InMon Traffic Sentinel のご紹介

InMon Traffic Sentinel は、現行 InMon Traffic Server 4.0 のリプレースバージョンソフトウェアとしてリリースされます。これは、年間保守契約ユーザ様に対しては無償でアップグレードする事が可能です。

注意:Traffic Sentinelは、現行のInMonTrafficServer 4.0と比較してソフトウェアとしては全く新たに設計されたものになります。また、今回のTraffic Sentinelのリリースは、日本語版としてのリリースも行います。

InMon Traffic Sentinelの新しい機能を見るためには、InMon Traffic Sentinelのデモサイト「 Traffic Sentinel demo 」にて確認できます。主要な新機能は以下になります。;

ユーザインターフェースの再設計

Traffic Sentinelのユーザインターフェースは、操作性向上の為に全く新しく再設計されました。

  • チャートやデータへのアクセスを容易にするために新しいメニュー構造を導入
  • 操作中に使用した情報を保存し、分析を直感的に行えるようにした。
  • 入力・出力の双方向トラフィックをTopNチャートに表示。
  • TopNチャートでクライアント/サーバー間の関連性を表示。

シグネチャ-ベースのセキュリティ障害検知機能のエンハンス

セキュリティの障害を検知するひとつの方法は、ネットワークパケットを検査することや、それらを既知の脅威に対するシグネチャーと比較することです。sFlowは、パケットヘッダーの全てと一部のペイロード部分をエクスポートされるので、これらのエクスポートされたパケットをシグネチャー認証することには、セキュリティ上の問題の認識や隔離に効果的な方法といえます。Traffic Sentinelは、sFlowデータとSnortルールフォーマットで定義されたシグネチャーとマッチングを行います。また、ネットワークの使用内容を分析することによりスキャンルールを作成し、即座にSnort文法として追加することも可能です。Traffic Sentinelは、違反しているホストやそれらが接続しているスイッチポートを識別するために、シグネチャールールにマッチしたセキュリティの脅威に対するイベントを発生し、文書化や更なる分析のためのパケットトレースを記録します。

特異性トラフィックの検知

ホストの全体的な動きの把握は、ここのトランザクションがパケットシグネチャールールにマッチしなくても問題を暗示することがあるかもしれない。特異性トラフィックの検知は、動きのプロファイリングやポリシー違反の明確化、新たな脅威の識別に対する強力な技術です。Traffic Sentinelは、ネットワーク全に渡るトラフィックパターンを分析し、アクセスポリシー違反・ポートスキャンやトロイの木馬のような活動・認証されていないNATルーティング・新規接続ホストの認識などの特異性を明確化・特性化します。

柔軟で容易なレポートのカスタマイズ

Traffic Sentinelは、柔軟なレポーティング機能やクエリ機能を持っています。標準のレポートとしてネットワークの使用内容のアカウンティングや、ホストのプロファイリング、サービスのプロファイリング(例;ピアツーピア、RTP、ARP)、トラフィックトレンド、疑わしいネットワークトラフィックの識別、ホストやネットワーク機器の一覧などを含みます。カスタマイズレポートは、グラフィカル・ユーザ・インターフェースを使用して作成することができ、シングルレポート内に複数のチャートやテーブルを表示させることが可能です。たとえば、トップ・プロトコルやこれらのプロトコルを使用するトップ・サーバーやクライアントやその長期的傾向をレポートにより識別出来ます。その他、レポーティング機能は以下になります。;

  • レポートは、HTMLやPDF形式として提供可能。
  • 毎5分、毎時、毎日、毎週、毎月のタイミングで実行可能なフレキシブルなレポートスケジュールオプションの追加。.
  • 以前に実行したレポートの保存日数指定による保持。
  • レポートの自動電子メール送信.
  • レポートが、特定のプロファイルや事象を識別したときにイベントを発生する。たとえば、レポートが、特異的なトロイの木馬のような活動やアクセスポリシー違反を認識した時に、イベントを発生させるなど。
  • 複雑な先進的データ分析の為の、スクリプト・インターフェース。

レイヤー2・レイヤー3・BGPに対するトポロジー・ディスカバリーとマッピング

Traffic Sentinelは、トラフィックやその他の情報を使用し、アクティブなレイヤー2・レイヤー3・BGPトポロジーをディスカバーすることが可能です。このトポロジーは、拡大縮小可能なインタラクティブなマップとして表示されます。さらに、ネットワークにまたがり流れるようなトラフィック・フローのパスは、マップ上、あるいは、ホップして行く特性を示すテーブルとして表示されます。

即座なホスト・ロケーションの認識

あるホストがアクティブになるとすぐに、Traffic Sentinelは、そのトラフィックを測定し、そのホストが接続されているスイッチポートを即座に認識します。Traffic Sentinelは、また、それがネットワーク上から移動したとしても、モバイル・ホストの探知が可能です。この情報は、管理に焦点を当てた運用として、重要と考えられます。

最適化されたヒストリカルデータとリアルタイムデータ

Traffic Sentinelのデータベースは、リアルタイムやヒストリカル・トラフィック・フローを最適化し保存するために、再構築されました。フル・トラフィック・フローのプロトコルレイヤー別の詳細情報や強力なパケット・デコード分析により獲得した情報が格納されます。そのため、Traffic Sentinelは、洗練されたデータ分析を実施することにより、有益なレポートの提供や、特異性に対するアラートの発行が可能となります。また、新データベースフォーマットは、不必要なディスクスペースを浪費する事無く、パフォーマンスの向上が図られています。

パワフルなサーチ・ドリルダウン

Traffic Sentinelは、パワフルなサーチ能力をサポートします。たとえば、特定のホスト(DNS名・IP・MACごと)、スイッチ/ルータ、プロトコル、AS番号、ホスト間のパスに対するサーチが可能です。そのサーチ結果は、詳細情報を含みます。たとえば、ホストをサーチしたとき、そのホストのMACベンダーやIPアドレスの関連から判断する国情報を表示することが可能です。また、サーチの結果は、ハイパーリンク情報により、サーチした基準に関連するデータへのドリルダウンや分析がし易くなっています。

グラフィカルなコンフィグレーション・エディター

Traffic Sentinelのコンフィグレーション作業は、グラフィカルなコンフィグレーション・エディターを使用することにより簡易化されました。しかしながら、テキストベースのコンフィグレーションは、コンフィグレーションのXML表記による編集により現在も可能です。

ユーザインタフェースへのアクセスコントロール

Traffic Sentinelは、最適化されたアクセスコントロール可能なユーザインターフェースをサポートします。 ユーザインターフェースへのアクセスは、パスワード保護され、ユーザは指定された機能を使用することが可能です。

IPFIX と NetFlow v9 のサポート

Traffic Sentinelは、NetFlow v9とIPFIXデータを受信し、分析することが可能です。これは、いままでの、sFlow、HP XRMON、LFAP、SNMPでのインタフェースカウンターのサポートに追加された機能です。