NW機器

ネットワーク機器への不正接続の検知(PaloAlto)

この記事は投稿日から5年以上経過しています。

ネットワーク機器の空きポートに機器が接続された場合に、管理者へメールを通知する仕組みを作ります。

仕組み

LogStare Collectorを使用して、ネットワーク機器のポートがリンクアップした場合に障害として、メール通知を行うように設定します。

環境

LogStare Collector端末

  • IPアドレス:10.0.0.1/24
  • 監視ソフト:LogStare Collector 1.6.0
  • ライセンス:無償版

PaloAlto PA-220

  • IPアドレス:10.0.0.2/24 ※管理インターフェースに設定
  • SNMPコミュニティ名:lsc

メールサーバ

  • IPアドレス:10.0.0.3/24
  • 暗号化/認証:なし
  • 宛先メールアドレス:alert@secuavail.localdomain

 

設定手順

PaloAlto PA-220の設定

設定済みの場合は、「LogStare Collectorの設定」から実施します。

  1. SNMPコミュニティ名を設定
  2. SNMPを有効化
  3. 設定反映

SNMPコミュニティを設定

PA-220の管理画面から【Device>セットアップ>操作>その他>SNMPのセットアップ】をクリックします。

表示されたダイアログの【SNMPコミュニティ名】を設定して、【OK】をクリックします。

SNMPを有効化

PA-220の管理画面から【Device>セットアップ>インターフェース>Management】をクリックします。

表示されたダイアログの【ネットワークサービス>SNMP】と【ネットワークサービス>Ping】にチェックを入れ、【OK】をクリックします。

設定反映

PA-220の管理画面から【コミット】をクリックします。

表示されたダイアログの【コミット】をクリックします。

LogStare Collectorの設定

未インストールの場合はつきましては、下記の記事をご参照の上、インストールを実施ください。

また、インタフェース監視を設定済みの場合は、「3. 検知基準を変更」から実施します。

  1. 監視対象デバイス登録
  2. インタフェース監視設定の追加
  3. 検知基準を変更
  4. メールアドレスを設定

監視対象デバイス登録

以下のようにPA-220をデバイスとして登録します。

※詳細につきましては、下記の記事をご参照ください。
監視対象デバイスの設定

インタフェース監視設定の追加

以下のようにインタフェース監視項目を追加します。テスト結果よりステータスが「down」となっていることがわかります。

※詳細につきましては、下記の記事をご参照ください。
SNMP監視の設定

検知基準を変更

【監視・ログ収集設定>監視・収集>デバイス>PA-220】をクリックし、【監視収集一覧>先程登録した監視設定】をクリックします。

表示されたダイアログの【マッチング検知】の右の欄をクリックします。

表示されたダイアログの【マッチしたら異常】から【マッチしなかったら異常】へ値を変更して、【更新】をクリックします。
一つ前のダイアログに戻りましたら、ダイアログ右下の【追加】をクリックします。

メールアドレスを設定

最後にメールアドレスを設定します。

※詳細につきましては、下記の記事をご参照ください。
LogStare Collector における環境設定について

動作確認

PaloAlto PA-220のインタフェースのうち、ethernet1/8へLANケーブルを挿します。

設定したメールアドレス宛にアラートメールが通知されますので、LogStare Collectorへログインします。

LogStare CollectorのDSV上では、PA-220が障害となっています。

デバイスをクリックすると、障害の原因はethernet1/8であることがわかります。

 

以上です。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

【仕様】停止・起動処理を誤ると停止処理を受け付けなくなる前のページ

【Linux版LSCのみ】WMI監視・収集を有効化する方法次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. ログフォワーダー「okurun.jar」について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. PaloAlto

    PaloAltoでのパケットキャプチャ手順

    当記事では、PaloAltoにおいて、パケットキャプチャを行う手順を記…

  2. PALOALTOのURLフィルタリングのカテゴリ例外における脆弱性
  3. ログ分析・監視テクニック

    ZabbixヒストリデータをLSCにて収集する方法について

    当記事では、ZabbixヒストリデータをLogStare Collec…

  4. NW機器

    Cubro社Packetmasterによる複数のSyslog/SNMP-Trap転送を可能にする

    当記事では、Cubro社のPacketmasterを使用して、既存環境…

  5. Windows/Linux

    LSCサーバのWindowsファイアウォールにてWMI、Syslog、SNMP、PING通信を許可す…

    当記事では、LSCサーバのWindowsファイアウォールにてWMI、S…

  6. WatchGuard Fireboxのログを収集するための設定方法

    NW機器

    WatchGuard Fireboxのログを収集するための設定方法

    当記事では、WatchGuard社FireboxシリーズのログをSys…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  2. 実践記事

    DNSキャッシュポイズニングやってみた
  3. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  4. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  5. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
PAGE TOP