すべてのプロダクト
Search

このプロダクト

    Cloud Firewall:トレーシング分析

    ドキュメントセンター

    Cloud Firewall:トレーシング分析

    最終更新日:Mar 28, 2026

    Agentic NDR は、攻撃トラフィックおよびコア資産からのトラフィックをパケット単位で完全に保持します。攻撃イベントおよびその前後における周辺トラフィックの保持など、さまざまなシナリオに基づく保持方法をサポートしています。また、特定の生トラフィック保持ニーズに応じて、カスタムフィルター条件を設定してパケット保持を構成することもできます。

    前提条件

    • 資産トラフィックを Agentic NDR へプロビジョニングする必要があります。詳細については、「プロビジョニング」をご参照ください。トラフィックがプロビジョニングされていない場合、またはトラフィック収集が停止している場合、Agentic NDR は当該資産のパケットを保持できません。

    • プロトコルログ配信機能を有効化する必要があります。詳細については、「ログ配信の有効化」をご参照ください。

      重要

      プロトコルログ配信が有効化されていない場合、Protocol Session 機能はデータを生成しません。

    Protocol Session

    この機能は、HTTP、DNS、TLS などのアプリケーション層プロトコルを識別し、深層解析を行います。詳細なプロトコルフィールドを抽出し、双方向の完全トラフィックデータと相関付けることで、トレーシング分析を実現します。

    1. Agentic NDR コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、Investigate > Protocol Session を選択します。

    3. Protocol Session タブで、さまざまなタイプのログを表示および解析できます。左側のパネルで、特定の条件を選択してログをフィルター処理します。

    4. Actions 列で、Details をクリックします。Details パネルで、トラフィックに含まれる詳細データを確認できます。

    Attack Forensics

    この機能は、攻撃イベントに関連するトラフィック(攻撃直前および直後のトラフィックを含む)を自動的に保持します。この処理は自動的であり、必要なトラフィックのみを保持することでストレージコストを削減します。また、攻撃の再現に必要なパケットキャプチャを簡素化します。

    1. 左側のナビゲーションウィンドウで、Investigate > Attack Forensics を選択します。

    2. Attack Forensics タブで、攻撃イベントの前後から保持されたパケットについて、IP TOP10IP Protocol、および Port のランキングを確認できます。

      • Retention Settings

        1. 一覧の右上隅にある Retention Settings をクリックします。

        2. Retention Settings ダイアログボックスで、ビジネスシナリオに応じて攻撃パケットの保持方法を選択し、OK をクリックします。

          • 5-Tuple:攻撃イベントに基づいて攻撃パケットを保持します。

          • 2-Tuple:Agentic NDR が容疑者 IP アドレスから被害者 IP アドレスへの攻撃を検出した場合、この手法を用いて、攻撃イベントの前後で両者間で交換された他の攻撃パケットを解析します。

          • 1-Tuple:Agentic NDR が攻撃を検出した場合、この手法を用いて、同一の容疑者 IP アドレスから異なる被害者 IP アドレスへ、攻撃発生時刻付近に送信された他の攻撃パケットを解析します。

      • Packet Analysis:対象のトラフィックストリームを特定し、Actions 列の Packet Analysis をクリックします。あるいは、パケット分布チャートの右側にある Packet Analysis をクリックしても構いません。この操作により、Online PCAP Parsing ページに移動します。詳細については、「パケット解析」をご参照ください。

      • Generate PCAP

        • 対象のトラフィックストリームを特定し、その Actions 列で Generate PCAP をクリックして、PCAP 生成タスクを自動作成します。あるいは、パケット分布チャートの右側にある Generate PCAP をクリックして、すべてのパケットに対する PCAP ファイルを生成することもできます。さらに、複数のパケットエントリを選択し、テーブルの左下にある Batch Generate PCAP をクリックして、一括操作を実行することも可能です。

        • PCAP 生成タスクタブでは、作成済みの PCAP タスクを確認および PCAP データのダウンロードが可能です。詳細については、「PCAP 生成タスク」をご参照ください。

    完全トラフィックトレースバック

    この機能では、完全トラフィックに対してカスタムフィルタールールを構成できます。特定の資産について、必要に応じてすべてのトラフィックを保持することで、コストを抑えつつ、重要なサービスの生トラフィックの再生および解析を可能にします。

    パケット保持検索

    Agentic NDR は自動的な完全パケット保持を提供します。ただし、すべての生パケットを無期限に保持することはコストが高いため、Agentic NDR では自動および手動のパケット保持方法の両方を提供しています。これにより、より効率的かつコスト効果の高い方法で、詳細分析に必要なパケットデータを保持できます。

    • 自動保持:脅威アラートに基づいて完全パケットを自動的に保持します。

    • 手動保持:カスタム保持フィルタールールに基づいて完全パケットを保持します。

    1. 左側のナビゲーションウィンドウで、Investigate を選択します。

    2. Packet Retention > Packet Query タブで、保持されたパケットについて、IP TOP10IP Protocol、および Port のランキングを確認できます。

    3. Packet Analysis:対象のトラフィックストリームを特定し、Actions 列の Packet Analysis をクリックします。あるいは、パケット分布チャートの右側にある Packet Analysis をクリックしても構いません。この操作により、Online PCAP Parsing ページに移動します。詳細については、「パケット解析」をご参照ください。

    4. Generate PCAP:対象のトラフィックストリームを特定し、Actions 列の Generate PCAP をクリックして、PCAP 生成タスクを自動作成します。あるいは、パケット分布チャートの右側にある Generate PCAP をクリックして、すべてのパケットに対する PCAP ファイルを生成することもできます。さらに、複数のパケットエントリを選択し、テーブルの左下にある Batch Generate PCAP をクリックして、一括操作を実行することも可能です。

      PCAP 生成タスクタブでは、作成済みの PCAP タスクを確認および PCAP データのダウンロードが可能です。詳細については、「PCAP 生成タスク」をご参照ください。

    保持フィルターの構成

    コア事業資産に対して、パケット保持フィルタールールを設定できます。

    1. 左側のナビゲーションウィンドウで、Investigate を選択します。

    2. Packet Retention > Packet Capture Policy タブで、Create Rule をクリックします。

    3. Packet Retention Filter Rule パネルで、以下のパラメーターを構成します。

      • Filter Logic

        許可リスト:ルールに一致するトラフィックを保持します。拒否リスト:ルールに一致するトラフィックは保持されません。それ以外のすべてのトラフィックは保持されます。

      • 5-Tuple: 送信元および宛先 IP アドレスを設定します。0.0.0.0/0 は制限なしを示します。Click image をクリックして、One-way または Bidirectional のフィルタールールを選択します。

      • Destination Port80100-200 のように、単一のポートまたはポート範囲を指定します。左側のドロップダウンリストで選択した内容に応じて、ポートフィルタールールを構成します。

      • Layer 4 Protocol:プロトコルフィルタールールを構成します。デフォルトでは、すべてのプロトコルが選択されています。左側のドロップダウンリストで選択した内容に応じて、プロトコルフィルタールールを構成します。

      • Max Retention Bytes:デフォルト値は Unlimited です。また、Custom を選択して、ストリームごとに保持するバイト数を指定することもできます。デフォルト値は 1 MB です。値は 1 KB ~ 500 MB の範囲で指定してください。

      • Retention Period:デフォルト値は Unlimited です。また、Fixed DurationSingle Time Range、または Recurring cycle を選択することもできます。

    4. 構成を完了したら、OK をクリックします。

      ルールは即時に有効になります。

    Packet Capture Policy タブでは、既存のルールを QueryCopyStop、または Delete できます。

    Query をクリックすると、Packet Retention > Packet Query ページに移動し、当該ルールによって保持されたパケットの詳細情報を確認できます。

    PCAP 生成タスク

    1. 左側のナビゲーションウィンドウで、Investigate を選択します。

    2. PCAP Tasks タブで、作成済みの PCAP 生成タスクを確認できます。

    3. Actions 列で、Download をクリックして、パケットデータをローカルコンピューターにダウンロードし、さらなる解析を行います。

    重要

    各 PCAP ダウンロードには、最大で最初の 5,000 パケットが含まれます。PCAP 生成タスクは最大 99 個まで作成できます。PCAP タスクは 30 日間保持されます。30 日を超えたタスクは自動的に削除されます。

    パケット解析

    Online PCAP Parsing ページでは、以下の操作が可能です。

    • パケット一覧の表示:ページ上部のセクションでは、指定された時間範囲内のパケットを表形式で一覧表示します。各行はフレームに対応し、以下の情報を含みます:#、パケットキャプチャの TimeSource AddressDestination AddressプロトコルLength、および Information 列における主要プロトコルフィールドの要約です。

      システムは、以下の表のルールに基づいてパケットを色分けします。ルールは優先度の高い順に適用されます。単一のパケットが複数のルールに一致する場合(例:HTTP トラフィックであり、かつ TCP RST フラグを含む場合)、最も優先度の高いルールの色のみが適用されます。

      カラースタイル

      トラフィックタイプ

      典型的なシナリオ

      黒背景の赤文字

      TCP チェックサムエラーまたは不良パケット

      ネットワークパケット損失またはリンク異常

      黄色背景の黒文字

      ARP パケット

      アドレス解決または LAN スキャン

      ピンク背景の黒文字

      ICMP パケット

      PING、Traceroute、またはネットワーク到達不能

      青背景の白文字

      TCP RST(接続リセット)

      異常な切断またはファイアウォールによる遮断

      緑背景の黒文字

      HTTP トラフィック

      Web リクエストまたは応答

      灰色背景の黒文字

      TCP SYN または FIN

      通常の 3 ウェイハンドシェイクまたは 4 ウェイハンドシェイク

      紫背景の黒文字

      通常の TCP トラフィック

      アプリケーション層データ伝送(HTTP 以外)

      薄青背景の黒文字

      UDP トラフィック

      DNS、NTP、ビデオストリームなど

      ページ上部の検索ボックスに、フィルター条件を入力してパケットをフィルター処理できます。標準の表示フィルター構文(例:http && ip.dst == 1.2.3.4)がサポートされています。

      説明

      • パケット生成時刻:パケット数が多すぎる場合、生成プロセスに時間がかかることがあります。10 秒経過してもプロセスが完了しない場合は、このページを閉じて再度開いてください。

      • パケット数制限:最大で最初の 5,000 パケットを解析できます。

      • 直近の時間範囲に対するクエリ制限:クエリ範囲の終了時刻が現在時刻から 5 分以内の場合、一部のパケットがまだ収集されていない可能性があります。この場合、解析が失敗したり不完全になったりすることがあります。数分待ってから再度試してください。

      • セッション整合性に関する通知:部分的な結果が返された場合でも、対応するセッションは依然としてアクティブである可能性があります(例:長時間接続や大規模ファイル転送)。このため、後続のパケットがまだ到着していない可能性があります。完全なセッションデータを取得するには、しばらく待ってからページを更新してください。

    • パケット詳細の表示:一覧内の任意のパケット行をクリックします。その詳細が下部セクションに表示され、Data Packet Details および Hexadecimal View が含まれます。

      • Data Packet Details(プロトコル解析ツリー):カプセル化レイヤーに従って、上位から下位へとプロトコル構造を表示します(Frame → Ethernet → IP → TCP/UDP → アプリケーション層プロトコル(例:HTTP や TLS))。各レイヤーでは、当該プロトコルのすべてのフィールドとその値が一覧表示されます。

      • プロトコルと 16 進数バイトの連動ハイライト:プロトコル解析ツリー内のフィールドをクリックすると、16 進数ビュー内の対応するバイトがハイライト表示され、その逆も同様です。このインタラクションにより、プロトコルフィールドが生パケット内でどの位置にあり、どのようにエンコーディングされているかを直感的に理解できます。

      • 通信ストリームのトレース:TCP、UDP、HTTP、または TLS セッションの場合、Data Packet Details 領域の右側にある Trace Stream をクリックします。この操作により、通信ストリームで交換されたペイロードデータを表示するページが開き、パケット一覧に自動的に対応するストリームフィルター(例:tcp.stream eq 0)が適用されます。これにより、当該ストリームに関連するすべてのパケットを容易にトレースできます。