Powered by Zoomin Software. For more details please contactZoomin

Flowmon ADS User Guide

Table of Contents

誤検知除外

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: April 5, 2026
  • 7 minute read
    • Flowmon Products
    • Flowmon Anomaly Detection System
    • Documentation

この設定は、[設定] → [処理] → [誤検知除外]にあります。

誤検知除外機能を使用することで、監視対象トラフィックの例外に関するルールを定義できます。この機能は、ネットワーク内で一般的でない操作を行う場合など、特殊なケースを除外するのに便利です。たとえば、ネットワーク上のデバイスで侵入テストを実施する機器は、正規のものとして検知の対象外にできます。誤検知除外ルールは追加のフィルタとして入力フローに適用されるため、ルールの評価によってパフォーマンスに多少の負荷がかかります。最初に、検知メソッドのパラメータや割り当てられたフィルタの設定を調節するよう試みることをお勧めします。誤検知除外ルールは、2つの方法で作成できます。[誤検知除外]設定ページにて手動で設定する方法と、イベントメニューの[誤検知除外としてマーク]オプションを使用してイベント属性からルールのオプションを事前入力する方法です。

誤検知除外ルールは、ルールが作成された順番に応じて評価されます。2つの誤検知除外ルールが同一のトラフィックに適用される場合、1つ目のルールによるトラフィックのフィルタリングが行われてから、2つ目のルールが評価されます。使用率の統計情報は、使用されたルールについてのみ更新されます。また、特定のターゲットの誤検知除外ルールを作成しても、そのルールが作成される前にトリガーされた(非)アクティブイベントから遡及的にターゲットが削除されることはありません。

概要

テーブルの列は、オプションの列を追加または削除することでカスタマイズできます(ボタン)。オプションの列のリストは、以下のとおりです。

  • データフィード: 誤検知除外が関連付けられている選択したデータフィードのリスト

  • 作成日: 誤検知除外が作成された日付

  • 最終使用日: 誤検知除外が最後に使用された日付

  • メソッドインスタンス: 誤検知除外が関連付けられている選択したメソッドインスタンスのリスト

テーブルの上に表示される検索フィールドでは、フルテキスト検索とIPアドレスによる検索がサポートされます。

誤検知除外ルールは一時的に非アクティブにすることができます。これを行うには、[設定] [処理][誤検知除外]セクションにある対応する誤検知除外ルールのコンテキストメニューで[非アクティブ化]ボタンをクリックします。誤検知除外ルールは、同じ場所にある[アクティブ化]ボタンをクリックして再びアクティブにすることができます。

誤検知除外マークのルールの削除は同じページで行います。これを行うには、対応する誤検知除外ルールのコンテキストメニューで[ルールの削除]ボタンをクリックします。

特定の誤検知除外ルールの行をクリックすると、行が展開され、ルールに関する詳細情報が表示されます。

誤検知詳細の例
誤検知詳細の例

詳細ビューには直近24時間および7日間の誤検知除外ルールの使用に関する情報が含まれます。すべての列は履歴における割り当て時間を表し、その時間中に誤検知除外ルールが適用されたかどうかを示します。ルールが新規作成または非アクティブ化された場合や、処理中のバックエンドが停止した場合は、特定の割り当て時間に適用されないルールとして、および評価されていないルールが割り当て時間の詳細に追加されたことの注意として可視化されます。

設定オプション

誤検知ルールは、検出されたイベントとは無関係に定義できます。このオプションは、[設定] → [処理] → [誤検知除外]にあります。

  • メソッド: 誤検知除外ルールが適用される1つまたは複数の検知メソッドを指定します。ルールは選択されたすべてのメソッドに対して作成されます。

  • データフィード: 誤検知除外ルールを適用する対象のデータフィードを制限できます。

  • コメント: 追加の情報を示すオプションのテキストです。

  • イベントソース/イベントターゲット: 誤検知除外ルールは1つのイベントソースまたは1つ以上のイベントターゲット、あるいはその両方に関連付けられている必要があります。 IPアドレスは、カンマ区切りのリストとして入力できます。IPv4アドレスを入力する場合は、いずれか1つのフィールドでワイルドカードを使用できます。ワイルドカードとして表現できるのは、数値の列挙(波カッコで囲んだカンマ区切りのリスト)、2つの数字の範囲(角カッコで囲んだダッシュ区切りの2つの数字)、または0~255の範囲を表すアスタリスクです。: 少なくとも1つの[高度なフィルタリングパラメータ]が指定されていれば、[イベントソース/イベントターゲット]への入力は不要です。

補足:

例:

192.168.{1,7,100}.1: IPアドレス192.168.1.1、192.168.7.1、192.168.100.1

10.[1-3].0.0: IPアドレス10.1.0.0、10.2.0.0、10.3.0.0

172.16.*.1: 172.16.[0-255].0と同等

  • その他のオプション:

    • 高度なフィルタリングパラメータ: 以下の両方のパラメータを使用する場合、誤検知除外ルールを適用するには、[AS][ホスト名]の両方の条件を満たす必要があります。

      • AS: 送信元か宛先かにかかわらず、誤検知除外ルールを適用するASを制限できます。ASリストの使用をオンにする必要があります。ASリストは、Flowmonプローブ([FCC] > [モニタリングポート] > [高度な設定])で有効にできます。また、サードパーティ製のエクスポータからのFlowデータにAS情報がない場合は、コレクタ側([FCC] > [FMC設定] > [AS])で有効にすることも可能です。

      • ホスト名: 誤検知除外ルールを適用するホスト名を制限できます。このルールは[HTTP hostname]または[DNS問い合わせ名]フィールドが入力されているフローにのみ適用されます。この機能を有効にするには、Flowmonユーザガイドの「高度な設定」と「FMC設定」の章を参照してください。

    • 時間の妥当性: 誤検知除外ルールを適用する日付(と時刻)を設定できます。この期間中に検知されたイベントは、誤検知除外としてマークされます。BPATTERNSメソッドの場合、時間の妥当性は5分単位に四捨五入されます。

    • 誤検知除外ルールの有効期限日の設定: 誤検知除外ルールが期限切れになる日付を設定できます。

    • 誤検知除外イベントの削除: このルールによって、誤検知除外イベントとしてマークされたイベントを削除します。すべてのイベントを削除することも、特定の期間(昨日、先週、先月)のイベントのみを削除することもできます。

      • ただし、1日以上前のイベントを削除する場合は、この操作に非常に長い時間がかかることがあります。

      • [高度なフィルタリング****パラメータ]を指定した場合には、作成されるイベントに[AS]および[ホスト名]が表示されないため、このオプションは利用できません。

TitleResults for “How to create a CRG?”Also Available inAlert