メッセージ
syslogやエラーメッセージなどFlowmonが出力するメッセージについての対応方法・仕様・機能
記事公開日:
最終更新日:2021.06.28
Flowmon Configuration Centerのログ画面に以下のログが表示されます。ログの意味を教えてください。
【英語設定時のログ】
On data feed xxx is probably wrong active timeout: 999 seconds.it should be set to 300 seconds.
【日本語設定時のログ】
データフィードxxx(データフィード名)に、誤ったアクティブタイムアウト値が入力されました。
設定された値(秒)は999です。アクティブタイムアウトの値を300秒に設定してください。
Flow生成機器側のアクティブタイムアウトの設定が、300秒を超える値に設定されていることを示します。
FlowmonADSでは5分ごとに収集したフローデータの処理をします。
Flowのアクティブタイムアウトが300秒を超えて設定されている場合または300秒に満たない設定をされている場合、実際の開始時刻よりずれた状態でグラフ描画や振る舞い検知がされるケースが増えます。
正確な検知を行うために、アクティブタイムアウトはFlow生成機器にて300秒に設定してください。
なお、アクティブタイムアウトを300秒に設定できない事情がある場合は、以下の設定を行う事で本メッセージの停止をすることが可能です。
ADSの設定 > 処理 > メソッド > SYSTEMCHECK よりインスタンスの編集を選択し、「DetectTimeout」の設定を「No」に設定する。
記事公開日:
最終更新日:2021.06.28
アクティブタイムアウトを300秒に設定しているにも関わらず、Flowmon Configuration Centerのログ画面に以下のログが表示されます。対処方法を教えてください。
【英語設定時のログ】
On data feed xxx is probably wrong active timeout: 999 seconds.it should be set to 300 seconds.
【日本語設定時のログ】
データフィードxxx(データフィード名)に、誤ったアクティブタイムアウト値が入力されました。
設定された値(秒)は999です。アクティブタイムアウトの値を300秒に設定してください。
FlowmonのCLIよりパケットキャプチャを取得し、受信したFlowのDurationが300を超えていないか確認してください。
300を超えている場合は、アクティブタイムアウトの設定通りにFlowが生成されていないことを示していますので、NW機器ベンダにその旨をご相談ください。
Flowmon ADSから以下のメッセージが表示されます。
ads-cli[179505]: [179505]Cannot decompress downloaded file (code 1)
ads-cli[179505]: [179505]Cannot update some external services (download failed for 1 of 1 services)
本メッセージはFlowmon ADSのBLACKLIST又はBPATTERNSメソッドの更新用に受信したファイルが空だったことを意味します。
コンテンツのアップグレードの際に時々発生いたしますが、通常は5分後に再処理が実施されるため、本メッセージが出力され続けない限り問題有りません。
BPATTERNSおよびBLACKLISTの更新に失敗するとFlowmonにはどのようなメッセージが表示されますか?
BPATTERNSおよびBLACKLISTの更新に失敗すると、Flowmon GUI右上の通知アイコン(ベルマーク)に以下のようなメッセージが表示されます。
- BPATTERNSメソッドの署名リストを更新できません(ダウンロードに失敗)
- 外部サービスを更新できません(〇個のサービスのうち〇個のダウンロードに失敗)
※〇個のサービスというのはFlowmonに標準で設定されたBLACKLISTのActiveBlacklistsに登録された項目です。
このActiveBlacklistsに登録された項目が更新されるタイミングについては、それぞれ異なりますが8時間の周期で更新が行われます。
Configuration Centerのログ(システムアクティビティログ)でも更新に失敗した際の記録を確認できます。
例として以下のようなメッセージが表示されます。
- Cannot update BPATTERNS list(download failed)
- Cannot update some external services (download failed for 6 of 6 services)
ADSで不要のデータフィードを削除しようとしたところ以下のエラーが表示されました。
特定のデータフィードのみ削除する方法は有りますか?
「データフィードに関連するイベントがあるためこのデータフィードDefaultを削除できません。イベントを削除するには、メンテナンスセクションのデータをすべて削除します。」
削除対象のデータフィードに関連するイベントがある場合にはデータを削除しない限りデータフィードを削除することは出来ない仕様です。
また、特定のデータフィードに関するイベントのみ削除することもできません。
よって、データフィードが不要な場合はデータフィードを「インアクティブ」にして、新しいデータを受信しないようにした後、古いデータが日数の経過とともに削除されることを待ってから、データフィードを削除する必要が有ります。
具体的な操作方法は以下のとおりです。
- 削除したいデータフィードを「インアクティブ」にする。
Anomaly Detection System>設定>処理>データフィード にて該当のデータフィードの「停止」をクリックするか、該当のデータフィードの︙を押下後、「データフィードの編集」をクリックし、「状態」をインアクティブにする。
- 削除したいデータフィードに関連するイベントが無くなるのを待ってからデータフィードを削除する。
イベントの有効期限(デフォルトでは半年です)または、クォータに達した時にイベントは削除されます。
データフィードに関連するイベントがあるか否かの確認は、Anomaly Detection System>イベント にて、「さらに多くのフィルタ」の「データフィード」に該当のデータフィードを選択して検索することで確認可能です。
▲topへ戻る
仕様
MUTICAST メソッドでIgnoreBroadcastパラメータを有効にしても検知しないブロードキャストアドレスが有ります。
MUTICAST メソッドのブロードキャストの判定はIPアドレスが「.255」で終わるものとする簡易的なものです。
そのため、ネットマスクが24ビット以外のネットワークでは誤検知が発生します。
DIRINETの
「許容されたセグメント外の通信が成功しました・・・」
と
「許容されたセグメント外の通信が失敗しました・・・」
が検知されるのはどのようなときですか?
「許容されたセグメント外の通信が成功しました・・・」について
送信と受信の両方のフローがペアになり、要求にも応答にもRSTフラグが含まれていない場合、通信は成功したと検知されます。
※接続が成功したと見なされるためには、外部に向けられた接続が1つのみ成功する必要があります。
したがって、ADSが正常な通信として分類するには、デバイスが何らかの応答(RSTフラグなし)を受信する必要があります。
「許容されたセグメント外の通信が失敗しました・・・」
一方通行の通信があった場合は、通信は失敗したと検知されます。
FMCではフローが存在するのにADSのイベント証跡で「フローが見つかりません。」と表示されるのは何故ですか。
フローを受信したタイミングによっては検索対象にならない場合があります。
ADSのイベント証跡はコレクターがバッチ処理で受信したフローを5分単位に保存しているnfcapdファイルから取得します。
またフローの検索に使用するイベントの開始と終了時間は5分単位に丸められます。
例:
検索開始時間 = 17:30:28 は 17:30:00に切り捨てられます。
検索終了時間 = 17:34:58 は 17:35:00に切り上げられます。
フローを受信してnfcapdファイルに保存する処理には数秒掛かるため、フローを保存するバッチ処理に間に合わないと、本来nfcapd.1730ファイル(17:30:00秒~17:34:59秒のフローを管理)に保存されるべきフローがnfcapd.1735ファイル(17:35:00秒~17:39:59秒のフローを管理)に保存されることがあります。
ADSは17:30:00~17:35:00のフローを検索するときにはnfcapd.1730ファイルのみ検索対象としています。
このようにイベントの終了時間がフローの保存バッチ処理中であり、証跡の検索範囲内のnfcapdファイルにフローが保存されなかった場合、イベント証跡に「フローが見つかりません。」と表示されます。
※nfcapdファイル:フローを保存しているファイル。
将来のバージョンでは1つ先の時間のnfcapdファイルも検索対象とするように改善される予定です。
設定 >処理 >ブラックリスト >AttackerActivities >ブラックリストの内容
を確認するとページが3ページまでしか表示することができず、すべてのブラックリストを確認することができません。
すべてのリストを確認する方法は有りますか?
ブラックリストの内容は最初の5000件までしか参照できません。
これはすべてのブラックリストを表示することによってブラウザに負荷が掛かりクラッシュしてしまうことを防ぐための仕様です。
将来のバージョンでは、特定のIPアドレスがブラックリストに登録されているかを検索するための検索バーの追加が検討されていますが、現時点では詳細は未定です。
Flowmon ADSにて振舞い検知をした際にメールを送付して通知することはできますか?
ADSのメール通知を設定することでADSで検知されたイベントをメールに送信することが可能です。
メール通知を行うにはメールの設定がされている必要があります。
メールの設定をしていない場合は以下から設定を行ってください。
Configuration Center>システム>システム設定>メール
イベントの優先度によって、メール通知される間隔が異なります。
イベントの優先度は、重要、高、中、低、情報の5つがあります。
イベントの優先度は、Anomaly Detection System>設定>処理>パースペクティブ にて任意のパースペクティブの編集をクリックした「優先度」にて定義されており、修正が可能です。
メールで通知される間隔は、以下のとおりです。
重要:フローデータが処理された直後に通知
高:1時間に1回通知
中:6時間に1回通知
低:1日に1回通知
情報:週に1回通知
記事公開日:
最終更新日:2023.04.13
SCANメソッドはどのように検知されますか。
イベントの「詳細」「属性」等でどの値で確認することが可能ですか。
SCANメソッドは「SuccessFlows」と「UnsuccessFlows」の合計が指定したScansThresholdの値よりも大きい場合に検知されます。
(SucessFlow + UnsuccessFlows > ScansThreshold)
※「SuccessFlows」と「UnsuccessFlows」は「属性」画面で確認可能です。
記事公開日:
最終更新日:2023.04.13
①PEERSメソッドはどのような場合に検知されるか詳しく教えてください。
②イベントの検知数を少なくするための設定やコツ等があれば教えてください。
質問①
PEERSメソッドは、特定ノードの通信相手が増加したことを検知します。
本メソッドで検知されたものは、以下の脅威の可能性があります。
・ノードが正しく設定されていない
・予期しないソフトウェアが動作している
・DDoS攻撃などの影響
Peersメソッドは単一のデバイスにおける通信ピアが指定したPartnersMinCountの値を超えた場合に検知されます。
具体的には「属性」画面でTargetCountが指定したPartnersMinCountの値よりも大きい場合にPEERSイベントが検知されることを確認できます。
(TargetCount > PartnersMinCount)
質問②
PartnersMinCountの値を変更することで、Peersイベントの検知数を減らすことができますが、
最小通信相手数をどの程度にすればいいかという指標はありません。
記事公開日:
最終更新日:2023.04.13
ホスト名で誤検知除外をしたいのですが、設定が反映されていませんでした。
通信が長い場合、フローが分割されます。
インアクティブタイムアウトによってフローが分割されることがあり、
ホスト名は最初のフローにのみ含まれ、2つ目以降のフローにはホスト名が含まれないため、
ホスト名が含まれていない2つ目以降のフローでイベントが発生した可能性がございます。
通信は、アクティブタイムアウトとインアクティブタイムアウトによってフローが作成されます。
アクティブタイムアウトとは、通信中に設定した時間が経過した場合に、一旦フローを作成するための設定です。
例えば、アクティブタイムアウトが300秒で設定されている場合、300秒が経過するとフローが作成されます。
インアクティブタイムアウトとは、設定した時間内に通信が無ければフローが終了したとみなすための設定です。
例えば、インアクティブタイムアウトが30秒で設定されている場合、30秒間通信がなければその通信が終了したとみなします。
ホスト名はTLSハンドシェイクでのみ送信されるTLS SNIフィールドから取得されます。
通信が継続しない状態(ACKが返らず、RSTもFINも無い状態)がインアクティブタイムアウトで設定した時間を経過した場合、フローが作成されます。
その後に通信が再開しても新しいTLSハンドシェイクは含まれていないので、ホスト名を取得することはできません。
インアクティブタイムアウトを延ばすことは可能ですが、
インアクティブタイムアウトを延ばすことでより多くのメモリを必要とします。
※仮想コレクタのモニタリングポートでフローを生成している場合は、Configuration Center>モニタリングポート>グローバル設定>ターゲット のインアクティブタイムアウトから変更することが可能です。
※Flowmon Probeでフローを作らずにNW機器で生成したフローでホスト名を取得している場合は、NW機器のインアクティブタイムアウトの変更方法はNW機器のベンダーにご確認ください。
記事公開日:
最終更新日:2023.04.13
DNSANOMALYについて、以下の認識で合ってますでしょうか。
・イベントソースはDNS問い合わせを行った端末
・ターゲットは未登録のDNSサーバ
・データフィードのIPはDNSとの通信を検知した機器
また、イベントログの詳細で「不正なDNSサーバーとの通信に成功した」とありますが、
これはイベントソースの端末とターゲットの通信が成功したのでしょうか。
それともターゲットに向けて通信を試みた時点でDNSANOMALYは検出されるのでしょうか。
ネットワーク環境としては対象端末から直接ターゲットには通信できない設定となっています。
ご認識の通りです。
通信に成功しているため検知されているものとなります。
DNSトラフィックの不審な通信を検知するメソッドとなっており、このメソッドではTCPポート53を使用している大規模なデータ転送を検知可能なため、望まれないその他のアクティビティへのDNSサービスの悪用を検知できます。
例として、悪意ある目的(データ流出など)で行われるDNSプロトコル経由でのネットワークトラフィックのトンネリングなどです。
DNSサーバの使用量が突然変わった場合、マルウェア感染を示している可能性があります。
また、検知されているDNSサーバ(ターゲットに記載されているIP)への通信ができない仕様とのことであればDNSトラフィックの動作に異常、もしくは攻撃の可能性があるため、対象の端末をご確認いただく必要があります。
記事公開日:
最終更新日:2023.07.04
ICMPNOMのログ出力は(TimeWindow ICMPに設定された閾値)1時間の間に、(PingFloodThresholdに設定された閾値)301回以上のpingを打てば検出されますか?
いいえ。
TimeWindowパラメータおよびPingFloodThresholdパラメータは検知の対象が異なります。
TimeWindowはFloodの下にあります。
FloodはICMP Type3メッセージの検知のためです。
TimeWindow:1
ICMPThreshold:400
Type3MsgThreshold:20
上記の意味は1時間の統計データ(ICMP Type3の1時間の平均)から直近5分間のICMPの平均が400%以上増加し、かつトラフィックが最低のトラフィック量(20)以上の場合にICMPタイプ3メッセージ異常が検知されます。
PingFloodThresholdはEcho request floodの下にございます。
PingFloodThreshold:301
上記の意味はICMP ping messagesが301メッセージ以上ある場合、pingfloodイベントタイプが検知されます。
記事公開日:
最終更新日:2023.09.15
ADSだけでの導入も可能ですか?
ADSはオプションプラグインとなるため、コレクタ上で動作するSWとなります。
その為、ADS単体での導入は不可です。
記事公開日:
最終更新日:2023.09.15
PRTGとの連携機能とは?
FlowmonADSにて検知したイベント情報をPRTGに連携し、ほかのセキュリティ製品と併せて統合監視することが可能です。
またFlowmon自身の監視をPRTGで行うことにより、高可用性を確保できます。
記事公開日:
最終更新日:2023.09.15
FlowmonADSはいわゆるNDRに分類されますでしょうか。
NDR(Network Detection and Response)は調査や対応方法までを案内いたしますが、
Flowmon ADSではインシデント発生の検知までとなりますので、NDRとはやや異なる性質となります。
記事公開日:
最終更新日:2023.09.15
FlowmonADSにおけるブラックリストの更新でインターネットへの接続が必要とありますが、
オフライン(エアギャップ)環境での更新手段はありますでしょうか。
カスタムブラックリストといいまして、独自のリストをFlowmonに登録・読み込ませることも可能です。
そのため、インターネットに接続可能な別サーバでリストを取得・更新し、そのデータをFlowmonのカスタムブラックリストの参照先にするという方法もございます。
ただし、メーカーが提供しているブラックリストの参照先には一部非公開のものもあり、この方法ですと一部リストは更新がされませんのでご注意ください。
記事公開日:
最終更新日:2023.09.15
アラートについて教えてください。
マルウェア検知用のアラートテンプレートなどの用意はありますか?
アラートの閾値設定については、利用者側ですべて設計しなければならないですか?
マルウェア対策を行うのは、オプションプラグインであるADSとなります。
ADSにはセキュリティ的に好ましくないふるまいを検知する為のメソッドが40強用意されており、
イベント検知を行った際、メール、Syslog、SNMPトラップなど各種通知を行うことが可能です。
記事公開日:
最終更新日:2023.09.15
Flowmon ADSが監視し、脅威と思われる通信があった場合にアラートを挙げるということではないのですか?
そのような動作の場合、アラートを挙げる基準は貴社が作成されているのですか?
ADSをご利用いただく場合、導入後、お客様の環境に適した設定にチューニングをいただきます。
期間は1か月程度で、標準メニューとしてご提供をしております。
アラートを上げる基準についても細かく設定が可能ですので、お客様の環境に応じた設定が可能です。
記事公開日:
最終更新日:2023.09.15
シスコの機器と連携し不正通信を自動遮断する機能があると記事で見たのですが、そちらについて教えてください。
オプションプラグインのADSを使用した際に検知した情報に基づき、他の製品とCiscoPI連携することで遮断可能となります。
詳細な情報については弊社営業までお問合せください。
記事公開日:
最終更新日:2023.09.15
標的型攻撃、DDOS攻撃への対策に使えるとご説明頂きました。
これは、コレクター、プローブの機能で対策ができるということでしょうか?
コレクタにアドオンするADSオプションプラグインをご利用することで対応可能です。
ADSはIPv6通信によるふるまい検知も可能でしょうか?
IPv6の通信のフローも取得することが出来るので検知可能となります。
ADSにてふるまいを検知後、自動で通信遮断は可能でしょうか?可能な場合の手法は?
ADS単体での自動で通信遮断はできません。
他ベンダー機器との連携をすることで遮断等行うことが可能となります。
記事公開日:
最終更新日:2024.01.10
sFlowを利用したADSでの検知は可能でしょうか。
検知することは可能です。
ただし、サンプリングによりパケットが落ちている可能性があり、その影響で検知ができない、時間がかかる場合があります。
記事公開日:
最終更新日:2024.01.11
ブラックリストのレコード数がゼロとなっています。
デフォルトで登録されているブラックリストはパターンファイルはなく、バージョンアップモジュールにも含まれておりません。
デフォルトのブラックリストは、Flowmonがインターネットに接続されている場合に、Flowmonサービスポータルから定期的(6時間ごと)に更新されます。
お客様の環境がインターネットに接続していない場合、レコード数が0となります。
インターネットに接続していない環境でブラックリストをご利用いただく場合は、
リモートブラックリストもしくはローカルブラックリストで手動で登録していただく必要があります。
※リモートブラックリストはお客様が独自のブラックリストを保持しており、参照できる環境にある必要があります。
※ローカルブラックリストはお客様でご用意いただく必要があります。
ブラックリストの詳細については、ADSのGUI画面右上のはてなマークから展開できるユーザーガイドの
2.インストールと設定>2.3 Flwomon ADSモジュールを設定する>2.3.16 ブラックリストをご参照ください。
▲topへ戻る