ACIDのインストールと設定：Snortでつくる不正侵入検知システム（3）（3/4 ページ）

» 2004年10月16日 10時00分公開

ACIDで表示されるデータ

　ここまででACIDを使うための設定はすべて終了した。早速メインページを表示してみよう。上記のページの下の方に、「Main page」というリンクがある。それをクリックすると、メインページが表示される。

　上記のうち、赤い枠線で囲った部分が統計を表示する部分である。アラートの総数や検出したアラートに対するソース／ディスティネーションIPアドレスの総数、TCP／UDP／ICMPの検出アラート数について全体から見た割合（％）などが表示される。

　実際によく使うのは緑色の枠線で囲った部分だろう。ここには検出したアラートについて、さまざまな条件を指定し検索／リスト表示を行うためのリンクが多数用意されている。

　例えば「Today's alerts」の「unique」をクリックすると、その日に検知されたアラートの一覧が重複なし（すなわちSidごと）で表示される（下記の画像を参照）。一方、「listing」をクリックすると、Sidごとにまとめられることなく、検出されたアラートが表示される。

　上記のように、ACIDでは検出したアラートの種類（Signature）、区分（Classification）、検出総数（Total#）、初回検出日時（First）、最終検出日時（Last）などが分かる。これらの表中にはいくつかのリンクが存在しており、それらを押下したどっていくことで各アラートの詳細を見ることができる。

　なお、「Signature」の欄に「［Snort］」といったリンクがある。これをクリックすると、そのアラートについての詳しい情報（シグネチャの定義や解説）が表示される。これを活用することで、なぜそのシグネチャが表示されたのか、どういった影響があるのかなどを把握することができる。

　それでは、上記の画像の一番上にリストされている「SHELLCODE x86 NOOP」というアラートを例に見ていこう。そのシグネチャの「Total#」欄に表示されている数字をクリックしてみる。すると、下記のようなページが表示される。

　上記のページには、Snortがその日に検出した「SHELLCODE x86 NOOP」の一覧が表示されている。先の画面とは違い、ソース／ディスティネーションIPアドレスやプロトコルなど、より詳細な情報が表示されていることが分かるだろう。

　さらに詳細な情報が見たい場合は、IDの欄にあるリンクをクリックする。すると、下記のような画面が表示される。なお、「Source Address」や「Dest. Address」のリンクをクリックすると、そのIPアドレスに関する情報を参照することができる。

　上記の画面を見るとお分かりいただけるように、パケットの中身を詳細に見ることができる。上記の画面上では一部分しか表示されていないが、ペイロードの中身まで見ることができる。ここを参照すると、どのようなパケットがやりとりされたのか、誤検知なのかどうかなどを判断することができる。

　ところで、前回の連載でSnortをインストールした際に、「/var/log/snort」というディレクトリを作成したのを覚えておられるだろうか。このディレクトリに何が出力されるのか、気になっている方もいらっしゃることだろう。このディレクトリを開くと、IPアドレスの名称が付いたディレクトリが多数作成されている。さらにその中を開いてみると、下記のような内容が記載されたファイルが存在している。