Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

JSAイベントとフロー

JSAのコア機能は、フローとイベントを監視することでネットワークセキュリティを管理することです。

イベントデータとフローデータの大きな違いは、通常、ユーザーログインやVPN接続などの特定のアクションのログであるイベントが特定の時間に発生し、その時点でイベントがログに記録されるということです。フローとは、セッション内のアクティビティに応じて、数秒、分、時間、または日の間有効なネットワーク アクティビティの記録です。たとえば、Webリクエストが複数のファイル(画像、広告、動画など)を5~10秒間ダウンロードする場合や、Netflix映画を視聴したユーザーがネットワークセッションで数時間続く場合があります。フローは、2 つのホスト間のネットワーク アクティビティの記録です。

イベント

JSA は、ネットワーク上のログ ソースからイベント ログを受け入れます。ログ ソースは、イベント ログを作成するファイアウォールや侵入防御システム(IPS)などのデータ ソースです。

JSA は 、syslog、syslog-tcp、SNMP などのプロトコルを使用して、ログ ソースからイベントを受け入れます。 JSA は、SCP、SFTP、FTP、JDBC、Check Point OPSEC、SMB/CIFSなどのプロトコルを使用して、イベントを取得するアウトバウンド接続を設定することもできます。

イベントパイプライン

JSA コンソールでイベント データを表示して使用する前に、ログ ソースからイベントを収集してから、イベント プロセッサーによって処理します。Jsaオールインワン アプライアンスは、JSA コンソールの役割を果たすだけでなく、イベント コレクターおよびイベント プロセッサーとして機能します。

JSA は、専用の Event Collector アプライアンスを使用するか、オールインワン アプライアンスを使用してイベントを収集し、イベント収集サービスとイベント処理サービスがオールインワン アプライアンスで実行されます。

次の図は、イベントパイプラインのレイヤーを示しています。

図 1:イベント パイプライン Event Pipeline

  • イベント収集 - イベント コレクター コンポーネントは、以下の機能を完了します。

    • プロトコル

      Syslog、JDBC、OPSEC、ログファイル、SNMPなどのログソースプロトコルからデータを収集します。

    • ライセンス調整

      システムへの受信イベントの数を監視して、入力キューと EPS ライセンスを管理します。

    • 解析

      ソース デバイスから生のイベントを取得し、フィールドを解析して JSA 使用可能な形式にします。

    • ソーストラフィック分析と自動検出をログに記録

      自動検出をサポートする可能な DSM に、解析および正規化されたイベント データを適用します。

    • 結合

      イベントは解析され、イベント間の共通の属性に基づいて結合されます。

    • イベント転送

      システムのルーティングルールを適用して、オフサイトターゲット、外部Syslogシステム、JSONシステム、およびその他のSIEMにデータを転送します。

    イベント コレクターがファイアウォールなどのログ ソースからイベントを受信すると、処理のためにイベントが入力キューに配置されます。

    キューのサイズは、使用するプロトコルまたは方法によって異なり、これらのキューから、イベントが解析され、正規化されます。正規化プロセスでは、未加工のデータを 、JSA が使用できる IP アドレスなどのフィールドを持つ形式に変換します。

    JSA は、ヘッダーに含まれる送信元 IP アドレスまたはホスト名によって既知のログ ソースを認識します。

    JSA は、既知のログ ソースのイベントを解析してレコードに結合します。過去に検出されなかった新しいログ ソースまたは未知のログ ソースからのイベントは、トラフィック分析(自動検出)エンジンにリダイレクトされます。

    新しいログ ソースが検出されると、ログ ソースを追加する構成要求メッセージが JSA コンソールに送信されます。自動検出が無効になっている場合、またはログ ソースのライセンス制限を超えた場合、新しいログ ソースは追加されません。

  • イベント処理 - イベント プロセッサー コンポーネントは、以下の機能を完了します。

    • カスタム ルール エンジン(CRE)

      カスタムルールエンジン(CRE)は、JSAが受信したイベントを処理し、定義されたルールと比較し、インシデントに伴うシステムを継続的に追跡し、ユーザーに通知を生成します。イベントがルールに一致すると、特定のイベントによってルールがトリガーされたという通知が イベント プロセッサー から JSA コンソール の Magistrate に送信されます。 JSA コンソール の Magistrate コンポーネントは、攻撃を作成および管理します。ルールがトリガーされると、通知、syslog、SNMP、電子メール メッセージ、新しいイベント、攻撃などの応答またはアクションが生成されます。

    • ストリーミング

      ユーザーがログ アクティビティ タブとリアルタイム(ストリーミング)でイベントを表示しているときに、JSA コンソールにリアルタイム イベント データを送信します。ストリーミングイベントはデータベースから提供されません。

    • イベントストレージ(Ariel)

      データが 1 分単位で保存されるイベントの時系列データベースです。データは、イベントが処理される場所に保存されます。

    イベント コレクターは、正規化されたイベント データをイベント プロセッサーに送信し、イベントはカスタム ルール エンジン(CRE)によって処理されます。JSA コンソールで事前に定義された CRE カスタム ルールにイベントが一致した場合、イベント プロセッサーはルール応答に定義されたアクションを実行します。

  • JSA コンソールのMagistrate コンポーネントは、以下の機能を完了します。

    • 攻撃ルール

      メール通知の生成など、攻撃を監視し、攻撃に作用します。

    • 攻撃管理

      アクティブオフェンスを更新し、攻撃のステータスを変更し、[ Offenses ]タブから攻撃情報へのユーザーアクセスを提供します。

    • オフェンスストレージ

      攻撃データをPostgresデータベースに書き込みます。

    MPC(Magistrate Processing Core)は、複数のイベント プロセッサー コンポーネントからのイベント通知と攻撃を関連付けます。 JSA コンソール またはオールインワン アプライアンスにのみ、Magistrate コンポーネントがあります。

フロー

JSA フローは、IPアドレス、ポート、バイト数、パケット数、およびその他のデータをフローレコードに正規化することで、ネットワークアクティビティを表します。これは、2つのホスト間のネットワークセッションのレコードです。フロー情報を収集して作成する JSA のコンポーネントは、 フロー プロセッサーと呼ばれます。

Jsa フロー収集は完全なパケット キャプチャではありません。複数の時間間隔(分)にわたるネットワークセッションの場合、フローパイプラインは、各分の終わりに、バイトやパケットなどのメトリックの現在のデータを含むレコードを報告します。 JSA では、同じ「最初のパケット時間」を持つ複数のレコード(1 分あたり)が表示されることがありますが、「最終パケット時間」の値は時間ごとに増加します。

フロープロセッサが、固有の送信元IPアドレス、宛先IPアドレス、送信元ポート、宛先ポート、および802.1q VLANフィールドを含むその他の特定のプロトコルオプションを持つ最初のパケットをフロープロセッサが検出すると、フローが開始されます。

新しいパケットが評価されます。バイト数とパケット数は、フローレコードの統計カウンターに追加されます。一定の間隔の終わりに、フローのステータスレコードが フロー プロセッサー に送信され、フローの統計カウンターがリセットされます。フローは、設定された時間内にフローのアクティビティが検出されない場合に終了します。

フロー プロセッサー は、以下の内部ソースまたは外部ソースからのフローを処理できます。

  • 外部ソースは、netflow、sflow、jflowなどのフローソースです。外部ソースは、専用 フロー プロセッサー または フロー プロセッサー アプライアンスに送信できます。フローを構築するためにすべてのパケットが処理されないため、外部ソースは CPU 処理をそれほど必要としません。この構成では、フロー データを受信および作成する専用 フロー プロセッサーフロー プロセッサー を使用できます。小規模な環境(50 Mbps 未満)では、オールインワンアプライアンスですべてのデータ処理を処理できます。

  • フロー プロセッサーは、SPAN ポートまたはネットワーク TAP に接続して内部フローを収集します。JSAフロープロセッサは、キャプチャカードからパケットキャプチャアプライアンスにフルパケットを転送できますが、完全なパケット自体はキャプチャされません。

次の図は、ネットワーク内のフローを収集するためのオプションを示しています。

図 2:JSA フロー JSA Flows

フローパイプライン

フロー プロセッサーは、SPAN、TAP、モニター セッションなどの監視ポートから収集された生のパケットから、または netflow、sflow、jflow などの外部フロー ソースからフロー データを生成します。その後、このデータは JSA フロー形式に変換され、処理のためにパイプラインに送信されます。

フロー プロセッサは、次の機能を実行します。

  • フロー重複排除

    フロー重複排除とは、複数の フロー プロセッサー がフロー プロセッサー アプライアンスにデータを提供する際に重複 するフロー を削除するプロセスです。

  • 非対称的な暗号化

    データが非対称に提供される場合、各フローの両側を組み合わせる必要があります。このプロセスでは、フローをそれぞれの側から認識し、それらを 1 つのレコードに組み合わせることができます。ただし、フローの片側のみが存在する場合があります。

  • ライセンス調整

    システムへの受信フローの数を監視して、入力キューとライセンスを管理します。

  • 転送

    オフサイトターゲット、外部Syslogシステム、JSONシステム、その他のSIEMにフローデータを送信するなど、システムのルーティングルールを適用します。

フロー データはカスタム ルール エンジン(CRE)を通過し、設定されたルールと相互に関連付けされるため、この相関に基づいて攻撃を生成できます。オ フェンスタブを 表示します。

関連ドキュメント