アウトバウンド接続レポートを使用して、ご利用のアセットがどのようにインターネットにアクセスしているかを確認します。これらのレポートは、異常なアウトバウンドトラフィックの追跡、インターネットの宛先アドレスの特定、パブリックアセットとプライベートアセットからの接続の監視に役立ちます。これにより、疑わしいアセットを調査し、サービスを保護できます。
前提条件
インターネット境界ファイアウォールが有効になっていること。詳細については、「インターネット境界ファイアウォール」をご参照ください。
可視化分析
可視化分析 タブには、すべての非公開およびパブリック IP アドレスのピーク合計トラフィック、全体的なトラフィックトレンドチャート、および上位のアウトバウンドトラフィック統計が表示されます。これにより、アセットのアウトバウンドトラフィックの詳細をリアルタイムで監視できます。
Cloud Firewall コンソールにログインします。 左側のナビゲーションウィンドウで、を選択します。
アクティブなアウトバウンド接続 ページの右上隅で、期間を選択し、可視化分析 をクリックします。
可視化分析 タブでは、以下の情報を確認できます。
データ
説明
操作
IP トラフィック
インターネット IP (インターネット境界ファイアウォールによって転送されたトラフィック): 指定された時間範囲内に、ECS インスタンスのパブリック IP アドレスや NAT Gateway の EIP など、すべてのパブリック IP アドレスの合計応答トラフィックのピーク値を表示します。結果は、応答トラフィックの降順でソートされます。
IP トラフィックテーブルの検索ツールを使用して、パブリック IP アドレスまたはプライベート IP アドレスを選択し、その IP タイプとピーク合計トラフィックを表示します。
パブリック IP または プライベート IP アドレス をクリックします。[可視化分析] タブの、IP トラフィック トレンド、上位の IP トラフィック、上位 10 のアウトバウンドトラフィック を含むすべてのチャートが更新され、選択した資産タイプのデータが表示されます。
[操作] 列:
ログの表示:[ログ監査] ページを開いて、IP アドレスのトラフィックログを表示します。
View Outbound Details: [アウトバウンドトラフィックタブ]が開き、その IP アドレスのアウトバウンド接続の詳細が表示されます。
トラフィックの傾向を表示する: IP トラフィックチャートに IP アドレスのピークトラフィックとトレンドを表示します。
トラフィックデータのエクスポート:
アイコンをクリックして、パブリック IP アドレスとプライベート IP アドレスのトラフィックデータをエクスポートします。
プライベート IP アドレス (NAT ファイアウォールによってリダイレクトされたトラフィック): 指定された時間範囲内におけるすべての ECS インスタンスのプライベート IP アドレスのピーク時の合計応答トラフィックを表示します。結果は、応答トラフィックの降順でソートされます。インスタンスの VPC は NAT Gateway に関連付けられている必要があります。
トラフィック傾向チャート
すべてまたは指定されたネットワークアセットのピーク合計リクエストトラフィックと応答トラフィックのリアルタイムの傾向を表示します。
傾向チャート上の任意のポイントにカーソルを合わせると、その時点でのピークリクエストトラフィックと応答トラフィックが表示されます。
上位のトラフィックコンシューマー
アウトバウンドトラフィックの上位 10 の宛先リージョン、宛先キャリア、セッションの割合、およびポートの統計を表示します。
なし。
リストの右上隅にあるログの表示をクリックすると、ログ監査 ページの トラフィックログ タブでインターネット境界ファイアウォールのトラフィックログを表示できます。 詳細については、「ログ監査」をご参照ください。
アウトバウンドデータの表示
アウトバウンド接続ページの統計エリアでは、お客様のアセットからの正常および異常なアウトバウンドトラフィックの概要を素早く確認できます。異常なトラフィックの統計に基づいて、アウトバウンド接続の詳細 タブで的を絞った調査を実施し、お客様のアセットを迅速に保護できます。
Cloud Firewall コンソールにログインします。 左側のナビゲーションウィンドウで、を選択します。
アクティブなアウトバウンド接続 ページの右上隅で時間範囲を選択すると、統計エリアと アウトバウンド接続の詳細 タブに次の情報が表示されます。
[アウトバウンドトラフィック] タブには、[アウトバウンドドメイン]、[アウトバウンド IP アドレス]、[アウトバウンドパブリックアセット]、[アウトバウンドプライベートアセット]、[アウトバウンド接続プロトコル] の 5 つのサブタブがあります。たとえば、[アウトバウンドパブリックアセット] タブでは、アセットタイプ、アセットリージョン、その他の条件でアセットをフィルターできます。テーブルには、[アセット IP]、[アセットタイプ]、[インスタンス ID/名前]、[リージョン]、[トラフィック]、[リクエスト]、[セキュリティリスク] などの情報が表示されます。[操作] 列には、[アウトバウンド詳細の表示] や [フォロー済みとしてマーク] などのオプションがあります。
[アウトバウンドトラフィック] タブで、[アウトバウンドプライベートアセット] サブタブを選択します。[すべてのアセットリージョン]、[すべてのアセット]、[アセットプライベート IP] などの条件でアセットをフィルターできます。リストには、[アセット IP]、[NAT Gateway ID/名前]、[インスタンス ID/名前]、[リージョン]、[アウトバウンドドメイン/アウトバウンド IP]、[トラフィック]、[リクエスト]、[セキュリティリスク] などの列が含まれます。[操作] 列には、[アウトバウンドアセットの表示] や [フォロー済みとしてマーク] などのオプションがあります。
また、アウトバウンド接続の詳細 タブでカスタムクエリを指定して、7 日間のすべてのトラフィックデータを検索することもできます。
データ
説明
操作
アウトバウンドドメイン
リスクのあるドメインの数と、ご利用のアセットがインターネット上でアクセスするドメインの総数を表示します。
[データ統計] エリアで、アウトバウンドドメイン または アウトバウンド IP アドレス カードをクリックして、 または タブに移動します。
アセットを保護するために、特定されたリスクのあるドメインまたは宛先 IP に対して次の操作を実行します。
アウトバウンドアクセス制御ポリシーを設定してアセットからのアウトバウンドトラフィックをブロックする
ACL ポリシーの設定 をクリックすると、インターネット境界ファイアウォールのアクセス制御の設定が開きます。
詳細については、「インターネット境界ファイアウォールのアクセス制御ポリシーの設定」をご参照ください。
アウトバウンドドメインまたは宛先 IP のインテリジェンスプロファイルを表示して、アセットが接続する宛先を理解する
インテリジェンスプロファイルを見る をクリックすると、ドメインまたは送信先 IP の分析データが表示されます。
詳細については、「アウトバウンドドメインまたは宛先 IP のインテリジェンスプロファイルの表示」をご参照ください。
アウトバウンドドメインの詳細を表示して、トラフィックがサービスに必要かどうかを判断する
アウトバウンドドメインをクリックして詳細を表示します。
Outreach public network assets および Extranet assets タブで、アウトバウンド ECS インスタンスに関する情報を表示します。ログの表示 をクリックして、ログ監査 ページでトラフィックログを確認します。
詳細については、「ログ監査」をご参照ください。
アドレス帳に追加してドメインと宛先 IP を一元管理する
アイコンをクリックし、次に アドレス帳への追加 をクリックすると、アドレス帳管理ページが開きます。詳細については、「アドレス帳」をご参照ください。
エントリをフォロー済みとしてマークして監視の優先順位を上げる
アイコンをクリックし、次に [フォロー対象としてマーク] をクリックすると、エントリーにスターが追加されます。エントリのフォローを解除する
リストの右上の フォローリスト をクリックします。フォローリスト パネルで、指定した送信先ドメイン、送信先 IP、公開資産 IP、または非公開資産 IP のフォローを解除します。
許可リストへの追加
アイコンをクリックし、次に ホワイトリストへの追加 をクリックします。ホワイトリストに追加されると、そのエントリは分析されなくなり、リストに表示されなくなります。許可リストには最大 100 件のエントリを追加できます。アウトバウンド接続の許可リストは完全一致ドメインのみをサポートし、ワイルドカードドメインはサポートしません。ワイルドカードドメインは効果がありません。
たとえば、
*.example.comのようなワイルドカードドメインをアウトバウンド接続の許可リストに追加した場合でも、Cloud Firewall はそのドメインへのアセットからのアウトバウンドトラフィックに対してアラートを生成します。完全一致ドメインを許可リストに追加することを推奨します。許可リストからの削除
リストの右上隅にあるホワイトリスト をクリックします。ホワイトリスト パネルで、送信先ドメインまたは IP をホワイトリストから削除します。エントリが削除されると、リストに再び表示されます。
トラフィックログの詳細を表示して、トラフィックがサービスに必要かどうかを判断する
アイコンをクリックして ログの表示 をクリックすると、ログ監査ページのトラフィックログタブが開きます。詳細については、「ログ監査」をご参照ください。
アウトバウンド IP アドレス
リスクのある宛先 IP の数と、ご利用のアセットがインターネット上でアクセスする宛先 IP の総数を表示します。
アウトバウンドパブリック IP アドレス
リスクのあるアセットの数と、EIP などのパブリック IP アドレスを使用してインターネットへのアウトバウンド接続を開始するアセットの総数を表示します。
データ統計エリアで、アウトバウンドパブリック IP アドレス または アウトバウンド プライベート IP アドレス カードをクリックすると、 または タブに移動して詳細を表示できます。
エントリをフォロー済みとしてマークして監視の優先順位を上げる
エントリにスターを追加するには、フォロー をクリックします。
エントリのフォローを解除する
リストの右上隅にあるフォローリストをクリックします。フォローリスト パネルで、指定された送信先ドメイン、送信先 IP、パブリックアセット IP、またはプライベートアセット IP のフォローを解除します。
トラフィックログの詳細を表示して、トラフィックがサービスに必要かどうかを判断する
ログの表示 をクリックすると、ログ監査ページのトラフィックログタブに移動します。
詳細については、「ログ監査」をご参照ください。
アウトバウンド プライベート IP アドレス
リスクのあるプライベートアセットの数と、NAT Gateway を介してインターネットへのアウトバウンド接続を開始するプライベートアセットの総数を表示します。
アウトバウンド接続プロトコル
ご利用のアセットがインターネットへのアクセスに使用するすべてのプロトコルのうち、未識別プロトコルの数と割合を表示します。
[データ統計] エリアで、アウトバウンド接続プロトコル分析 カードをクリックすると、 タブに移動して詳細を表示できます。
トラフィックログの詳細を表示し、トラフィックがサービスで必須かどうかを判断: ログの表示 をクリックして、ログ監査ページのトラフィックログタブに移動します。
詳細については、「ログ監査」をご参照ください。
説明サポートされているプロトコルには、HTTPS、HTTP、MQTT、DNS、Redis、MySQL、Zabbix、RTP、SSH、MongoDB が含まれます。
インテリジェンスプロファイルの表示
アウトバウンドドメイン タブまたは アウトバウンド IP アドレス タブで、インテリジェンスプロファイルを見る をクリックして詳細な分析データを表示します。これにより、アウトバウンドドメインまたは送信先 IP のインテリジェンス タグが正確であるかどうかを判断できます。
タグが不正確な場合、[IOC Feedback] をクリックして問題を報告できます。
インテリジェンスプロファイルページには、過去 30 日間に解決された IP の数、信頼度スコア、サブドメインの数、登録日、有効期限など、ドメインに関する基本情報が表示されます。また、脅威タグと最近のアクティビティも表示されます。このページには、[脅威の概要]、[脅威の詳細]、[WHOIS]、[DNS 解決]、[関連サブドメイン]、[関連サンプル]、[関連 URL]、[デジタル署名]、[関連セキュリティニュース] のタブが含まれます。さらに、このページでは ATT&CK マトリックスマッピングとドメインアクセス傾向チャートが提供されます。
アウトバウンド接続データのエクスポート
アウトバウンド接続の詳細 タブで、リストの右上隅にある
アイコンをクリックすると、アウトバウンドドメイン、アウトバウンドの送信先 IP、アウトバウンドのパブリックアセット、アウトバウンドの非公開アセット、およびアウトバウンド接続プロトコルのデータをダウンロードできます。 データは、確認および分析のために CSV フォーマットでコンピューターにダウンロードされます。
関連トピック
Cloud Firewall のパブリックトラフィック処理機能については、「サブスクリプション 2.0」および「従量課金 2.0」をご参照ください。
インターネットからアセットへのインバウンドトラフィックの詳細を表示する必要がある場合は、「インターネットへの露出」をご参照ください。