Help us understand the problem. What is going on with this article?

PaloaltoとFotiGateのログ分析における注意点

More than 1 year has passed since last update.

UTM市場で市場展開が盛んな2つのベンダーのUTM製品においてログ分析を行う際、注意するべきことがあるため記載します。
ログ分析の観点から結構インパクトがある内容であるため気をつけたほうがいいかもです。

FortiGate

6.0.4以降及び6.2.0以降から記載される内容の考え方が大きく変わります。
以下は説明する上で出てくる単語と意味、key=value形式のkeyフィールド名

  • 送信元情報
    • 送信元IP[srcip]
    • 送信元インターフェース[srcintf]
    • 送信元インターフェースロール[srcinfrole]
  • 宛先情報
    • 宛先IP[dstip]
    • 宛先インターフェース[dstintf]
    • 宛先インターフェースロール[dstintfrole]
  • 方向情報
    • 方向[Direction]
  • 悪意あるサーバー情報
    • IP:a.a.a.a
    • インターフェース:port1
    • インターフェースロール:WAN
  • 攻撃を受ける端末の情報
    • IP:b.b.b.b
    • インターフェース:port2
    • インターフェースロール:LAN
  • 検知情報
    • ブラウザの脆弱性を狙う攻撃

〜6.0.4未満 or 6.0.0 〜 6.2.0未満

送信元情報及び宛先情報が【検知したパケットの流れた方向】となっていました。
また、方向情報はポリシーの書いている向きに対してどちらの方向で検知したか、となっていました。

サンプルログ
... srcip="a.a.a.a" srcintf="port1" srcintfrole="wan" dstip="b.b.b.b" dstintf="port2" dstintfrole="lan" direction="incoming" ...

6.0.5〜 or 6.2.0〜

送信元情報及び宛先情報は【セッション情報に基づいた】記述となります。いわゆるトラフィックログと同じ記述のされ方になります。
また、方向情報は相変わらず同じでポリシーの書いている向きに対して・・・・となります。
(むしろポリシーの向きとトラフィックの向きがアンマッチって基本ない気がします。)

サンプルログ
... srcip="b.b.b.b" srcintf="port2" srcintfrole="lan" dstip="a.a.a.a" dstintf="port1" dstintfrole="wan" direction="incoming" ...

参考情報

Fortinet Document Library
New Features / Logging - Session versus Attack Direction

https://docs.fortinet.com/document/fortigate/6.2.0/new-features/199570/logging-session-versus-attack-direction

Reddit
Log message reference - direction=

https://www.reddit.com/r/fortinet/comments/ay93d9/log_message_reference_direction/

Paloalto

PAN-OS 〜v8.0

送信元情報及び宛先情報が【検知したパケットの流れた方向】となっていました。

PAN-OS v8.1〜

送信元情報及び宛先情報は【セッション情報に基づいた】記述となります。いわゆるトラフィックログと同じ記述のされ方になります。
また、方向情報は相変わらず同じでポリシーの書いている向きに対して・・・・となります。

参考情報

Paloalto Customer Support
THREAT LOGS SHOW INVERTED/REVERSED DIRECTION FOR SOURCE AND DESTINATION IP ADDRESSES

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm1UCAS&lang=en_US

sanyamarseille
しがないセキュリティエンジニア。 SSCP、LPIC303、電気通信主任技術者、情報処理安全確保支援士、情報セキュリティスペシャリスト、VCP6.5-DCV、etc...
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away