mini SIEM

タブ概要

このタブでは端末で行われたトラフィックの内、最新の2時間のログを新しい順に表示しています。

ログの1行1行はパケットを表し、カラムはパケット諸元を表しています。またロギング対象のパケットは、その時に端末が使用するネットワークインタフェースを通過するパケットになります。

※検索は一つの単語のみ指定可能で、部分一致するログを全て表示します。

※数十秒に1回、自動的にログ表示の更新が行われるようになっています。スクロールして更新することが可能です。

解析開始ボタン

解析開始ボタンはパケットキャプチャを開始するボタンです。ボタンを押すと、パケットキャプチャを開始します。開始時にはOSから端末の管理者パスワードを求められますので入力して下さい※。パケットキャプチャを終了するには、再度停止ボタンを押して下さい。なおアプリを閉じると、自動でキャプチャが終了します。

※本サービスの利用には、「管理者権限での実行」が必要となります。

タブ概要

このタブでは端末で行われたアウトバウンドトラフィックの内、最新の2時間のログを分析し可視化したものを表示します。

パケット諸元から推定する通信サービス統計と宛先ポートの可視化、及びその際に端末が使用するエフェメラルポートを表示します。

トラフィック統計

端末から行ったトラフィックをサービス別に表示し、その時の宛先ポートを整理した図です。また送信時に端末が使用したエフェメラルポートも表示します。

サービスの判定においては、「宛先ポートによる推定」、および「パケット特徴からの推定」の2段構えで行います。どちらの特徴からでも判定出来ない場合、Unknownと表示されます。

トラフィックの宛先

パケットの宛先IPアドレスとその出現回数を、出現回数順に表示しています。ProプランではIPアドレスの他に、ドメイン名を表示し通信先を素早く認識可能です。

外部DNSサーバを用いた名前解決（Proプランのみ）

ボタンを押すと表示されたIPアドレスに対し、Googleなどの大手のDNSサーバに問い合わせて、ドメイン名を取得することを試みます。またこの時ローカルIPアドレスと考えられるアドレスは問い合わせの対象外です。
対象外とするIPアドレスレンジ： 127.0.0.0/8, 192.168.0.0/16, 10.0.0.0/8 など

タブ概要

このタブでは端末で行われたインバウンドトラフィックの内、最新の2時間のログを分析し可視化したものを表示します。パケット諸元から推定する通信サービス統計と、開いているポート一覧を表示します。

通信サービス統計

端末に行われたインバウンドトラフィックを解析し、サービス別に表示した図です。

サービスの判定においては、「宛先ポートによる推定」、および「パケット特徴からの推定」の2段構えで行います。どちらの特徴からでも判定出来ない場合、Unknownと表示されます。

インバウンドトラフィック分析（Proプランのみ）

端末でLISTEN状態にあるTCPポートの一覧を表示します。またそのポートを利用するトラフィック量を可視化します。

トラフィック送信元

パケットの送信元IPアドレスとその出現回数を、出現回数順に表示しています。ProプランではIPアドレスの他に、ドメイン名を表示し通信先を素早く認識可能です。

外部DNSサーバを用いた名前解決（Proプランのみ）

ボタンを押すと表示されたIPアドレスに対し、Googleなどの大手のDNSサーバに問い合わせて、ドメイン名を取得します。

タブ概要

このタブでは最新の2時間の中で、ユーザーが有効化したルールに引っかかったトラフィックについて表示します。

ルールと有効/無効化

現在利用可能なルール

• Detect Telnet Communication（TELNET通信を検知）
• Detect FTP Communication（FTP通信を検知）
• Detect RDP Communication（リモートデスクトップ接続を検知）
• Suspicious Non-Standard SSH/Telnet Ports（22, 23ポート以外のSSH,Telnet通信を検知）
• Wake-on-LAN Packet Detection（端末を遠隔で起動するWake-on-LANパケットを検知）
• Access to Default Ports of Local LLMs（ollamaなどがデフォルトで使用するポート(11434)に対するパケットを検知）
• Network Interface Change Detected（ネットワークインタフェース変更検知 例：VPN接続中→VPN解除 現象などを検知）
• WebSocket Communication Detected（Websocket通信を検知）

これらのルールは個別に有効化・無効化することが可能です。※Proプランは全ルール、Liteプランは上から4番目までのルールが利用可能です。

ルールに基づいた可視化

検知されたトラフィックを統計的に確認可能です。

トラフィック統計

• 検出された不審なログ: Severity（注目度）別に検知パケットを表示します。
• 不審な通信のプロトコル別集計: 検知パケットの通信種別を表示します。
• 不審な通信の推移: 時間帯別の検知パケット量を表示します。

タブ概要

端末に記録された最新ログを対象に、ローカルLLMモデルによる分析を行うためのインターフェースになります。

端末で起動するollamaが管理するローカルLLMモデルを使用可能です。

詳しくはこちらから。ollamaセットアップ方法を説明しています。

設定と実行

1.ollamaが起動しているポートを指定します。（ホストはlocalhost固定です）

2.ollamaに入っている、利用したいローカルLLMモデルを選択します。（ollamaが起動していないと選択出来ません）

3.分析時にローカルLLMに渡すプロンプト文を編集可能です。また最新ログ件数は以下のタブから選択して下さい。ここで選択した件数が、最新ログからさかのぼる件数になります。

4.入力後、「設定を保存する」ボタンを押下します。

5.設定反映後、「最新ログを分析する」ボタンを押下します。

6.最新ログがローカルLLMに渡され、解析が行われます。

※分析結果や分析時間は、利用するLLMモデルや端末性能に大きく依存します。本製品では分析時間が5分を経過すると解析がキャンセルされます。使用するモデルによっては、ログ件数が大きいと入力を省略され指定した件数分の入力がされない場合があります。※Liteプランはプロンプト編集を、Proプランは全ての機能が利用可能です。

タブ概要

保存された全期間のログの内、ユーザーが指定した期間のトラフィックログを集計し、CSVとして出力します。

※Freeプランでは、1日1回のログ出力が可能です。

操作方法

1.現在時刻から何分前までを指定する場合、右の現在時刻を確認し左のフォームを入力します。
また、特定の期間を指定する場合は「現在時刻を使用する」のチェックを外すと表示される画面において、いつからを左の入力フォームに、いつまでを右の入力フォームに入力して下さい。

2.検索ワードを指定する場合は、「検索キーワードを入力」フォームに一つの単語を入力してください。

3.条件を入力後、「フィルタを適用」ボタンを押下して待機して下さい。

※容量の都合上、一度に出力可能な期間は最大２日間です。

操作方法

4.期間を指定後、「フィルタを適用」ボタンを押し、「指定期間フィルタを適用しました。」という画面が出るまで待ちます。その後、「ログを抽出し、ダウンロードディレクトリに保存」ボタンが表示されるので押下し、待機すると端末のダウンロードディレクトリにCSVファイルが保存されます。

左サイドバー概要

サイドバーでは本製品の動作やサポートに関わる設定を行います。

会員ページへのアクセス

「有料プランへの移行」または「プランを見る」をクリックすると会員ページへ移動します。

会員ページについて

現在のプラン・有効期限の確認が可能です。また有料プランへのアップグレードの他、メールアドレスなどの変更やサブスクリプション解除もこのページから行います。右上のメニューに各機能がまとまっています。

言語切替

タブから日本語またはEnglishを選択すると、本製品全体の言語表記が変わります。

ログファイルの自動削除

端末で保存するログファイルの最大容量を指定します。設定例として、２つの動画配信サイトを24時間視聴し続けた場合のログ容量の目安は5GBです。