社外への通信に対してアラート設定し、
社内で使用しているIPアドレスをアラートの対象外として登録してみましょう。
社内で使用しているIPアドレスをアラートの対象外として登録してみましょう。
各サーバー、クライアントPCの通信セッションを
ログとして収集、管理できます。また、あらかじめ設定した
サーバーやIPアドレス以外への通信を検知、遮断できます。
マルウェアなどに感染したクライアントPCが、意図せず外部のサーバーなどへ
通信を行っている場合や、不正に接続しようとした場合などに、
通信を検知、遮断することで情報漏洩の被害を最小限に抑えます。
ログとして収集、管理できます。また、あらかじめ設定した
サーバーやIPアドレス以外への通信を検知、遮断できます。
マルウェアなどに感染したクライアントPCが、意図せず外部のサーバーなどへ
通信を行っている場合や、不正に接続しようとした場合などに、
通信を検知、遮断することで情報漏洩の被害を最小限に抑えます。
設定タブの「アラート設定」をクリック!
その他アラートより、「想定外TCP通信」にチェックを入れ、「設定」をクリック!
アラート設定の「禁止」にチェックを入れます。「追加」をクリック!
「条件名」と「アラート対象から除外する通信先IPアドレス範囲」を設定します。
IPアドレス範囲には、社内で使用しているIPアドレスを除外対象として指定します。
IPアドレス範囲には、社内で使用しているIPアドレスを除外対象として指定します。
「OK」をクリック!
社内で使用しているIPアドレスをアラート除外設定として登録できました。「OK」をクリック!
実際に、どのようなアラートが検知されているか、ログ閲覧画面で確認してみましょう。
「想定外TCP通信」を選択し、「検索」をクリック!
アラート除外条件の範囲外のIPドレスへの接続がログで確認できました。
禁止設定にしているため、クライアント側での通信は行われません。
禁止設定にしているため、クライアント側での通信は行われません。
ログの詳細を見てみましょう。ログを選択し、「詳細表示」をクリック!
詳細表示画面では、「どの端末が」「いつ」「どこに通信しようとしたのか」を
ひと目で確認することができます。
ひと目で確認することができます。
ログの確認後、通信が行われた経緯を後追いします。
結果、マルウェアなどに感染したクライアントPCが発見された場合は、感染元を確認し、排除することで被害の拡大を防ぎます。
結果、マルウェアなどに感染したクライアントPCが発見された場合は、感染元を確認し、排除することで被害の拡大を防ぎます。