Powered by Zoomin Software. For more details please contactZoomin

Flowmon ADS User Guide

Table of Contents

解析

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: May 1, 2026
  • 10 minute read
    • Flowmon Products
    • Flowmon Anomaly Detection System
    • Documentation

分析は、アプリケーションにログインした直後に表示される基本的なインターフェース要素です。[解析]ページには、ネットワークの現状の概要が表示されます。この部分は、[メソッド][IDSカテゴリ]の2つのタブで構成されています。[メソッド]タブでは、Anomaly Detection Systemによって検知されたイベントを参照できます。[IDSカテゴリ]タブは、IDSコレクタが有効な場合にのみ使用でき(詳細については、IDSコレクタページを参照してください)、IDSコレクタからのイベントを参照するために使用できます。ページの右上にある[IDでイベントの選択]をクリックすると、IDまたはFPIトラフィックレコードを基準にイベントを検索できます。デフォルトの表示では、デフォルトのビューには過去24時間のイベントが表示されます。さまざまな検索基準によってビューを調整できます(以下のセクションを参照)。

[フィルタリング]セクション

表示されるコンテンツの調整に使用されるフィルタリング基準は、Anomaly Detection Systemによって検出されたイベントとIDSコレクタからのイベントでは異なります。以下のサブセクションでは、両方のタイプのイベントに使用できるか、特定のタイプのイベントのみに使用できるかに基づいて、フィルタリング基準が分割されます。

一般的なフィルタリングオプション:

  • 日付: 情報を表示する関連期間。期間は直接指定するか、付属のカレンダーから選択できます(カスタム期間)。

  • [更新]ボタン: これを有効にすると、データを5分おきに自動更新します。

  • 送信元IP: このフィールドで指定したIPアドレスのイベントのみ表示されます。IPアドレスを以下のフォーマットで入力できます。

    • IPバージョン4および6の単一IPアドレス(例: 192.168.2.1、2001:db8::beef)または単一IPアドレスのカンマ区切りのリスト

    • IPバージョン4および6のネットワークアドレスまたはマスク(例: 192.168.1.0/24、fc00::/7)

    • IPバージョン4および6のIPアドレス範囲(例: 10.0.1.2-10.0.1.10、fe80::-fe80::ffff)

    • IPv4アドレスのワイルドカード表記(列挙、範囲、すべて)。1つのIPアドレスでは1つのワイルドカードのみ使用できます。例:

      • 192.168.{1,3,20}.1: IPアドレス192.168.1.1、192.168.3.1、192.168.20.1

      • 10.[1-3].0.0: IPアドレス10.1.0.0、10.2.0.0、10.3.0.0

      • 172.16.<i>.1: 172.16.[0-255].0と同じ

ADSイベントのフィルタリングオプション:

  • パースペクティブ: 選択した優先度順にイベントが表示されます。

  • データフィード: 指定したデータフィードからのフローの監視によって検出されたイベントのみ表示できます。

IDSイベントのフィルタリングオプション:

  • IDSデータソース: 特定のソースからIDSコレクタが受信したイベントのみを表示できます。

  • ターゲット: 指定したIPアドレスをターゲットとして含むイベントのみを表示します。IPアドレスは、上記のソースIPアドレスと同じ形式で入力できます。

要約セクション

このセクションでは、監視対象のネットワークの現状を簡潔に説明します。これは、より迅速な方向づけと、何に焦点を当てるかの選択に役立つはずです。情報は4つの異なるカテゴリに分類されます。

  • フロー/秒 - 1秒あたりの処理フロー数の概要に加え、この値が前の間隔とどのように異なるかの比較、および(ライセンスの上限値を超えている場合)ドロップされたフローの割合と1秒あたりのドロップされたフロー数が表示されます。
  • イベント - イベント数が最も多いホストと、(それが理にかなっている)イベント数の変化が最も大きいホストも表示されます。
  • 脅威スコア - 脅威スコアが最も多いホストと、(それが理にかなっている)脅威スコアの変化が最も大きいホストも表示されます(脅威スコアの詳細については、ホスト別ページを参照してください)。
  • メソッド - 前の間隔でイベントをトリガーしなかったメソッド、または前の間隔と比較してトレンドが大幅に増加したメソッドを表示します。表示されるメソッドの数が多すぎる状況では、最優先度のメソッド(つまり、最も増加しているトレンドまたは優先度)のみが表示されます。
  • 設定 - 設定変更のためのヒントが表示されます。現在、どのパースペクティブにも割り当てられていないアクティブなメソッドのリストが表示されています(この場合、割り当てられていないメソッドのイベントは表示できません)。

[グラフ]セクション

[フロー]グラフは[メソッド]タブでのみ使用できます。このグラフには、指定した期間における1秒あたりのフローの数が表示されます。ライセンスが超過している場合は、未処理のフローの数も表示されます。このグラフの右側にはフローの処理ステータスを示すインジケータがあります。[イベント]グラフは、タイプまたは優先度別にイベント数を視覚化する積み上げ棒グラフです。これら2つの表示タイプは、グラフの右上にあるボタンで切り替えることができます。

グラフの右側にあるチェックボックスを使用すると、表示されているデータをフィルタリングすることができます。

ビューを拡張するには、このセクションの左上隅にあるボタンをクリックします。表示されたイベントは、現在アクティブなビューに従って優先度またはイベントタイプを基準にフィルタリングできます。グラフに表示されるデータは、上記のフィルタリングオプションの選択による影響を受けます。

このグラフをマウスオーバーすると、コンテキストメニューが表示されます。選択した期間の上でこのメニューを使用すれば、ズームインまたはズームアウトしたり、ズームをリセットしてデフォルトの期間のデータを取得したり、選択した期間をシフトすることができます。[メソッド]タブのコンテキストメニューには、グラフのデータを別のビューで(集約ビュー簡易リストホスト別、およびMITRE別)表示できる特別なボタンも含まれています。

グラフ操作用のボタン
グラフ操作用のボタン

[イベント]グラフの上にあるボタンを押すと、グラフ設定メニューが開きます。このメニューでは、縦軸の目盛(線形、対数)やグラフの配色(モダン、コントラスト)を一時的(ページが読み込まれるまで)に切り替えられる設定オプションを利用できます。設定を恒常的に変更するにはユーザ設定ページで行います(グラフ設定メニューにリンクがあります)。

[優先度別のイベント]セクション

この部分のユーザインターフェースには、それぞれのイベントタイプについて、作成されたすべてのイベントとその数の概要が含まれています。[優先度別のイベント]セクションに表示されるイベントは、[イベント]グラフの設定に従ってフィルタされます。表の右側にあるスパークラインは、選択した時間範囲([イベント]グラフ内)と同じ長さの前の時間範囲を比較して各イベントタイプのトレンド解析を視覚化しています。表の右端に、計算されたトレンドの割合が表示されます。トレンドの方向は矢印で表示されます。割合のない赤い上向き矢印は、比較するイベントが前の時間範囲に含まれていないことを意味します。比較の詳細を表示するには、スパークラインを2回クリックします。1回目のクリックで前の時間範囲の詳細が読み込まれ、2回目のクリックで比較が表示されます。

テーブル内の各行を展開すると、さらに多くの詳細情報が表示されます。表示されるIPアドレスの数は重要度の高い最大10件のレコードに制限されています。さらに多くのレコードを表示することも可能です。

IPアドレス行には、以下が含まれています。

  • 送信元IPアドレス

  • 送信元IPフィルタ([メソッド]タブのみ)

  • イベント数

  • 関連イベント

コンテキストメニューでアクションが利用可能です。

各IPアドレス行を展開すると、選択した期間中にそのIPアドレスについて検知されたアクティビティのグラフが表示されます。グラフの下に、イベントがリストされます。表示されるイベントの数は重要度の高い最大10件のレコードに制限されています。さらに多くのレコードを表示することも可能です。

イベント行にはさまざまな属性が含まれます。それらのいくつかはすべてのイベントに共通ですが、Anomaly Detection Systemによって検出されたイベントまたはIDSコレクタからのイベントに固有のものもあります。

共通属性:

  • イベントID - イベント詳細を新しいブラウザタブで開くことができます

  • 検知時間

  • 前回のイベント更新時間

  • 詳細

  • ターゲット

ADSイベント固有の属性:

  • データフィード

  • メソッドインスタンス

  • コメント

  • カテゴリ

  • アプリケーション

IDSイベント固有の属性:

  • ログの送信元IPアドレス

  • ログの送信元インターフェース

コンテキストメニューでアクションが利用可能です。

[優先度別のイベント]のヘッダーにあるボタンを押すと、設定メニューが開きます。このメニューの設定オプションを使用して、[イベント]グラフの設定に応じて一時的(ページが再読み込みされるまで)に結果のフィルタリングのオン/オフを切り替えたり、テーブル内のトレンド解析グラフの表示/非表示を切り替えたりすることができます。設定の恒常的な変更はユーザ設定ページで行います(設定メニューにリンクがあります)。

TitleResults for “How to create a CRG?”Also Available inAlert