システムサービス設定 - Decision Japan

Download Report

Transcript システムサービス設定 - Decision Japan 

トレーニングガイド
デモサーバー @
www.decisionjapan.com
ID: root
PW:000000
目次
1. ハードウェア構成
2. ハードウェアスペック診断
3. ログインメニュー
4. ライセンス登録メニュー
5. ホームメニュー
6. サービスメニュー(通用機能)
7. サービスメニュー(特別機能)
8. HTTP再構築設定
9. 検索メニュー
10. 統計レポート
11. システムステータスメニュー
12. 通知サービスメニュー
13. システムツールメニュー
14. システム設定メニュー
15. E-Detectiveシステムの強み
ハードウェア構成
必要なハードウェア
1.E-DETECTIVE SYSTEM
2.ミラー機能付きのスイッチ または TAP
3.管理用PC
4.ネットワークケーブル
E-DETECTIVE
推奨環境
ミラー機能付きのスイッチ、
またはTAPに接続します。
INTERNET
DMZ
Firewall/UTM/Router
サーバ
サーバファーム
SWITCH/TAP
Port 1
ユーザー
ユーザー
Port 23
管理ポート
Port 24
捕捉ポート
E-DETECTIVE
ハードウェア構成
前頁参照
1.E-Detective Systemの
ネットワークポート“eth0”は捕捉ポートとして使われ、
スイッチのミラーポート24に接続します。ポート1が
ポート24にミラーされます。
2.もう一つのネットワークポートは管理ポート “eth1”と
して使われます。
スイッチの通常ポート(例23)に接続します。
E-Detectiveハードウェア診断
ハードウェア診断の手順
マニュアル
Training Guide\Diagnostic CD User
Manual.doc
ログインメニュー
ログインメニュー
使用前の説明
ディフォルト ID は
‘root’
ディフォルトは
‘000000’
システムログダウン
ロードへのリンク
言語選択
システムログのダウンロード
バグ対応や問題調査のため、管理者はシス
テムの各処理のログをダウンロードするこ
とができます。パスワードは “!” です。
パスーワードは“!”
クリックでダウンロードします
ライセンス登録メニュー
ライセンス登録メニュー
ステップ 1. シリアル番号の入力
ステップ 2. シグネチャファイルをダ
ウンロードし、
[email protected] へ送る
ステップ 3.
[email protected] から送
付されたライセンスファイルをアッ
プロードする
ホームメニュー
ホームメニュー
トップ – サービスやシステム設定メニュー
キーワード検索
各サービスの通信量統計データ
ホームメニュー
レポート更新
レポートのメール送信
統計レポートへのリンク
オンラインユーザーリストへの
リンク
サービスメニュー
(良く使われる機能)
サービスメニュー(POP3で解説)
クリックでデータを更新
添付ファイルフラグ
アカウントリストへのリンク
クリックでコンテンツをダウ
ンロードする
サービスメニュー(POP3で解説)
クリックで選択したレコードを削除する
チェックボックス
クリックで選択する
サービスメニュー(POP3で解説)
カレンダー
POP3データに対する検索
サービスメニュー(POP3で解説)
メールでの転送
ソースコードの表示
文字化けした件名のコード変換
サービスメニュー(その他アイコン)
各ページに表示される件数の設定
このアイコンの上にマウスを移動したら、
IPアドレスが表示される
類似検索
入力したページの番号へのジャンプ
サービスメニュー(その他アイコン)
WhoIs: ドメイン名情報、相手先IPアドレスやホスト名を表示します。
インターネット経由でIPアドレスの調査が出来ます。
サービスメニュー(特別機能)
HTTPダウンロード・アップロード
捕捉ルール: 拡張子の設定で捕捉するファイルを設定します。二つの設定ができます 。
1. 全ての拡張子
2.手動で登録された拡張子リスト
未知の接続メニュー
このメニューは解析できない接続の未知なサービスの通信の情報を表示します。この情報は管
理者が異常なネットワーク接続や活動を調査する時に有効です。
VoIP
オプションのVoIPライセンスを購入後このメニューでアップロードし VoIPの捕捉と再構築
モジュールを起動出来ます。
HTTP再構築設定
HTTP再構築サービス
HTTP再構築サービスは閲覧されたウェブページを元に再現することができます。
(但し適切な手順での設定する必要です)
ステップ1.
「システムサービス」へ移動
HTTP再構築サービス
ステップ2.
HTTP再構築プロキシサーバーを起動する
HTTP再構築サービス
ステップ3.
「捕捉サービス」へ移動
ステップ4.
「Webページ再構築」を起動する
HTTP再構築サービス
ステップ5.
インターネットブラウザーのプロキシサーバー設定をE-Detective
システムのIPアドレスに変えます。 例、192.168.1.60 ポート: 8888
ステップ6.
設定完了
データ検索メニュー
高度なデータ検索
“検索条件の保存”:入力された検索条件を
リストへ登録
関連検索
この機能はキーワード、IPアドレス、アカウントにより、対象アカウントを検索出来
ます。下記はキーワード「Ronnie」を使った例となります。
1.
3.
2.
捕捉ファイルリスト
対象ファイルがネットワーク外に流出されたかどうか調査するため、このメニューでアップ
ロードし、システムの捕捉ファイルリスト上の各ファイルと比べます。この機能はファイル
シグネチャで比較するので、ファイル名が意図的に変更されても流出を検知します。
1.
2.
ブックマーク
データ検索の結果はブックマーク指定可能、ブックマークはブックマークメニューに保存さます。
簡易検索
こちらにクリック
したら、ブック
マークメニューが
表示される
統計レポート
ネットワークサービス使用状況レポート
(詳細)
1.
3.
条件を設定し、[検索]をクリック
図表のダウンロード、または、スタイルの変更ができます
2.
クリックで図表を表示
ネットワークサービス使用状況レポート
(詳細)
1.
条件とIPアドレスを設定する
2. クリックで図表を表示する
ネットワークサービス使用状況レポート
円グラフ上のサービスの一部をクリックすると、関連するデータの一覧にリンクします。
ネットワークサービス使用状況レポート
(週間)
棒グラフ上のサービスの一部をクリックすると、
そのサービスの週間棒グラフへリンクされる。
棒グラフ上のサービスの一部をクリックした
ら、関連するデータの一覧にリンクされる。
Webサイトアクセスとユーザーランキング
1. ユーザー閲覧数によるウェブサイトラ
ンキング
2. 特定なサイトをアクセスしたユーザーの
ランキングと使用状況
オンラインユーザーリスト
ユーザーがオンライン状態であれば、
パソコンのアイコンを表示します。
現時点のオンラインユーザー数
ユーザーIPアドレスの隣にあるアイコンをクリックすると、このIPアドレスと他
サービスで捕捉されたアカウント、ユーザー名との関連にリンクされます。
オンラインユーザーリスト
IPアドレスからユーザーを簡単に認識す
るため、こちらの編集ボタンを選択して、
IPアドレスにPC名を設定することがで
きます。
アカウント名をクリックしたら、このユーザー
の通信量統計レポートが開かれます
オンラインユーザーリスト(ツールバー)
①
②
③
④
⑤
⑥
⑦
⑧
1.オンラインユーザーリスト: リスト内容を更新する
2. 登録/削除:
オンラインIPアドレスを作成、削除、または、自動検索する
検索 - 管理者がサブネットを指定し、ネットワーク上のIPアドレスを検索する
ことができます。
3. IP設定:
特定なIPアドレスを捕捉対象から除外する設定
管理者は特定なIPアドレスを捕捉対象から除外することができます。
4. インポート/エクスポート: オンラインリストをインポート/エクスポートする
IPリストフォーマット: IP, PC名, グループ. エクセルファイルを.CSV 拡張子で
保存してください。
5. 除外リスト:
捕捉対象から除外されたIPアドレスのリスト
6. 検索:
特定なIPアドレス/アカウントを検索する
7. アカウント検知:
アカウントのオンライン状態の検知サービスの稼動設定
特定なIPアドレスのオンライン状態を検知対象から除外する設定ができます。
8. レポート送信:
オンラインIPアドレスリストをEメールで送信する
最近一ヶ月のキーワード分布
この検索機能はあるキーワードが最近一ヶ月に通信されたデータの中に
含まれた頻度を表します。
日次レポート設定
日次レポートの送信スケジュールとメー
ル内容の設定ができます。
管理者が日次レポート(エクセルファイル)を
手動でダウンロード出来ます。
システムステータスメニュー
ログインリスト
E-Detectiveシステムへの全てのログインイベントを一覧として表示します。ロ
グイン状態、ログインID、IPアドレス、時刻、言語などの情報が表示されます。
メンテナンス
Sniff Mod
パッケット捕捉プロセス。このプロセスはRawデータをネットワークカードで捕捉します。[再表
示] ボタンで捕捉されたデータ量の増加を確認することにより捕捉状況の確認ができます。また、
グラフをクリックすることでネットワーク通信量を確認することができます。
OpenRaw
Rawデータパッケットを分類するプロセス。パッケットがどのサービス/アプリ/プロトコルに属す
ることを認識するプロセス
Parser
Rawデータの解析と再構築プロセス。捕捉されたrawデータのタイプが分類され、各パーサーに渡
されます。管理者が各パーサーにおけるセッション情報でシステムの捕捉と解析稼動を確認する
ことができます。もし、あるパーサー/プロセスがうまく稼動していない時には[再起動] ボタンで
プロセスをリセットすることができます。
Disk space
ファイルシステムのディスク情報(サイズ、使用量、空き領域、使用率など)
バージョン
各パーサーのバージョン情報
記憶装置
ハードディスク、システムメモリ、サーバー
の利用情報を表示するメニュー
通知設定メニュー
リアルタイム通知サービス
各サービス種類に対して通知条件(送信者/受
信者アカウント、キーワードなど)を設定し、
警報が起こされたら、通知メールが管理者へ
送信されます。
機密ファイル検知
検知対象の機密ファイルをシステムに登録するメニューです、もしネットワーク上でこれ
らのファイルが流出したら、通知メールが管理者に送信されます。
捕捉データベースの全部から、対
象ファイルを含むレコードを結果
として返す。
検知ルールが設定された時点後
の捕捉されたデータを検索する。
通知メール設定
ステップ1. SMTPサーバーアドレスと
他のアカウント情報を設定します。
ステップ2. [設定]をクリックします。
ステップ3. テストメールを送ります。
ストレージ容量
ストレージ使用量が設定された割合を超えたら警
告メールが送信されます。
このファイルは警告ファイルに添付されます。
警告メールとその宛先の設定。
添付する警告メール内容を選択することができま
す。
日次ストレージシステムステータスレポートの送
信先設定。
通信量統計
通信量統計では通知機能があります。特定なIPアドレスの通信量を監視し、設定され
た限度を超えたら、管理者が通知を受取ります。
通信量統計
①
②
③
④
1.
監視IPアドレス:
2.
管理者メールアドレス: 管理者のメールアドレスの登録
⑤
監視された対象の通信量だけの一覧を表示する
監視IPアドレスが割当通信量を超過すると、通知メールが全ての管理者の
メールアドレスへ送信されます。
3.
監視IPリスト:
対象IPアドレスの割当通信量を設定する
4.
IPアドレス検索:
特定IPアドレスの情報を検索する
5.
間隔(時間):
通信量を測る時間の設定
間隔は通信量統計を更新する期間となります。もし間隔が24時間ならば、
この間で対象IPアドレスの通信使用量が割当を超えなければ、通知は送信さ
れません。24時間経過後は通信用量は0にリセットされます。
システムツールメニュー
システム更新
1. 更新パッチファイルをオンラインサーバー
からダウンロードすることができます。ある
いは、手動的にCDやPCから更新ファイルを
アップロードします。
2. 更新パッチファイルをシステムへアップ
ロードしたらこのリストに登録されます、リ
ストから選択して実行を行います。
3. 更新が済んだら、更新情報が履歴にログさ
れます。
データ削除
カテゴリー・日付・時刻・IPアドレス・ア
カウントによって、データを指定し削除を
行うことができます。
定期データ削除スケジュールの設定
データ削除
保存件数
各サービスの捕捉データの保存件数の上限の設定
です。上限を超えたら、一番古いデータから削除
を行います。
全データ削除
このメニューでE-Detectiveシステムの捕捉したデータを全て削除します。
ステーションリスト
検知されたネットワークユーザーの情報一覧です。
更新
IPアドレス情報の編集
既設 IP-Type-Account
CSV ファイルのイン
ポート/エクスポート
IPアドレス、サービス、
アカウントの関連する
データへのリンク。
NetBIOS PCリスト
NetBIOS (Network Basic Input/Output System) は
ネットワーク上の各パソコンにNetBIOS名とIPアドレ
スを与えています。
E-DetectiveシステムはこのNetBIOS PCリストを表
示することができます。
関連データへのリンク
Active Directory アカウントリスト
Active Directory (AD)サーバのあるネットワークで、E-Detectiveシステムは自動的にIP
アドレスの属するADアカウントを照会し、各カテゴリのデータのアカウント情報で表示
します。
ネットワーク構築の違いにより, E-Detectiveシステムは自動的にADサーバーからIPアドレ
スの情報を得ることが出来ない場合があります。AD Probeツールを使えばADサーバーか
ら手動的にアカウント情報をE-Detectiveシステムへ送信することができます。
このツールは提供された診察CDでインストールできます。
システム電源オフ
クリックでE-Detectiveシステムの終了または再起動を実行します。
システム設定メニュー
システム時刻設定
手動 - タイムゾーンとシステム時
刻の設定
自動 - タイムサーバーでシステム
時刻を同期化します。管理者はタ
イムゾーンと同期タイミングを設
定することができます。
上記の図では、日付が2日で、日曜
日である時だけ午前1時に同期を行
います。
フィルター
TCPDUMPの意味に基づいて捕捉、保存対象にするIPあるいはプロトコルを一
覧にするフィルターを追加します。
このマニュアルから
TCPDUMP を学ぶことがで
きます
フィルター
設定例
例 1: IPアドレス192.168.1.10から全てのパッケットを捕捉する
記述式 host 192.168.1.10
例 2:
IPアドレス 192.168.1.10 と (192.168.1.20 か 192.168.1.30)から
パッケットを捕捉する
記述式 host 192.168.1.10 and (192.168.1.20 or 192.168.1.30)
例 3:
IPアドレス 192.168.1.10のTelnetセッションを捕捉する
記述式 tcp port 23 host 192.168.1.10
ネットワークアダプター設定
二つのポートの設定が必要 – 管
理ポートと捕捉ポート
ミラーモードの管
理ポート設定
通常の設定はゲートウェイをミラースイッチのゲートウェ
イと同じにすることです。VLANのような異なるネット
ワーク体系では違う設定となる可能性があります。
DNS設定
プライマリとセカンダリDNSをシステムに設定することができます。
ポート設定
各プロトコルに監視したいポート
を追加することが出来ます。しか
し、いくつかのプロトコルのポー
ト設定は固定で変更出来ません。
ネットワーク領域設定
この設定は特定なネットワーク領域中のサブネット・IPアドレスだけのパッケットを
監視・捕捉します。ディフォルトでは、全てのネットワーク領域からのパッケットを
捕捉します。
システムサービス設定
管理者はシステムサービスの起動/停止の設定ができます。
サービス
機能説明
SSH デーモン
SSHクライアント、ファイルト
ランスファーのアクセスを有効
にします。
FTP サーバー
クライアントがE-Detectiveシス
テムからraw data、バックアッ
プISOファイル 、syslogメッ
セージをダウンロードすること
ができます。
メールサーバー システムメール送信サービス
システムサービス設定
このメニューで各システムサービスを起動/停止することができます。
サービス
説明
パッケットソースモジュール - 捕捉ソースをスニファー、ICAP、マルチソース (スニファーとICAP)
モードにする
- 一定サイズのrawデータを保存する。 FTPサーバーへアップロード
することも可能です
システムサービス設定
このメニューで各システムサービスを起動/停止することができます。
サービス
説明
全文検索エンジン
Eメール・チャットログなどの内容を対象とする検索機能
パッケットパーサー
Rawデータを各プロトコールに分類・解析するプロセス
システム時刻の同期 (NTP)
NTPサーバーによる時刻の同期サービス
処理量通知機能
通信量通知のサービス
システムサービス設定
このメニューで各システムサービスを起動/停止することができます。
サービス
syslogサーバー
説明
syslogメッセージの保存/ログ
システムサービス設定
このメニューで各システムサービスを起動/停止することができます。
サービス
アカウント検知
サービス
スニファーエージェント管理
説明
自動的にADアカウントの検知サービス
説明
Skypeエージェントポート管理
ディフォルトポート設定: 5225
システムサービス設定
このメニューで各システムサービスを起動/停止することができます。
サービス
HTTP再構築プロキシサーバー
説明
HTTP再構築サービスの稼動
SNMP Read Community
SNMPサービス
システムサービス設定
このメニューで各システムサービスを起動/停止することができます。
サービス
Firewall設定
説明
特定なIPアドレスのE-Detectiveシステムへのアクセスの許可登録
Eメール受信サービス
指定のメールサーバーからメールの受信サービス
捕捉サービス設定
管理者はロガーサービスの起動/停止設定を行えます。ロガーサービスと
いうのは各プロトコルの捕捉と再構築サービスです。
捕捉サービス設定
Webメール、HTTPコンテンツの全文検索とHTTPリンクの検索は手動で起動することが
できます。ディフォルトでは停止になっています。
記録ファイルのサイズ設定
各モジュールの再構築され保存されるファイルサイズの上限を設定する
ことができます。
スニファーエージェント管理
Skypeエージェントを導入済PCで、Skypeでの交信内容を捕捉するには対象PCのIPアドレスを
この管理メニューで登録する必要があります。
権限-グループ表示範囲
表示範囲設定ではユーザーグループ毎にサービスやシステム設定などの閲覧をユーザーに表
示/非表示設定することが出来ます。
[設定]ボタンで表示範囲設定を完了します。
[次へ]ボタンで許可グループを設定します。
権限-許可グループ
許可グループ設定では操作許可(記録・ログの観覧やシステム設定の変更など)の付与と表示範囲
の選択ができます。
[設定]ボタンで新許可グループの作成が完了します。[次へ] ボタンで新ユーザーの登録を行います。
権限-ユーザー登録
このメニューで新ユーザー作成と各ユーザーの許可管理ができます。
権限-インポート/エクスポート
このメニューで各許可グループとユーザーの詳細をインポート/エクスポートすることができま
す。ファイルはXMLフォーマットとなり、編集のためにダウンロードができます。
コンソールアカウント設定
パスワード変更
コンソールアカウントはE-DetectiveシステムのFTPサーバーへアクセス用
のアカウントとなります。FTPサーバーからrawデータ・バックアップISO
ファイルをダウンロードすることが出来ます。このメニューでコンソールア
カウントのパースワードを変更することができますが、アカウント名は
“admin”となり編集できません。
データバックアップ
自動バックアップ
自動的にバックアッププロセスを実行するス
ケジュールの設定を日時などで行えます。
バックアップするデータを各サービスモ
ジュールによって選択することができます。
保存期間により、累積されたバックアップ
ファイルを自動的に削除する設定もあります。
データバックアップ
自動バックアップ
自動バックアッププロセスが起動された
ら、このメニューで登録された宛先に通
知メールが送られます。
データバックアップ
手動バックアップ
手動的に対象データ項目を選択し、ISOバックアップファイルを作成出来ます
データバックアップ
手動バックアップ
バックアップISOファイルをCDまたはDVDへ書き込むメニューです
手動的にバックアップISOファイルの削除メニューです・
データバックアップ
リモートサーバーの設定
①
②
ステップ①: サーバーへのアクセス情報を入力してから[設定]を押し、
ステップ②: [テスト]を押し、サーバーへの接続を試す
ハードディスク容量管理
このメニューでは赤閾値と緑閾値の設定でハードディスク容量管理を行えます。上の例では、
ハードディスクの使用容量が80%(赤閾値)に達したら,ディスクの使用容量が50%(緑閾値)にな
るまで古いデータが削除されます。削除順位はFIFO規則に基づきます, 先にデータディレクト
リから削除するかバックアップISOファイルから削除するかを決める優先順位設定も出来ます。
E-Detectiveシステムの強み
E-DETECTIVEシステムの強み
※下記のインスタントメッセージ(IM)+SNSサービス
のパッケットを捕捉し解析できます
MSN
WEB MSN
YAHOO
ICQ
QQ
GOOGLE TALK
SKYPE
UT
IRC
Facebook
Twitter
E-DETECTIVEシステムの強み
※下記のPeerToPeer(P2P)サービスのパッケットを捕
捉し解析できます。
BitTornado
BitComet
uTorrent
BitSpirit
Azureus
BitLord
BitBuddy
Flashget 1.81
Foxy
BitTorrent
BitTyrant
ezpeer+
eDonkey
Kazaa
LimeWare
BearShare
eMule
E-DETECTIVEシステムの強み
※下記のウェブメールのパケットを捕捉し解析できます。
YAHOO MAIL
YAHOO 2.0
GMAIL
HOTMAIL
HINET
SEEDNET
URL
PCHOME
SINA
YAM
GIGA
163.net
mail.tom.com
mail.163.com
sohu.com
INTLJOB
GO2CANADA
WINDOWS LIVE
PRODATA
MEDIAHUB
E-DETECTIVEシステムの強み
※50以上のオンラインゲームのパケットを捕
捉し解析できます。
※お客様の要望により、地域限定のウッブ
メールやオンラインゲームや新たなイン
ターネットサービスの捕捉/解析に素早く
対応できます。