パロアルトネットワークス社の次世代ファイアウォールでは、識別できなかったアプリケーションを「unknown-tcp」「unknown-udp」「unknown-p2p」に分類します。
Unknownと識別される通信は、社内の独自アプリケーションの通信や、マルウェアなどが使用する独自暗号化通信の可能性があります。
未知の通信(Unknown通信)を可視化し認識することは、社内ネットワークのリスクを把握するためにも重要です。
社内の独自アプリケーション通信など用途が判明しているものは、カスタムシグネチャを作成し識別させることができます。
Unknownとなる通信を減らすことで、ノイズが減り不適切な通信を特定しやすくなります。
目次
Unknownアプリケーションの表示
Unknownアプリケーションは、ファイアウォール本体の機能(※)で表示可能です。
※ログ一覧、ACC、レポート機能など
PALallaxでの可視化
弊社が提供しているPALallaxでも、グラフを用いてUnknownアプリケーションを可視化することが可能です。
グラフ内をクリックすることで簡単にフィルタを掛けることが可能なので、分析(※)にも最適です。
※Unknownアプリケーションを使用しているIP、ユーザ、時間帯の特定など
PALallaxダッシュボードへの追加
Unknownアプリケーションを表示させるグラフ(ウィジェット)は、
PALallaxにデフォルトで用意されていないため、以下の方法で追加をして下さい。
1.グラフのダウンロード
下記リンク先より、”Download linkを右クリック”→”リンク先を名前をつけて保存”を選択し、「Visualizations_Unknown_App.json」を保存して下さい。
2.グラフのインストール
PALallaxに接続し、上メニューから「Settings」→「Objects」の順に選択。
「Import」をクリックし、ファイル選択画面からダウンロードしたjsonファイルを選択します。
※「Unknown App」グラフがPALallaxにインストールされます
3.ダッシュボードへのグラフ追加
以下のリンク先を参照し、「Unknown App」グラフをダッシュボードに追加します。
4.確認
ダッシュボードに「Unknown App」グラフが追加されたことを確認します。
円グラフの外枠がプロトコル(UDP/TCP)、内枠がポート番号を表示しています。
集計は、トラフィック量(Byte)をもとにしています。
今後も下記リンク先で、随時グラフを追加していきます。