NW機器

ネットワーク機器への不正接続の検知(PaloAlto)

この記事は投稿日から5年以上経過しています。

ネットワーク機器の空きポートに機器が接続された場合に、管理者へメールを通知する仕組みを作ります。

仕組み

LogStare Collectorを使用して、ネットワーク機器のポートがリンクアップした場合に障害として、メール通知を行うように設定します。

環境

LogStare Collector端末

  • IPアドレス:10.0.0.1/24
  • 監視ソフト:LogStare Collector 1.6.0
  • ライセンス:無償版

PaloAlto PA-220

  • IPアドレス:10.0.0.2/24 ※管理インターフェースに設定
  • SNMPコミュニティ名:lsc

メールサーバ

  • IPアドレス:10.0.0.3/24
  • 暗号化/認証:なし
  • 宛先メールアドレス:alert@secuavail.localdomain

 

設定手順

PaloAlto PA-220の設定

設定済みの場合は、「LogStare Collectorの設定」から実施します。

  1. SNMPコミュニティ名を設定
  2. SNMPを有効化
  3. 設定反映

SNMPコミュニティを設定

PA-220の管理画面から【Device>セットアップ>操作>その他>SNMPのセットアップ】をクリックします。

表示されたダイアログの【SNMPコミュニティ名】を設定して、【OK】をクリックします。

SNMPを有効化

PA-220の管理画面から【Device>セットアップ>インターフェース>Management】をクリックします。

表示されたダイアログの【ネットワークサービス>SNMP】と【ネットワークサービス>Ping】にチェックを入れ、【OK】をクリックします。

設定反映

PA-220の管理画面から【コミット】をクリックします。

表示されたダイアログの【コミット】をクリックします。

LogStare Collectorの設定

未インストールの場合はつきましては、下記の記事をご参照の上、インストールを実施ください。

また、インタフェース監視を設定済みの場合は、「3. 検知基準を変更」から実施します。

  1. 監視対象デバイス登録
  2. インタフェース監視設定の追加
  3. 検知基準を変更
  4. メールアドレスを設定

監視対象デバイス登録

以下のようにPA-220をデバイスとして登録します。

※詳細につきましては、下記の記事をご参照ください。
監視対象デバイスの設定

インタフェース監視設定の追加

以下のようにインタフェース監視項目を追加します。テスト結果よりステータスが「down」となっていることがわかります。

※詳細につきましては、下記の記事をご参照ください。
SNMP監視の設定

検知基準を変更

【監視・ログ収集設定>監視・収集>デバイス>PA-220】をクリックし、【監視収集一覧>先程登録した監視設定】をクリックします。

表示されたダイアログの【マッチング検知】の右の欄をクリックします。

表示されたダイアログの【マッチしたら異常】から【マッチしなかったら異常】へ値を変更して、【更新】をクリックします。
一つ前のダイアログに戻りましたら、ダイアログ右下の【追加】をクリックします。

メールアドレスを設定

最後にメールアドレスを設定します。

※詳細につきましては、下記の記事をご参照ください。
LogStare Collector における環境設定について

動作確認

PaloAlto PA-220のインタフェースのうち、ethernet1/8へLANケーブルを挿します。

設定したメールアドレス宛にアラートメールが通知されますので、LogStare Collectorへログインします。

LogStare CollectorのDSV上では、PA-220が障害となっています。

デバイスをクリックすると、障害の原因はethernet1/8であることがわかります。

 

以上です。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

【仕様】停止・起動処理を誤ると停止処理を受け付けなくなる前のページ

【仕様】ログに表示されるステータスコード一覧次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. ログフォワーダー「okurun.jar」について
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API監視について

    当記事では、Nutanix Prism におけるSNMP監視/REST…

  2. NW機器

    【仕様】VPNトンネルの認証方式においてIKE2を使用した場合、「FortiGuard_VPNステー…

    当記事の内容は、以下の記事に統合しました。LogStare C…

  3. Windows/Linux

    Windows10,11にSNMPの設定を追加する

    当記事では、Windows 10,11にSNMPの設定を投入する手順に…

  4. Windows/Linux

    Linuxにて特定のインバウンド通信を許可するための設定例

    当記事では、Linuxにて特定のインバウンド通信を許可するための設定例…

  5. NW機器

    VMware ESXiにおけるSNMPサービス有効化手順

    当記事では、VMware ESXiにおけるSNMPサービスの有効化方法…

  6. NW機器

    Allied Telesis(インテリジェント・エッジ・スイッチ)にSNMP v1/SNMPv2c設…

    当記事では、Allied Telesis社のインテリジェント・エッジ・…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  2. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  3. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  4. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  5. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
PAGE TOP