「ログ > 自動化」ページには、電子メールを使用してログ ファイルを送信するための Dell SonicWALL の設定、およびメール サーバの設定が含まれます。
• ログの送信先電子メール アドレス - このフィールドに自分の電子メール アドレス (username@mydomain.com) を入力すると、イベント ログが電子メールで届きます。送信されたログは、Dell SonicWALL コンテンツ セキュリティ マネージャのメモリから消去されます。このフィールドを空白のままにした場合、ログは電子メールで送信されません。
• 警告の送信先電子メール アドレス - 「警告の送信先電子メール アドレス」フィールドに自分の電子メール アドレス (username@mydomain.com) を入力すると、攻撃やシステム エラーが発生したときにただちに電子メールが届きます。標準の電子メール アドレスまたは電子メール ページング サービスを入力します。このフィールドを空白のままにした場合、電子メール警告メッセージは送信されません。
• ログの送信 - ログ ファイルの送信頻度を指定します。オプションには、「一杯のとき」、「1 週間ごと」、または「1 日ごと」があります。「1 週間ごと」または「1 日ごと」のオプションを選択した場合は、「毎」メニューからログを送信する曜日を選択し、「時刻」フィールドに時刻を 24 時間形式で入力します。
• 電子メール形式 - ログの電子メールを「プレーン テキスト」または「HTML」のどちらの形式で送信するかを指定します。
メール サーバ設定では、メール サーバの名前または IP アドレス、差出人の電子メール アドレス、および認証方式を指定できます。
• メール サーバ (名前または IP アドレス) - このフィールドには、ログ電子メールの送信に使用される電子メール サーバの IP アドレスまたは FQDN を入力します。
• 差出人電子メール アドレス - メッセージの差出人フィールドに表示したい電子メール アドレスを入力します。
• 認証方式 - 既定の「なし」項目を使用、または「POP Before SMTP 認証」を選択することがきます。
Note 「メール サーバ (名前または IP アドレス)」を空白のままにした場合は、ログおよび警告メッセージは電子メールで送信されません。
Solera Networks は、ネットワーク トラフィックをキャプチャ、アーカイブ、および再生成するために設計された、さまざまな能力や速度の一連の装置を生産しています。Solera Networks のネットワーク パケット キャプチャ システム (NPCS) は、キャプチャしたデータに時系列再生でアクセスできるユーティリティを備えています。 つまり、デバイスでデータをアクティブにキャプチャおよびアーカイブしながら、NPCS を介して、キャプチャしたデータの分析をライブ ネットワーク上で実行できます。
Solera を使用するように Dell SonicWALL 装置を設定するには、「Solera キャプチャ スタックとの統合を有効にする」オプションを選択します。
以下のオプションを設定します。
• サーバ - Solera サーバのホストを選択します。「ホストの作成」を選択すると、ホストを動的に作成できます。
• プロトコル - 「HTTP」または「HTTPS」を選択します。
• ポート - Solera サーバへの接続に使用するポート番号を指定します。
• インターフェース - データの転送先にする Solera サーバのインターフェースを指定します。
• ユーザ (オプション) - 必要に応じてユーザ名を入力します。
• パスワード (オプション) - 必要に応じてパスワードを入力します。
• パスワードの確認 - パスワードを確認のために再度入力します。
– パスワードをマスクする - パスワードを暗号化されたテキストとして送信するには、このオプションを選択したままにします。
• DeepSee ベース URL - DeepSee パスに対するベース URL の形式を定義します。実際の URL 内では、特殊トークンは実際の値に置換されます。
• PCAP ベース URL - PCAP パスに対するベース URL の形式を定義します。実際の URL 内では、特殊トークンは実際の値に置換されます。
• 「DeepSee ベース URL」と「PCAP ベース URL」では、以下のトークンが使えます。
– $host - データを持つサーバ名または IP アドレス
– $port - サーバが待機する HTTP/HTTPS ポート番号
– $usr - 認証のためのユーザ名
– $pwd - 認証のためのパスワード
– $start - 開始日時および時刻
– $stop - 終了日時および時刻
– $ipproto - IP プロトコル
– $srcip - 送信元 IP アドレス
– $dstip - 送信先 IP アドレス
– $srcport - 送信元ポート
– $dstport - 送信先ポート
精密パケット検査
Dell SonicWALL ネットワーク セキュリティ装置には、検査およびコンテンツ管理製品との共通点を持つ設定可能な精密パケット分類機能があります。Dell SonicWALL は、「要注意コンテンツ」イベントを確実に検出して防御できますが、提供できるものは発生の記録だけであり、イベントの実際のデータではありません。
同じように重要な診断アプリケーションでは、要注意コンテンツは予期しない処理が行われた、または原因不明で破棄されたトラフィックです。
Dell SonicWALL が拡張パケット キャプチャ診断ツールを使用して要注意コンテンツを処理できるのに対し、データレコーダーはネットワーク上のすべてのパケットを記録するように設計されているアプリケーション固有の装置です。データレコーダーはこのタスクのために高度に最適化されていて、単一のパケットを破棄することなくネットワーク トラフィックを記録できます。
データレコーダーはデータの記録には適していますが、IPS/GAV/ASPY/AF が備えている種類の精密パケット検査のインテリジェンスは持ちません。次のような効果的なデータ分析の最小要件を考慮してください。
• データの信頼できる保管 (Solera などのデータ レコーダーによって行われます)
• データの効果的なインデックス作成 (Solera などのデータ レコーダーによって行われます)
• 要注意コンテンツの分類 (Dell SonicWALL DPI によって行われます)
併せて、Dell SonicWALL ネットワーク セキュリティ装置とデータレコーダー (Solera Networks 装置) は、優れた検査およびデータ漏洩機能を提供するという要件を満たします。
分散型イベント検出およびリプレイ
Solera 装置でデータ リポジトリを検索しても良いですが、管理者が Dell SonicWALL に「要注意コンテンツ」イベントを定義することもできます。ログの詳細レベルおよび記録頻度が設定可能です。ほぼすべてのイベントで、送信元 IP、送信元ポート、送信先 IP、送信先ポートおよび時間が記録されます。SonicOS Enhanced には、次のような多数のログ イベントがあります。
• デバッグ/情報提供イベント - 接続のセットアップ/切断
• ユーザ イベント - 管理者によるアクセス、シングル サインオン アクティビティ、ユーザ ログイン、コンテンツ フィルタの詳細
• ファイアウォール ルール/ポリシー イベント - 特定の IP:ポートの組み合わせへのアクセスおよびその組み合わせからのアクセス (時間による特定も可能)
• ネットワーク層またはアプリケーション層での要注意コンテンツ - ポート スキャン、SYNフラッド、DPI または AF のシグネチャ/ポリシーのヒット
以下に、分散型イベント検出およびリプレイの過程の一例を示します。
1. 管理者がイベント トリガーを定義します。例えば、ある公式文書の送受信を検出しログに記録するように、アプリケーション ファイアウォール ポリシーを定義します。
2. ネットワーク上のあるユーザ (IP アドレスが 192.168.19.1) がこのファイルを取得します。
3. このイベントが Dell SonicWALL によってログに記録されます。
4. 管理者がログ エントリの左側の列から「レコーダー」アイコンを選択します。Dell SonicWALL でNPCS が定義されている場合に限り、アイコン/リンクがログ内に表示されます (IP: [192.168.169.100], Port: [443] など)。このリンクは定義された NPCS 装置につながっています。このリンクには、NPCS 装置への接続を定義する問い合わせ文字列がパラメータとして設定されています。
5. NPCS がユーザ セッションを認証します (省略可)。
6. 要求データは .cap ファイルとしてクライアントに提示され、ローカル マシンで保存または表示できます。
アクセス方法
クライアントおよび NPCS は、相互に到達できる必要があります。通常、これは、クライアントと NPCS が物理的に同じ場所にあり、どちらも Dell SonicWALL 装置に接続されることを意味します。いずれの場合でも、クライアントは NPCS に直接到達できるか、または Dell SonicWALL を介して NPCS に到達できます。離れた場所にいる管理者は、内部ネットワークに対する何らかの方法の VPN 接続が必要です。一元的な GMS コンソールからのアクセスにも同様の要件があります。