Chapter 47

レポート設定

twsnmp
twsnmp
2022.07.20に更新

TWSNMP FCで作成するレポートの設定を行う画面についての説明です。

レポート設定の画面を表示する

メニューの「システム設定」ー「レポート」をクリックしてください。

レポート設定画面

のような感じです。

使用してよいローカルIPアドレス

管理しているネットワークで使用してよいローカルIPアドレスを指定します。指定したアドレス以外のローカルアドレスを見つけたらペナルティーを設定して信用スコアを下げます。設定は正規表現で指定できます。簡易な方法としてワイルドカード(*)も使えます。ワイルドカードを使う場合は最後に*を指定します。それ以外は正規表現として扱います。
例えば、192.168.1.xのネットワークなら、192.168.1.*と指定できます。細かく設定したければ正規表現を使ってください。

日本とローカル以外のサーバーは安全と思わない

サーバーなどのIPアドレスの位置が日本かローカル以外の場合にペナルティーを設定して信用スコアを下げます。IPアドレスから位置情報を取得するためには、GEOIPデータベースのファイルを登録する必要があります。登録方法はマップ設定を見てください。

安全と思わない国

サーバーなどのIPアドレスの位置が、ここで設定した国の場合にはペナルティーを設定して信用スコアを下げます。よく使うものはリストから選択できます。リストに無い国は、2文字の国コードをカンマ区切りで指定してください。

安全と思わないサービス

管理しているネットワークで利用してはいけないサービスを指定します。Netflowやtwpcapセンサーなどで検知した場合にペナルティーを設定して信用スコアを下げます。よく使うものはリストから選択できます。リストに無いものは、http/tcpなどのようなサービス名をカンマ区切りで指定します。
サービス名は、

https://github.com/twsnmp/twsnmpfc/blob/main/conf/services.txt

をみて何となくわかる人は使ってください。リストから選択したほうが無難です。

安全なDNSサーバー

管理しているネットワークで利用してよいDNSサーバーのIPアドレスをカンマ区切りで指定します。指定したDNSサーバー以外にDNSの問い合わせを行ったデバイスやサーバーにペナルティーを設定して信用スコアを下げます。
空欄にすれば、どのDNSサーバーと通信してもペナルティー設定されません。

安全なDHCPサーバー

管理しているネットワークで利用してよいDHCPサーバーのIPアドレスをカンマ区切りで指定します。指定したDHCPサーバー以外が稼働している場合にペナルティーを設定して信用スコアを下げます。通常はDHCPサーバーが複数稼働しているネットワークはないと思います。

安全なメールサーバー

管理しているネットワークで利用してよいメールサーバーのIPアドレスをカンマ区切りで指定します。メールサーバーの判断はSMTP、IMAP、POP3の通信で行っています。指定したメールサーバー以外とメールのための通信を行うとペナルティーを設定して信用スコアを下げます。
会社の中のネットワークから個人のメールサーバーにアクセスしているとかを検知できます。

安全なAD/LDAPサーバー

管理しているネットワークで利用してよいActive Directoryサーバー、LDAPサーバーのIPアドレスをカンマ区切りで指定します。指定したサーバー以外とADやLDAPの通信を検知したらペナルティーを設定して信用スコアを下げます。

レポートで利用するフローデータの最小パケット数

Netflowの情報からレポートを作成する場合にネットワークスキャンなどのノイズにより本来サーバーではないものをサーバーを誤認識することを防ぐために設定する項目です。この設定よりパケット数が少ないNetflowの情報はレポートの作成に利用しません。

安全なデバイス、サーバー、フローの保持時間

信用スコアの高いデバイス、サーバー、フローなどのレポートの項目を保持する時間です。通常はマップ設定のログの保持時間の間レポートの項目を保持していますが、安全なものは早く消していくようにしてレポートの肥大化を防ぐようにしています。

MACアドレスが不明のIPもレポートに含める

IPアドレスのレポートには基本的にMACアドレスがわかっているものだけ登録するようになっています。MACアドレスが不明の外部サイトのIPアドレスもレポートに表示したい場合にオンにします。レポートが大量になると思いますので注意してください。

レポートにはセンサーが必要

通信に関連したレポートを表示するためにはセンサーが必要です。デバイスの検知には、内蔵のARP監視かtwpcapセンサーが必要です。サーバー、フロー、IPアドレスの検知にはNetflowセンサーが必要です。DNS、TLSなどの通信状況を取得するためにはtwpcapセンサーが必要です。その他にWindowsのイベントログやWifiのAP、Bluetoothデバイスの情報を集めるセンサーもあります。詳しくは別の記事に書きます。
センサーが稼働していないと、この記事で説明した設定をしてもレポートに何も表示されません。