Control Center

「コントロールセンター」には、セキュリティシステムの状態と正常性のスナップショットが、1つの画面にまとめて表示されます。

サインインすると、コントロールセンターが表示されます。

「システム」パネル

「システム」パネルには、デバイスの稼働日数のほかに、XG Firewall のサービスのリアルタイムの状態、VPN 接続、WAN リンク、パフォーマンスが表示されます。セキュリティの状態は、色別のアイコンで表示されます。アイコンをクリックすると、サービスの詳細情報が表示されます。

アイコンとその意味は次のとおりです。

パフォーマンス

アイコン

ステータス

「パフォーマンスステータス: 正常」インジケーター

ノーマル

平均負荷は 2 単位以下です。

「パフォーマンスステータス: 警告」インジケーター

警告

平均負荷は 2~5 単位です。

「パフォーマンスステータス: アラート」インジケーター

アラート

平均負荷は 5 単位以上です。

「パフォーマンスステータス: 不明」インジケーター

不明

アイコンをクリックすると、平均負荷グラフが表示されます。

平均負荷とは、1 CPU における実行待ちプロセス数の平均数です。ある一定の測定期間 (例: 5 分間) において、この平均数がシステム内のプロセッサーコア数を上回る場合は、システムの能力以上の負荷がかかっていることを示しています。

サービス

アイコン

ステータス

「サービスステータス: 正常」インジケーター

ノーマル

すべてのサービスが実行中です。

「サービスステータス: 警告」インジケーター

警報

管理者により、1つまたは複数のサービスが停止されています。システムサービス > サービス からサービスを再起動できます。

「サービスステータス: アラート」インジケーター

アラート

1 つまたは複数のサービスが実行されていません。

システムサービス > サービス からサービスを再起動できます。

「サービスステータス: 不明」インジケーター

不明

アイコンをクリックすると、停止しているサービスまたは実行されないサービスが表示されます。

インターフェース

アイコン

ステータス

「リンクステータス: 正常」インジケーター

ノーマル

すべての WAN リンクが稼動しています。

「リンクのステータス: 警告」インジケーター

警告

50% 以下の WAN リンクが停止しています。

「リンクステータス: アラート」インジケーター

アラート

50% 以上の WAN リンクが停止しています。

「リンクステータス: 不明」インジケーター

不明

WAN リンクの詳細を表示するには、アイコンをクリックしてください。

IP アドレスが割り当てられていないポートのステータスは赤になります。例: VLAN インターフェースに割り当てたポート。

VPN 接続

アイコン

ステータス

「VPN: 実行中」インジケーター

ノーマル

すべての VPN トンネルが稼動しています。

「VPN: 警告」インジケーター

警告

50% 以下の VPN トンネルが停止しています。

「VPN: アラート」インジケーター

アラート

50% 以上の VPN トンネルが停止しています。

「VPN ステータス: 不明」インジケーター

不明

VPN トンネルの詳細を表示するには、アイコンをクリックしてください。

RED

このウィジェットには、構築された RED トンネルの数と、4/8 の形式で構築された RED トンネル数の合計が表示されます。RED トンネルのリストを表示するには、ウィジェットをクリックします。

ワイヤレス AP

このウィジェットには、アクティブなアクセスポイントの数と、2/3 の形式で構築されたアクセスポイントの数の合計が表示されます。保留中のアクセスポイントがある場合は、かっこ内に赤で表示されます。このウィジェットをクリックすると、アクセスポイントページにリダイレクトされます。

接続されたリモートユーザー

このウィジェットには、SSL VPN からリモート接続しているユーザー数の合計が表示されます。このウィジェットをクリックすると、リモートユーザーページにリダイレクトされます。

ライブユーザー

このウィジェットには、ライブユーザーの総数が表示されます。このウィジェットをクリックすると、ライブユーザーページにリダイレクトされます。

CPU

CPU グラフを使用して、CPU の使用量をユーザー別、システムコンポーネント別に監視できます。また、ウィジェットをクリックすると、CPU 使用量の最大および平均が表示されます。

X 軸 – 時間/週/月/年 (選択したオプションに基づく)

Y 軸 – 使用量の割合

詳細を表示するには、ウィジェットをクリックしてください。

メモリ

メモリグラフを使用して、メモリ使用量の割合を監視できます。グラフには、メモリの使用量、メモリの空き容量、利用可能なメモリの合計が表示されます。さらに、メモリ使用量の最大と平均が表示されます。

X 軸 – 選択済み

Y 軸 – 使用量の割合

詳細を表示するには、ウィジェットをクリックしてください。

帯域幅

グラフには、WAN ゾーン経由で転送されたデータの合計が表示されます。さらに、データ転送量の最大と平均が表示されます。

X 軸 – 時間/日/月/年 (選択したオプションに基づく)

Y 軸 – データ転送量の合計 (KBits/秒)

詳細を表示するには、ウィジェットをクリックしてください。

セッション

グラフには、Sophos XG Firewall の現在のセッションが表示されます。また、ライブ接続数の最大と平均が表示されます。

詳細を表示するには、ウィジェットをクリックしてください。

復号化の処理能力

ファイアウォールの復号化容量に対する、復号化された SSL/TLS 接続の割合。

復号化セッション

復号化された SSL/TLS 接続の最新の数。

復号化の詳細は 5分ごとに更新されます。

冗長化 (HA)

構成した HA モードを次のように表示します。

A-A 「アクティブ-アクティブモード」インジケーター: Sophos XG Firewall がアクティブ-アクティブモードで構成されている場合。

A-P (M) 「アクティブ-パッシブモード」インジケーター: Sophos XG Firewall がアクティブ-パッシブモードで構成され、プライマリデバイスとして動作している場合。

A-P (S) 「アクティブ-パッシブモード」インジケーター: Sophos XG Firewall がアクティブ-パッシブモードで構成され、補助デバイスとして動作している場合。

「トラフィックの詳細」パネル

このセクションには、Sophos XG Firewall が過去 24時間以内に処理したネットワークトラフィックに関連する統計情報が表示されます。帯域幅を最も消費しているユーザーや、正常ではないトラフィックパターン、最もアクセス数の多い Web サイトおよびアプリケーションなどの情報が一目でわかります。

次の統計が棒グラフで表示されます。

  • Web アクティビティ: ユーザーの過去 24時間のデータ転送情報が表示されます。この情報は、Web 閲覧の傾向を把握するために役立ちます。また、過去 24 時間のデータ転送量の最大および平均がバイト単位で表示されるため、正常ではないトラフィックパターンがある場合はすぐに検出できます。たとえば、棒グラフに表示されている特定期間のピークは、その期間内に転送したデータの最大量を示しています。
  • 許可されたアプリカテゴリ: アプリケーションカテゴリの上位 5つのデータ転送量がバイト単位で表示されます。この情報から、管理者は過去 24 時間に最も使用されたアプリケーションを一目で把握できるため、どのアプリケーションが帯域幅を最も消費しているか特定できます。グラフで特定のアプリケーションカテゴリの棒グラフをクリックすると、そのカテゴリのアプリケーションレポートにリダイレクトされます。
  • ネットワーク攻撃: セキュリティ上の理由によりネットワークへのアクセスが拒否された上位 5つのホストが表示されます。グラフで特定の攻撃カテゴリの棒グラフをクリックすると、そのカテゴリのレポートにリダイレクトされます。
  • 許可された Web カテゴリ: Web カテゴリの上位 5つのデータ転送量がバイト単位で表示されます。この情報から、管理者は過去 24時間に最もアクセス数の多い Web サイトを一目で把握し、どの Web サイトが帯域幅を最も消費しているか特定できます。グラフで特定の Web カテゴリの棒グラフをクリックすると、そのカテゴリのレポートにリダイレクトされます。
  • ブロックされたアプリカテゴリ: 上位 5つの拒否されたアプリケーションカテゴリと、カテゴリ別のヒット数が表示されます。これにより、管理者はアクセス試行で最もエラー数の多いアプリケーションを把握することができます。グラフで特定のアプリケーションカテゴリの棒グラフをクリックすると、そのカテゴリのアプリケーションレポートにリダイレクトされます。

「ユーザーとデバイスの詳細」パネル

セキュリティハートビート

セキュリティハートビート」ウィジェットには、すべてのエンドポイントデバイスの状態が表示されます。エンドポイントデバイスは、Sophos XG FirewallSophos Central 経由で接続されたインターネット対応のコンピュータハードウェアデバイスです。エンドポイントはハートビートの信号を一定間隔で送信し、Sophos XG Firewall への潜在的な脅威を通知します。

セキュリティハートビート が設定されていない場合は、「設定」ボタンがコントロールセンターに表示されます。

エンドポイントの正常性の状態は赤、黄色または緑で示されます。
  • 赤 (ラベル「高リスク」) - アクティブなマルウェアが検出されました。
  • 黄色 (ラベル「警告」) - 非アクティブなマルウェアが検出されました。
  • 緑 (ラベルなし) - マルウェアは検出されませんでした。
  • 赤 (ラベル「不明」) - エンドポイントは、正常性に関する情報を送信していませんが、ネットワークトラフィックを発生させています。

セキュリティハートビート が設定されると、エンドポイントは上記の 4つの状態のいずれかに分類されます。「セキュリティハートビート」ウィジェットには、各状態のエンドポイント数の合計が表示されます。

ウィジェットを選択すると、すべてのエンドポイントと、そのユーザー、ホスト名、IP アドレス、およびステータス変更後の経過時間が表示されます。正常性の状態に基づいて、すべてのエンドポイントまたは特定のエンドポイントを表示するように選択できます。

接続しているすべてのエンドポイントのステータスが緑の場合、詳細ビューにはエンドポイントの詳細は表示されません。

脅威インテリジェンス

Sophos Sandstorm で確認されたファイルとインシデントの詳細が表示されます。Sandstorm は、高度なマルウェア対策を提供するクラウドベースのサービスです。疑わしいダウンロードを Sandstorm に送信して分析するようファイアウォールを設定することができます。Sandstorm で疑わしいファイルを実行することによって、ランサムウェアなどの高度な脅威が潜んでいないかどうかを確認することができます。分析はクラウドで行われるため、システムが脅威にさらされることはありません。

Sandstorm はサブスクリプションが必要です。30日間有効の無償評価版の使用を開始するには、リンクをクリックしてください。

Sandstorm を有効にすると、ファイアウォールの条件と一致したファイルはクラウドで分析され、分析が完了するまでユーザーはファイルをダウンロードすることができません。

脅威インテリジェンス」ウィジェットには、Web およびメールのトラフィックの分析結果が表示されます。脅威インテリジェンス アクティビティの詳細を表示するには、ウィジェットをクリックしてください。

ウィジェットには次の詳細が表示されます。

カウント対象

説明

最近

過去7日間に Sandstorm でスキャンされた新しい脅威 (悪質なファイル、疑わしいファイル、PUA) に関するレポート。

インシデント

Sandstorm で検出されたファイルの総数 (悪質なファイル、疑わしいファイル、PUA) が表示されます。

対象項目がデータベースに保持されている限り、このカウントに含まれます。

スキャン済み

Sandstorm でスキャンされたトラフィックがすべて表示されます (正常と判定されたものも含む)。

対象項目がデータベースに保持されている限り、このカウントに含まれます。

ウィジェットの上記のいずれかのセクションをクリックすると、XG Firewall の「脅威インテリジェンス」のページに移動します。

ATP

「ATP (Advanced Threat Protection)」ウィジェットには、ご利用のネットワーク内で検出された高度な脅威のスナップショットが表示されます。ATP は、ネットワーク内部の感染/侵害されたクライアントを迅速に検出し、アラートを生成して各トラフィックを破棄します。

このウィジェットを設定すると、次のいずれかのステータスが表示されます。

アイコン

ステータス

「ステータス: 正常」インジケーター

ノーマル

脅威は検出されませんでした。

「ステータス: アラート」インジケーター

アラート

ブロックされた送信元の数が表示されます。クリックすると、送信元のホスト名/IP、脅威、件数のような詳細が表示されます。

UTQ

このウィジェットには、過去 7 日間に集計された組織のユーザー脅威指数 (UTQ) の状態が表示されます。これにより、組織のネットワークにセキュリティ脅威をもたらすリスクのあるユーザーを迅速に特定することができます。

潜在的な UTQ の状態:

アイコン

ステータス

「ステータス: 正常」インジケーター

Web 閲覧でリスクの高い行動をとっているユーザーや、ボットネットに含まれる感染ホストを使用しているユーザーはいません。

「ユーザー脅威指数のアラート」インジケーター

組織ネットワークの全リスクの 80% を占めるユーザー数が表示されます(ここでは、例として 13人としています)。過去 7 日間の UTQ レポートを表示するには、このアイコンをクリックします。

SSL/TLS 接続

SSL/TLS 接続の詳細 (復号化されたトラフィック、復号化されていないトラフィック、接続エラーなど) を確認できます。Web サイト、ユーザー、IP アドレス別にエラーの種類を確認することが可能です。また、Web サイトを復号化の対象から除外することができます。 復号化の詳細は 5分ごとに更新されます。

コントロールセンターまたはログビューアに接続および復号化の詳細が表示されない場合は、次の項目がオンになっているかどうかを確認してください:
  • SSL/TLS インスペクションルール: ルールとポリシー > SSL/TLS インスペクションルールにアクセスし、SSL/TLS インスペクションスイッチをオンにします。
  • SSL/TLS エンジン: ルールとポリシー > SSL/TLS インスペクションルール > SSL/TLS インスペクションの設定の順にアクセスします。詳細設定 > SSL/TLS エンジンで、有効を選択します。

名前

説明

トラフィックの割合

ファイアウォールのトラフィック全体に対する、SSL/TLS で暗号化されたトラフィックの割合。

復号化された割合

SSL/TLS 接続のうち、復号化された接続の割合。

失敗

SSL/TLS 接続エラーの数。

このカウンターは、午前 0時にリセットされます。

ウィジェットを選択すると、過去 24時間の SSL/TLS セッションと、過去 7日間のファイアウォールセッションの詳細およびエラーが表示されます。

過去 24時間の SSL/TLS セッション

グラフには、暗号化されていないトラフィック、復号化されたトラフィック、復号化されていないトラフィックが表示されます。Web プロキシを経由する接続は含まれません。グラフは 5分ごとに更新されます。トラフィックの詳細を表示するには、グラフの上にカーソルを合わせてください。

ファイアウォールセッション

アクティブなファイアウォールセッションの期間を選択してください。ライブ接続の平均値は 30秒ごとに更新されます。それ以外の期間の平均値は、5分ごとに更新されます。期間が 24時間のグラフは、過去 7日間のエラーのグラフと同じになります。

トラフィックの詳細を表示するには、グラフの上にカーソルを合わせてください。

名前

説明

その他のトラフィック

暗号化されていないトラフィック。

復号化されなかった SSL/TLS

選択した期間中に復号化されなかった接続の数。

復号化からの除外の詳細については、ルールとポリシー > SSL/TLS インスペクションルールにアクセスし、除外リストと復号化プロファイルを参照してください。

復号化された SSL/TLS

選択した期間中に復号化された接続の数。

復号化のピーク

復号化された接続数の過去最大値。 実際のトラフィックがこのレベルに近いか、または上回っている場合にのみ表示されます。

復号化の制限

XG Firewall で復号可能な接続の数。 実際のトラフィックがこのレベルに近いか、または上回っている場合にのみ表示されます。

過去 7日間のエラー

SSL/TLS エラーの発生件数が多い Web サイトおよびユーザー (接続を開始したユーザーおよび IP アドレス) が表示されます。SSL/TLS トラフィックの問題が発生している Web サイトなどを特定するために役立ちます。ポリシーを調整し、問題を解決してください。

復号化の詳細は 5分ごとに更新されます。

名前

説明

上位の Web サイト

個々の Web サイトのエラー数とユーザー数を確認できます。

詳細を表示するには、Web サイトを選択してください。 エラーログを表示するには、エラーで番号を選択します。

上位のユーザー

個々のユーザーのエラー数を確認できます。

詳細を表示するには、ユーザー名または IP アドレスを選択してください。 エラーログを表示するには、エラーで番号を選択します。

エラーの修正

エラーの種類を Web サイトおよびユーザー別に確認できます。

このセクションには、Web プロキシを経由する接続のデータは含まれません。

SSL/TLS インスペクションルールを変更することで解決できる接続エラーをはじめ、CA の欠如の可能性や、ユーザーデバイス上の信頼できないアプリケーションなどが表示されます。Web ポリシーやその他のセキュリティポリシーによってブロックされた接続は表示されません。

過去 7日間の SSL/TLS エラー

ポップアップウィンドウが開き、エラーの種類が Web サイトおよびユーザー別に表示されます。Web サイトおよびユーザーの表示/非表示は切り替えられます。また、エラーを防止するために、特定の Web サイトを復号化から除外することが可能です。

  • 上位の Web サイトまたは上位のユーザーを選択します。
  • Web サイトの場合は、Web サイトを選択すると、エラーの種類と、影響を受けるユーザーおよび IP アドレスが表示されます。
  • ユーザーの場合は、ユーザーを選択すると、エラーの種類と Web サイトが表示されます。
  • エラーの種類、Web サイト、ユーザーのログを表示するには、エラーの番号を選択します。ポップアップウィンドウが開き、選択した項目が表示されます。 サーバー名列の下に Web サイトの詳細が表示されます。
  • Web サイトまたはユーザーを非表示にするには:
    1. Web サイトまたはユーザーに移動します。
    2. ポップアップウィンドウの下部で、Web サイトエラーリストから非表示にするまたはユーザーエラーリストから非表示にするを選択します。
  • Web サイトまたはユーザーを表示するには:
    1. 検索フィールドで非表示の項目を表示するを選択します。
    2. Web サイトまたはユーザーに移動します。
    3. ポップアップウィンドウの下部で、Web サイトエラーリストからの非表示を解除するまたはユーザーエラーリストからの非表示を解除するを選択します。

      SSL/TLS インスペクションルールの除外リストにデフォルトで含まれる Web サイトは非表示のままとなります。

  • Web サイトを復号化から除外するには:
    1. Web サイトにアクセスします。
    2. ポップアップウィンドウの下部で、復号化から除外するを選択します。ドメインとサブドメインを除外できます。
ドメインとサブドメインが URL グループローカル TLS 除外リストに追加されます。 このリストを編集するには、Web > URL グループにアクセスします。

除外リストを表示するには、ルールとポリシー > SSL/TLS インスペクションルールにアクセスします。

除外された Web サイトは、7日間経過した後に、この表に表示されなくなります。

アクティブなファイアウォール ルール

このウィジェットには、ファイアウォールルールの数がルールの種類およびステータス別に表示されます。また、過去 24時間にファイアウォールルールに一致したトラフィックの量 (バイト) が表示されます。

  • データ量を確認するには、グラフの上にカーソルを合わせます。
  • ファイアウォール のルールテーブル内のルールを表示するには、ファイアウォールルールのステータスを選択します。選択項目の情報が表示されます。

管理者であれば、権限に関わらず、ファイアウォールルールを参照することが可能です。

表 1. ルールの種類

名前

説明

WAF

Web サーバープロテクションのファイアウォールルール。

ユーザー

ユーザーまたはグループが選択されているファイアウォールルール。

ネットワーク

ユーザーが選択されていないファイアウォールルール。

合計

3種類のファイアウォールルールすべて。

表 2. 状態

名前

説明

未使用

XG Firewall では、12時間ごとにファイアウォールルールの使用状況がチェックされます。この期間中に、どのトラフィックにも一致しなかったルールが表示されます。

使用されていないファイアウォールルールは、変更または削除できます。

無効

無効になっている設定済みのファイアウォールルール。

変更

ファイアウォールルールに変更を加えてから 24時間、このリストに表示されます。

新規

ファイアウォールルールを作成してから 24時間、このリストに表示されます。

リストに表示されるデフォルトの期間の関係で、短期間の間、上記の異なるステータスに同じルールが表示されることがあります。以下に例を示します。

ルール名: Test

ルールの作成: 午前 10時Test ルールは、翌日の午前 10時まで新規に表示されます。

ルールの変更: 午前 11時Test ルールは、翌日の午前 11時まで変更に表示されます。

使用状況の確認:XG Firewall が正午に使用状況をチェックしたときに、Test ルールがまだ使用されていなかった場合、次の使用状況チェックまで未使用に表示されます。

無効に切り替え: 午後 1時Test ルールは無効に表示されます。無効にしたルールは、変更および無効に表示されます。

「レポート」パネル

CR10iNG、CR10wiNG、CR15i、CR15wi、CR15iNG、CR15wiNG、CR15iNG-LE、CR15iNG-4P、CR15wiNG-4P、XG85、XG85w は対象外となります。

登録しているモジュールに基づき、以下のテーブルにあるレポートで最も重要なものが 5 つ表示されます。

レポート名

表示数/表示データ

サブスクリプションモジュール

高リスクのアプリケーション

昨日検出されたリスクのあるアプリの<数>

Web プロテクション

不適切な Web サイト

昨日検出された不適切な Web サイトの<数>

Web プロテクション

Web ユーザー

上位 10 人のユーザーが昨日使用した<データ転送> (バイト単位)

Web プロテクション

不正侵入攻撃

昨日検出された侵入攻撃の<数>

ネットワークプロテクション

Web Server Protection

昨日検出された Web サーバー攻撃の<数>

Web サーバープロテクション

メール使用状況

使用された<データ転送> (バイト単位)

メールプロテクション

メールプロテクション

昨日検出されたスパムメールの<数>

メールプロテクション

トラフィックダッシュボード

-

Web プロテクションまたはネットワークプロテクションのいずれか

セキュリティダッシュボード

-

Web プロテクションまたはネットワークプロテクションのいずれか

「流行しているマルウェア」パネル

次のモデルのみに適用されます - CR15iNG、CR15wiNG、CR15i および CR15wi

マルウェア別の発生数のほかに、XG Firewall が識別した上位 5つのマルウェアが表示されます。

「メッセージ」パネル

このパネルには、監視および追跡可能なデバイスのシステムイベントが表示されます。各メッセージにはイベントの発生日時が明記されています。

次のアラートが表示されます。
  1. admin」ユーザーのデフォルトのパスワードは変更されていません。パスワードを変更することを強く推奨します。– このアラートは、スーパー管理者のデフォルトのパスワードが変更されていない場合に表示されます。
  2. デフォルトの Web 管理コンソールのパスワードが変更されていません。
  3. HTTPS、SSH 型管理は WAN で許可されています。これはセキュリティで保護された設定ではありません。強度の強いパスワードをお勧めします。
  4. HTTP、Telnet 型管理は WAN で許可されています。これはセキュリティで保護された設定ではありません。強度の強いパスワードをお勧めします。
  5. お客様の XG Firewall は登録されていません。
  6. モジュールの有効期限が切れています。

シンボリック表記でメッセージを簡単に見分けることができます。

「アラート」インジケーター: アラートメッセージを示しています。

「警告」インジケーター: 警報を示しています。

「通知」インジケーター: ファームウェアのダウンロード通知を示しています。