はじめに: ログ
Resolution
私のファイアウォールを展開したが、ログはどこにありますか?
我々は完全に最新のファイアウォール上でフルボディの構成を持つ素敵なセットアップには、ボックスのすぐ外の工場出荷時のデフォルトの構成から行ってきました。今のユニットは、しばらくの間に沿ってトラフィックを通過されているので、私たちは、ログから学ぶことができるとどのレポートが利用可能です見てみましょう。
私は私のファイアウォールをアンパックしたチェックアウト、今何?、私は私のファイアウォールをアンパックして、あなたが私に言ったこと、今何ですか?と私は私のファイアウォールをアンパックし、vlan を設定したい場合は、まだまたは前の分割払いを見ていない我々が去った場所をもう一度見 てみよう
ファイアウォールがトラフィックを通過したら、トラフィックログを調べて、サーバーが生成しているトラフィックの種類を確認するか、またはコンピュータが感染しておらず、攻撃がブロックされていることを確認するための脅威ログを調べる必要があります。
[モニタ] タブに移動し、左側のペインからトラフィックログにアクセスすると、you'lll は、ログが最新のものから古いもの、上から下へと整然と並んでいるのを確認します。各ログエントリには、異なる列に複数の値があります。
- 受信時間は、ログが logdb で受信されたことを示し、セキュリティポリシーがセッションの開始時にログに設定されている場合、セッションの終了時にセキュリティポリシーがログに設定されたときに、セッションが開始された時点におおよそ対応します。、受信時間は、セッションが終了したおおよその時間に対応します。
- Type は、これがセッションの開始またはセッションログの終わりであるかどうかを示します。
- ゾーンとゾーンからは、SYN パケットの観点から、トラフィックがどのように開始されているかを示します。
- 送信元と送信先は、通信している IP アドレスを示します。
- ユーザー id が有効になっている場合、ソースユーザーを設定することができます-これについては後で説明します。
- ポートへの通信先ポートを示します。
- アプリケーションは、AppID によって検出されたアプリケーションを示します。
- アクションは、セッションが許可またはブロックされたかどうかを示します。
- ルールは、セッションの開始時に実行するアクションを決定するセキュリティルールを示します。
- セッション終了理由は、セッションが終了した理由を示します。考えられる理由は、RST パケットがサーバーまたはクライアントから受信された、tcp/udp のタイムアウト時間に達した、FIN パケットがクライアントまたはサーバーによって受信された、脅威が検出された、またはセキュリティポリシーが接続を拒否したことです。
- Byte は、ログが ' end ' 型の場合、セッション中に転送されたバイト数を示します。
これらの列は、単にデフォルトであり、さらにいくつかのアクティブまたは無関係のものを非アクティブにすることができます。列を別の場所に移動したり、[列の調整] オプションを使用して、画面に合わせて列のサイズを自動的に変更することもできます。
ログを簡単に検索できるようにするには、フィルタとして、または操作を追加します。検索バーの横にあるプラス記号をクリックして、利用可能なオプションの一覧からフィルタを追加するか、またはクエリを微調整するために使用できるフィルタの一覧が含まれているこの記事を参照してください。トラフィックモニタのフィルタリングの基本。
また、各ログエントリの横にある [詳細] アイコンをクリックして、追加の詳細を拡大することもできます。1つのセッションで複数の異なるログエントリが作成されることに注意することが重要です。パロアルトデバイス上の3つの主要なログの種類は次のとおりです。
- トラフィックログには、IP アドレス、ポート、アプリケーションなどの基本的な接続情報が含まれています。
- 特定のセッションで検出されたウイルスや悪用などの脅威の情報を含む脅威ログ。
- セッションでアクセスされた url を含む url ログ。
したがって、1つのセッションには複数のログエントリが関連付けられています。[ログの詳細] ビューでは、これらの情報を便利に相関させます。
左側のペインから脅威ログを開くと、少し異なる列のセットが表示されます。このビューでは:
- 種類が検出される脅威の種類に変更されます。
- ID は、特定の脅威のパロアルトネットワークの指定は、追加の詳細は、パロアルトネットワーク ThreatVault で見つけることができます。
- 攻撃者と被害者は、検出された脅威を送信していることを示す: クライアントが web サーバーへの送信接続を開始し、そのサーバーから悪意のあるファイルを受信して、宛先アドレスを作成すると、これはトラフィックログの反対方向にあることに注意してください。トラフィックは、攻撃者 (ソース) を脅威ログに記録します。
- この脅威に対するアクションは、リセットパケット、サイレントドロップ、またはセキュリティプロファイルで構成されている最も適切なものに応じて異なるアクションを実行できます。
- 重大度は、特定の脅威がどの程度危険かを示します。
脅威が検出されたときにパケットキャプチャを実行するようにセキュリティプロファイルが構成されている場合、脅威ログの横にあるダウンロード矢印を使用してパケットキャプチャを取得できます。
url ログに移動すると、web ブラウジングトラフィックについての追加情報を提供する別のビューが表示され、ユーザーがアクセスした url とカテゴリを確認できるようになります。
山火事の提出のログは、分析のために野火にアップロードされたファイルのリストを提供する予定であり、デフォルトでは、悪意があることが判明したすべてのファイルのログファイルを作成します。
また、良性のファイルに関するレポートを受信する場合は、左側のウィンドウの [セットアップ] の [デバイス] タブの [ワイルドファイア] タブを使用して、この機能をアクティブにできます。
山火事のログについてのクールなことは、詳細リンクは、ファイルのすべての詳細を示していますし、サンドボックス内の実行にかかったすべてのアクションを、ダウンロード pdf を含む完全な分析レポートに、あなたを取るということです。
野火を設定するためのクイックガイドについては、この記事を見てみましょうどのように野火の無料版を有効にするには、購入する前に試してください。あなたはまだ山火事のライセンスを取得していない場合は、それがあなたの武器に貴重な資産であることがわかります。
最後に、データフィルタログは、ファイルブロックプロファイルを含むセキュリティポリシーで開始されたファイルのアップロードまたはダウンロードを追跡します。ログは、ファイルが許可またはブロックされたかどうかも示します。
これらのすべてのログを利用できることは、特に特定の問題や孤立した事件を探しているが、ログを見て、組織内で何が起こっているの感を得るために効率的ではないかもしれないとしている素晴らしいです。このため、さまざまな定義済みレポートをボックスから利用できるようになり、ニーズに合わせたカスタムレポートを作成できます。
左ペインを下にスクロールすると、レポートにアクセスできます。そこから、右側のペインからレポートの種類を選択することができます (先に行くと、それらすべてをナビゲートし、彼らはすべての非常に興味深い詳細を持っている) と下部に日付を選択します。
レポートを共有する場合は、下部にあるボタンを使用して、pdf、xls、または xml を作成します。 あらかじめ定義されたレポートはすべて1日を表し、次の日の午前2:00 頃に生成されるので、「今日の」レポートは明日の朝に利用できるようにしておいてください。カスタムレポートでは、長い期間のデータを提供できます。
カスタムレポートを見て興味を持っている場合は、クールなビデオチュートリアルをご利用いただけます。
私はあなたがこの入門ガイドを楽しんでほしい-下記のコメントを残してお気軽にしてください。
敬具します。
トム Piens