禁止されたトラフィックの存在の監視
場合によっては、特定のプロトコルまたは対象に対してトラフィックが発生しているかどうか確認できると便利です。たとえば、アドレス 10.1.2.3 のポート 5000 から 5010 へのトラフィックは、組織で禁止されているオンラインサービスの存在を示していることがあります。このトラフィックは暗号化または別の方法で読み取り不能で、多くのインシデントを作成するため、その存在のみを記録したいことがあります。
- トラフィックの存在のみを記録するには
- ナビゲーションバーから、[システム] > [設定] > [プロトコル]の順に選択します。
- [プロトコルの追加]をクリックします。
- [名前]フィールドでプロトコルの名前を入力します。
- ページの[認識]セクションに、次の情報を入力します。フィールド名エントリポート5000-5010IP+,10.1.2.3/32 ,*;-,*,*
- [保存]をクリックします。
新しいプロトコルはプロトコルリストの末尾に表示されます。この新しいプロトコルを、ポリシーとレポートのフィルタに使うことができます。