ADSでL3ANOMALYイベントを検知しました。なりすましの可能性があるか確認する方法はありますか?
L3ANOMALYが検知された理由は、お客様の内部ネットワークに属していないトラフィックが検知されたためです。
Flowmonは内部ネットワーク(LAN側)に設置されていることを前提として処理をしています。
Flowmonが認識していないネットワーク(外部ネットワーク)同士の通信がFlowmonが監視している内部ネットワークの通信に発生すると、いずれかのアドレスが偽装されてなりすましが発生した疑いが通知されます。
よって、なりすましか否かを確認するためには送信元のアドレスとターゲットのアドレスがお客様のネットワーク構成とFlowmonの設置位置の関係上、正常に発生する通信であるか否かを(どちらかがお客様の管理しているネットワークに所属しているか否か)を確認してください。
Flowmonが認識している内部ネットワークは
ADS>設定>処理>メソッド>L3ANOMALYの「インスタンスの編集」の「InternalNetworks」に設定されているフィルタのネットワークです。
フィルタ(ネットワーク)の範囲はADS>設定>処理>フィルタ にて設定が可能です。
デフォルトでは「LAN」が内部ネットワークとして設定されています。
検知されたIPアドレスのどちらかがお客様の管理されているネットワークの場合は「LAN」フィルタに登録をしてください。
なお、お客様の管理していないネットワークアドレス(グローバルIPアドレス)の場合はなりすましの可能性が考えられますが、インターネットサービスプロバイダは、内部IPセグメントにIPアドレスを追加せずに別のプロバイダのネットワークトラフィックを転送するとき(プロパイダの管理しているIPアドレスがクライアントに割り当てられるVPN通信など)に今回のようなイベントが検知されることもあります。
Flowmonは内部ネットワーク(LAN側)に設置されていることを前提として処理をしています。
Flowmonが認識していないネットワーク(外部ネットワーク)同士の通信がFlowmonが監視している内部ネットワークの通信に発生すると、いずれかのアドレスが偽装されてなりすましが発生した疑いが通知されます。
よって、なりすましか否かを確認するためには送信元のアドレスとターゲットのアドレスがお客様のネットワーク構成とFlowmonの設置位置の関係上、正常に発生する通信であるか否かを(どちらかがお客様の管理しているネットワークに所属しているか否か)を確認してください。
Flowmonが認識している内部ネットワークは
ADS>設定>処理>メソッド>L3ANOMALYの「インスタンスの編集」の「InternalNetworks」に設定されているフィルタのネットワークです。
フィルタ(ネットワーク)の範囲はADS>設定>処理>フィルタ にて設定が可能です。
デフォルトでは「LAN」が内部ネットワークとして設定されています。
検知されたIPアドレスのどちらかがお客様の管理されているネットワークの場合は「LAN」フィルタに登録をしてください。
なお、お客様の管理していないネットワークアドレス(グローバルIPアドレス)の場合はなりすましの可能性が考えられますが、インターネットサービスプロバイダは、内部IPセグメントにIPアドレスを追加せずに別のプロバイダのネットワークトラフィックを転送するとき(プロパイダの管理しているIPアドレスがクライアントに割り当てられるVPN通信など)に今回のようなイベントが検知されることもあります。