ファイルを送受信した数が一定数に達したらアラートを上げることはできますか?
ファイルはメールに添付される場合とSambaサーバ経由のやり取りを想定しています。
ファイルはメールに添付される場合とSambaサーバ経由のやり取りを想定しています。
メールに添付されているファイルをFlowmonで認識することはできません。
ファイルサーバとしてSambaを利用している場合は送受信ファイルの発生を監視することは可能です。
Sambaへの送受信を監視する場合は、readコマンドと write コマンドをフィルタリングします。
しかしながら、以下の制約/注意があります。
・フローの基本は1セッション ≒ 1フローとなります。よって、1ファイルの送受信は1フローとしてアラートの閾値を設定します。
・Sambaでは1つのファイル転送に、通常1つ以上のフローが生成されます。
Sambaのフォルダを閲覧する際には多くのSambaコマンドが実行されるためフローが分割されます。
よって、単一のファイル転送数を正確に識別することは難しくなります。
なおFlowmonの仕様ではSambaの監視はファイルパスまでは可能ですが、ファイル名の監視は不可能です。
アラートを作成する際にはフィルタに以下を設定してください。
ダウンロードのフィルター:
smb2-cmd " RE" and smb-filetype " File" and src port 445
※Sambaを利用したファイルの読み込みをダウンロードと解釈します。
アップロードのフィルター:
smb2-cmd " WR" and smb-filetype " File" and dst port 445
※Sambaを利用したファイルの書き込みをアップロードと解釈します。
ファイルサーバとしてSambaを利用している場合は送受信ファイルの発生を監視することは可能です。
Sambaへの送受信を監視する場合は、readコマンドと write コマンドをフィルタリングします。
しかしながら、以下の制約/注意があります。
・フローの基本は1セッション ≒ 1フローとなります。よって、1ファイルの送受信は1フローとしてアラートの閾値を設定します。
・Sambaでは1つのファイル転送に、通常1つ以上のフローが生成されます。
Sambaのフォルダを閲覧する際には多くのSambaコマンドが実行されるためフローが分割されます。
よって、単一のファイル転送数を正確に識別することは難しくなります。
なおFlowmonの仕様ではSambaの監視はファイルパスまでは可能ですが、ファイル名の監視は不可能です。
アラートを作成する際にはフィルタに以下を設定してください。
ダウンロードのフィルター:
smb2-cmd " RE" and smb-filetype " File" and src port 445
※Sambaを利用したファイルの読み込みをダウンロードと解釈します。
アップロードのフィルター:
smb2-cmd " WR" and smb-filetype " File" and dst port 445
※Sambaを利用したファイルの書き込みをアップロードと解釈します。