Stealthwatch で URL 情報の取得
時折、お客様から「Stealthwatch のフローテーブルでクライアント端末の接続先 URL が分からないのか」という質問をされることがあります。 Stealthwatch では、ルータやスイッチといったエクスポータから集めたフロー情報をもとに脅威分析を行います。しかし、可変長バイトである URL 情報については、現時点でもっとも一般的である Netflow バージョン9では取得できません。そこで今回は、可変長バイトに対応した IPFIX(URL 情報の取得は AVC、出力は IPFIX)と Stealthwatch FlowSensor*1 それぞれを用いた場合に、Stealthwatch の管理画面で URL 情報を確認する方法を紹介します。
*1 Stealthwatch FlowSensor(以下、FlowSensor) : Stealthwatch のオプションコンポーネントの 1 つ。フロー情報のエクスポートができないネットワーク機器において、ミラーポートを構成してパケットを FlowSensor に流すことで、FlowSensor がフロー情報の生成を代替し、フローコレクタに送信する。
IPFIXでフローを取得した場合
下記は Web ユーザ インターフェイスのフロー検索結果画面です。フロー詳細のペイロード欄で URL を確認できます。
次は Java ユーザ インターフェイスです。該当フローの詳細画面(Quick View)の「Application Details」欄で URL を確認できます。
FlowSensorでフローを取得した場合
下記は Web ユーザ インターフェイス画面ですが、頭に「GET http://」がつくだけで IPFIX での表示結果と同じように見えます。
Java ユーザ インターフェイスでも IPFIX の結果に「GET http://」がつくだけです。
参考:パケット キャプチャ
最後に、FlowSensor のモニタリング ポートでパケット キャプチャした結果を参考までに掲載しておきます。パケット バイト列に URL があるのを確認できます。この情報をフロー情報と合わせてフローコレクタに送信します。
以上のように、URL 情報を得たいお客様には IPFIX もしくは FlowSensor をご検討いただければと思います。その他、他ベンダー製を含むいくつかのプロキシ サーバでも Stealthwatch との連携が可能で、それを使って URL 情報を得る方法もあります。詳細につきましてはお問い合わせください。
お礼
最後に、本検証のネットワーク機器のコンフィグレーション実施において生田チームの皆さん(生田和正さん、田川真樹さん、石田昂也さん、松尾省吾さん、井上智博さん)にサポートしていただきました。この場を借りてお礼を申し上げます。
Tags:
