無線IDS
イベントを監視し、不正アクセスポイント(AP)、不正クライアント、悪意のあるネイバーAPの問題を解決します。
侵入検出システム(IDS)とは、ネットワークで発生するイベントを監視し、セキュリティ ポリシーに対するインシデントや脅威、侵害、緊急の脅威の兆候を分析するプロセスのことです。このダッシュボードでは、ワイヤレス環境でセキュリティ上の脅威を引き起こす可能性のある、次の種類の異常なデバイスの存在を確認できます。
- 不正 APとは、許可なくネットワークにインストールされた無線アクセスポイントのことです。通常、これは PC と同様にアクセス ポートに接続されたイーサネット ケーブルを介して LAN に接続された AP です。不正者の目的は、ネットワークへの不正アクセスを取得するなどの悪意のあるものから、デッドスポットと思われる場所をカバーするために従業員が独自のWi-Fiホットスポットを設定するなどの無害なものまであります。
- 不正クライアント は、不正 AP に接続しているユーザです。
- 悪意のある ネイバーAP は、お客様のネットワークに接続されていませんが、近くに潜んでおり、最も強い信号を持ち、認証要件がない可能性があります。その結果、クライアントはネイバーAPに接続し、それが自分のものであり、安全であると仮定して接続する可能性があります。
特徴および利点
-
不正または不正なネイバーAPやクライアントなど、異常なデバイスの存在に関するレポートを提供します。
-
不正イベントとIDSイベントのリアルタイムビューと履歴ビューの両方を提供し、ネットワークセキュリティ戦略の策定に役立てることができます。
始める前に
- ダッシュボードで使用できるオプションをよく理解します。 図 3 を参照してください。
-
ワイヤレス設定の詳細については Juniper Mistワイヤレス設定ガイド を参照してください。
-
Juniper Mist Premium Analyticsダッシュボードを使用するには、ライセンスが必要です。「 Mist Premium Analytics Trial License」を参照してください。
Wireless IDS ダッシュボードにアクセス
AP Insightsダッシュボードにアクセスするには:
- [Premium Analytics] ページで、[Wireless IDS] をクリックします。
図1:AP Insights
[Wireless IDS] ページが表示されます。
無線IDSタイル
地域別の脅威
[Threats by Geo] タイルには、選択した期間の AP によるトラフィック使用量が表示されます。
脅威で識別されたサイトをマップで表示できます。マップにカーソルを合わせると、サイトの場所、デバイスのタイプ(ネイバー、不正、または不正なクライアント)、およびデバイスの数が表示されます。マップをダブルクリックすると、マップの詳細ビューが表示されます。マップのハイライト表示された領域をクリックして、新しいウィンドウを開きます。ウィンドウに、デバイスの詳細のリストが表示されます。「 ダウンロード 」をクリックして、情報をダウンロードします。
脅威:タイプ別およびトレンド別
タイルには、選択した期間の異常または脅威デバイスの種類の分布と接続の傾向が表示されます。
次の詳細を表示できます。
- [Threats by Type]:異常または脅威の各 AP タイプの割合を表示します。グラフの横にある凡例を使用して、デバイスの種類の割合を確認できます。脅威の種類のデータを非表示にし、残りの種類のデータのみを表示するには、下の凡例で脅威の種類をクリックします。
- [脅威の傾向(Threats Trend)]:一定期間における脅威デバイスタイプの総数を表示します。脅威タイプのデバイスを表す折れ線グラフにカーソルを置くと、そのカテゴリに属する一意のデバイスの正確な数が表示されます。ある脅威の種類に関するデータをグラフから非表示にし、残りの脅威の種類に関するデータのみを表示するには、下の凡例で脅威の種類をクリックします。
グラフにカーソルを合わせると、特定の時点での異常または脅威デバイスの数が表示されます。
不正なAP
タイルには、選択した期間に存在する不正 AP の詳細が表示されます。
タイルには、次の詳細が表示されます。
- [SSID]:不正 AP が接続されている SSID。
- [AP Name]:AP の名前。
- BSSID:Basic Service Set Identification(BSSID)
- [タイプ(Type)]:AP のタイプ。不正なAPまたは不正なクライアント。
- [チャネル(Channel)]:不正 AP が接続されているチャネル番号。
- RSSI:不正 AP の受信信号強度インジケータ(RSSI)。
- [レポート時間(Report Time)]:レポートのタイムスタンプ。
- [最初の観測(First Observation)]:不正 AP が最初に検出された時刻。
- [Last Observation]:不正 AP が最後に確認された時刻。
- [Site Name]:不正 AP が接続されているサイトの名前。
ネイバーAP
タイルには、選択した期間に存在するネイバーAPの詳細が表示されます。
タイルには、次の詳細が表示されます。
- SSID:ネイバー AP が接続されている SSID。
- [AP Name]:AP の名前。
- BSSID—AP の基本サービス セット ID(BSSID)。
- [チャネル(Channel)]:ネイバー AP が接続されているチャネル番号。
- [平均 RSSI(Average RSSI)]:不正 AP の平均受信信号強度インジケータ(RSSI)。
- [確認者(Seen By)]:ネットワークの近くで AP が検出された回数。
- [最初の観測(First Observation)]:ネイバー AP が最初に検出された時間。
- [Last Observation]:ネイバー AP が最後に確認された時刻。
- [Site Name]:ネイバー AP が接続されているサイトの名前。
承認済みAP
タイルには、選択した期間に存在する承認済みAPの詳細が表示されます。
承認されたAPに接続されているクライアントの数と、APが存在するサイトを確認できます。チャートをクリックすると、新しいウィンドウが開き、詳細が表示されます。ここでは、クライアントデバイス名、WLAN SSID、AP名などの詳細を確認できます。
セキュリティ アラームとトレンド
タイルには、セキュリティ アラームの分布とイベントのアラームの傾向が表示されます。
次の詳細を表示できます。
- [セキュリティ アラーム(Security Alarms)]:脅威のタイプに対するアラーム通知の割合を表示します。グラフの横にある凡例を使用して、脅威の種類の通知の割合を確認できます。脅威の種類のデータを非表示にし、残りの種類のデータのみを表示するには、下の凡例で脅威の種類をクリックします。
- [脅威の傾向(Threats Trend)]:一定期間のアラーム通知の傾向を表示します。脅威タイプのアラームを表す折れ線グラフにカーソルを置くと、そのカテゴリに生成されたアラームの正確な数が表示されます。脅威の種類の通知に関するデータをグラフから非表示にし、残りの通知に関するデータのみを表示するには、下の凡例で脅威の種類をクリックします。
セキュリティ アラームの詳細
タイルには、選択した期間のアラーム通知の詳細が表示されます。
タイルには、次の詳細が表示されます。
- アラームタイムスタンプ—レポートが生成された現地時間。
- [タイプ(Type)]:アラーム通知が生成された脅威のタイプ。
- [SSID]:脅威デバイスが接続されている SSID。
- [AP]:AP の名前。
- [グループ名(Group Name)]:アラートのタイプ。
- [重大度(Severity)]:イベントの重大度タイプ(重大、情報、警告)
- BSSID—AP の基本サービス セット ID(BSSID)。
- [Site Name]:ネイバー AP が接続されているサイトの名前。