トラフィック プロファイルの概要
トラフィック プロファイルはプロファイル生成時間枠(PTW)内に収集した接続データを基に、ネットワーク トラフィックをグラフで表したものです。この測定結果が正常なネットワーク トラフィックを表しているものと推定します。学習期間が経過すると、新たなトラフィックをプロファイルに照らして評価することで異常なネットワーク トラフィックを検出します。
デフォルト PTW は 1 週間ですが、最短で 1 時間、最長で数週間に変更できます。デフォルトで、トラフィック プロファイルは 5 分間隔でシステム生成の接続イベントに関する統計情報を生成します。ただし、このサンプリング レートは最大 1 時間間隔まで拡大することができます。
ヒント |
シスコは少なくとも 100 のデータ ポイントを含む PTW の設定を推奨します。統計的に意味のある十分なデータがトラフィック プロファイルに含まれるように、PTW とサンプリング レートを設定する必要があります。 |
次の図は、PTW を 1 日、サンプリング レートを 5 分としたトラフィック プロファイルを示しています。
また、トラフィック プロファイルの非アクティブ期間を設定することもできます。トラフィック プロファイルは非アクティブ期間もデータ収集を行いますが、収集したデータをプロファイル統計の計算に使用しません。トラフィック プロファイルの時系列グラフでは、非アクティブ期間が網掛け領域として示されます。
たとえば、すべてのワークステーションが毎日深夜 0:00 にバックアップされるネットワーク インフラストラクチャがあるとします。バックアップには約 30 分かかり、その間はネットワーク トラフィックが急増します。予定されたバックアップ時間に合わせてトラフィック プロファイルの非アクティブ期間を繰り返すよう設定します。
(注) |
システムは接続の終了データを使って接続グラフとトラフィック プロファイルを作成します。トラフィック プロファイルを使用するには、必ず Firepower Management Center データベースに接続の終了イベントをロギングしてください。 |
トラフィック プロファイルの実装
トラフィック プロファイルを有効にすると、システムは設定した学習期間(PTW)の間接続データを収集し、評価します。システムは学習期間が経過すると、トラフィック プロファイルを対象にした相関ルールを評価します。
たとえば、ネットワークを通過するデータ量(パケット数、KB 数、または接続数で測定)が、平均トラフィック量に比べて標準偏差の 3 倍も急激に上昇した場合、攻撃または他のセキュリティ ポリシー違反を示す可能性があると判断してトリガーするルールを作成できます。その後、このルールを相関ポリシーに組み込んで、トラフィックの急増に関するアラートを出したり、応答として修復を実行したりできます。
トラフィック プロファイルの対象設定
トラフィック プロファイルは、プロファイル条件とホスト プロファイル限定による制約を受けます。
プロファイル条件を使って、すべてのネットワーク トラフィックをプロファイリングすることもできます。また、トラフィック プロファイルの対象を絞って、特定のドメイン、特定のドメイン内や複数のドメイン内のサブネット、または個別のホストをモニタすることもできます。マルチドメイン展開では次のプロファイリングが可能です。
-
リーフ ドメイン管理者は、リーフ ドメイン内のネットワーク トラフィックをプロファイリングできます。
-
高位レベル ドメインの管理者は、ドメイン内または複数ドメインでトラフィックのプロファイリングができます。
また、プロファイル条件では接続データに基づく基準を設けてトラフィック プロファイルを制約することもできます。たとえば、特定のポート、プロトコル、アプリケーションが使われているセッションのみトラフィック プロファイルでプロファイリングを行うようにプロファイル条件を設定できます。
また、トラッキング対象のホストに関する情報を使用してトラフィック プロファイルを制約することもできます。この制約は、ホスト プロファイル限定と呼ばれます。たとえば、重要度の高いホストに限定して接続データを収集できます。
(注) |
トラフィック プロファイルを高位レベルのドメインに制約すると、各子孫リーフ ドメインのトラフィックと同じ種類のトラフィックが集約され、プロファイリングされることになります。システムは、各リーフ ドメインに個別のネットワーク マップを作成します。マルチドメイン展開では、複数ドメインにまたがってトラフィック プロファイリングを行うと予期せぬ結果につながることがあります。 |
トラフィック プロファイル条件
単純なトラフィック プロファイル条件とホスト プロファイル限定を作成できます。また、複数の条件の組み合わせとネストによってより複雑な構造を作成することもできます。
条件には、カテゴリ、演算子、および値という 3 つの部分があります。
-
使用できるカテゴリは、トラフィック プロファイル条件を作成しているか、それともホスト プロファイル限定を作成しているかに応じて異なります。
-
使用できる演算子は、選択したカテゴリによって異なります。
-
条件の値を指定するために使用できる構文は、カテゴリと演算子に応じて異なります。場合によっては、テキスト フィールドに値を入力する必要があります。それ以外の場合、ドロップダウンリストから 1 つ以上の値を選択できます。
ホスト プロファイル限定の場合、開始側または応答側のホストに関する情報のデータを使用して、トラフィック プロファイルに制約を適用するかどうかを指定する必要もあります。
構造に複数の条件を含める場合は、それらの条件を [および(AND)] 演算子または [または(OR)] 演算子で結合する必要があります。同じレベルにある複数の条件は、合わせて評価されます。
-
AND 演算子は、制御対象のレベルにあるすべての条件を満たす必要があることを示します。
-
[または(OR)] 演算子は、制御対象のレベルにある複数の条件の少なくとも 1 つが満たされている必要があることを示します。
制約が適用されていないトラフィック プロファイル
モニタ対象ネットワーク セグメント全体のデータを収集するトラフィック プロファイルを作成する場合、次の図に示すように、条件を含まない非常に単純なプロファイルを作成できます。
単純なトラフィック プロファイル
プロファイルに制約を適用して、1 つのサブネットのデータのみを収集するには、次の図に示すように 1 つの条件を追加できます。
複雑なトラフィック プロファイル
次のトラフィック プロファイルには、[および(AND)] で結合された 2 つの条件が含まれています。つまり、両方の条件とも満たされる場合に限り、このトラフィック プロファイルは接続データを収集します。この例では、特定のサブネット内の IP アドレスを持つすべてのホストに関する HTTP 接続を収集します。
一方、次のトラフィック プロファイルでは、2 つのサブネットのいずれかの HTTP アクティビティに関する接続データを収集しますが、最後は複合条件を構成しています。
論理的には、上記のトラフィック プロファイルは次のように評価されます。
(A and (B or C))
条件 |
条件で指定する内容 |
---|---|
|
アプリケーション プロトコル名が HTTP である |
|
IP アドレスが 10.4.0.0/16 内にある |
|
IP アドレスが 192.168.0.0/16 内にある |