不正PC検知・遮断
管理外のPCがネットワークに接続されると検知しアラートやメールでお知らせします。遮断も可能です。
■検知ログの表示
・画面左下の[管理外PC検知]を選択すると、検知した機器の一覧が表示されます。
同一機器の検知情報は1時間あたりに1行だけ表示されます。
■ルータ等の除外
・ルータ等の検知対象外にしたい機器は、セルを選択し[除外]ボタンをクリックすると除外できます。
・ベンダー名やコンピュータ名でルータ等のネットワーク機器を区別できます。
■検知除外リスト
・画面左下の[検知除外リスト]で除外した機器を表示できます。備考を記入することができます。
■アラート
・管理外のPCを検知すると以下の画像のアラートが表示されます。
検知エージェントの配置
[SharpPcap.dll]と[PacketDotNet.dll]を常駐エージェントと同じフォルダに配置すると、検知エージェントとして機能します。
以下のフォルダに配置してください。
XP,2000、C:\Documents and Settings\All Users\Documents\eam
Vista,7、C:\Users\Public\Documents\eam
検知エージェントにするPCにはWinpcap4.1.1をインストールしてください。Winpcap公式ページ
※検知エージェントはセグメントごとに1台配置してください。同じセグメントに2台以上配置しても特に問題はありません。
※ARPパケットのブロードキャストが届く範囲で検知します。(ルータは越えません)
※エージェントをデスクトップ等から実行した場合は検知機能は働きません。スタートアップからの実行か上記フォルダから実行してください。
※検知インターフェイスには、取得したIPアドレスのデバイスを使用します。デバイスが見つからない場合は、1個目のデバイスを使用します。
※LANカード以外にソフトウェアインターフェイス等が入っていると正しく動作しない場合があります。デバイス一覧はWiresharkの起動画面で確認できます。
遮断
[オプション]→[オプション]を開き、[管理外PCを遮断する]にチェックを入れると、検知した機器を遮断できます。
※最後に検知した時から1分間遮断します。(遮断対象がARPパケットを出さなくなってから1分後に遮断をやめます。)
※遮断時は検知エージェントのPCも遮断されるので、遮断機能を使う場合はサーバーを検知エージェントにしないようにしてください。
※検知エージェントは遮断オプションのON/OFFを1分おきに確認します。(遮断オプションをOFFにすると1分以内に遮断を中止します。)
※検知エージェントは遮断除外リストを10分おきに確認します。(遮断除外リスト登録から10分以内に検知しなくなります。)
※ARPパケットを出力しない又は、動的ARPテーブルを使用しないデバイスは遮断できません。
※ARPスプーフィング防止機能などを備えたスイッチングハブなどを使用している場合は遮断できません。
検知時のアラートメール
検知時にメールを送信できます。送信元SMTPサーバーはGMailのみに対応しています。
パスワードをデータベースに保存するので専用のGMailアカウントを作ってください。
メール送信先は任意に指定できます。複数指定する場合は , (カンマ)で区切ってください。
※メール送信はEasyAssetManagerコンソールが行うので、EasyAssetManagerコンソールを起動したままにしておいてください。
管理外PC探索
上記の[管理外PC検知]機能とは別に[管理外PC探索]機能がありますが、こちらは簡易的な機能です。
pingによって管理外PCを探索します。
ルーター越しでも探索できますが、ファイアウォール機能がONになっているPCは探知できません。
戻る