社内システムが遅い、PCでは接続できるけどスマホだと遅い、ネットワーク監視ツールで大量のトラフィックを検出したがどんな通信なのか分からない、といったことは、ネットワーク管理者であれば多くの方が経験したことがあるかと思います。
今回は、NDR(Network Detection & Response)ソリューションであるExtraHopが、そんなお悩みをすぐに解決する、そんな事例をご紹介致します。
その1)仮想デスクトップが遅い問題を解決する。
アプリケーション・パフォーマンス管理ツールで監視するのが難しいXenDesktopなどの仮想デスクトップソリューションについて、ネットワーク管理者はアプリケーションの可視性の維持とトラブルシューティングに苦労しています。 今回の事例では、複数のユーザーがリモートで Microsoft Windows デスクトップにアクセスして実行できるデスクトップ仮想化プラットフォームである Citrix XenDesktop のユーザー・エクスペリエンスを監視する方法を示します。
ネットワーク管理者はExtraHopを使用して、XenDesktopアプリケーションにおいて、ユーザーが遅いと認識する5秒を超えるロード時間を検出するとアラートを受信します。 この図では、ユーザー「kenp」が最も悪化しているように見えます。複数のユーザーがログインに通常よりも長い時間かかっています。ローカルな問題なのか、グローバルな問題なのか?調査してみましょう。
「kenp」というユーザーがどのような通信を行っているのかを調査してみましょう。通信内容を深堀りしたところ、1GB以上の休暇中の写真をローミングプロファイル上に保存しており、ログオンするたびにネットワーク上で写真データが同期されていることが判明しました。これは大量のデータ転送です。そのため、「kenp」だけでなく、他のユーザーにも影響を与え、迷惑がかかっています。
アプリケーションのパフォーマンスが低下すると、そのアプリケーションのバグなどが疑われ調査のために膨大な時間を要す場合がありますが、ExtraHopのダッシュボードとリアルタイムのアラートにより、本当の問題を簡単に見つけることができ、トラブルシューティングやアプリケーション・ベンダーへのエスカレーションなどに何時間も費やす必要がなくなります。 このケースでは、ちょっとした "プロファイル・メンテナンス "がネットワークの健全性を維持するのに役に立ちます。
その2) DBサーバーエラーからセキュリティインシデント
ネットワーク観点でDBサーバーのパフォーマンス問題を解析していくことで、セキュリティ問題の検知に至る場合もあります。
ネットワーク管理者は定期的にDBサーバーの状況を確認し、あまりにもエラーが多発していることを把握し、調査を開始します。
一体何が原因なのか?画面をスクロールしていくと、サーバーごと、クライアントごと、メソッドごと、ユーザーごとのエラーなどが一目瞭然で分かります。
では、エラーが一番多い“web2.nycdmz.example.com”の情報を見てみることにします。
デバイス情報の画面に遷移すると、このクライアントの簡易な構成情報や役割、どのくらい前から出現したのかなどが表示されます。注目すべきは、”Detection”に注意すべき情報が2件あることが分かります。クリックして何が検知されたのかクリックします。
すると、このクライアントは攻撃に関する注意喚起情報が2件あることが分かり、更に現在進行形で継続していることが分かります。"ongoing”の方をクリックしてみましょう。
クリックして進むと、この攻撃の概要と、この攻撃に関連した他の攻撃が、MITRE ATT&CK®に沿って表示され、攻撃の状況を把握することができます。
このように、当初サーバー側の問題と思われたエラーが、実はセキュリティインシデントだったという場合も少なくありません。ネットワーク観点とセキュリティ観点の両方からアプローチできることは、社内のネットワークをより安全かつ快適に利用するためには必須であると言えます。
まとめ
いかがでしたでしょうか?このようにネットワークパフォーマンスモニタリングのトップベンダーであったExtraHopだからこそ、ネットワークを完全に可視化することができ、単なるパフォーマンスの問題も詳細に解析することができ、今まで分かり得なかったセキュリティインシデントをいち早く検知することもできるのです。
是非、NPMにもNDRにも使えるExtraHopをご検討してみてはいかがでしょうか?