClosedSeasonパラメータは、メソッドが学習フェーズに留まる期間を定義します(この期間中は、イベントが生成されません)。学習フェーズ終了後に新規デバイスが発生した場合、イベントが生成されます。非アクティブなままTimeToDeathの日数が経過すると、デバイスは分類器から削除されます。

2番目の検知方法は、ローカルネットワークに出現するMACアドレスにも適用できます。MACアドレスに基づく検知の設定は、IPアドレスに基づく設定とは別ですが、ClosedSeasonMACおよびTimeToDeathMACパラメータが同じ方法で適用されます。検知は、検知メソッドに割り当てられたフィルタと一致する送信元IPアドレスを持つフローのみを対象にして行われます。MACアドレスは、最寄りのルータによって限定されるサブネット内のデバイスに対してのみ利用可能であることを認識する必要があります。MACアドレスが埋め込まれた自動設定のリンクローカルIPv6アドレスが、イベントソースとして使用されます。指定のMACアドレスを持つデバイスに割り当てられた各IPアドレスが、イベントターゲットとして表示されます(これらのアドレスは、検知メソッドに割り当てられたフィルタによって限定されます)。

このメソッドは、以下のサブメソッドで構成されます。

• KnownSegment: 既知のデバイスのユーザ定義リストの一部ではなく、その通信がネットワーク内で検知されたデバイスをレポートします。この検知は、パラメータKnownSegmentおよびLANFilterが設定されている場合にアクティブです。

• IPBased: シンプルな機械学習を使用して、ネットワーク内で新しいデバイスをIPアドレスに基づきレポートします。初めて遭遇したIPアドレスがレポートされます。この検知は、LANFilterパラメータが設定されている場合にアクティブになります。

• MACBased: シンプルな機械学習を使用して、ネットワーク内で新しいデバイスをMACアドレスに基づきレポートします。初めて遭遇したMACアドレスがレポートされます。

メソッド設定

このメソッドはネットワーク全体でネットワーク上のすべてのトラフィックに対して適用することをお勧めします。トラフィックの適切な監視場所は中央のスイッチです。

メソッドパラメータ

一般

• LANFilter: 監視対象ネットワーク内のデバイスに対して使用されるIPアドレスを定義するフィルタの名前。このパラメータはIPBasedおよびKnownSegmentサブメソッドに適用されます。

IPBased

• ClosedSeason: 分類器の訓練期間(日数で指定)。この期間中に、分類器はネットワーク内のデバイスをIPアドレスで認識できるようになり、サブメソッドIPBasedでイベントは生成されません。

• TimeToDeath: 非アクティブなIPアドレスを分類器のリストに保存しておく日数。

KnownSegment

• KnownSegment: 監視対象ネットワーク内のアクティブなデバイスのIPアドレスを定義するフィルタの名前。

MACBased

• ClosedSeasonMAC: 分類器の訓練期間(日数で指定)。この期間中に、分類器はネットワーク内のデバイスをMACアドレスで認識できるようになり、サブメソッドMACBasedでイベントは生成されません。

• TimeToDeathMAC: 非アクティブなMACアドレスを分類器のリストに保存しておく日数。

フィルタの割り当て

このフィルタは、送信元IPアドレスの制限に使用されます。

結果の解釈

このメソッドでは、監視対象ネットワークに接続されている未知の(または忘れられた)デバイスを検知できます。これは、正当または不正な新しいデバイスがネットワーク内に存在することを示唆しています。