Flowmonユーザインターフェースでの設定

このセクションでは、Flowmonユーザインターフェースで直接設定できる基本的な設定について説明します。Suricata IDSシステムのより高度な調整(誤検知の調整やSuricataルールの管理など)については、「コマンドラインでの設定」セクションに進んでください。

設定は、Flowmon Configuration Centerの[モニタリングポート]セクション(左側のメニュー)にあります。このページの各セクションで[IDSプローブ]タブを選択すると、すべてのインターフェースのグローバル設定または個々のインターフェースの設定を行うことができます。個別の設定が行われていないすべてのインターフェースには、必ずグローバル設定が適用されます。

デフォルトでは、Suricata IDSモニタリングがすべてのモニタリングインターフェースで無効になっているため、明示的に有効にする必要があります。グローバル設定を使用してすべてのモニタリングポートに対してIDSをグローバルに有効にすることができ、カスタム設定を使用して個々のモニタリングポートに対してグローバル設定を上書きすることもできます。または、その両方([IDSプローブ]タブの下にある[有効]トグルを使用して、グローバルに有効にし、個々のポートを選択的に無効または有効にする)を行うこともできます。

前述のとおり、何らかの理由でグローバル設定が適切でない場合は、インターフェースごとに個別に設定することができます。個別に設定するには、[カスタム設定を使用する]トグルを使用します。このトグルをオンにすると、[フィルタ]と[パケット数]という2つのオプションが表示されます。

[フィルタ]という最初のオプションを使用すると、パケットフィルタリングを有効にし、Suricata IDSで処理するパケットを指定できます。フィルタには1つの事前に定義されたフィルタを含めることができます。フィルタの詳細については、IDSプローブのフィルタを参照してください。

「Suricata IDSの設定と調整」セクションで説明したとおり、各セッションからの最初のNパケットのみ(双方向フローごと)が、検査のためにSuricata IDSシステムに渡されます。この値は、[パケット数]オプションを使用して調整できます。デフォルトでは、この値は10パケットに設定されています(つまり、両方向から5パケット)。3～100パケットの範囲で設定できます。

以下のスクリーンショットでは、Flowmon Configuration CenterのIDSプローブの設定を確認できます。

検知されたIDSイベントは、Syslogを使用して以下に送信されます。

• Syslogイベントロギング設定(Flowmon Configuration Center > [システム] > [システム設定])で定義されたすべてのサーバに送信されます。"Syslogメッセージの設定"グループのいずれかを選択または選択解除しても、IDSプローブには影響しません。

• 同じマシンにインストールされている場合は、Flowmon ADSモジュールのIDSコレクタに直接送信されます。

検知されたイベントは、/data/idsp/outputs/eve.jsonファイルに保存されます。このjsonファイルは、設定ファイル**/etc/syslog-ng/conf.d/idsp.conf**に従ってsyslog-ngによって処理されます。idsp.confでは、syslogを使用してイベントの送信を手動で設定できます。

Flowmon Configuration Center([バージョン] > [IDSプローブ] - [開始]/[停止])を使用して、IDSプローブを開始または停止できます。