Botnet Detection アクティビティを監視する
ボットネット マルウェアが感染し、ボットネット指令および制御サーバーと通信しようとするネットワーク上のクライアントを識別するために、ネットワークの Botnet Detection アクティビティを監視できます。
Botnet Detection 統計
ダッシュボード > 登録サービス の順に選択します。
登録サービス タブを選択します。
Botnet Detection ログ メッセージ
Firebox が、ボットネット指令および制御サーバーと通信しているネットワーク上の感染したクライアントを検出した場合に Firebox でログ メッセージを生成するように構成できます。Botnet Detection ログ メッセージには、トラフィックのソースおよび宛先 IP アドレスが表示されます。例:
Jan 1 10:25:40 2016 WatchGuard-Firebox local0.warn firewall: msg_id="3000-0148" Deny 4-Optional-3 0-External 84 icmp 20 63 10.0.5.97 42.62.40.103 8 0 id=4124 seq=3 botnet="destination" msg="blocked sites" (Internal Policy)
Jan 1 10:31:45 2016 WatchGuard-Firebox local0.warn firewall: msg_id="3000-0148" Deny 4-Optional-3 0-External 28 icmp 20 63 85.17.31.111 100.0.0.1 8 0 id=14608 seq=512 botnet="source" msg="blocked sites " (Internal Policy)
Botnet Detection 通知
Botnet Detection 登録サービスは、Reputation Enabled Defense (RED) から既知のボットネット サイト IP アドレスのリストを使用して、そのアドレスを Firebox のブロックされたサイトリストに追加します。ネットワーク上の Botnet Detection アクティビティを表示するには、ブロックされたサイトリストのログ記録設定を構成できます。
Policy Manager から、コンピュータがブロックされたサイトの使用を試みたときに、ログ メッセージを生成したり通知メッセージを送信するように Firebox を構成することができます。
ブロックされたサイトの構成 ダイアログ ボックスから、以下の手順を実行します。
- ログ記録 をクリックします。
ログ記録と通知 ダイアログ ボックスが開きます。 - 次のセクションの説明に従って、通知設定を構成します:ログ記録と通知の基本設定を行う。
Dimension での Botnet Detection
Firebox が Botnet Detection アクティビティのログ メッセージを生成するように構成し、Firebox が Dimension にログ メッセージを送信するように構成した場合、これらの Dimension ツールとレポートで Firebox 上の Botnet Detection アクティビティを表示できます。
- ツール > ダッシュボード > セキュリティ ダッシュボード
- ブロックされた上位の Botnet サイト
- ブロックされた上位クライアント
- ツール > ダッシュボード > 脅威マップ — ブロックされた Botnet サイト
- レポート > サービス > Botnet Detection — Botnet Detection アクティビティのトレンド
- レポート > 詳細 — Botnet Detection
詳細については、次を参照してください:セキュリティ ダッシュボード (Dimension)、脅威マップ、Dimension レポートについて。