ポリシー管理:ポリシーによる監視とアクション
NetSkateKoban EnterpriseおよびKobanCloudのNetskateKobanマネージャは柔軟なポリシーベースによる監視機能をサポートしており、この機能を活用することにより様々な監視を行うことが可能になっています。
NetSkateKoban マネージャは設定されたポリシーに従い、警告の通知や記録、端末の遮断等を行います。端末検知時に判定されるKoban アラームルールをもとに、監視ルールを定義する簡易ポリシー設定や高度なポリシー設定を活用することで、日時や曜日、時刻、ネットワークや設置場所等の様々な適応条件を組み合わせ、それら条件を満たした場合にメールの通知や通信阻止などの様々なアクションを実行することができます。
簡易ポリシー
NetSkateKoban では、検知した端末に対して下記基本ルールに従って判断を行い、ルール違反の場合は警告を発すると同時にメール通知や通信阻止などのアクションを実行することができます。この基本ルールは「Koban アラーム(基本)」というルールタイプに区分され、ここで判断された警告をKoban アラームと呼びます。この基本ルールと、検知元のネットワークや不正端末を検知した時刻・曜日などの適用条件、およびその条件を満たした時に実行するアクションを組み合わせて定義したものを「ポリシー」と呼びます。
Koban マネージャが端末を検知した際には、設定されたポリシーに従って警告の通知とアクションの自動実行をすることになります。ポリシーを設定することで複数の適用条件を組み合わせる、警告しないで無視する、など複雑な指定が可能ですが、シンプルな設定を容易に行うために簡易ポリシー設定では「“未登録端末”を検知した場合には“メールを送信”する」のように基本ルールとアクションを指定するだけでポリシーを設定できます。
Koban マネージャが端末を検知した際には、設定されたポリシーに従って警告の通知とアクションの自動実行をすることになります。ポリシーを設定することで複数の適用条件を組み合わせる、警告しないで無視する、など複雑な指定が可能ですが、シンプルな設定を容易に行うために簡易ポリシー設定では「“未登録端末”を検知した場合には“メールを送信”する」のように基本ルールとアクションを指定するだけでポリシーを設定できます。
簡易ポリシー設定で基本ルールとアクションを指定してポリシーを作成すると、その警告を検知した場合に常に指定のアクションが実行されることになります(無効にすることも可能です)。
Kobanアラーム(基本)
|
警告種別(基本ルール)
|
説明
|
|---|---|
|
未登録センサ
|
マネージャに登録されていないKoban センサから端末検知情報を受信した場合に「未登録センサ」のKoban アラームが通知されます。
|
|
未登録端末
|
検知した端末(MAC アドレス)がユーザ利用端末としてKoban マネージャに登録されていない場合に「未登録端末」のKoban アラームが通知されます。
※ IPv6 アドレス検知時は未登録端末のみ判定されます。 |
| IP の重複 |
検知した端末と、すでに検知済みで接続中の端末のMAC アドレスが異なるにも関わらず同じIP アドレスを使用している場合に「IP の重複」のKoban アラームが通知されます。
※IPv6 アドレスの端末に対して以下の拡張ルールは判定されません。
|
| IP の変更 | 検知した端末と同じネットワークで、同じMAC アドレスの端末がすでに検知済みであるにも関わらず使用しているIP アドレスが異なる場合に「IP の変更」のKoban アラームが通知されます。 同じMAC アドレスで異なるIP アドレスの端末が異なるネットワークで検知された場合には、その端末は移動したと判定され「IPの変更」は通知されません。この場合は、検知済みの端末を終了済みに状態遷移させて接続履歴として保存したのちに、移動先のネットワークでその端末が新たに検知されたものとして扱われます。 |
| 割当てIP との不一致 | DHCP・ARP センサがDHCP パケットを観測してKoban マネージャに検知情報を送信する場合、検知情報にはDHCP サーバが割り当てたIP アドレスが含まれます。この割当てIP アドレスと検知した端末が実際に使用しているIP アドレスが異なる場合に「割当てIP との不一致」のKoban アラームが通知されます。 ※ DHCPパケットより割当てIPアドレスが送信されたのちに、ARPパケットを観測して実際に使用しているIP アドレスが判明した場合にのみ判定されます。 |
| ユーザ変更 | 検知した端末と同じMAC アドレスの端末が、すでに検知済みであるにも関わらずその端末の所有ユーザが異なる場合に「ユーザ変更」のKoban アラームが通知されます。 |
高度なポリシー
未登録端末の検知などのKoban マネージャが判定するKoban アラーム(基本)ルールに加えて、詳細な設定を行って検知端末の判定を行うKoban アラーム(拡張)ルールやIDS の警告、Syslog メッセージなど、すべてのイベントに対して時間/ネットワーク/場所などの条件を指定し、その条件を満たした場合にメール通知や通信阻止などのアクションを実行できます。これにより、普段はイベント発生時にメール通知を行い、土日に重要なネットワークからイベントが発生した場合には遮断を行う、などのような複雑な設定も可能となります。
Kobanアラーム(拡張)ルールとして以下のタイプを選択することができます。
| 警告種別(拡張ルール) | 説明 |
|---|---|
| Koban アラーム(基本) | 端末検知時に常に判定されるルールです。 |
| Koban アラーム(拡張) |
設定時のみ端末検知時に判定されるルールとして下記の設定が可能です。
|
| SNMPトラップ | SNMPトラップを受信した際のポリシーを設定します。通知されたSNMPトラップOIDまたはトラップ対応(SNMPV1の場合)にて判定が可能です。 |
| Snortアラート | Snortからのアラートを受信した際のポリシーを設定します。 |
| Syslog受信 | Syslog通知を受信した際のポリシーを設定します。 |
| イベント監視アラーム(HTTP)(* 1) | HTTP GET を用いてURL で指定されるWeb のコンテンツが取得できるか否かで到達可能・不到達の判定を一定時間毎に行い、不到達になった場合に警告を発するルールです。 |
| イベント監視アラーム(SNMP)(* 1) | SNMP を用いて管理オブジェクトの情報が取得できるか否かで到達可能・不到達の判定を一定時間毎に行い、不到達になった場合に警告を発するルールです。 |
| イベント監視アラーム(Ping)(* 1) | Ping によって到達可能・不到達の判定を一定時間毎に行い、不到達になった場合に警告を発するルールです。 |
| イベント監視アラーム(TCPポート)(*1) | 指定されたホストアドレスのTCP ポートにリクエストデータを送信し、返ってきたレスポンンスに対して、到達可能・不到達の判定を一定時間毎に行い、不到達になった場合に警告を発するルールです。 |
| イベント監視アラーム(閾値)(* 1) | SNMP の管理オブジェクトの値を定期的に取得し、指定された閾値に対して違反となる値が検知された時に警告を発するルールです。 |
*1)オプションであるNMSモジュールが必要です。
設定したルールに対して時間等のアクションを実行する際の適用条件を指定します。
適用条件は、ルールに応じて設定可能な適用条件が異なりますが、下記を指定することができます。
- IPアドレス、IPアドレス範囲
- MACアドレス、ネットワーク
- 時間、曜日、 期間
- 検知元IPアドレス、検知元IPアドレス範囲、検知元ネットワーク
- 監視ドメイン
ルールと、ルールに設定された適用条件を満たす場合に、アクション設定で設定されたアクションが実行されます。
設定可能なアクションは、ルールにより異なりますが、下記のアクションを指定することができます。
- メール通知
- 外部コマンド実行
- SNMPトラップ通知
- 通信の妨害
- ポート自動遮断
- 無視