
はじめに
Cato Cloudとは、Cato Networks社が提供する、ネットワークとセキュリティのすべての機能を1つのサービスに統合した、クラウドベースのSASEソリューションです。
企業のセキュリティの概念としてゼロトラストが注目されている中、このSASEはパフォーマンスの向上とセキュリティの向上を同時に実現することができるアーキテクチャとして広がりを見せています。
私たちフーバー・クロステクノロジーズは、このCato Cloudの導入や運営を支援するサービスを展開しております。
今回は、Cato Cloudが持つ豊富な機能の中から、「イベントモニタリング」について紹介し、Cato Cloudの魅力をお伝えしたいと思います。
Cato Cloud モニタリング イベント画面
イベント画面の概要
Cato Cloudのイベント画面は、ネットワーク上で発生したすべてのイベントを一元的に管理・分析できる強力なツールです。この機能を使用することで、セキュリティ問題の特定やネットワークのトラブルシューティングを効率的に行うことができます。
イベント画面へのアクセス
イベント画面にアクセスするには、Cato Management Application (CMA)にログインし、以下のいずれかの方法で開くことができます:
全体のイベント:[モニタリング] > [イベント](図1)
特定のサイトのイベント:[ネットワーク] > [サイト] > (サイトを選択) > [サイト監視] > [イベント](図2)
特定のユーザのイベント:[アクセス] > [ユーザ] > (ユーザを選択) > [ユーザモニタリング] > [イベント](図3)
図1 全体のイベントの確認
図2 特定のサイトのイベントの確認

図3 特定のユーザのイベントの確認
イベントの種類(図4)
イベント画面では、以下の5つの主要カテゴリのイベントを確認できます:
Security:ファイアウォールやIPSなどのセキュリティ機能に関連するイベントです。
Connectivity:サイトやユーザの接続/切断、DHCP関連のイベントです。
System:LDAP連携やSCIM Provisioningなどのシステム関連イベントです。
Routing:BGPピアの追加/削除、Always-Onバイパスなどのルーティング関連イベントです。
Sockets Management:SocketのアップグレードやWebUIアクセスに関するイベントです。

図4 イベント画面に表示されるイベントの種類
主要機能(図5)
期間指定:画面右上のカレンダーボタンから、確認したい日時範囲を選択できます。
カテゴリフィルタリング:イベントカテゴリのチェックボックスを操作し、表示するカテゴリを選択できます。
詳細フィルタリング:Action、Sub-type、Rule、Category、PoP Name、Source IPなど、様々なフィールドを使用して詳細な絞り込みが可能です。
イベント詳細の表示:各イベントの左側にある「+」をクリックすると、そのイベントの詳細情報が表示されます。
スマートビュー:イベントデータを読みやすい形式で表示し、迅速な洞察を提供します。
上位グラフ:イベントの分布を9つの円グラフで視覚的に表示されます。

図5 イベント画面の主要機能
イベントフィールドの説明
Cato Cloudのイベント画面で表示される各フィールドは、ネットワークの状態や発生したイベントを詳細に理解するための重要な情報を提供します。以下に主要なフィールドとその説明になります。
基本情報フィールド
Event Type:イベントの種類を示します。主な種類には、Connectivity(接続性)、Security(セキュリティ)、Routing(ルーティング)、System(システム)、Sockets Management(ソケット管理)、Detection and Response(検知と対応)があります。
Sub-Type:Event Typeの詳細なカテゴリを示します。例えば、Internet Firewall、SDP Activity、Apps Securityなどがあります。
Action: イベントに関連する動作を示します。例えば、Allow(許可)、Block(ブロック)、Monitor(監視)などがあります。
Event Message:イベントの詳細な説明です。
Event Count:1分間に同じイベントが複数回発生した場合の回数です。
ネットワーク関連フィールド
Source IP:クライアント、サイト、またはホストのIPアドレスです。
Destination IP:宛先サーバーのIPアドレスです。
Source Port:クライアント、サイト、またはホストの内部ポート番号です。
Destination Port:宛先サーバーのポート番号です。
Source Site:すべてのトラフィックに対して、送信元サイトまたはSDPユーザーの名前です。
Egress Site:バックホールトラフィックの出口サイトの名前です。
セキュリティ関連フィールド
Application:ポリシーで使用されるアプリケーションです。例:Facebook、CNNなど。
File Hash:アンチマルウェアイベントの場合、関連ファイルのハッシュです。
File Name:アンチマルウェアイベントの場合、関連ファイルの名前です。
Threat Name:アンチマルウェアイベントの場合はマルウェア名を、IPSイベントの場合はトラフィックがブロックされた理由になります。
接続性関連フィールド
TLS Inspection:イベントのトラフィックがTLS検査されたかどうかを示します。1(検査済み)または0(未検査)の値が表示されます。
TLS Version:このイベントのTLSプロトコルバージョン番号です。
TCP Acceleration:イベントのトラフィックがTCP加速されたかどうかを示します。1(加速)または0(非加速)の値が表示されます。
その他の重要フィールド
Criticality:XDRイベントの場合、0(リスク/影響なし)から10(非常に高いリスク/影響)のスケールでリスクレベルです。
Custom categories:アカウントのカスタムカテゴリです。
Flows Cardinality:特定のインシデントに関連するフローの数です。
これらのフィールドを適切に活用することで、ネットワーク管理者はCato Cloud上で発生するイベントを詳細に分析し、迅速かつ効果的なトラブルシューティングや、セキュリティインシデントへの対応が可能となります。
イベントを使用したトラブルシューティング
Cato Cloudのイベントを使用したトラブルシューティングの手順と実践的なアプローチを紹介します。
トラブルシューティングの準備
効果的なトラブルシューティングを行うには、以下の情報を事前に収集することが重要です。
問題が発生した日時
問題の発生場所(Socket配下またはリモートアクセス)
送信元情報(IPアドレスまたはユーザーメールアドレス)
宛先情報(IPアドレスまたはWebサイトURL)
通信の種類(プロトコル、ポート番号、アプリケーション)
トラブルシューティングの手順
1. 時間範囲の絞り込み
イベント画面右上のカレンダーボタンを使用して、問題が発生した時間帯に絞り込みます。
2. フィルターの適用
以下のフィールドを使用して、関連するイベントを絞り込みます。
Action: 特に「Block」に注目
Sub-type: 問題の種類に応じて選択(例:Internet Firewall、IPS、Anti Malware)
Source IP / SDP User Email: 送信元の特定
Destination IP / Domain Name: 宛先の特定
3. イベントの詳細分析
絞り込まれたイベントの「+」をクリックして詳細情報を確認します。ここで、ブロックの理由や具体的なエラー内容を特定できます。
一般的なトラブルシューティング事例
Webサイトアクセス不可の問題
Actionが「Block」のイベントを確認します。
Sub-typeを確認し、ブロックの原因(Firewall、IPS、Anti Malwareなど)を特定します。
必要に応じて、ポリシーの調整やAllow Listの作成を検討します。
TLS関連の問題
「プライバシーが保護されません」というエラーが表示される場合:
Sub-typeが「TLS」のイベントを確認します。
「TLS Error Description」フィールドを確認します。
「certificate unknown」エラーの場合、端末にCatoのルート証明書がインストールされているか確認します。
トラブルシューティングのポイント
時系列で問題を追跡: 問題発生前後のイベントを確認し、異常の兆候を探ります。
段階的なフィルター適用: 広い範囲から徐々に絞り込み、関連イベントを特定します。
パターンの認識: 類似のイベントが繰り返し発生していないか確認します。
セキュリティポリシーの再確認: ブロックが意図的なものか、ポリシー設定を見直します。
ログの保存: 重要なイベントログをエクスポートし、後の分析や報告に備えます。
Cato Cloudのイベント機能を効果的に活用することで、ネットワークの問題を迅速に特定し、解決することができます。定期的なイベントの確認と分析を行うことで、潜在的な問題を事前に発見し、ネットワークの安定性と安全性を向上させることができます。
イベント画面のカスタマイズ
Cato Cloudのイベント画面は、ネットワーク管理者のニーズに合わせて柔軟にカスタマイズできる機能を提供しています。これにより、効率的なトラブルシューティングと詳細な分析が可能になります。
カスタムプリセットの作成
イベント画面では、頻繁に使用するフィルター設定をカスタムプリセットとして保存できます。
これにより、特定の分析やトラブルシューティングのシナリオに素早くアクセスできるようになります。
カスタムプリセットの作成手順(図6~8):
必要なイベントフィルターと時間範囲を設定
保存アイコンをクリックする。
プリセットに名前を付ける。
「適用」をクリックして保存する。
保存したカスタムプリセットは、「カスタムプリセット」ドロップダウンメニューから簡単にアクセスできます。

(図6)フィルタと時間範囲の設定

(図7)プリセットの適用

(図8)適用したプリセットの確認
フィールドの追加と削除(図9)
イベント画面に表示されるフィールド(列)は、ユーザーのニーズに応じて追加や削除が可能です。
これにより、必要な情報のみを表示し、画面をより見やすくカスタマイズできます。
フィールドの追加方法:
イベントデータ内の目的のフィールドを確認する。
フィールド名の横にある「追加」アイコンをクリックする。
フィールドの削除方法:
不要なフィールド(列)の横の「x」をクリックする。

(図9)フィールドの追加と削除
フィルターの詳細設定
イベント画面では、複数のフィルターを組み合わせて詳細な検索条件を設定できます。
フィルターバーを使用して、イベントタイプ、アクション、送信元IP、宛先IPなど、様々な条件を指定できます。
フィルターの追加方法(図10):
フィルターバーの「+」ボタンをクリックする。
目的のフィールドを選択する。
条件(等しい、含む、以上、以下など)を指定する。
「フィルタの追加」ボタンをクリックする。

(図10)フィルタの詳細設定
エクスポート機能の活用
カスタマイズしたイベントデータは、CSV形式でエクスポートすることができます。
これにより、外部のツールを使用して更に詳細な分析や報告書の作成が可能になります。
エクスポートの手順(図11):
「イベントのエクスポート」ボタンをクリックする。
エクスポートするフィールドを選択する(すべてのフィールド、または選択されたフィールドのみ)。
エクスポートを実行する。
これらのカスタマイズ機能を活用することで、Cato Cloudのイベント画面をより効果的に使用し、ネットワークの監視とトラブルシューティングの効率を大幅に向上させることができます。

(図11)イベントののエクスポート
まとめ
Cato Cloudでは、ネットワークやセキュリティのイベントログを一つのイベント画面で確認が可能です。これまで複数のネットワーク機器やセキュリティソリューションにログインして個別にログを確認していたものが、Cato Cloudの統一されたイベント画面から簡単にログを確認できるため、ログ確認や調査にかかる時間を大幅に短縮できます。
アラートの優先順位付けやフィルタリング、カスタマイズ設定を活用することで、管理者の業務負担を軽減し、効率的なセキュリティ管理が実現します。これらの機能を適切に活用することで、企業全体のセキュリティリスクを低減し、より安全なネットワーク環境を維持することが可能です。
今回紹介した機能を上手に駆使することで、効率的にイベント管理を実施することができることでしょう。
重ねてになりますが、私たちフーバー・クロステクノロジーズは、このCato Cloudの導入や運用を支援する各種サービスを展開しております
Cato Cloudに関するお問い合わせや導入に関する相談、システム/セキュリティ全般に関わる相談等、お気軽にお問い合わせください。
参考文献
「Analyzing Events in Your Network」CATO Learning Center.
「Explaining the Event Fields」CATO Learning Center.