ビュー:

ミラーリングされたトラフィックを受信するようにVirtual Network Sensorインスタンスを設定します。

AWSでのトラフィックミラーリングの詳細については、「https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html
ネットワークロードバランサ (NLB) の背後にVirtual Network Sensorを配置する場合は、次の手順を実行する必要があります。ロードバランサの作成トラフィックミラーリングを設定する前に
注意
注意
これらの手順に含まれる手順は、2024年1月現在のものです。

手順

  1. AWSマネジメントコンソールにサインインします。
  2. ミラーソースとVirtual Network Sensorのデータポートの [Interface ID] を見つけます。
    注意
    注意
    ネットワークロードバランサの背後にVirtual Network Sensorを配置する場合、作成したネットワークロードバランサはミラーソースです。ネットワークロードバランサのインタフェースIDを特定する必要はありません。
    1. EC2ダッシュボードにアクセスします。
    2. に移動[インスタンス][インスタンス]
    3. ミラーソースとして使用するインスタンスを見つけて、インスタンスIDをクリックします。
    4. [ネットワーキング]に移動します。
    5. [ネットワークインターフェイス] リストで、ミラーソースとして使用するネットワークインタフェースの [Interface ID] をコピーします。
    6. に移動[インスタンス][インスタンス]
    7. 作成したVirtual Network Sensorインスタンスを見つけて、 [インスタンスID]をクリックします。
    8. [ネットワーキング]に移動します。
    9. [ネットワークインターフェイス] リストで、Virtual Network Sensorのデータポート (eth0) の [Interface ID] をコピーします。
      ヒント
      ヒント
      インスタンスの設定時に説明を入力した場合は、インタフェースIDの代わりにその説明を使用してネットワークインタフェースを特定できます。
  3. VPCダッシュボードにアクセスします。
  4. 上部のナビゲーションバーで、インスタンスがデプロイされているVPCが配置されている [地域] を選択します。
  5. に移動[トラフィックミラーリング][Mirror filters]
  6. [Create traffic mirror filter]をクリックします。
  7. [フィルタ設定]を設定します。
    • [Name tag]: フィルタの一意の名前を指定します。
      説明的で見つけやすい名前を使用します。 VirtualNetworkSensor-TrafficMirrorFilter
    • [説明]: フィルタの説明を指定します。
      フィルタの目的を明確に説明する説明を使用します (例: [Virtual Network Sensor Traffic Mirror Filter])。
    • [Network services]: [amazon-dns]を選択します。
  8. [Inbound rules] セクションで、 [Add rule]をクリックします。
  9. 新しいルールを設定します。
    トレンドマイクロ では、次に示す許可されたルールセットを使用することをお勧めします。トラフィックを制限するルールを追加すると、Virtual Network Sensorから環境への表示が妨げられる場合があります。

    データポートトラフィックミラーフィルタの受信ルール

    オプション
    設定
    説明
    [番号]
    100
    ルールの優先度
    ルール番号が小さいほど優先され、最初に適用されます。
    [Rule action]
    受け入れる
    ルールの一致に対する処理
    プロトコル
    すべてのプロトコル
    ルールを適用するプロトコル
    [Source CIDR block]
    0.0.0.0/0
    ルールを適用するCIDR形式の送信元IPアドレス範囲
    [Destination CIDR block]
    0.0.0.0/0
    ルールを適用するCIDR形式の送信先IPアドレス範囲
    説明
    すべての受信トラフィックをミラーリングします。
    ルールの処理内容の説明
  10. [Outbound rules] セクションで、 [Add rule]をクリックします。
  11. 新しいルールを設定します。
    トレンドマイクロ では、次に示す許可されたルールセットを使用することをお勧めします。トラフィックを制限するルールを追加すると、Virtual Network Sensorから環境への表示が妨げられる場合があります。

    データポートトラフィックミラーフィルタの送信ルール

    オプション
    設定
    説明
    [番号]
    100
    ルールの優先度
    ルール番号が小さいほど優先され、最初に適用されます。
    [Rule action]
    受け入れる
    ルールの一致に対する処理
    プロトコル
    すべてのプロトコル
    ルールを適用するプロトコル
    [Source CIDR block]
    0.0.0.0/0
    ルールを適用するCIDR形式の送信元IPアドレス範囲
    [Destination CIDR block]
    0.0.0.0/0
    ルールを適用するCIDR形式の送信先IPアドレス範囲
    説明
    すべての送信トラフィックをミラーリングします。
    ルールの処理内容の説明
  12. [作成] をクリックします。
    ミラーフィルタの作成には少し時間がかかります。終了したら、 [閉じる]をクリックします。
  13. に移動[トラフィックミラーリング][Mirror targets]
  14. [Create traffic mirror target]をクリックします。
  15. [Target settings]を設定します。
    • [Name tag]: 対象設定の一意の名前を指定します。
      説明的で見つけやすい名前を使用します。 VirtualNetworkSensor-TrafficMirrorTarget
    • [説明]: 対象の説明を指定します。
      フィルタの目的を明確に説明する説明を使用します (例: [Virtual Network Sensor Traffic Mirror Target])。
  16. [Choose target]を設定します。
    • 通常の配置では、次の設定を使用します。
      1. [ターゲットタイプ] で、[ネットワークインターフェイス] を選択します。
      2. [対象] には、データポートインタフェースIDまたは、ネットワークインタフェースの説明で検索します。
    • Network Load Balancerの背後に配置するには、次の設定を使用します。
      1. [対象の種類]で、 [Network Load Balancer]を選択します。
      2. [対象] には、作成したネットワークロードバランサ
  17. [作成] をクリックします。
    ミラーターゲットの作成が完了するまで少し時間がかかります。終了したら、 [閉じる]をクリックします。
  18. に移動[トラフィックミラーリング][Mirror session]
  19. [Create traffic mirror session]をクリックします。
  20. [Session settings]を設定します。
    • [Name tag]: ミラーセッションの一意の名前を指定します。
      説明的で見つけやすい名前を使用します。 VirtualNetworkSensor-TrafficMirrorSession
    • [説明]: ミラーセッションの説明を指定します。
      セッションの目的を明確に説明する説明を使用します (例: [Virtual Network Sensor Traffic Mirror Session])。
    • [Mirror source]:ミラーソースのインタフェースID
    • [Mirror target]:ミラーターゲットの名前作成しました。
  21. [Additional settings]を設定します。
    最良の結果を得るには、次の設定を使用することを トレンドマイクロ 勧めします。これらの設定は、セキュリティ環境のニーズに合わせて調整できます。

    トラフィックミラーセッションの追加設定

    オプション
    設定
    説明
    [セッション番号]
    1
    セッションの優先度
    セッション番号によって、次の状況でトラフィックミラーセッションが評価される順序が決まります。
    • インタフェースが複数のセッションで使用されている場合
      異なるトラフィックミラーターゲットとトラフィックミラーフィルタでインタフェースが使用されている場合
    トラフィックは1回のみミラーリングされるため、推奨設定を使用して最も高い優先度を確保してください。
    [VNI]
    空白のままにします
    一意のVXLANネットワーク識別子
    AWSが乱数を割り当てることを許可する場合は、空白のままにします。
    VXLANを手動で指定する場合は、を参照してください。https://tools.ietf.org/html/rfc7348
    [Packet length]
    空白のままにします
    ミラーリングする各パケットのバイト数
    パケット全体のミラーリングを許可するには、空白のままにします。
    数値を指定すると、パケット長が指定したバイト数に制限されます。たとえば、100に設定すると、パケットのVXLANヘッダ以降の最初の100バイトのみが転送されます。
    [フィルタ]
    を選択します。トラフィックミラーフィルタあなたが作成した
    ミラーセッションに使用するトラフィックミラーフィルタ
  22. [作成] をクリックします。
    ミラーセッションの作成には少し時間がかかります。完了すると、Virtual Network Sensorはミラーリングされたトラフィックの監視を開始します。