UTM市場で市場展開が盛んな2つのベンダーのUTM製品においてログ分析を行う際、注意するべきことがあるため記載します。
ログ分析の観点から結構インパクトがある内容であるため気をつけたほうがいいかもです。
FortiGate
6.0.4以降及び6.2.0以降から記載される内容の考え方が大きく変わります。
以下は説明する上で出てくる単語と意味、key=value形式のkeyフィールド名
- 送信元情報
- 送信元IP[srcip]
- 送信元インターフェース[srcintf]
- 送信元インターフェースロール[srcinfrole]
- 宛先情報
- 宛先IP[dstip]
- 宛先インターフェース[dstintf]
- 宛先インターフェースロール[dstintfrole]
- 方向情報
- 方向[Direction]
- 悪意あるサーバー情報
- IP:a.a.a.a
- インターフェース:port1
- インターフェースロール:WAN
- 攻撃を受ける端末の情報
- IP:b.b.b.b
- インターフェース:port2
- インターフェースロール:LAN
- 検知情報
- ブラウザの脆弱性を狙う攻撃
〜6.0.4未満 or 6.0.0 〜 6.2.0未満
送信元情報及び宛先情報が【検知したパケットの流れた方向】となっていました。
また、方向情報はポリシーの書いている向きに対してどちらの方向で検知したか、となっていました。
... srcip="a.a.a.a" srcintf="port1" srcintfrole="wan" dstip="b.b.b.b" dstintf="port2" dstintfrole="lan" direction="incoming" ...
6.0.5〜 or 6.2.0〜
送信元情報及び宛先情報は【セッション情報に基づいた】記述となります。いわゆるトラフィックログと同じ記述のされ方になります。
また、方向情報は相変わらず同じでポリシーの書いている向きに対して・・・・となります。
(むしろポリシーの向きとトラフィックの向きがアンマッチって基本ない気がします。)
... srcip="b.b.b.b" srcintf="port2" srcintfrole="lan" dstip="a.a.a.a" dstintf="port1" dstintfrole="wan" direction="incoming" ...
参考情報
Fortinet Document Library
New Features / Logging - Session versus Attack Direction
Reddit
Log message reference - direction=
https://www.reddit.com/r/fortinet/comments/ay93d9/log_message_reference_direction/
Paloalto
PAN-OS 〜v8.0
送信元情報及び宛先情報が【検知したパケットの流れた方向】となっていました。
PAN-OS v8.1〜
送信元情報及び宛先情報は【セッション情報に基づいた】記述となります。いわゆるトラフィックログと同じ記述のされ方になります。
また、方向情報は相変わらず同じでポリシーの書いている向きに対して・・・・となります。
参考情報
Paloalto Customer Support
THREAT LOGS SHOW INVERTED/REVERSED DIRECTION FOR SOURCE AND DESTINATION IP ADDRESSES
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm1UCAS&lang=en_US