TWSNMPのレポート（デバイス）

TWSNMPには、ポーリングやログの受信によって集めた情報からレポートを作成する機能があります。レポートには、

デバイス：
ネットワークを利用しているパソコン、スマフォ、その他の機器に関するレポートです。デバイスの情報は、ARP監視で取得できます。syslogから取得することもできます。
ユーザー：
ネットワークを利用しているユーザー（ユーザーID）に関するレポートです。ユーザーの情報は、syslogから取得します。
サーバー：
ネットワークを利用しているデバイスが通信しているサーバーに関するレポートです。サーバーの情報は、Netflowまたはsyslogから取得します。
通信フロー：
ネットワーク上の通信のデバイスとサーバーの組み合わせに関するレポートです。通信フローの情報は、Netflowまたはsyslogから取得します。

があります。

レポートWindowの表示方法

ツールバーの＜レポート表示＞ボタン

をクリックするか、ノードを選択しない状態でマップを右クリックしてメニューの「レポート」

から表示することができます。

デバイス TAB

ネットワークを利用するデバイスのレポートを表示します。ARP監視から自動的に作成されるので、しばらくTWSNPを稼働したら表示できるはずです。

グラフ：
MACアドレスから調べたデバイスのメーカーと信用スコア毎に集計したグラフです。そのネットワークの中に、どこのメーカーのデバイスが多いか可視化するものです。
<Copy>ボタン:
表示しているリストの内容を、クリップボードにコピーします。
<CSV><Excel>ボタン：
表示しているリストの内容をCSVファイルまたはExcelファイルに保存します。
フィルター：
リストの表示を入力した文字列を含む内容にフィルター表示します。
＜再計算＞ボタン：
信用スコアを再計算します。
＜再表示＞ボタン：
レポートを再表示します。
＜調査＞ボタン：
MACアドレスを入力して調査します。登録済みのMACアドレスならばフィルター表示します。未登録の場合は、新規に登録してメーカー名などを表示します。（これは、私が必要なのでつけた機能です。）
＜閉じる＞ボタン：
レポートWindowを閉じます。

リストには、以下の内容が表示されます。

信用スコア：
デバイスを信用できる度合いを示す値です。おなじみの偏差値で表現しています。５０が平均的ということです。
MACアドレス：
デバイスのMACアドレスです。
名前：
デバイスの名前です。
IPアドレス：
レポート作成時点でのデバイスのIPアドレスです。
情報：
デバイスのメーカーなどの情報です。
初回：
始めて、このデバイスを見つけた日時です。
最終：
最後に、このデバイスが通信した日時です。
ID：
レポート上でデバイスを管理するためのIDです。

アドレス調査ダイアログ

このダイアログは、入力したMACアドレスをデバイスのリストから検索して、登録されていれば、そのデバイスを表示します。（文字列でフィルターをかけて、１件だけ表示します。）登録されていない場合は、新規の登録します。この時にMACアドレスからメーカー名などの情報を取得します。
この機能は、私が本業の調査する時にMACアドレスからメーカーなどの調べるのに必要なのでつけた機能です。私には便利です。

アドレス：
調査したいMACアドレスを入力します。
名前：
MACアドレスが未登録の場合に新規登録しますが、この時に名前に設定する値を入力します。
<Cancel>ボタン：
ダイアログを閉じます。
＜実行＞ボタン：
入力した内容で調査を実行します。

まとめ動画

信用スコアの計算

デバイスの信用スコアは、悪いことが見つかると減点する方法で点数をつけて全てのデバイスを偏差値を計算しています。はじめは１００点、悪い通信をすると１点減点、その他の悪い通信をするともう１点減点ということです。偏差値にしているのは、デバイスの信用度は、相対的にしか決められないからです。このネットワークの中でデバイスを怪しい順に並べるという考え方です。
デバイスの場合の減点は、

・IPアドレスの変化が多い
・メーカーが特定できない
・対応IPアドレスから名前が特定できない
・信用できないサーバーと通信している
・対応するIPアドレスがおかしい

という方法で行っています。これは、まだまだ考える余地があって、これから楽しめる課題です。