- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: カスタム テーブルの使用
カスタム テーブルの使用
FireSIGHT システムがネットワークに関する情報を収集し、防御センターがその情報を一連のデータベース テーブルに保存します。結果として生成される情報を表示するためにワークフローを使用する場合、防御センターはそれらのテーブルのいずれかからデータを取り出します。たとえば、[Network Applications by Count(カウントに基づいたネットワーク アプリケーション)] ワークフローの各ページのカラムは、[Applications] テーブルのフィールドから取得されます。
さまざまなテーブルのフィールドを結合することにより、ネットワークのアクティビティの分析が向上する場合、カスタム テーブルを作成できます。たとえば、定義済みの [Host Attributes] テーブルのホスト重大度情報と、定義済みの [Connection Data] テーブルのフィールドを結合してから、新しいコンテキストで接続データを検証できます。
定義済みのテーブルまたはカスタム テーブルのどちらについても、カスタム ワークフローを作成できます。カスタム ワークフローの作成の詳細については、「カスタム ワークフローの作成」を参照してください。
カスタム テーブルについて
カスタム テーブルには、2 つ以上の定義済みのテーブルのフィールドが含まれます。FireSIGHT システムでは、システム定義のカスタム テーブルが多数提供されていますが、自分のニーズに合った情報だけを含めるカスタム テーブルをさらに作成できます。
たとえば、FireSIGHT システムでは、侵入イベント データをホスト データと相関させるシステム定義のカスタム テーブルが提供されているので、重要なシステムに影響を与えるイベントを検索して、その検索の結果を 1 つのワークフローで表示できます。次の表は、システムに付属しているカスタム テーブルについて説明します。
可能なテーブルの結合について
カスタム テーブルを作成する場合、関連データを含む定義済みのテーブルのフィールドを結合できます。次の表は、新しいカスタム テーブルを作成するために結合できる定義済みのテーブルをリストしています。3 つ以上の定義済みのカスタム テーブルのフィールドを結合してカスタム テーブルを作成できることに留意してください。
|
|
|
|---|---|
あるテーブルのフィールドが、別のテーブルの複数のフィールドにマップされる場合があります。たとえば、定義済みの [Intrusion Events with Destination Criticality] カスタム テーブルは、[Intrusion Events] テーブルと [Hosts] テーブルのフィールドを結合します。[Intrusion Events] テーブルの各イベントは、2 つの IP アドレス(送信元 IP アドレスと宛先 IP アドレス)と関連付けられています。しかし、[Hosts] テーブルの「イベント」はそれぞれ、単一のホスト IP アドレスを表します(ホストに複数の IP アドレスが存在する場合があります)。したがって、[Intrusion Events] テーブルと [Hosts] テーブルに基づいてカスタム テーブルを作成する場合、[Intrusion Events] テーブルのホストの送信元 IP アドレスかホストの宛先 IP アドレスのどちらに適用するかを選択する必要があります。
新しいカスタム テーブルを作成すると、テーブルのすべてのカラムを表示するデフォルトのワークフローが自動的に作成されます。定義済みのテーブルと同じように、ネットワーク分析で使用するデータをカスタム テーブルで検索することもできます。また、定義済みのテーブルで行うのと同じように、カスタム テーブルに基づいてレポートを生成することもできます。
カスタム テーブルの作成
さまざまなテーブルのフィールドを結合することにより、ネットワークのアクティビティの分析が向上する場合、カスタム テーブルを作成できます。
ヒント 新しいカスタム テーブルを作成する代わりに、別の防御センターからカスタム テーブルをエクスポートし、防御センターにインポートできます。その後、必要に合わせて、インポートしたカスタム テーブルを編集できます。詳細については、「設定のインポートおよびエクスポート」を参照してください。
カスタム テーブルを作成するには、FireSIGHT システムに付属しているどの定義済みテーブルに、カスタム テーブルに組み込むフィールドが含まれているかを判断します。その後、組み込むフィールドを選択できます。さらに、必要に応じて、共通フィールドのフィールド マッピングを設定することもできます。
ヒント [Hosts] テーブルを含むデータでは、1 つの IP アドレスではなく、1 つのホストのすべての IP アドレスに関連したデータを表示できます。
例として、[Correlation Events] テーブルと [Hosts] テーブルのフィールドを結合するカスタム テーブルについて考慮します。このカスタム テーブルを使用して、相関ポリシーの違反に関係するホストの詳細情報を取得できます。注意すべき点として、[Correlation Events] テーブルの送信元 IP アドレスと宛先 IP アドレスのどちらと一致する [Hosts] テーブルのデータを表示するかを決定する必要があります。
このカスタム テーブルのイベントのテーブル ビューを表示する場合、相関イベントが 1 行に 1 つずつ表示されます。次の情報が表示されます。
•
相関イベントに関係する送信元ホスト(開始ホスト)に関連付けられた IP アドレス
• 送信元ホストが実行しているオペレーティング システムおよびバージョン
ヒント 宛先ホスト(応答ホスト)の同じ情報を表示する同じようなカスタム テーブルを作成することもできます。
ステップ 1 [Analysis] > [Custom] > [Custom Tables] を選択します。
ステップ 2 [Create Custom Table] をクリックします。
[Create Custom Table] ページが表示されます。
ステップ 3 [Name] フィールドに、[Correlation Events with Host Information (Src IP)] などのカスタム テーブルの名前を入力します。
ステップ 4 [Tables] ドロップダウン リストから、[Correlation Events] を選択します。
[Correlation Events] テーブルのフィールドが [Fields] リストに表示されます。
ステップ 5 [Fields] で [Time] を選択し、[Add] をクリックして、相関イベントが生成された日時を追加します。
ステップ 6 ステップ 5 を繰り返して、[Policy] および [Rule] フィールドを追加します。
ヒント Ctrl または Shift を押しながらクリックすることにより、複数のフィールドを選択できます。また、クリックしてドラッグすることで、隣接する複数の値を選択できます。しかし、テーブルに関連したイベントのテーブル ビューでフィールドが表示される順序を指定する場合、フィールドを一度に 1 つずつ追加します。
ステップ 7 [Tables] ドロップダウン リストから [Hosts] を選択します。
[Hosts] テーブルのフィールドが [Fields] リストに表示されます。これらのフィールドの詳細については、「ホスト テーブルについて」を参照してください。
ステップ 8 [IP Address]、[NetBIOS Name]、[OS Name]、[OS Version]、および [Host Criticality] フィールドをカスタム テーブルに追加します。
ステップ 9 [Correlation Events] の隣にある [Common Fields] で、[Source IP] を選択します。
相関イベントに関係する送信元ホスト(開始ホスト)用にステップ 8 で選択したホスト情報を表示するように、カスタム テーブルが設定されます。
ヒント 相関イベントに関係する宛先ホスト(応答ホスト)に関する詳細なホスト情報を表示するカスタム テーブルを作成する場合、この手順に従うものの、[Source IP] ではなく、[Destination IP] を選択します。
カスタム テーブルの変更
ニーズの変化に応じて、カスタム テーブルのフィールドを追加したり削除したりできます。
ステップ 1 [Analysis] > [Custom] > [Custom Tables] を選択します。
ステップ 2 編集するテーブルの横にある編集アイコン(
)をクリックします。
[Edit Custom Table] ページが表示されます。変更可能なさまざまな設定の詳細については、「カスタム テーブルの作成」を参照してください。
ステップ 3 除外するフィールドの横にある削除アイコン(
)をクリックして、テーブルからフィールドを除外することもできます。
注 レポートで現在使用中のフィールドを削除すると、それらのフィールドを使用しているセクションをそれらのレポートから除外するか確認するプロンプトが出されます。
ステップ 4 必要に応じて他の変更を行い、[Save] をクリックします。
カスタム テーブルの削除
必要なくなったカスタム テーブルを削除できます。カスタム テーブルを削除すると、そのカスタム テーブルを使用する保存済み検索も削除されます。
ステップ 1 [Analysis] > [Custom] > [Custom Tables] を選択します。
ステップ 2 削除するカスタム テーブルの隣にある削除アイコン( )をクリックします。
カスタム テーブルに基づいたワークフローの表示
カスタム テーブルを作成すると、そのデフォルトのワークフローがシステムによって自動的に作成されます。このワークフローの最初のページには、イベントのテーブル ビューが表示されます。カスタム テーブルに侵入イベントを含める場合、ワークフローの 2 番目のページはパケット ビューになります。それ以外の場合、ワークフローの 2 番目のページはホスト ページになります。カスタム テーブルに基づいて、独自のカスタム ワークフローを作成することもできます。
ヒント カスタム テーブルに基づいてカスタム ワークフローを作成する場合、それをそのテーブルのデフォルトのワークフローとして指定できます。詳細については、「イベント ビュー設定の設定」を参照してください。
同じ手法を使用して、定義済みのテーブルに基づいたイベント ビューに使用するカスタム テーブルでイベントを表示できます。詳細については、「ワークフローのページの使用」を参照してください。
ステップ 1 [Analysis] > [Custom] > [Custom Tables] を選択します。
ステップ 2 表示するワークフローが基づくカスタム テーブルの隣にある表示アイコン(
)をクリックします。
カスタム テーブルのデフォルトのワークフローの最初のページが表示されます。別のワークフローを使用するには、ワークフローのタイトルの横にある [(switch workflow)] をクリックします。別のデフォルトのワークフローを指定する方法については、「イベント ビュー設定の設定」を参照してください。イベントが表示されず、ワークフローを時間によって制約できる場合は、時間範囲の調整が必要なことがあります。「イベント時間の制約の設定」を参照してください。
カスタム テーブルの検索
カスタム テーブルの検索を作成して保存できます。ネットワーク環境に合わせてカスタマイズされた検索を作成してから、後で再利用できるように保存することができます。カスタム テーブルを削除すると、そのカスタム テーブル用に保存したすべての検索も削除されるので注意してください。
使用できる検索基準は、カスタム テーブルを作成するために使用した定義済みのテーブルの基準と同じです。使用できる検索基準の詳細については、以下の表に示されているセクションを参照してください。
|
|
|
|---|---|
テーブル検索にそれらの基準を実装するには、次の手順を参照してください。
ステップ 1 [Analysis] > [Custom] > [Custom Tables] を選択します。
ステップ 2 検索するカスタム テーブルの隣にある表示アイコン( )をクリックします。
カスタム テーブルのデフォルトのワークフローの最初のページが表示されます。別のワークフロー(カスタム ワークフローを含む)を使用するには、ワークフローのタイトルの横にある [(switch workflow)] をクリックします。別のデフォルト ワークフローの指定方法については、「イベント ビュー設定の設定」を参照してください。イベントが表示されず、ワークフローを時間によって制約できる場合は、時間範囲の調整が必要なことがあります。「イベント時間の制約の設定」を参照してください。
ヒント さまざまな種類のイベントまたはデータをデータベースで検索するには、[Table] ドロップダウン リストから選択します。
ステップ 4 検索を保存する場合、[Name] フィールドでその名前を入力できます。
名前を入力しないと、検索を保存するときに自動的に名前が付けられます。
ステップ 5 該当するフィールドに検索基準を入力します。検索基準を選択する方法の詳細については、 「テーブルの検索基準」 を参照してください。
複数の基準を入力すると、検索では、すべての基準を満たすレコードだけが返されます。
ヒント 検索基準としてオブジェクトを使用する場合は、検索フィールドの横にあるオブジェクト アイコン(
)をクリックします。特別な検索構文、検索でのオブジェクトの使用、検索の保存およびロードなど、検索の詳細については、「検索設定の実行と保存」を参照してください。
ステップ 6 検索を保存して他のユーザがアクセスできるようにするには、[Save As Private] チェック ボックスをオフにします。そうしない場合は、このチェック ボックスを選択したままにして、検索をプライベートとして保存します。
ヒント カスタム ユーザ ロールに対するデータ制限として検索を使用する場合は、プライベート検索として保存する必要があります。
• 検索を開始するには、[Search] ボタンをクリックします。
検索結果は、現在の時間範囲によって制限されている、カスタム テーブルのデフォルトのワークフローに表示されます(該当する場合)。別のワークフロー(カスタム ワークフローを含む)を使用するには、ワークフローのタイトルの横にある [(switch workflow)] をクリックします。別のデフォルト ワークフローの指定方法については、「イベント ビュー設定の設定」を参照してください。
• 既存の検索を変更した場合、その変更を保存するには、[Save] をクリックします。
• 検索基準を保存する場合は、[Save as New Search] をクリックします。検索を保存し、[Save As Private] を選択してユーザ アカウントと関連付けると、検索を後で実行できます。
フィードバック