トラフィック モニタリング: ログ作成、レポート発行、攻撃証拠分析

セキュリティのベスト プラクティスでは、管理者が会社の資産保護のために常に先回りして知識を深め、適応能力を高める一方、結果を振り返り、セキュリティ インシデントの調査、分析、レポート発行を怠らないバランス感覚が求められます。ACC と ポリシー エディタを使用すると、アプリケーション使用 ポリシーを先回りして適用できます。多彩な監視ツール とレポート作成ツールでは、ネットワークを流れるアプリケーション、ユーザー、 コンテンツの分析・レポート発行が可能です。

リアルタイムのトラフィック分析と攻撃証拠保全

パロアルトネットワークスのファイアウォールは、WildFire、設定、システム、アラーム、トラフィック フロー、脅威、URLフィルタリング、データ フィルタリング、HIP(Host Information Profile)マッチのためにログを保存しています。セル値をクリックし、エクスプレッション ビルダーで複数の条件を追加することにより、ネットワークの状況を即座に分析できます。その結果は後日利用するために保存しておいたり、さらなる分析のためにCSV形式でエクスポートしたりすることも可能です。さらに、すべてのログをsyslogサーバーに送信して、さまざまなサードパーティ製ソリューションで分析できます。

フルカスタマイズ可能なレポート機能

標準機能として利用できるレポート機能では、40種類以上の定義済みレポートか、レポートビルダーで有益なレポートを発行できます。レポートビルダーを使用すると、保存、PDF/CSV形式またはXML形式へのエクスポート、スケジュール実行、メールによる送信に至るまで完全カスタマイズ可能なレポートを設計できます。

 

標準レポートの主な特長  

  • ボットネット挙動レポート: 未知のアプリケーションやIRCトラフィック、マルウェアサイト、ダイナミックDNS、新規作成ドメインに関するデータ を分析します。分析結果ではボットネットのメンバーになっている恐れのある潜在的な感染ホストの一覧が表示されます。

  • PDFサマリーレポート: 完全カスタマイズ対応の1ページ型サマリーレポートです。各カテゴリーの上位5項目のデータのほか、他のレポートにはないトレンドチャートも含まれます。

  • ユーザーアクティビティ レポート: アプリケーション利用やWebブラウジングの活動をユーザー別に時系列にまとめたレポートです。

  • App-Scope: App-scopeは、ACC によって表示されるアプリケーションとコンテンツのリアルタイム ビューを補完し、一定の期間のアプリケーション、トラフィック、 脅威アクティビティを動的に、ユーザーがカスタマイズ可能な状態で表示します。

SIEM(Security Event and Incident Management)ツールとの統合

パロアルトネットワークスのファイアウォールは、すべてのログをsyslogサーバに送信してアーカイブ化と分析を実行できます。さらに、ほぼすべてのSEIMベンダーとの多彩な技術パートナーシップを結び、多くの実績をあげています。リスト全体を表示する