トラフィック モニター フィルタリングの基礎

※この記事は以下の記事の日本語訳です。

Basics of Traffic Monitor Filtering

https://live.paloaltonetworks.com/t5/Featured-Articles/Basics-of-Traffic-Monitor-Filtering/ta-p/6524...

フィルタリングの方法と使用例

この資料では、Palo Alto Networksファイアウォール上で、特定のタイプのトラフィックをフィルタリングしたり、見つけ出す方法をいくつか例を挙げて説明しています。フィルタのカテゴリとして、ホスト、ゾーン、ポート、日付／時間があります。一覧の最後の方では、より包括的に検索するために、様々なフィルタを組み合わせた例をいくつか記載しています。

以下は、手始めとなる基本的なフィルタの例です。

ホストのトラフィック フィルタの例

     ホスト a.a.a.a から

          (addr.src in a.a.a.a)

          例：(addr.src in 1.1.1.1) 

          説明：IPアドレス 1.1.1.1 に合致するホストからのすべてのトラフィックを表示

     ホスト b.b.b.b へ

          (addr.dst in b.b.b.b)

          例：(addr.dst in 2.2.2.2) 

          説明：2.2.2.2 に合致するホストの宛先アドレスのすべてのトラフィックを表示

    ホスト a.a.a.a からホスト b.b.b.b へ

          (addr.src in a.a.a.a) and (addr.dst in b.b.b.b)

          例：(addr.src in 1.1.1.1) and (addr.dst in 2.2.2.2)

          説明：1.1.1.1 のIPアドレスを持つホストから2.2.2.2 の宛先アドレスを持つホストへのすべてのトラフィックを表示

    ホストのIPアドレスの範囲から

          注：実際のIPアドレスを特定できませんが、あるアドレスのネットワークの範囲を特定するために、CIDRの表記法を使用することができます。

          (addr.src in a.a.a.a/CIDR)

          例：(addr.src in 10.10.10.2/30)

          説明：10.10.10.1 - 10.10.10.3 の範囲のアドレスからのすべてのトラフィックを表示

     送信元／宛先ホスト a.a.a.a

          (addr in a.a.a.a)

          例：(addr in 1.1.1.1) 

          説明：1.1.1.1 に合致するホストの送信元アドレス、あるいは宛先アドレスのすべてのトラフィックを表示

ゾーンのトラフィック フィルタの例

     zone_a ゾーンから

          (zone.src eq zone_a)

          例：(zone.src eq PROTECT)

          説明：PROTECTゾーンからのすべてのトラフィックを表示

     zone_b ゾーンへ

          (zone.dst eq zone_b)

          例：(zone.dst eq OUTSIDE)

          説明：OUTSIDEへのすべてのトラフィックを表示

     zone_a から zone_b へ

          (zone.src eq zone_a) and (zone.dst eq zone_b)

          例：(zone.src eq PROTECT) and (zone.dst eq OUTSIDE)

          説明：PROTECTゾーンからOUTSIDEゾーンへ出て行くすべてのトラフィックを表示

ポートのトラフィック フィルタの例

     送信元ポート aa から

          (port.src eq aa)

          例：(port.src eq 22)

          説明：送信元ポート22からのすべてのトラフィックを表示

     宛先ポート aa へ

          (port.dst eq bb)

          例：(port.dst eq 25)

          説明：宛先ポート25へのすべてのトラフィックを表示

     送信元ポート aa から宛先ポート bb へ

          (port.src eq aa) and (port.dst eq bb)

          例：(port.src eq 23459) and (port.dst eq 22)

          説明：送信元ポート23459から宛先ポート22へのすべてのトラフィックを表示

     送信元ポート aa 以下のすべてのポートから

          (port.src leq aa)

          例：(port.src leq 22)

          説明：送信元ポート1 - 22からのすべてのポートを表示

     送信元ポート aa 以上のすべてのポートから

          (port.src geq aa)

          例：(port.src geq 1024)

          説明：送信元ポート1024 - 65535からのすべてのトラフィックを表示

     宛先ポート aa 以下のすべてのポートへ

          (port.dst leq aa)

          例：(port.dst leq 1024)

          説明：宛先ポート1 - 1024へのすべてのトラフィックを表示

     宛先ポート aa 以上のすべてのポートへ

          (port.dst geq aa)

          例：(port.dst geq 1024)

          説明：宛先ポート1024 - 65535へのすべてのトラフィックを表示

     aa から bb までの送信元ポート範囲から

          (port.src geq aa) and (port.src leq bb)

          例：(port.src geq 20) and (port.src leq 53)

          説明：送信元ポート20 - 53の範囲からのすべてのトラフィックを表示

     aa から bb までの宛先ポート範囲へ

          (port.dst geq aa) and (port.dst leq bb)

          例：(port.dst geq 1024) and (port.dst leq 13002)

          説明：宛先ポート1024 - 13002へのすべてのトラフィックを表示

日付／時間のトラフィック フィルタの例

     特定の日時のすべてのトラフィック

          (receive_time eq 'yyyy/mm/dd hh:mm:ss')

          例：(receive_time eq '2015/08/31 08:30:00')

          説明：2015年8月31日 午前8時30分に受信したすべてのトラフィックを表示

     ある日時か、それ以前に受信したすべてのトラフィック

          (receive_time leq 'yyyy/mm/dd hh:mm:ss')

          例：(receive_time leq '2015/08/31 08:30:00')

          説明：2015年8月31日 午前8時30分か、それより以前に受信したすべてのトラフィックを表示

     ある日時か、それ以降に受信したすべてのトラフィック

          (receive_time geq 'yyyy/mm/dd hh:mm:ss')

          例：(receive_time geq '2015/08/31 08:30:00')

          説明：2015年8月31日 午前8時30分か、それ以降に受信したすべてのトラフィックを表示

     ある期間に受信したすべてのトラフィック

          (receive_time geq 'yyyy/mm/dd hh:mm:ss') and (receive_time leq 'YYYY/MM/DD HH:MM:SS')

          例：(receive_time geq '2015/08/30 08:30:00') and (receive_time leq '2015/08/31 01:25:00')

          説明：2015年8月30日 午前8時30分から2015年8月31日 午前1時25分の間に受信したすべてのトラフィックを表示

インターフェイスのトラフィック フィルタの例

     インターフェイス interface1/x でのインバウントのすべてのトラフィック

          (interface.src eq 'ethernet1/x')

          例：(interface.src eq 'ethernet1/2')

          説明：Palo Alto Networksファイアウォールのインターフェイス Ethernet 1/2 で受信したすべてのトラフィックを表示

     インターフェイス interface1/x でのアウトバウンドのすべてのトラフィック

          (interface.dst eq 'ethernet1/x')

          例：(interface.dst eq 'ethernet1/5')

          説明：Palo Alto Networksファイアウォールのインターフェイス Ethernet 1/5 で送信されたすべてのトラフィックを表示

許可／拒否のトラフィック フィルタの例

     ファイアウォールのルールによって許可されたすべてのトラフィック

          (action eq allow)

          OR

         (action neq deny)

          例：(action eq allow)

          説明：ファイアウォールのルールによって許可されたすべてのトラフィックを表示。'eq' の前に 'n' を置くことは、'not equal to' を意味します。そのため、'deny' ではないもの、つまり、許可されたすべてのトラフィックが表示されます。

     ファイアウォールのルールによって拒否されたすべてのトラフィック

          (action eq deny)

          OR

         (action neq allow)

          例：(action eq deny)

          説明：ファイアウォールのルールによって拒否されたすべてのトラフィックを表示。'eq' の前に 'n' を置くことは、'not equal to' を意味します。そのため、'allow' ではないもの、つまり、拒否されたすべてのトラフィックが表示されます。

トラフィック フィルタの組合せ例

     送信元がOUTSIDEゾーンで、かつ 10.10.10.0/24 のネットワーク内からで、かつ宛先がホスト 20.20.20.21 で、かつPROTECTゾーンへのすべてのトラフィック：

          (zone.src eq OUTSIDE) and (addr.src in 10.10.10.0/24) and (addr.dst in 20.20.20.21) and (zone.dst eq PROTECT)

     送信元ホストが 1.2.3.4 で、宛先ホストが 5.6.7.8、かつ2015年8月30日 0時0分から2015年8月31日 23時59分59秒までのすべてのトラフィック

          (addr.src in 1.2.3.4) and (addr.dst in 5.6.7.8) and (receive_time geq '2015/08/30 00:00:00') and

          (receive_time leq '2015/08/31 23:59:59')

著者：reaper