- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: ディスカバリ イベントの使用
ディスカバリ イベントの使用
ディスカバリ イベントは、ユーザにネットワーク上のアクティビティを警戒するよう警告し、適切に対応する必要がある情報を提供します。これらのイベントは、管理対象デバイスが監視しているネットワーク セグメント内で、管理対象デバイスが検出する変更によってトリガーされます。 ネットワーク検出ポリシー は、システムが収集するデータの種類、監視対象ネットワーク セグメント、およびシステムがトラフィックの監視で使用する特定のハードウェア インターフェイスについて明記しています。ネットワーク検出 の詳細については、「検出データ収集について」を参照してください。
ディスカバリ イベントの簡単な例として、会議室または予備の作業空間があり、そこへ来た従業員がネットワークにアクセスする場合があります。ユーザはこれらのセグメントで生成される New Host イベントを定期的に見ることが予想されますが、悪意のある行為だとは疑わないでしょう。ただし、ロック ダウンしたネットワーク セグメントで New Host イベントが見つかった場合は、それに応じて、応答のエスカレーションを行うことができます。
ユーザ ディスカバリ イベントは、ネットワーク上のホストにログインしているユーザに関する情報を提供します。ユーザは、ネットワーク上のユーザ アクティビティをカタログしているイベントを表示してドリル ダウンし、特定のユーザの情報を表示することができます。たとえば、新しいホストに関連付けられているユーザを表示する場合は、ホスト プロファイルを確認し、対象のホストとやりとりしているトラフィックで検出されたのがどのユーザかを特定することができます。
ディスカバリ イベントは、このような簡単な例に比べて、ネットワーク上のアクティビティを知るうえではるかに詳しく、精度の高い情報を提供します。監視されている各ホストについて、関連するアプリケーション プロトコル、ネットワーク プロトコル、クライアント、ユーザ、および潜在的な脆弱性を検出するようシステムを設定することができます。システムは、ユーザがホストの入力機能を使用して防御センターにインポートしたサードパーティのスキャナで検出された脆弱性についても情報を提供することができます。侵害の痕跡(IOC)は侵入、マルウェア、および他のデータを使用して、セキュリティが侵害される可能性があるホストを特定します。またユーザは、ユーザ インターフェイスを介して入力するホストの重要度、ホスト属性、脆弱性の設定における何らかの変更を追跡できます。
システムには事前定義のワークフロー セットが用意されており、これを使用して、システムで生成されるディスカバリ イベントを分析することができます。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。
分析用のネットワーク検出 データを収集および格納するには、ネットワーク上、およびシスコの管理対象デバイスおよび NetFlow 対応のデバイスがトラフィックを監視するゾーンで適切なデータを検出するよう、ネットワーク検出ポリシーが設定されていることを確認します。監視対象領域をディスカバリの範囲から除外するには、ネットワーク検出ポリシーで設定します。ネットワーク検出ポリシーを適用する前に、アクセス コントロール ポリシーを管理対象デバイスに適用する必要があります。詳細については、「ネットワーク検出ポリシーの作成」を参照してください。
•
「ホストの使用」
• 「サーバの使用」
• 「脆弱性の処理」
• 「ユーザの使用」
ディスカバリ イベントの統計情報の表示
[Discovery Statistics Summary] ページには、システムで検出されたホスト、イベント、プロトコル、アプリケーション プロトコル、およびオペレーティング システムの概要が表示されます。
• 統計情報の概要は、イベントの合計、アプリケーション プロトコル、ホスト、ネットワーク デバイス、およびホストの使用制限に関する全般的な情報を提供します。「統計情報のサマリ」を参照してください。
• イベントの明細には、システムで発生しているイベントのタイプに関する統計情報が示されます。「Event Breakdown」を参照してください。
• プロトコルの明細には、検出されたホストで使用しているプロトコルに関する統計情報が示されます。「Protocol Breakdown」を参照してください。
• アプリケーション プロトコルの明細には、ネットワーク上で稼動しているアプリケーション プロトコルの統計情報が示されます。「Application Protocol Breakdown」を参照してください。
• オペレーティング システムの明細には、ネットワーク上で稼動しているオペレーティング システムについて、およびそれぞれのオペレーティング システムを何台のホストが使用しているかが示されます。「OS Breakdown」を参照してください。
ページには、最後の 1 時間の統計情報、および累計の統計情報が示されます。特定のデバイス、またはすべてのデバイスについての統計情報を選択することができます。サマリに示されているイベント、サーバー、オペレーティング システム、またはオペレーティング システムのベンダーをクリックして、ページ上のエントリに一致するイベントを表示することもできます。
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Summary] > [Discovery Statistics] を選択します。
ステップ 2 [Select Device] リストから、統計情報を表示するデバイスを選択します。防御センターで管理されるすべてのデバイスの統計情報を表示するには、[All] を選択します。
統計情報のサマリ
統計情報のサマリは、イベントの合計、アプリケーション プロトコル、ホスト、ネットワーク デバイス、およびホストの使用制限に関する全般的な統計情報を提供します。
[Statistics Summary] セクションの行の説明は次のとおりです。
防御センターに格納されているディスカバリ イベントの合計数。
最後の 1 時間に生成されたディスカバリ イベントの合計数。
検出されたホストで実行されているサーバのアプリケーション プロトコルの合計数。
一意の IP アドレスによって特定された検出済みホストの合計数。
すべてのデバイス、または特定のデバイスのどちらについてのディスカバリ統計情報を参照している場合でも、[Total MAC Hosts] の統計情報は同じになることに注意してください。これは、管理対象デバイスが IP アドレスに基づいてホストを検出するためです。この統計情報は、他の方法によって識別され、特定の管理対象デバイスに依存しないすべてのホストの合計を表します。
使用中のホスト制限のパーセンテージ合計。ホストの制限は、FireSIGHT のライセンスによって定義されます。すべての管理対象デバイスについての統計情報を表示している場合は、ホストの使用制限のみが表示されることに注意してください。モニタリングしているホストの使用についての詳細は、「FireSIGHT ホスト使用量モニタリングの設定」を参照してください。
注 ホストの制限に達して、あるホストが削除された場合、ディスカバリを実行するよう設定されたすべての管理対象デバイスでネットワーク検出を再開するまで、ホストはネットワーク マップに表示されません。
Event Breakdown
[Event Breakdown] セクションには、データベースに格納されている各イベント タイプの合計数のカウントの他に、ネットワーク検出の各タイプのカウント、および最後の 1 時間で発生したホスト入力イベントが示されます。各イベント タイプの詳細な説明については、「ディスカバリ イベントのタイプについて」および「ホスト入力イベントのタイプについて」を参照してください。
[Event Breakdown] セクションを使用して、ディスカバリ イベントおよびホスト入力イベントの詳細を表示することもできます。
ネットワーク検出 イベントおよびホスト入力イベントをタイプごとに表示するには、以下を行います。
アクセス:Admin/Any Security Analyst
デフォルトのディスカバリ イベント ワークフローの最初のページが、選択したイベント タイプによって制約されて表示されます。カスタム ワークフローなどの別のワークフローを使用するには、ワークフロー タイトルの近くの [(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。イベントが表示されない場合は、時間範囲の調整が必要なことがあります。「イベント時間の制約の設定」を参照してください。
ディスカバリ イベントの使用については、「ディスカバリ イベントとホスト入力イベントの使用」を参照してください。
Protocol Breakdown
[Protocol Breakdown] セクションには、検出されたホストで使用されているプロトコルが示されます。このセクションでは、検出されたそれぞれのプロトコル名、プロトコル スタックの「レイヤ」、およびプロトコルを使用して通信しているホストの合計数を表示します。
Application Protocol Breakdown
[Application Protocol Breakdown] セクションには、検出されたホストで使用されているアプリケーション プロトコルが示されます。このセクションでは、プロトコル名、最後の 1 時間にアプリケーション プロトコルを実行したホストの合計数、いずれかのポイントでプロトコルの実行が検出されたホストの合計数を表示します。
[Application Protocol Breakdown] セクションにより、検出されたプロトコルを使用しているサーバの詳細を表示することもできます。
リストされたアプリケーション プロトコルを使用しているサーバを表示するには、以下を行います。
アクセス:Admin/Any Security Analyst
ステップ 1 表示するアプリケーション プロトコルの名前をクリックします。
デフォルトのサーバ ワークフローの最初のページが、選択したアプリケーション プロトコルによって制約されて表示されます。カスタム ワークフローなどの別のワークフローを使用するには、ワークフロー タイトルの近くの [(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
サーバの使用については、「サーバの使用」を参照してください。
OS Breakdown
[OS Breakdown] セクションには、監視対象ネットワーク上で稼動しているオペレーティング システム、およびオペレーティング システムのベンダー、各オペレーティング システムを実行しているホストの合計数が示されます。
オペレーティング システムの名前またはバージョンの値が unknown の場合は、オペレーティング システムまたはそのバージョンが、システムのフィンガープリントの内容と一致しないことを意味します。値が pending の場合は、オペレーティング システムまたはそのバージョンを識別するための十分な情報がシステムで収集されていないことを意味します。
[OS Breakdown] セクションを使用して、検出されたオペレーティング システムの詳細を表示することができます。
オペレーティング システムまたはベンダーによってホストを表示するには、以下を行います。
アクセス:Admin/Any Security Analyst
• 特定のオペレーティング システムを実行しているすべてのホストを表示するには、[OS Name] の下でオペレーティング システムの名前をクリックします。
• 特定のベンダーからいずれかのオペレーティング システムを実行しているすべてのホストを表示するには、[OS Vendor] の下でベンダーの名前をクリックします。
デフォルトのホスト ワークフローの最初のページが、選択したオペレーティング システムまたはベンダーによって制約されて表示されます。カスタム ワークフローなどの別のワークフローを使用するには、ワークフロー タイトルの近くの [(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
ホストの使用については、「ホストの使用」を参照してください。
ディスカバリのパフォーマンス グラフの表示
ディスカバリ イベントを使用して、管理対象デバイスのパフォーマンス統計情報を示すグラフを生成することができます。
注 新しいデータは、統計情報のグラフに 5 分ごとに累積されます。このため、グラフをすぐにリロードすると、次の 5 分の累積が実行されるまで、データが変わらないことがあります。
Data Correlator が 1 秒間に処理するイベントの数を表します。
Data Correlator が 1 秒間に処理する接続の数を表します。
ディスカバリ プロセスによって 1 秒間に分析されたトラフィック数(メガビット)を表します。
ディスカバリ プロセスによって分析された各パケットに含まれるバイト数の平均を表します。
ディスカバリ プロセスで 1 秒間に分析されるパケット数を 1000 単位で表します。
ディスカバリのパフォーマンス グラフを生成するには、以下を行います。
ステップ 1 [Overview] > [Summary] > [Discovery Performance] を選択します。
[Discovery Performance] ページが表示されます。
ステップ 2 [Select Device] リストから、防御センターまたは対象とする管理対象デバイスを選択します。
[Select Graph(s)] リストでは、選択するアプライアンスによって、使用できるグラフの表示が変わります。
ステップ 3 [Select Graph(s)] リストから、作成するグラフのタイプを選択します。
ヒント Ctrl キーまたは Shift キーを押しながらグラフのタイプをクリックすると、複数のグラフを選択できます。
ステップ 4 [Select Time Range] リストから、グラフで使用する時間範囲を選択します。直近の 1 時間、1 日、1 週間、または 1 月を選択できます。
ステップ 5 [Graph] をクリックして、選択した統計情報をグラフ化します。
ディスカバリ イベントのワークフローについて
防御センターは、ネットワークで生成されるディスカバリ イベントの分析で使用できるワークフロー セットを提供します。ワークフローはネットワーク マップとともに、ネットワーク資産に関する主要な情報源になります。これらのワークフローには、システムによって生成されたディスカバリ データが挿入されたテーブルが含まれています。
[Analysis] > [Hosts] メニューから、ネットワークのディスカバリ ワークフローにアクセスします。防御センターには、検出されたホストとそのホストの属性、サーバ、アプリケーション、アプリケーションの詳細、脆弱性、ユーザ アクティビティ、およびユーザのワークフローだけでなく、ディスカバリ イベントの事前定義のワークフローが用意されています。ユーザはカスタム ワークフローを作成することもできます。ワークフローの詳細については、「ワークフローの概要と使用」を参照してください。
ヒント [Analysis] > [Custom] > [Custom Tables] を選択して、カスタム テーブルに基づいたワークフローにアクセスします。
ネットワークのディスカバリ ワークフローを使用している場合は、イベントのタイプに関係なく、多数の一般的なアクションを実行できます。これらの一般的な機能については、 「一般的なディスカバリ イベントのアクション」 で説明しています。
|
|
|
|---|---|
プロファイル アイコン( |
|
ユーザ ID の隣に表示されているユーザ アイコン( |
|
| • • • 詳細については、「イベントの制約」を参照してください。 |
|
非表示にするカラムの見出しで、クローズ アイコン( |
|
詳細については、「ワークフロー内の他のページへのナビゲート」で確認できます。 |
|
ワークフロー ページの左上にある、対象のページ リンクをクリックします。詳細については、「ワークフローのページの使用」を参照してください。 |
|
| • • • |
• • これらのアイテムが再検出されても、システムのディスカバリ機能が再開されるまで、これらのアイテムは削除されたままになります。 ヒント データベースからすべてのディスカバリ イベントを削除する方法、およびディスカバリを再開する方法については、「データベースからの検出データの消去」を参照してください。(サードパーティの場合とは異なり)、シスコの脆弱性は削除 できない ことに注意してください。ただし、確認済みとしてマークすることはできます。詳細については、「脆弱性の処理」を参照してください。 |
詳細については、「ワークフロー間のナビゲート」で確認できます。 |
)をクリックするか、または侵害の痕跡(IOC)タグがアクティブになっているホストで、IP アドレスの隣に示されている侵害されているホストのアイコン(
)をクリックします。表示されるポップアップ ウィンドウで、[Apply] をクリックします。ディスカバリ イベントとホスト入力イベントの使用
システムはディスカバリ イベントを生成します。このイベントは、監視対象ネットワーク セグメントにおける変更の詳細をやりとりします。新しく検出されたネットワーク機能に対しては、 新しい イベントが生成され、以前に認識されたネットワーク資産における何らかの変更に対しては、変更のイベントが生成されます。
最初のネットワーク検出のフェーズ中に、システムは各ホスト、および各ホスト上での稼動が検出された TCP または UDP サーバについて、新しいイベントを生成します。必要に応じて、NetFlow 対応のデバイスでエクスポートされたデータを使用してこれらの新しいホストおよびサーバのイベントを生成するよう、システムを設定することができます。
またシステムは、検出された各ホスト上で稼動しているネットワーク、トランスポート、およびアプリケーション プロトコルのそれぞれに対して新しいイベントを生成します。NetFlow 対応のデバイスが含まれるように設定したディスカバリ ルールを作成する場合は、アプリケーション プロトコルの検出を無効にすることができます。ただし、設定された NetFlow 対応のデバイスを使用しないディスカバリ ルールでは、アプリケーションの検出を無効にすることはできません。NetFlow 以外のディスカバリ ルールでホストまたはユーザの検出を有効にすると、アプリケーションが自動的に検出されます。
最初のネットワーク マッピングが完了すると、続けてシステムは、変更イベントを生成し、ネットワークの変更を記録します。変更イベントは、以前に検出された資産の設定が変更されるたびに生成されます。
ディスカバリ イベントが生成されると、データベースに記録されます。防御センターの Web インターフェイスを使用して、ディスカバリ イベントを表示、検索、および削除することができます。また、相関ルールでディスカバリ イベントを使用することもできます。ユーザが指定する他の基準だけでなく、生成されるディスカバリ イベントのタイプに基づいて、相関ルールを作成することができます。相関ルールは相関ポリシーで使用され、ネットワーク トラフィックが基準を満たしたときに、修復、syslog、SNMP、および電子メール アラートの応答を起動します。
ホスト入力機能を使用して、ネットワーク マップにデータを追加することができます。オペレーティング システムの情報を追加、修正、または削除することができますが、この場合、システムは対象のホストに対する情報の更新を停止します。アプリケーション プロトコル、クライアント、サーバ、およびホストの属性を手動で追加、変更、または削除することも、脆弱性の情報を変更することもできます。この処理を行う場合、システムはホスト入力機能を生成します。
• 「ディスカバリ イベントおよびホスト入力イベントの表示」
ディスカバリ イベントのタイプについて
ディスカバリ イベントには多数のタイプがあります。たとえば、監視対象ネットワーク セグメントで新しいホストが検出された場合、システムは New Host イベントを生成し、記録します。ディスカバリ イベントのテーブルを表示すると、[Event] カラムにイベント タイプが表示されます。詳細については、「ディスカバリ イベントおよびホスト入力イベントの表示」を参照してください。
監視対象ネットワークでシステムが変更を検出した(以前に検出されなかったホストからトラフィックが検出されたなど)ときに生成されるディスカバリ イベントとは異なり、ホスト入力イベントは、ユーザが特別なアクションを実行した(手動でホストを追加するなど)ときに生成されます。ホスト入力イベントの詳細については、「ホスト入力イベントのタイプについて」を参照してください。
ネットワーク検出ポリシーを変更して、システムが記録するディスカバリ イベントのタイプを設定できます。デフォルトでは、システムですべてのタイプのディスカバリ イベントが記録されます。詳細については、「データベース イベント制限の設定」を参照してください。
さまざまなタイプのディスカバリ イベントが提示する情報を理解すると、どのイベントを記録およびアラートの対象にするか、相関ポリシーでこれらのアラートをどのように使用するかを効率よく判断できるようになります。また、イベント タイプの名前がわかると、より効率のよいイベント検索を作成するうえで役に立ちます。次に、ディスカバリ イベントのさまざまなタイプについて説明します。
Additional MAC Detected for Host
このイベントは、以前に検出したホストに対してシステムが新しい MAC アドレスを検出したときに生成されます。
このイベントは多くの場合、ルータを通じてトラフィックを渡すホストをシステムが検出したときに生成されます。それぞれのホストには 1 つの IP アドレスがありますが、これらの IP アドレスはすべて、ルータに関連付けられている MAC アドレスを持っているように見えます。システムは IP アドレスに関連付けられている実際の MAC アドレスを検出すると、ホスト プロファイル内でその MAC アドレスを太字で表示し、イベント ビューのイベント説明に「ARP/DHCP detected」のメッセージを表示します。
このイベントは、非アクティブであるという理由で、システムがデータベースからクライアントをドロップしたときに生成されます。
このイベントは、HTTP トラフィック内でシステムがペイロード(つまり音声やビデオ、Web メールなどの特別なタイプのコンテンツ)を検出したときに生成されます。
このイベントは、DHCP アドレスの割り当てによってホスト IP アドレスが変わったことがシステムで検出された場合に生成されます。
このイベントは、ホストが IP アドレスを再利用するとき、つまり他の物理ホストが以前に使用した IP アドレスを、別のホストが DHCP の IP アドレス割り当てによって取得した場合に生成されます。
このイベントは、ホストと、そのホストを検出するデバイス間でシステムがネットワーク ホップ数の変更を検出した場合に生成されます。
デバイスがさまざまなルータを介してホストのトラフィックを監視しており、ホストの場所についてより適切な決定ができる場合に、このような状況が発生することがあります。また、デバイスがホストから ARP 送信を検出し、ホストがローカル セグメント上にあることを示している場合に、このような状況が発生することもあります。
Host Deleted: Host Limit Reached
このイベントは、防御センター上でホストの制限を超えて、防御センターのネットワーク マップから監視対象のホストが削除されたときに生成されます。
Host Dropped: Host Limit Reached
このイベントは、防御センター上でホストの制限に達して新しいホストがドロップされたときに生成されます。このイベントとの相違点として、前述のイベントでは、ホストの制限に達したときに古いホストがネットワーク マップから削除されます。
ホストの制限に達したときに新しいホストをドロップするには、[Policies] > [Network Discovery] > [Advanced] を選択し、[When Host Limit Reached] を [Drop hosts] に設定します。詳細については、「データ保存の設定」を参照してください。
このイベントは、ホストに対して IOC(侵害の痕跡)が設定され、アラートが生成されたときに生成されます。
このイベントは、ネットワーク検出ポリシーで定義された間隔内でホストがトラフィックを生成しなかったために、ネットワーク マップからホストがドロップされたときに生成されます。個々のホストの IP アドレスと MAC アドレスはそれぞれタイムアウトになることに注意してください。関連付けられているアドレスがすべてタイムアウトになるまで、ホストはネットワーク マップから消えません。ホストのタイムアウト値の設定については、「データ保存の設定」を参照してください。
ネットワーク検出ポリシーで監視するネットワークを変更する場合は、ネットワーク マップから古いホストを手動で削除して、それらのホストがFireSIGHT のライセンスに不利に作用しないようにします。詳細については、「ホストのネットワーク マップの使用」を参照してください。
Host Type Changed to Network Device
このイベントは、システムが、検出されたホストが実際はネットワーク デバイスであったことを認識したときに生成されます。
このイベントは、システムが、新しいサーバまたはオペレーティング システムに対する現行のアクティブなアイデンティティと競合する、そのサーバまたはオペレーティング システムのアイデンティティを検出したときに生成されます。
より新しいアクティブなアイデンティティ データを取得するためにホストを再スキャンして、アイデンティティの競合を解決する場合は、Identity Conflict イベントを使用して Nmap の修復をトリガーできます。詳細については、「Nmap 修復の設定」を参照してください。
詳細については、「ID の競合について」および「ID 競合解決の設定」を参照してください。手動による競合の解決については、「オペレーティング システムのアイデンティティの競合を解決する」および「サーバ アイデンティティの競合の解決」を参照してください。
このイベントは、アクティブなソースを介してネットワーク マップに追加されたアイデンティティ データがタイムアウトになったときに生成されます。
より新しいアクティブなアイデンティティ データを取得するために、ホストを再スキャンしてアイデンティティ データをリフレッシュする場合は、Identity Conflict イベントを使用して Nmap の修復をトリガーできます。詳細については、「Nmap 修復の設定」を参照してください。
詳細については、「サーバ アイデンティティの競合の解決」を参照してください。
このイベントは、特定の MAC アドレスまたは TTL 値に関連付けられている情報で、システムが変更を検出したときに生成されます。
このイベントは多くの場合、ルータを通じてトラフィックを渡すホストをシステムが検出したときに発生します。それぞれのホストには 1 つの IP アドレスがありますが、これらの IP アドレスはすべて、ルータに関連付けられている MAC アドレスを持っているように見えます。システムは IP アドレスに関連付けられている実際の MAC アドレスを検出すると、ホスト プロファイル内でその MAC アドレスを太字で表示し、イベント ビューのイベント説明に「ARP/DHCP detected」のメッセージを表示します。TTL は変わる可能性がありますが、これはトラフィックが複数のルータを通じて渡される可能性があるためです。また、システムがホストの実際の MAC アドレスを検出した場合も TTL が変わる可能性があります。
このイベントは、システムがホストの NetBIOS 名に対する変更を検出したときに生成されます。このイベントは、NetBIOS プロトコルを使用するホストに対してのみ生成されます。
このイベントは、システムが新しいクライアントを検出したときに生成されます。
(注) 分析用にクライアント データを収集および格納するには、ネットワーク検出ポリシーのディスカバリ ルールでアプリケーションの検出が有効になっていることを確認します。詳細については、「アプリケーション検出について」を参照してください。
このイベントは、システムがネットワーク上で稼動している新しいホストを検出したときに生成されます。
NetFlow デバイスが選択されているネットワーク検出 ルールで [Discover] オプションを選択して [Hosts] を選択した場合、新しいホストに関係する NetFlow データをデバイスが処理したときにも、このイベントが生成されます。
このイベントは、ホストが新しいネットワーク プロトコル(IP、ARP など)と通信していることをシステムが検出したときに生成されます。
このイベントは、システムがホストの新しいオペレーティング システムを検出した、またはホストのオペレーティング システムで変更を検出したときに生成されます。
このイベントは、新しい TCP サーバ ポート(SMTP または Web サービスで使用されているポートなど)をシステムが検出したときに生成されます。このイベントは、アプリケーション プロトコル、またはアプリケーション プロトコルに関連付けられているサーバの識別には使用されないことに注意してください。情報は、TCP Server Information Update イベントで伝送されます。
NetFlow データについて、ネットワーク検出 ルールで [Discover] オプションを選択して [Applications] を選択した場合、監視対象ネットワーク上のサーバに関連する NetFlow データで、ネットワーク マップにまだ存在しないデータをデバイスが処理したときにも、このイベントが生成されます。
このイベントは、ホストが新しいトランスポート プロトコル(TCP、UDP など)と通信していることをシステムが検出したときに生成されます。
このイベントは、システムが、ホスト上で稼動している新しい UDP サーバ ポートを検出したときに生成されます。
NetFlow データについて、ネットワーク検出 ルールで [Discover] オプションを選択して [Applications] を選択した場合、監視対象ネットワーク上のサーバに関連する NetFlow データで、ネットワーク マップにまだ存在しないデータをデバイスが処理したときにも、このイベントが生成されます。
このイベントは、システムが、ホスト上で TCP ポートがクローズしたことを検出したときに生成されます。
このイベントは、システムのネットワーク検出ポリシーに定義された間隔内で、システムが TCP ポートからアクティビティを検出しなかったときに生成されます。サーバのタイムアウト値の設定については、「データ保存の設定」を参照してください。
このイベントは、ホスト上で稼動しており、すでに検出されている TCP サーバでシステムが変更を検出したときに生成されます。
このイベントは、TCP サーバが更新されたときに生成される場合があります。
このイベントは、システムが、ホスト上で UDP ポートがクローズしていることを検出したときに生成されます。
このイベントは、ネットワーク検出ポリシーに定義された間隔内で、システムが UDP ポートからアクティビティを検出しなかったときに生成されます。サーバのタイムアウト値の設定については、「データ保存の設定」を参照してください。
このイベントは、ホスト上で稼動しており、すでに検出されている UDP サーバで、システムが変更を検出したときに生成されます。
このイベントは、UDP サーバが更新されたときに生成される場合があります。
このイベントは、システムが、VLAN タグ内でホストに起因する変更を検出したときに生成されます。VLAN タグの詳細については、「ホスト プロファイルでの VLAN タグの使用」を参照してください。
ホスト入力イベントのタイプについて
ホスト入力イベントには多数のタイプがあります。たとえば、ユーザがホスト インポート機能を使用してホストを追加すると、システムは Add Host イベントを生成および記録します。ディスカバリ イベントのテーブルを表示すると、[Event] カラムにイベント タイプが表示されます。詳細については、「ディスカバリ イベントおよびホスト入力イベントの表示」を参照してください。
ユーザが(手動でホストを追加するなどの)特定のアクションを実行したときに生成されるホスト入力イベントとは異なり、ディスカバリ イベントは、システムが、監視対象ネットワークで変更を検出したとき(以前は検出されなかったホストでトラフィックを検出した場合など)に生成されます。ホスト入力イベントの詳細については、「ディスカバリ イベントのタイプについて」を参照してください。
ネットワーク検出ポリシーを変更して、システムが記録するホスト入力イベントのタイプを設定できます。デフォルトでは、システムですべてのタイプのホスト入力イベントが記録されます。詳細については、「データベース イベント制限の設定」を参照してください。
さまざまなタイプのホスト入力イベントが提示する情報を理解すると、どのイベントを記録およびアラートの対象にするか、相関ポリシーでこれらのアラートをどのように使用するかを効率よく判断できるようになります。また、イベント タイプの名前がわかると、より効率のよいイベント検索を作成するうえで役に立ちます。次に、ホスト入力イベントのさまざまなタイプについて説明します。
このイベントは、ユーザがクライアントを追加したときに生成されます。
このイベントは、ユーザがホストを追加したときに生成されます。
このイベントは、ユーザがプロトコルを追加したときに生成されます。
このイベントは、システムが Nmap スキャンの結果をホストに追加したときに生成されます。
このイベントは、ユーザがサーバ ポートを追加したときに生成されます。
このイベントは、ユーザがシステムからクライアントを削除したときに生成されます。
このイベントは、ユーザがシステムから IP アドレスまたはサブネットを削除したときに生成されます。
このイベントは、ユーザがシステムからプロトコルを削除したときに生成されます。
このイベントは、ユーザがシステムからサーバ ポートまたはサーバ ポートのグループを削除したときに生成されます。
このイベントは、ユーザが新しいホスト属性を作成したときに生成されます。
このイベントは、ユーザが、ユーザ定義のホスト属性を削除したときに生成されます。
このイベントは、ユーザが、ホスト属性に割り当てられている値を削除したときに生成されます。
このイベントは、ユーザがホストに対してホスト属性値を設定したときに生成されます。
このイベントは、ユーザが、ユーザ定義のホスト属性の定義を変更したときに生成されます。
このイベントは、ユーザがホストに対してホストの重要度の値を設定した、または変更したときに生成されます。
Set Operating System Definition
このイベントは、ユーザがホストに対してオペレーティング システムを設定したときに生成されます。
このイベントは、ユーザがサーバに対してベンダーおよびバージョンの定義を設定したときに生成されます。
Set Vulnerability Impact Qualification
このイベントは、脆弱性の影響の認定が設定されたときに生成されます。
脆弱性が、影響の認定に対する使用でグローバル レベルで無効になったとき、または脆弱性がグローバル レベルで有効になったときに、このイベントが生成されます。
ディスカバリ イベントおよびホスト入力イベントの表示
ディスカバリ イベントとホスト入力イベントは、[Discovery Events(ディスカバリ イベント)] ワークフローを使用して表示できます。ディスカバリ イベントは、アプライアンスに対して設定されているネットワーク検出ポリシーに基づいてネットワーク検出 データの検出を記録します。ホスト入力イベントは、ホスト入力機能を介してホスト データの入力をネットワーク マップへ記録します。詳細については、「ディスカバリ イベントのタイプについて」および「ホスト入力イベントのタイプについて」を参照してください。
防御センターを使用して、ディスカバリ イベントまたはホスト入力イベントのテーブルを表示することができます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。
ユーザがイベントにアクセスするときに表示されるページは、使用するワークフローによって異なります。ユーザは事前定義のワークフローを使用できますが、これにはディスカバリ イベントのテーブル ビューと、ホスト ビューの最終ページが含まれています。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。カスタム ワークフローの作成については、「カスタム ワークフローの作成」を参照してください。
「ディスカバリ イベントのアクション」 では、ディスカバリ イベントのワークフロー ページでユーザが実行できる特定のアクションについて説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。
|
|
|
|---|---|
詳細については、「イベント時間の制約の設定」で確認できます。 (グローバル、またはイベント特有のいずれの場合も)アプライアンスに設定されている時間枠の範囲外で生成されたイベントは、イベント ビューを時間によって制約した場合、イベント ビューに表示されることがあるので注意してください。これは、アプライアンスに対してスライディングの時間枠を設定した場合でも発生することがあります。 |
|
詳細については、「ディスカバリ イベント テーブルについて」で確認できます。 |
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Hosts] > [Discovery Events] を選択します。
デフォルトのディスカバリ イベント ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。イベントが表示されない場合は、時間範囲の調整が必要なことがあります。「イベント時間の制約の設定」を参照してください。
ディスカバリ イベント テーブルについて
システムはディスカバリ イベントを生成します。このイベントは、監視対象ネットワーク セグメントにおける変更の詳細をやりとりします。新しく検出されたネットワーク機能に対しては、 新しい イベントが生成され、以前に認識されたネットワーク資産における何らかの変更に対しては、変更のイベントが生成されます。
最初のネットワーク検出のフェーズ中に、システムは各ホスト、および各ホストで検出する TCP または UDP サーバについて新しいイベントを生成します。またシステムは、検出された各ホスト上で稼動しているネットワーク、トランスポート、およびアプリケーション プロトコルのそれぞれに対して新しいイベントを生成します。NetFlow 関連のトラフィックについては、ホストで稼動しているアプリケーション プロトコルをシステムが検出したときに、システムが新しいイベントを作成するかどうかを制御できます。最初のネットワーク マッピングが完了すると、続けてシステムは、変更イベントを生成し、ネットワークの変更を記録します。以前に検出されたホスト、サーバ、またはクライアントの設定が変更されるたびに、変更イベントが生成されます。
次に、ディスカバリ イベント テーブルのフィールドについて説明します。
イベントのタイプ。使用可能な各イベントの説明については、「ディスカバリ イベントのタイプについて」および「ホスト入力イベントのタイプについて」を参照してください。
イベントに関連するホストに関連付けられている IP アドレス。
イベントが生成される前に、イベントに関係するホストに最後にログインしたユーザ。権限のあるユーザの後に、権限のないユーザのみがログインした場合、権限のあるユーザが次にログインするまで、権限のあるユーザが現行のユーザとして保持されます。
ディスカバリ イベントをトリガーとして使用したネットワーク トラフィックが使用する NIC の MAC アドレス。この MAC アドレスは、イベントに関連するホストの実際の MAC アドレスであるか、またはトラフィックが通過したネットワーク デバイスの MAC アドレスになります。
ディスカバリ イベントをトリガーとして使用したネットワーク トラフィックが使用する NIC の MAC ハードウェア ベンダー。
イベントをトリガーとして使用したトラフィックが使用するポート(該当する場合)。
イベントを生成したデバイス名。NetFlow データに基づいた新しいホストおよび新しいサーバ イベントの場合、これは NetFlow データを処理したデバイスになります。
ディスカバリ イベントの検索
ユーザは特定のディスカバリ イベントを検索することができます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。
それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。
• すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。
• 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。
• いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。
• ほとんどのフィールドでは大文字/小文字が区別されません。
• IP アドレスは CIDR 表記を使用して指定できます。
• オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン(
)をクリックします。
検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。
次の表に、特定のディスカバリ イベント フィールドに固有の検索情報について示します。ディスカバリ イベントのフィールドの詳細は、「ホスト テーブルについて」を参照してください。
|
|
|
|---|---|
イベント名の対象は、「ディスカバリ イベントのタイプについて」および「ホスト入力イベントのタイプについて」に記載されています。 |
|
仮想 MAC ベンダー(つまり、仮想マシンが含まれているイベント)を検索するには、 名前にカンマが含まれているベンダーを検索するには、検索語全体を引用符で囲みます。このようにしないと、防御センターは検索語を 2 つの検索として扱い、それぞれの検索語に一致するイベントを返します。 |
|
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Search] を選択します。
ステップ 2 [Table] ドロップダウン リストから [Discovery Events] を選択します。
ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。
名前を入力しない場合は、検索を保存するときに自動的に名前が付けられます。
ステップ 4 「一般的な検索の構文」および「ディスカバリ イベントの特別な検索構文」に記載されているように、該当するフィールドに検索条件を入力します。
複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。
ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、検索は非公開として保存されます。
カスタム ユーザ ロールに対するデータの制約として検索を使用する場合は、検索を非公開として保存する 必要があります 。
• 検索を開始するには、[Search] ボタンをクリックします。
検索結果は、現行の時間範囲によって制約され、デフォルトのディスカバリ イベント ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
• 既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。
• 検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。
ホストの使用
システムがホストを検出し、ホスト プロファイルを作成するためにホストに関する情報を収集したときに、イベントが生成されます。防御センター Web インターフェイスを使用して、ホストを表示、検索、および削除できます。
ホストの表示中に、選択したホストに基づいてトラフィックのプロファイル、およびコンプライアンスのホワイト リストを作成できます。また、(ビジネスの重要度を設定する)ホストの重要度の値などのホスト属性をホスト グループに割り当てることもできます。そのあとで、相関ルールおよびポリシーの中でこれらの重要度の値、ホワイト リスト、およびトラフィック プロファイルを使用できます。
NetFlow 対応デバイスによってエクスポートされたデータに基づいてネットワーク マップにホストを追加するように、ネットワーク検出ポリシーを設定できますが、これらのホストについての情報は制限されます。たとえば、ホストの入力機能を使用してオペレーティング システムのデータを提供していない場合、これらのホストではオペレーティング システムのデータは使用できません。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。
• 「ホストの表示」
• 「選択したホストに基づいたコンプライアンスのホワイト リストの作成」
• 「ホストの検索」
ホストの表示
防御センターを使用して、システムが検出したホストのテーブルを表示することができます。ここでユーザは、検索する情報に応じてビューを操作できます。
ユーザがホストにアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義のワークフローは両方とも、ホスト ビューで終了しますが、これにはユーザの制約を満たすすべてのホストのホスト プロファイルが含まれています。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。詳細については、「カスタム ワークフローの作成」を参照してください。
「ホスト アクション」 では、ホストのワークフロー ページでユーザが実行できる特定のアクションについて説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。
|
|
|
|---|---|
詳細については、「ホスト テーブルについて」で確認できます。 |
|
詳細については、「選択したホストのホスト属性の設定」で確認できます。 |
|
詳細については、「選択したホストのトラフィック プロファイルの作成」で確認できます。 |
|
詳細については、「選択したホストに基づいたコンプライアンスのホワイト リストの作成」で確認できます。 |
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Hosts] > [Hosts] を選択します。
デフォルトのホスト ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
ヒント ホストのテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Hosts] を選択します。
ホスト テーブルについて
システムはホストを検出したときに、そのホストに関するデータを収集します。そのデータには、ホストの IP アドレス、ホストが実行しているオペレーティング システムなどが含めることが可能です。ユーザは、ホストのテーブル ビューでこれらの情報の一部を表示することができます。システムが、検出したホストに関して収集するデータの詳細は、「ホスト プロファイルの使用」を参照してください。
NetFlow 対応デバイスによってエクスポートされたデータに基づいてネットワーク マップにホストを追加するように、ネットワーク検出ポリシーを設定できますが、これらのホストについての情報は制限されます。たとえば、ホストの入力機能を使用してオペレーティング システムのデータを提供していない場合、これらのホストではオペレーティング システムのデータは使用できません。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。
システムによっていずれかのホストの IP アドレスが最後に検出された日付と時間。Last Seen の値は、ホストの IP アドレスに対してシステムが新しいホスト イベントを生成したときだけでなく、少なくともユーザがネットワーク検出ポリシーに設定した更新間隔の頻度で更新されます。
ホスト入力機能を使用して、オペレーティング システムのデータを更新しているホストでは、Last Seen の値は、そのデータが最初に追加された日付と時間を表します。
[MAC Address] フィールドは、[Hosts] ワークフローの [Table View of Hosts] に表示されます。以下のものに対して [MAC Address] フィールドを追加できます。
–Hosts テーブルのフィールドが含まれているカスタム テーブル
–Hosts テーブルに基づいたカスタム ワークフローのドリルダウン ページ
ホストが検出した NIC の MAC ハードウェア ベンダー。
[MAC Vendor] フィールドは、[Hosts] ワークフローの [Table View of Hosts] に表示されます。以下のものに対して [MAC Vendor] フィールドを追加できます。
–Hosts テーブルのフィールドが含まれているカスタム テーブル
–Hosts テーブルに基づいたカスタム ワークフローのドリルダウン ページ
権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。
ホストに割り当てられている、ユーザ指定の重要度の値。このフィールドの詳細については、「ホスト属性のテーブルについて」の [Host Criticality] カラムの説明を参照してください。
ホストの NetBIOS 名。NetBIOS プロトコルを実行しているホストにのみ、NetBIOS 名があります。
ホストが使用する VLAN ID。VLAN ID の詳細については、「ホスト プロファイルでの VLAN タグの使用」を参照してください。
ホストを検出したデバイスからホストへのネットワークのホップ数。
ホストのタイプ(ホスト、モバイル デバイス、jailbroken モバイル デバイス、ルータ、ブリッジ、NAT デバイス、またはロード バランサ)。ネットワーク デバイスを区別するためにシステムでは次の方法を使用します。
–Cisco Discovery Protocol(CDP)メッセージの分析。ネットワークのデバイスおよびそれらのタイプ(Cisco デバイスのみ)を特定できます。
–スパニング ツリー プロトコル(STP)の検出。デバイスをスイッチまたはブリッジとして識別します。
–同じ MAC アドレスを使用している複数のホストの検出。MAC アドレスを、ルータに属しているものとして識別します。
–クライアント側からの TTL 値の変更、または通常のブート時間よりも頻繁に変更されている TTL 値の検出。この検出では、NAT デバイスとロード バランサを識別します。
デバイスがネットワーク デバイスとして識別されない場合は、ホストとして分類されます。
ホスト上で稼動中の、検出されたオペレーティング システム(名前、ベンダー、およびバージョン)、または Nmap かホスト入力機能を使用して更新されたオペレーティング システム。このフィールドは、ダッシュボード上で [Custom Analysis] ウィジェットからホスト イベント ビューを起動したときに表示されます。また、これは [Hosts] テーブルに基づいたカスタム テーブルのフィールド オプションです。
システムが複数のアイデンティティを検出した場合は、これらのアイデンティティはカンマ区切りで列挙されて表示されます。
このフィールドでは、 unknown の値は、オペレーティング システムが既知のフィンガープリントのいずれにも一致しないことを意味します。値が pending の場合は、オペレーティング システムを識別するための十分な情報がシステムで収集されていないことを意味します。
ホストで検出されたオペレーティング システムのベンダー、または Nmap かホスト入力機能を使用して更新されたオペレーティング システムのベンダー。
システムが複数のベンダーを検出した場合は、これらのベンダーはカンマ区切りで列挙されて表示されます。
このフィールドでは、 unknown の値は、オペレーティング システムが既知のフィンガープリントのいずれにも一致しないことを意味します。値が pending の場合は、オペレーティング システムを識別するための十分な情報がシステムで収集されていないことを意味します。
ホスト上で稼動中の、検出されたオペレーティング システム、または Nmap かホスト入力機能を使用して更新されたオペレーティング システム。
システムが複数の名前を検出した場合は、これらの名前はカンマ区切りで列挙されて表示されます。
このフィールドでは、 unknown の値は、オペレーティング システムが既知のフィンガープリントのいずれにも一致しないことを意味します。値が pending の場合は、オペレーティング システムを識別するための十分な情報がシステムで収集されていないことを意味します。
ホストで検出されたオペレーティング システムのバージョン、または Nmap かホスト入力機能を使用して更新されたオペレーティング システムのバージョン。
システムが複数のバージョンを検出した場合は、これらのバージョンはカンマ区切りで列挙されて表示されます。
このフィールドでは、 unknown の値は、オペレーティング システムが既知のフィンガープリントのいずれにも一致しないことを意味します。値が pending の場合は、オペレーティング システムを識別するための十分な情報がシステムで収集されていないことを意味します。
ホストのオペレーティング システムのアイデンティティ ソースに対する次のいずれかの値
–Scanner: scanner_type (ネットワーク検出の設定を介して追加された Nmap またはスキャナ)
–FireSIGHT(システムによって検出されたオペレーティング システムの場合)
システムでは、オペレーティング システムのアイデンティティを判断するために、複数のソースのデータを統合することができます。「現在の ID について」を参照してください。
–システムで検出されたホストについて、ホスト上で稼動しているオペレーティング システムのアイデンティティ内にシステムが保持している信頼度(パーセンテージ)。
–100%(ホスト入力機能や Nmap スキャナなどのアクティブなソースによって識別されたオペレーティング システムの場合)。
– unknown (システムがオペレーティング システムのアイデンティティを特定できないホスト、および NetFlow データに基づいてネットワーク マップに追加されたホストの場合)。
–ネットワーク マップへホストを追加した NetFlow またはホスト入力データを処理したデバイス
–ホストがデバイスによってネットワーク マップに追加されたが、このデバイスは、ホストが存在しているネットワークに対してネットワーク検出ポリシーに定義されているとおりに明示的に監視していない。または、
–ホストの入力機能を使用してホストが追加されたが、システムによって検出されていない
各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。
選択したホストのトラフィック プロファイルの作成
トラフィック プロファイルは、指定した期間に収集された接続データに基づいた、ネットワーク上のトラフィックのプロファイルです。トラフィック プロファイルを作成した後で、正常なネットワーク トラフィックを表すと思われる新しいトラフィックをプロファイルに対して評価することにより、異常なネットワーク トラフィックを検出することができます。
[Hosts] ページを使用して、指定するホスト グループのトラフィック プロファイルを作成できます。トラフィック プロファイルは、指定したホストのいずれかが発信元ホストである、検出された接続に基づいています。ソートおよび検索機能を使用して、プロファイルを作成するホストを分離することができます。
選択したホストのトラフィック プロファイルを作成するには、以下を行います。
ステップ 1 ホスト ワークフローのテーブル ビューで、トラフィック プロファイルを作成するホストの隣にあるチェック ボックスをオンにします。
ステップ 2 ページの下部で [Create Traffic Profile] をクリックします。
[Create Profile] ページが表示され、監視対象のホストとして指定されたホストの IP アドレスが示されます。
ステップ 3 特別なニーズに応じて、トラフィック プロファイルを変更し、保存します。
トラフィック プロファイルの作成の詳細については、「トラフィック プロファイルの作成」を参照してください。
選択したホストに基づいたコンプライアンスのホワイト リストの作成
コンプライアンスのホワイト リストでは、ネットワーク上で許可されるオペレーティング システム、クライアント、ネットワーク、トランスポート、またはアプリケーション プロトコルを指定することができます。
[Hosts] ページを使用して、ユーザが指定するホスト グループのホスト プロファイルに基づいて、コンプライアンスのホワイト リストを作成することができます。ソートおよび検索機能を使用して、ホワイト リストの作成に使用するホストを分離することができます。
選択したホストに基づいてコンプライアンスのホワイト リストを作成するには、以下を行います。
ステップ 1 ホスト ワークフローのテーブル ビューで、ホワイト リストを作成するホストの隣にあるチェック ボックスをオンにします。
ステップ 2 ページの下部で [Create White List] をクリックします。
[Create White List] ページが表示され、指定したホストのホスト プロファイルの情報が示されます。
ステップ 3 特別なニーズに応じて、ホワイト リストを変更し、保存します。
コンプライアンスのホワイト リストの作成の詳細は、「コンプライアンス ホワイト リストの作成」を参照してください。
ホストの検索
事前定義のいずれかの検索、または独自の検索条件を使用して、特定のホストについて検索することができます。
ホストを検索する場合には、NetFlow 対応のデバイスによってエクスポートされたデータに基づいてネットワーク マップにホストを追加するように、ネットワーク検出ポリシーを設定できますが、これらのホストについて利用できる情報は制限されることに注意してください。たとえば、ホストの入力機能を使用してオペレーティング システムのデータを提供していない場合、これらのホストではオペレーティング システムのデータは使用できません。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。
ユーザは特定のディスカバリ イベントを検索することができます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。
それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。
• すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。
• 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。
• いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。
• ほとんどのフィールドでは大文字/小文字が区別されません。
• IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IP アドレスの入力については、「IP アドレスの表記法」を参照してください。
(注) IP アドレスを使用してホストを検索した場合、結果には、少なくとも 1 つの IP アドレスが検索条件と一致するホストがすべて含まれます(つまり、IPv6 のアドレスの検索では、プライマリ アドレスが IPv4 であるホストが返されることがあります)。
• IP アドレスを使用してホストを検索する場合は、次のようにする。
• オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン(
)をクリックします。
検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。
次の表に、特定のホスト フィールドに固有の検索情報について示します。ホストのフィールドに関する詳細は、「ホスト テーブルについて」を参照してください。
|
|
|
|---|---|
仮想 MAC ベンダー(つまり、仮想マシンが含まれているイベント)を検索するには、 名前にカンマが含まれているベンダーを検索するには、検索語全体を引用符で囲みます。このようにしないと、防御センターは検索語を 2 つの検索として扱い、それぞれの検索語に一致するイベントを返します。 |
|
オペレーティング システムが不明であるホストを検索するには、 |
|
信頼度の前に、より大きい( |
|
検索結果には、[OS Conflict] カラムは表示されないことに注意してください。表示しているホストにオペレーティング システムの競合が発生しているかどうかを判断するには、ワークフロー ページで検索の制約を展開します。オペレーティング システムにおける競合の解決の詳細については、「オペレーティング システムのアイデンティティの競合を解決する」を参照してください。 |
保存された検索のロードおよび削除方法など、検索の詳細については、「イベントの検索」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Search] を選択します。
ステップ 2 [Table] ドロップダウン リストから [Hosts] を選択します。
ヒント 別の種類のイベントについてデータベースを検索するには、[Table] ドロップダウン リストからデータベースを選択します。
ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。
名前を入力しない場合は、検索を保存するときに防御センターが自動的に名前を付加します。
ステップ 4 「ホストの検索条件」 に記載されているように、該当するフィールドに検索条件を入力します。複数の条件を入力すると、防御センターは、すべての条件に一致するレコードのみを返します。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。
ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。
ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります。
• 検索を開始するには、[Search] ボタンをクリックします。
検索結果は、デフォルトのホスト ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
• 既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。
• 検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。
ホスト属性の使用
FireSIGHT システムは、検出したホストに関する情報を収集し、その情報を使用してホスト プロファイルを作成します。ただし、ネットワーク上のホストについて、アナリストに提供する追加情報が存在する場合があります。ユーザは、ホスト プロファイルにメモを追加する、ホストのビジネス重要度を設定する、選択する他の情報を提供する、といったことが可能です。それぞれの情報は、ホスト属性と呼ばれます。
ホスト プロファイルの認定でホスト属性を使用することができます。これにより、トラフィック プロファイルの作成中に収集するデータを制約し、相関ルールをトリガーする条件を制限することができます。相関ルールに応じて属性値を設定することもできます。
ホスト属性の表示
防御センターを使用して、システムで検出されたホストのテーブル、およびそのホスト属性を表示することができます。ここでユーザは、検索する情報に応じてビューを操作できます。
ユーザがホスト属性にアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義のワークフロー(検出されたすべてのホスト、およびそのホストの属性が記載されているホスト属性のテーブル ビューが含まれており、ホスト ビュー ページで終了するワークフロー)を使用することができます。このワークフローには、制約を満たすすべてのホストについて 1 つのホスト プロファイルが含まれています。
また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。カスタム ワークフローの作成については、「カスタム ワークフローの作成」を参照してください。
次の 「ホスト属性のアクション」 では、ホスト属性のワークフロー ページで実行できる特定のアクションについて説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。
|
|
|
|---|---|
詳細については、「ホスト属性のテーブルについて」で確認できます。 |
|
詳細については、「選択したホストのホスト属性の設定」で確認できます。 |
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Hosts] > [Host Attributes] を選択します。
デフォルトのホスト属性ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
ヒント ホスト属性のテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Attributes] を選択します。
ホスト属性のテーブルについて
FireSIGHT システムは、検出したホストに関する情報を収集し、その情報を使用してホスト プロファイルを作成します。ただし、ネットワーク上のホストについて、アナリストに提供する追加情報が存在する場合があります。ユーザは、ホスト プロファイルにメモを追加する、ビジネスの重要度を設定する、選択する他の情報を提供する、といったことが可能です。それぞれの情報は、ホスト属性と呼ばれます。
ホスト プロファイルの認定でホスト属性を使用することができます。これにより、トラフィック プロファイルの作成中に収集するデータを制約し、相関ルールをトリガーする条件を制限することができます。
ホスト属性テーブルには、MAC アドレスでのみ識別されるホストは表示されないことに注意してください。
ホスト属性の詳細については、「事前定義のホスト属性の使用」および「ユーザ定義のホスト属性の使用」を参照してください。
権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。
ユーザが割り当てた、企業にとってのホストの重要度。ホストの重要度を相関ルールおよびポリシーで使用して、イベントに関するホストの重要度に対して、ポリシー違反および違反の応答を作成することができます。ホストの重要度に Low、Medium、High、または None を割り当てることができます。
ホストの重要度の設定については、「事前定義のホスト属性の使用」および「選択したホストのホスト属性の設定」を参照してください。
他のアナリストに提示する、ホストに関する情報。メモを追加する方法については、「事前定義のホスト属性の使用」を参照してください。
Any user-defined host attribute, including those for compliance white lists
ホスト属性テーブルには、ユーザ定義のそれぞれのホスト属性のフィールドが含まれています。詳細については、「ユーザ定義のホスト属性の使用」を参照してください。
各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。
選択したホストのホスト属性の設定
各ホストに割り当てることができる事前定義のホスト属性として、ホストの重要度とホスト特有のメモの 2 つの属性があります。
ホストの重要度を使用して、特定のホストのビジネス重要度を特定します。ホストの重要度に基づいて、相関ポリシーとアラートを作成することができます。たとえば、ユーザの業務にとって、組織のメール サーバは一般のユーザ ワークステーションよりも重要です。メール サーバや、他のビジネスに不可欠なサーバに対しては高いホスト重要度を割り当てて、その他のホストには中程度、または低い重要度を割り当てることができます。次に相関ポリシーを作成できます。これは、影響を受けるホストの重要度に基づいてさまざまなアラートを起動します。
メモを使用して、他のアナリストに提示するホストの情報を記録します。たとえば、ネットワーク上のコンピュータに、パッチが適用されていない古いバージョンの、テスト用オペレーティング システムが搭載されている場合、メモ機能を使用して、システムは意図的にパッチが適用されていないと示すことができます。
ユーザ定義のホスト属性を作成することもできます。たとえば、ファシリティ コード、市、または部屋番号など、ホストに対して物理的な場所の識別子を割り当てるホスト属性を作成することもできます。作成したユーザ定義のホスト属性の詳細については、「ユーザ定義のホスト属性の作成」を参照してください。
選択したホストのホスト重要度は、ホスト ワークフローで設定することも、ホスト プロファイル、または修復によって設定することもできます。詳細については、「事前定義のホスト属性の使用」または「セット属性修復の構成」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 ホスト属性に追加するホストの隣にあるチェック ボックスをオンにします。
ヒント ソートおよび検索機能を使用して、特別な属性を割り当てるホストを分離することができます。
ステップ 2 ページの下部にある [Set Attributes] をクリックします。
[Host Attributes] ポップアップ ウィンドウが表示されます。
ステップ 3 必要に応じて、選択したホストに対してホストの重要度を設定します。
[None]、[low]、[Medium]、または [High] を選択できます。
ステップ 4 必要に応じて、選択したホストのホスト プロファイルにメモを追加することができます。メモは、最大 255 文字の英数字、特殊文字、およびスペースを使用してテキスト ボックスに入力します。
ステップ 5 必要に応じて、自身で設定したユーザ定義のホストの属性を設定します。
ホスト属性の検索
特定のホストの属性を持つホストを検索できます。たとえば、企業に複数の支社がある場合、いずれかのホストが存在する都市を示すホスト属性を設定することができます。ここで、特定の地域のホストを検索できます。ホスト属性の詳細については、「ユーザ定義のホスト属性の使用」を参照してください。
ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。ホスト属性のフィールドの詳細については、「ホスト属性のテーブルについて」を参照してください。
それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。
• すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。
• 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。
• いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。
• ほとんどのフィールドでは大文字/小文字が区別されません。
• IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。
• オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。
検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Search] を選択します。
ステップ 2 [Table] ドロップダウン リストから [Host Attributes] を選択します。
ヒント 別の種類のイベントについてデータベースを検索するには、[Table] ドロップダウン リストからデータベースを選択します。
ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。
名前を入力しない場合は、検索を保存するときに防御センターが自動的に名前を付加します。
ステップ 4 「ホスト属性のテーブルについて」に記載されているように、該当するフィールドに検索条件を入力します。複数の条件を入力すると、防御センターは、すべての条件に一致するレコードのみを返します。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。
ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。
ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります。
• 検索を開始するには、[Search] ボタンをクリックします。
検索結果は、デフォルトのホスト属性ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
• 既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。
• 検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。
侵害の痕跡の使用
FireSIGHT システムは、監視対象ネットワーク上でホストが悪意のある手段によって侵害されそうかどうかを判断するために、ホストに関連付けられているさまざまなタイプのデータ(侵入イベント、Security Intelligence、接続イベント、ファイルまたはマルウェア イベント)との関連性を示します。イベント データの特定の組み合わせと頻度は、影響を受けたホストの侵害の痕跡(IOC)タグをトリガーとして使用します。IOC のタグが付けられたホスト IP アドレスは、侵害されたホストの特別なアイコン(
)付きでイベント ビューに表示されます。ユーザはコンプライアンス ルールを記述して、IOC のタグが付けられているホストについて説明することができます。
この機能を使用するには、ネットワーク検出ポリシーで IOC ルールを有効にしておく必要があります。侵害されたホストの IOC タグをトリガーするために、事前定義のいずれか、またはすべてのルールを有効にすることができます。詳細については、「侵害の兆候ルールの設定」を参照してください。
侵害の痕跡の表示
防御センターを使用して、トリガーされた侵害の痕跡(IOC)のテーブルを表示することができます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。
ユーザが IOC にアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義の IOC ワークフローは両方とも、ホスト ビューで終了しますが、これにはユーザの制約を満たすすべてのホストのホスト プロファイルが含まれています。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。詳細については、「カスタム ワークフローの作成」を参照してください。
次の表では、IOC のワークフロー ページでユーザが実行できる特定のアクションについて説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。
|
|
|
|---|---|
詳細については、「侵害の痕跡テーブルについて」で確認できます。 |
|
編集する IOC イベントの隣にあるチェック ボックスをオンにして、[Mark Resolved] をクリックします。詳細については、「侵害の痕跡を解決済みにする」を参照してください。 |
|
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Hosts] > [Indications of Compromise] を選択します。
デフォルトの侵害の痕跡(IOC)ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
ヒント IOC のテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Indications of Compromise] を選択します。
侵害の痕跡テーブルについて
FireSIGHT システムは、監視対象ネットワーク上でホストが悪意のある手段によって侵害されそうかどうかを判断するために、ホストに関連付けられているさまざまなタイプのイベント データとの関連性を示します。これらの相関は、ホストに関連付けられている侵害の痕跡(IOC)として表示されます。ホストの IOC を解決済みにマークして、ホストから IOC タグを削除することができます。1 つのホストで複数の IOC タグをトリガーできます。ユーザは、ホスト プロファイルの [Indications of Compromise] セクションで、ホストに関連付けられているすべての IOC タグを表示できます。ホスト プロファイルにおける IOC データの詳細については、「ホスト プロファイルでの侵害の痕跡の使用」を参照してください。
IOC をトリガーとして使用したホストに関連付けられている IP アドレス。
Malware Executed や Impact 1 Attack など、示された侵害のタイプの簡単な説明。
特定の侵害の痕跡(IOC)に関連付けられている識別子で、トリガーとして使用したイベントを参照します。
侵害される可能性のあるホストについて、IOC が表している内容の説明( This host may be under remote control や Malware has been executed on this host など)。
侵害の痕跡の検索
事前定義のいずれかの検索を使用するか、または独自の検索条件を使用して、監視対象のホスト上でトリガーされた特定の侵害の痕跡(IOC)タグを検索することができます。事前定義の検索は例として機能し、これを使用してネットワークに関する重要な情報へすばやくアクセスできます。
デフォルトの検索で特定のフィールドを変更し、ネットワーク環境に合わせてカスタマイズして、後で再使用するために保存することもできます。データを取得するために使用できるフィールドは、「侵害の痕跡テーブルについて」に記載されています。
それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。
• すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。
• 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。
• いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。
• ほとんどのフィールドでは大文字/小文字が区別されません。
• IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。
• オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。
検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Search] を選択します。
ステップ 2 [Table] ドロップダウン リストから [Indications of Compromise] を選択します。
ヒント 別の種類のイベントについてデータベースを検索するには、[Table] ドロップダウン リストからデータベースを選択します。
ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。
名前を入力しない場合は、検索を保存するときに防御センターが自動的に名前を付加します。
ステップ 4 「侵害の痕跡テーブルについて」に記載されているように、該当するフィールドに検索条件を入力します。複数の条件を入力すると、防御センターは、すべての条件に一致するレコードのみを返します。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。
ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。
ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります。
• 検索を開始するには、[Search] ボタンをクリックします。
検索結果は、デフォルトの IOC ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
• 既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。
• 検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。
サーバの使用
FireSIGHT システムは、監視対象ネットワーク セグメント上のホストで稼動しているすべてのサーバに関する情報を収集します。システムが収集する情報には、サーバ名、サーバが使用するアプリケーションおよびネットワークのプロトコル、サーバのベンダーとバージョン、サーバを実行しているホストに関連付けられている IP アドレス、およびサーバが通信しているポートが含まれています。
システムはサーバを検出すると、関連するホストがまだサーバの最大数に達していない場合は、ディスカバリ イベントを生成します。詳細については、「ホスト制限と検出イベント ロギング」を参照してください。防御センターの Web インターフェイスを使用して、サーバ イベントを表示、検索、および削除できます。
また、サーバ イベントを相関ルールのベースにすることもできます。たとえばシステムが、いずれかのホスト上で稼動している ircd などのチャット サーバを検出したときに相関ルールをトリガーできます。
NetFlow 対応のデバイスによってエクスポートされたアプリケーション データに基づいてサーバをネットワーク マップに追加するよう、ネットワーク検出ポリシーを設定できますが、これらのサーバについて使用できる情報は制限されます。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。
• 「サーバの表示」
• 「サーバの検索」
サーバの表示
防御センターを使用して、検出されたサーバのテーブルを表示できます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。
ユーザがサーバにアクセスしたときに表示されるページは、使用するワークフローによって異なります。事前定義のすべてのワークフローはホスト ビューで終了しますが、このホスト ビューには、制約を満たすすべてのホストに対して 1 つずつホスト プロファイルが含まれています。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。詳細については、「カスタム ワークフローの作成」を参照してください。
次の 「サーバの操作」 では、サーバ ワークフロー ページで実行できる特定の操作について説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。
|
|
|
|---|---|
詳細については、「サーバのテーブルについて」で確認できます。 |
|
編集するサーバのイベントの隣にあるチェック ボックスをオンにして、[Set Server Identity] をクリックします。詳細については、「サーバのアイデンティティの編集」を参照してください。 |
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Hosts] > [Servers] を選択します。
デフォルトのサーバ ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
ヒント サーバのテーブル ビューが含まれていないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Servers] を選択します。
サーバのテーブルについて
FireSIGHT システムは、監視対象ネットワーク セグメント上のホストで稼動しているサーバに関する情報を収集します。
NetFlow 対応のデバイスによってエクスポートされたデータに基づいてサーバをネットワーク マップに追加するよう、ネットワーク検出ポリシーを設定できますが、これらのサーバについて使用できる情報は制限されます。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。
ネットワーク上でサーバが最後に使用された日付と時間、またはホスト入力機能を使用してサーバが最初に更新された日付と時間。[Last Used] の値は、システムがサーバ情報の更新を検出したときだけでなく、少なくともユーザがネットワーク検出ポリシーに設定した更新間隔の頻度で更新されます。更新間隔の設定については、「データ保存の設定」を参照してください。
サーバを実行しているホストに関連付けられている IP アドレス。
サーバが使用するネットワークまたはトランスポート プロトコル。
– pending :システムで、いずれかの理由のでサーバをポジティブまたはネガティブに識別できない場合
– unknown :既知のサーバ フィンガープリントに基づいてシステムでサーバを識別できない場合、またはホストの入力を介してサーバが追加され、アプリケーション プロトコルが含まれていなかった場合
Category, Tags, Risk, or Business Relevance for Application Protocols
アプリケーション プロトコルに割り当てられているカテゴリ、タグ、リスク レベル、およびビジネス関連性。これらのフィルタを使用して、特定のデータ セットを対象にすることができます。
詳細については、 「アプリケーションの特徴」 の表を参照してください。
–サーバのベンダー:システム、Nmap、その他のアクティブなソースで識別された、またはホスト入力機能を使用して指定されたサーバのベンダー
–空白:システムが既知のサーバ フィンガープリントに基づいてベンダーを識別できなかった場合、または NetFlow データを使用してサーバがネットワーク マップに追加された場合
–サーバのバージョン:システム、Nmap、その他のアクティブなソースで識別された、またはホスト入力機能を使用して指定されたサーバのバージョン
–空白:システムが既知のサーバ フィンガープリントに基づいてバージョンを識別できない場合、または NetFlow データを使用してサーバがネットワーク マップに追加された場合
http トラフィックでシステムが検出したペイロード コンテンツに基づいた Web アプリケーション。システムが HTTP のアプリケーション プロトコルを検出したものの、特定の Web アプリケーションを検出できない場合は、一般的な Web ブラウジングの指定が提示されるので注意してください。
Category, Tags, Risk, or Business Relevance for Web Applications
Web アプリケーションに割り当てられているカテゴリ、タグ、リスク レベル、およびビジネス関連性。これらのフィルタを使用して、特定のデータ セットを対象にすることができます。
詳細については、 「アプリケーションの特徴」 の表を参照してください。
サーバがアクセスされた回数。ホスト入力機能を使用して追加されたサーバの場合、この値は必ず 0 になります。
–Scanner: scanner_type (ネットワーク検出の設定を介して追加された Nmap またはスキャナ)
–FireSIGHT、FireSIGHT Port Match、または FireSIGHT Pattern Match(FireSIGHT システムで検出されたサーバの場合)
–NetFlow(NetFlow データに基づいてネットワーク マップに追加されたサーバの場合)
システムでは、サーバのアイデンティティを判断するために、複数のソースのデータを統合することができます。「現在の ID について」を参照してください。
サーバを検出したデバイスの名前、またはネットワーク マップにサーバを追加した NetFlow あるいはホスト入力データを処理したデバイスの名前。
権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。
各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。
サーバの検索
事前定義のいずれかの検索、または独自の検索条件を使用して、監視対象のホストで稼動中の特定のサーバを検索することができます。事前定義の検索は例として機能し、これを使用してネットワークに関する重要な情報へすばやくアクセスできます。
デフォルトの検索で特定のフィールドを変更し、ネットワーク環境に合わせてカスタマイズして、後で再使用するために保存することもできます。データを取得するために使用できるフィールドは、「サーバのテーブルについて」に記載されています。
サーバを検索する場合には、NetFlow 対応のデバイスによってエクスポートされたデータに基づいてアプリケーションやサーバをネットワーク マップに追加するよう、ネットワーク検出ポリシーを設定できますが、これらのサーバについて使用できる情報は制限されることに注意してください。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。
それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。
• すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。
• 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。
• いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。
• ほとんどのフィールドでは大文字/小文字が区別されません。
• IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。
• オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。
検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Search] を選択します。
ステップ 2 [Table] ドロップダウン リストから [Servers] を選択します。
ヒント 別の種類のイベントについてデータベースを検索するには、[Table] ドロップダウン リストからデータベースを選択します。
ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。
名前を入力しない場合は、検索を保存するときに防御センターが自動的に名前を付加します。
ステップ 4 該当するフィールドに検索基準を入力します。複数の条件を入力すると、防御センターは、すべての条件に一致するレコードのみを返します。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。
ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。
ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります。
• 検索を開始するには、[Search] ボタンをクリックします。
検索結果は、デフォルトのサーバ ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
• 既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。
• 検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。
アプリケーションの使用
監視対象ホストが別のホストに接続すると、システムは多くの場合、どのアプリケーションが使用されたかを判断することができます。FireSIGHT システムは多くの電子メールの使用、インスタント メッセージ、ピア ツー ピア、Web アプリケーション、およびその他のタイプのアプリケーションの使用を検出します。
検出されたそれぞれのアプリケーションに対してシステムは、アプリケーションを使用した IP アドレス、製品、バージョン、および使用が検出された回数を記録します。Web インターフェイスを使用して、アプリケーション イベントを表示、検索、および削除できます。ホスト入力機能を使用して、1 つ以上のホスト上のアプリケーション データを更新することもできます。
どのアプリケーションがどのホストで稼動しているかがわかっている場合は、そのことを使用してホスト プロファイルの認定を作成し、この認定によって、トラフィック プロファイルの作成中に収集するデータを制約することができます。また、相関ルールをトリガーする条件を制約することもできます。また、アプリケーションの検出を相関ルールのベースにすることもできます。たとえば、従業員に特定のメール クライアントを使用させたい場合は、システムが、いずれかの対象ホストで別のメール クライアントが稼動していることを検出したときに相関ルールをトリガーすることができます。
更新されたディテクタの情報については、各 VDB 更新のアドバイザリの他に、FireSIGHT システムの各更新に関するリリース ノートをよく読んでください。
分析用にアプリケーション データを収集および格納するには、ネットワーク検出ポリシーでアプリケーションの検出が有効になっていることを確認します。詳細については、「検出データ収集について」を参照してください。
アプリケーションの表示
防御センターを使用して、検出されたアプリケーションのテーブルを表示できます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。
ユーザがアプリケーションにアクセスするときに表示されるページは、使用するワークフローによって異なります。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。詳細については、「カスタム ワークフローの作成」を参照してください。
「アプリケーションの操作」 では、アプリケーションのワークフロー ページでユーザが実行できる特定の操作について説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。
|
|
|
|---|---|
詳細については、「アプリケーション テーブルについて」で確認できます。 |
|
クライアント、アプリケーション プロトコル、または Web アプリケーションの隣にあるアプリケーション詳細ビューのアイコン( |
)をクリックします。アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Hosts] > [Applications Details] を選択します。
デフォルトのアプリケーション詳細ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
ヒント アプリケーションの詳細のテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Clients] を選択します。
アプリケーション テーブルについて
監視対象ホストが別のホストに接続すると、FireSIGHT システムは多くの場合、どのアプリケーションが使用されたかを判断することができます。システムはさまざまな Web ブラウザやサーバ、電子メール クライアンやサーバ、インスタント メッセンジャー、ピア ツー ピア アプリケーションなどを検出します。システムは既知のクライアント、アプリケーション プロトコル、または Web アプリケーションに対してトラフィックを検出すると、アプリケーション、およびそのアプリケーションを実行しているホストに関する情報を記録します。
FireSIGHT システムはアプリケーション データを 3 つのタイプ(クライアント、Web アプリケーション、アプリケーション プロトコル)に分類します。アプリケーション テーブルは、アプライアンスで検出された 3 つのすべてのタイプのアプリケーションの組み合わせのリストを提供します。
次に、アプリケーション テーブルのフィールドについて説明します。
アプリケーションを使用しているホストに関連付けられている IP アドレス。
アプリケーションの最も不可欠な機能を表す一般的な分類。各アプリケーションは、少なくとも 1 つのカテゴリに属します。
アプリケーションに関する追加情報。アプリケーションには任意の数(0 を含む)のタグを付けることができます。
このアプリケーションが、組織のセキュリティ ポリシーに違反するかもしれない目的で使用される可能性がどの程度であるか。アプリケーションのリスクは、 Very Low から Very High までの範囲です。
侵入イベントをトリガーとして使用したトラフィックで検出された 3 つの Application Protocol Risk、Client Risk、および Web Application Risk の中で最も高いものとなります(有効な場合)。
アプリケーションが、娯楽としてではなく、組織のビジネス活動の範囲内で使用される可能性。アプリケーションのビジネスとの関連性は、 Very Low から Very High までの範囲です。
侵入イベントをトリガーとして使用したトラフィックで検出された 3 つの Application Protocol Business Relevance、Client Business Relevance、および Web Application Business Relevance の中で、最も低いものとなります(有効な場合)。
権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。
–Application Protocols はホスト間の通信を表します。
–Client Applications は、ホスト上で稼動しているソフトウェアを表します。
–Web Applications は、HTTP トラフィックのコンテンツまたは要求された URL を表します。
各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。
アプリケーションの検索
特定のクライアント、アプリケーション プロトコル、または Web アプリケーションを実行しているホストを検索することができます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。
それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。
• すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。
• 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。
• いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。
• ほとんどのフィールドでは大文字/小文字が区別されません。
• IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。
• オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。
検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Search] を選択します。
ステップ 2 [Table] ドロップダウン リストから [Applications] を選択します。
ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。
名前を入力しない場合は、検索を保存するときに防御センターが自動的に名前を付加します。
ステップ 4 該当するフィールドに検索基準を入力します。複数の条件を入力すると、防御センターは、すべての条件に一致するレコードのみを返します。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。
ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。
ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります。
• 検索を開始するには、[Search] ボタンをクリックします。
検索結果は、デフォルトのクライアント ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
• 既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。
• 検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。
アプリケーションの詳細の使用
監視対象ホストが別のホストに接続すると、システムは多くの場合、どのアプリケーションが使用されたかを判断することができます。FireSIGHT システムは多くの電子メールの使用、インスタント メッセージ、ピア ツー ピア、Web アプリケーション、およびその他のタイプのアプリケーションの使用を検出します。
検出されたそれぞれのアプリケーションに対してシステムは、アプリケーションを使用した IP アドレス、製品、バージョン、および使用が検出された回数を記録します。Web インターフェイスを使用して、アプリケーション イベントを表示、検索、および削除できます。ホスト入力機能を使用して、1 つ以上のホスト上のアプリケーション データを更新することもできます。
どのアプリケーションがどのホストで稼動しているかがわかっている場合は、そのことを使用してホスト プロファイルの認定を作成し、この認定によって、トラフィック プロファイルの作成中に収集するデータを制約することができます。また、相関ルールをトリガーする条件を制約することもできます。また、アプリケーションの検出を相関ルールのベースにすることもできます。たとえば、従業員に特定のメール クライアントを使用させたい場合は、システムが、いずれかの対象ホストで別のメール クライアントが稼動していることを検出したときに相関ルールをトリガーすることができます。
更新されたディテクタの情報については、各 VDB 更新のアドバイザリの他に、FireSIGHT システムの各更新に関するリリース ノートをよく読んでください。
分析用にアプリケーション データを収集および格納するには、ネットワーク検出ポリシーでアプリケーションの検出が有効になっていることを確認します。詳細については、「アプリケーション検出について」を参照してください。
アプリケーションの詳細の表示
防御センターを使用して、検出されたアプリケーションの詳細テーブルを表示できます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。
ユーザがアプリケーションの詳細にアクセスするときに表示されるページは、使用するワークフローによって異なります。2 つの事前定義されたワークフローがあります。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。詳細については、「カスタム ワークフローの作成」を参照してください。
「アプリケーションの詳細の操作」 では、アプリケーションの詳細ワークフロー ページでユーザが実行できる特定の操作について説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。
|
|
|
|---|---|
詳細については、「アプリケーションの詳細テーブルについて」で確認できます。 |
|
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Hosts] > [Applications Details] を選択します。
デフォルトのアプリケーション詳細ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
ヒント アプリケーションの詳細のテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Clients] を選択します。
アプリケーションの詳細テーブルについて
監視対象ホストが別のホストに接続すると、FireSIGHT システムは多くの場合、どのアプリケーションが使用されたかを判断することができます。システムはさまざまな Web ブラウザ、電子メール クライアン、インスタント メッセンジャー、ピア ツー ピア アプリケーションなどを検出します。.
システムは既知のクライアント、アプリケーション プロトコル、または Web アプリケーションに対してトラフィックを検出すると、アプリケーション、およびそのアプリケーションを実行しているホストに関する情報を記録します。次に、アプリケーションの詳細テーブルのフィールドについて説明します。
アプリケーションが最後に使用された時間、またはホスト入力機能を使用してアプリケーション データが更新された時間。[Last Used] の値は、システムがアプリケーション情報の更新を検出したときだけでなく、少なくともユーザがネットワーク検出ポリシーに設定した更新間隔の頻度で更新されます。更新間隔の設定については、「データ保存の設定」を参照してください。
アプリケーションを使用しているホストに関連付けられている IP アドレス。
アプリケーションの名前。システムがアプリケーション プロトコルを検出したものの、特定のクライアントを検出できなかった場合は、一般的な名前を提示するために、アプリケーション プロトコル名に client が付加されます。
Category, Tags, Risk, or Business Relevance for Clients
クライアントに割り当てられているカテゴリ、タグ、リスク レベル、およびビジネス関連性。これらのフィルタを使用して、特定のデータ セットを対象にすることができます。
詳細については、「アプリケーション検出について」を参照してください。
アプリケーションによって使用されるアプリケーション プロトコル。システムがアプリケーション プロトコルを検出したものの、特定のクライアントを検出できなかった場合は、一般的な名前を提示するために、アプリケーション プロトコル名に client が付加されます。
Category, Tags, Risk, or Business Relevance for Application Protocols
アプリケーション プロトコルに割り当てられているカテゴリ、タグ、リスク レベル、およびビジネス関連性。これらのフィルタを使用して、特定のデータ セットを対象にすることができます。
詳細については、「アプリケーション検出について」を参照してください。
http トラフィックでシステムが検出したペイロード コンテンツまたは URL に基づいた Web アプリケーション。システムが HTTP のアプリケーション プロトコルを検出したものの、特定の Web アプリケーションを検出できない場合は、一般的な Web ブラウジングの指定がここで提示されるので注意してください。
Category, Tags, Risk, or Business Relevance for Web Applications
Web アプリケーションに割り当てられているカテゴリ、タグ、リスク レベル、およびビジネス関連性。これらのフィルタを使用して、特定のデータ セットを対象にすることができます。
詳細については、「アプリケーション検出について」を参照してください。
システムが使用中のアプリケーションを検出した回数。ホスト入力機能を使用して追加されたアプリケーションの場合、この値は必ず 0 になります。
アプリケーションの詳細が含まれているディスカバリ イベントを生成したデバイス。
権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。
各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。
アプリケーションの詳細の検索
特定のクライアント、アプリケーション プロトコル、または Web アプリケーションを実行しているホストを検索することができます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。
それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。
• すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。
• 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。
• いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。
• ほとんどのフィールドでは大文字/小文字が区別されません。
• IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。
• オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。
検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Search] を選択します。
ステップ 2 [Table] ドロップダウン リストから [Application Details] を選択します。
ヒント 別の種類のイベントについてデータベースを検索するには、[Table] ドロップダウン リストからデータベースを選択します。
ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。
名前を入力しない場合は、検索を保存するときに防御センターが自動的に名前を付加します。
ステップ 4 該当するフィールドに検索基準を入力します。複数の条件を入力すると、防御センターは、すべての条件に一致するレコードのみを返します。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。
ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。
ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります。
• 検索を開始するには、[Search] ボタンをクリックします。
検索結果は、デフォルトのクライアント ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
• 既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。
• 検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。
脆弱性の処理
FireSIGHT システムには、独自の脆弱性追跡データベースが含まれています。これはシステムのフィンガープリンティング機能と組み合わせて使用して、ネットワーク上のホストに関連付けられている脆弱性を特定します。
ホストで稼動しているオペレーティング システム、サーバ、およびクライアントには、関連付けられている一連の脆弱性があります。ホストにパッチを適用した後、またはホストが脆弱性に関して問題ないと判断された場合は、そのホストの脆弱性を非アクティブにすることができます。防御センターを使用して、各ホストに対する脆弱性を追跡および確認できます。
サーバで使用されるアプリケーション プロトコルがシステム ポリシー内でマップされない限り、ベンダーレスおよびバージョンレスのサーバに対する脆弱性はマップされないことに注意してください。ベンダーレスおよびバージョンレスのクライアントに対する脆弱性はマップできません。詳細については、「サーバの脆弱性のマッピング」を参照してください。
• 「脆弱性の表示」
• 「脆弱性の検索」
脆弱性の表示
防御センターを使用して、脆弱性のテーブルを表示できます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。
脆弱性にアクセスするときに表示されるページは、使用するワークフローによって異なります。ユーザは事前定義のワークフローを使用できますが、これには脆弱性のテーブル ビューが含まれています。検出されたいずれかのホストが脆弱性を示しているかどうかに関係なく、テーブル ビューにはデータベース内の各脆弱性に対して 1 つのローが含まれています。事前定義のワークフローの 2 ページ目には、ネットワーク上で検出されたホストに適用されるそれぞれの脆弱性(まだユーザが非アクティブにしていないもの)に対して 1 つのローが含まれています。事前定義のワークフローは脆弱性の詳細ビューで終了しますが、このビューには、制約を満たすすべての脆弱性について詳細な説明が含まれています。
ヒント 単一のホストまたはホストのセットに適用される脆弱性を表示する場合は、ホストの IP アドレスまたは IP アドレスの範囲を指定して、脆弱性の検索を実行します。脆弱性の検索の詳細については、「脆弱性の検索」を参照してください。
また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。カスタム ワークフローの作成については、「カスタム ワークフローの作成」を参照してください。
次の表では、脆弱性のワークフロー ページでユーザが実行できる特定の操作について説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。
|
|
|
|---|---|
詳細については、「脆弱性テーブルについて」で確認できます。 |
|
[SVID] カラムの表示アイコン( |
|
詳細については、「脆弱性の非アクティブ化」で確認できます。 |
|
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Vulnerabilities] > [Vulnerabilities] を選択します。
デフォルトの脆弱性ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
ヒント 脆弱性テーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Vulnerabilities] を選択します。
脆弱性テーブルについて
FireSIGHT システムには、独自の脆弱性追跡データベースが含まれています。これはシステムのフィンガープリンティング機能と組み合わせて使用して、ネットワーク上のホストに関連付けられている脆弱性を特定します。
ホストで稼動しているオペレーティング システム、サーバ、およびクライアントには、関連付けられている一連の脆弱性があります。ホストにパッチを適用した後、またはホストが脆弱性に関して問題ないと判断された場合は、そのホストの脆弱性を非アクティブにすることができます。防御センターを使用して、各ホストに対する脆弱性を追跡および確認できます。
脆弱性の詳細については、「脆弱性のネットワーク マップの使用」および「ホスト プロファイルでの脆弱性の使用」を参照してください。
脆弱性を追跡するためにシステムで使用するシスコの脆弱性の識別番号。
SVID について脆弱性の詳細にアクセスするには、表示アイコン(
)をクリックします。詳細については、「脆弱性の詳細の表示」を参照してください。
Bugtraq データベースにおいて脆弱性に関連付けられている識別番号。(http://www.securityfocus.com/bid/)
Snort ID(SID)データベースにおいて脆弱性に関連付けられている識別番号。つまり、侵入ルールで特定の脆弱性を悪用するネットワーク トラフィックを検出できると、その脆弱性は、侵入ルールの SID に関連付けられます。
脆弱性は複数の SID に関連付けることが可能(または SID に関連付けないことも可能)であることに注意してください。脆弱性が複数の SID に関連付けられている場合、脆弱性テーブルには、各 SID に対して 1 つのローが含まれています。
脆弱性の影響を受けるホストに関連付けられている IP アドレス。
Bugtraq データベースにおいて脆弱性に割り当てられている重大度を示します。0~10の値で、10 は最も重大であることを示します。脆弱性の影響は、Bugtraq エントリの作成者によって決定されます。この作成者は、自身の判断および SANS Critical Vulnerability Analysis(CVA)の基準に従って脆弱性の影響を決定します。
各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。
脆弱性の非アクティブ化
ネットワーク上のホストにパッチを適用した後、またはホストが脆弱性に関して問題ないと判断された後に、脆弱性を非アクティブにします。非アクティブにした脆弱性は、侵入の影響の相関には使用されなくなります。システムが、この脆弱性によって影響を受けている新しいホストを検出すると、脆弱性はこのホストに対して有効であると見なされます(自動的には非アクティブになりません)。
ユーザは、ネットワーク上の特定のホストに対して脆弱性を示すワークフローのページ(以下を参照)で のみ 、脆弱性ワークフロー内で脆弱性を非アクティブにすることができます。
• デフォルトの脆弱性ワークフローの 2 ページ目の [Vulnerabilities on the Network]。これは、ネットワーク上のホストに適用される脆弱性のみを示します。
• 脆弱性の(カスタムまたは事前定義の)ワークフローの任意のページ。このワークフローは、検索を使用して IP アドレスに基づいて制約されます。
IP アドレスで制約されていない脆弱性ワークフロー内で脆弱性を非アクティブにすると、ネットワーク上で検出された すべての ホストに対する脆弱性が非アクティブ化されます。1 つのホストに対して脆弱性を非アクティブにするには、次の 3 つの方法があります。
詳細については、「脆弱性のネットワーク マップの使用」を参照してください。
詳細については、「個々のホストに対する脆弱性の設定」を参照してください。
• 脆弱性を非アクティブにする 1 つ以上のホストの IP アドレスに基づいて、脆弱性ワークフローを制約する。関連する複数の IP アドレスを持つホストの場合、この機能は 1 つのアドレス(そのホストで選択された IP アドレス)のみに適用されます。
IP アドレスに基づいてビューを制約するには、脆弱性を非アクティブにするホストに対して 1 つの IP アドレス、または IP アドレスの範囲を指定して、脆弱性の検索を実行します。脆弱性の検索の詳細については、「脆弱性の検索」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Vulnerabilities on the Network] ページで、非アクティブにする脆弱性の隣にあるチェック ボックスをオンにして [Review] をクリックします。
脆弱性の検索
ネットワーク上のホストに影響を及ぼす脆弱性を検索できます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。
それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。
• すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。
• 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。
• いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。
• ほとんどのフィールドでは大文字/小文字が区別されません。
• IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。
• オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。
検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。
• Bugtraq ID 番号の検索は http://www.securityfocus.com/bid で行います。
• エクスプロイトされる脆弱性を検索する場合は TRUE を入力し、そのような脆弱性を除外する場合は FALSE を入力します。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Search] を選択します。
ステップ 2 [Table] ドロップダウン リストから [Vulnerabilities] を選択します。
ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。
名前を入力しない場合は、検索を保存するときに自動的に名前が付けられます。
複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。
ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。
カスタム ユーザ ロールに対するデータの制約として検索を使用する場合は、検索を非公開として保存する 必要があります 。
• 検索を開始するには、[Search] ボタンをクリックします。
検索結果は、デフォルトの脆弱性ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
• 既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。
• 検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。
サードパーティの脆弱性の処理
FireSIGHT システムには、独自の脆弱性追跡データベースが含まれています。これはシステムのフィンガープリンティング機能と組み合わせて使用して、ネットワーク上のホストに関連付けられている脆弱性を特定します。
組織でスクリプトを記述するか、またはコマンドライン インポート ファイルを作成して、サードパーティのアプリケーションからネットワーク マップ データをインポートすることが可能な場合は、サードパーティの脆弱性データをインポートして、システムの脆弱性データを増やすことができます。詳細については、『 FireSIGHT System Host Input API Guide 』を参照してください。
インポートしたデータを影響の相関に含めるには、サードパーティの脆弱性情報を、データベース内のオペレーティング システムおよびアプリケーションの定義にマップする必要があります。サードパーティの脆弱性情報はクライアント定義にマップできません。
サードパーティの脆弱性の表示
ホスト入力機能を使用してサードパーティの脆弱性データをインポートした後で、防御センターを使用してサードパーティの脆弱性のテーブルを表示することができます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。
サードパーティの脆弱性にアクセスするときに表示されるページは、使用するワークフローによって異なります。2 つの事前定義されたワークフローがあります。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。詳細については、「カスタム ワークフローの作成」を参照してください。
次の表では、サードパーティ脆弱性のワークフロー ページでユーザが実行できる特定の操作について説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。
|
|
|
|---|---|
詳細については、「サードパーティの脆弱性テーブルについて」で確認できます。 |
|
[SVID] カラムの表示アイコン( |
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Vulnerabilities] > [Third-Party Vulnerabilities] を選択します。
デフォルトのサードパーティの脆弱性ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
ヒント サードパーティの脆弱性のテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Vulnerabilities by Source] を選択するか、または [Vulnerabilities by IP Address] を選択します。
サードパーティの脆弱性テーブルについて
ホスト入力機能を使用して、サードパーティの脆弱性情報をインポートすると、システムはその情報をデータベースに格納します。サードパーティの脆弱性テーブルのフィールドについては、次の表で説明します。
サードパーティの脆弱性のソース(QualysGuard、NeXpose など)。
脆弱性の影響を受けるホストに関連付けられている IP アドレス。
ポート番号(脆弱性が、特定のポート上で実行されているサーバに関連付けられている場合)。
Bugtraq データベースにおいて脆弱性に関連付けられている識別番号。(http://www.securityfocus.com/bid/)
MITRE の Common Vulnerabilities および Exposures(CVE)データベースにおいて、脆弱性に関連付けられている識別番号(http://www.cve.mitre.org/)。
脆弱性を追跡するためにシステムで使用する Sourcefire Vulnerability の識別番号。
SVID について脆弱性の詳細にアクセスするには、表示アイコン( )をクリックします。詳細については、「脆弱性の詳細の表示」を参照してください。
Snort ID(SID)データベースにおいて脆弱性に関連付けられている識別番号。つまり、侵入ルールで特定の脆弱性を悪用するネットワーク トラフィックを検出できると、その脆弱性は、侵入ルールの SID に関連付けられます。
脆弱性は複数の SID に関連付けることが可能(または SID に関連付けないことも可能)であることに注意してください。脆弱性が複数の SID に関連付けられている場合、脆弱性テーブルには、各 SID に対して 1 つのローが含まれています。
各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。
サードパーティの脆弱性の検索
ネットワーク上のホストに影響を及ぼすサードパーティの脆弱性を検索できます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。
それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。
• すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。
• 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。
• いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。
• ほとんどのフィールドでは大文字/小文字が区別されません。
• IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。
• オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。
検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。
• Bugtraq ID 番号の検索は http://www.securityfocus.com/bid で行います。
• エクスプロイトされる脆弱性を検索する場合は TRUE を入力し、そのような脆弱性を除外する場合は FALSE を入力します。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Search] を選択します。
ステップ 2 [Table] ドロップダウン リストで、[Third-Party Vulnerabilities] を選択します。
ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。
名前を入力しない場合は、検索を保存するときに自動的に名前が付けられます。
複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。
ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。
カスタム ユーザ ロールに対するデータの制約として検索を使用する場合は、検索を非公開として保存する 必要があります 。
• 検索を開始するには、[Search] ボタンをクリックします。
検索結果は、デフォルトのサードパーティ脆弱性ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
• 既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。
• 検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。
ユーザの使用
Active Directory Agent または管理対象デバイスがデータベースにないユーザのユーザ ログインを検出した場合、そのログイン タイプが特に制限されていない限り、そのユーザはデータベースに追加されます(「ユーザ ロギングの制限」を参照してください)。
注 システムは SMTP ログインを検出しますが、電子メール アドレスが一致するユーザがデータベースにない場合、それらのログインは記録されず、ユーザは、SMTP ログインに基づいたデータベースに追加されません。
新しいユーザについてどの情報を格納するかは、次の表に記載されている、システムが検出したログインのタイプによって判断されます。
|
|
|
|---|---|
防御センターと LDAP サーバとの接続を設定すると、防御センターは LDAP サーバに 5 分ごとに問い合わせして、ユーザ データベースの新しいユーザに関するメタデータを取得します。それと同時に防御センターは、レコードが防御センターデータベースに格納されており、12 時間以上経過しているユーザの更新情報を LDAP サーバに問い合わせします。システムが新しいユーザのログインを検出してから、防御センターデータベースがユーザのメタデータを更新するまでに、5~10 分かかることがあります。防御センターは LDAP サーバから、各ユーザについて次の情報とメタデータを取得します。
防御センターがデータベースに格納できるユーザの数は、FireSIGHT のライセンスによって異なります。AIM、Oracle、および SIP のログインは、システムが LDAP サーバから取得したどのユーザ メタデータにも関連付けられないため、これらのログインにより重複したユーザ レコードが作成されることに注意してください。これらのプロトコルでのユーザ レコードの重複により、ユーザ カウントが過剰に使用されないようにするために、ネットワーク検出ポリシーではプロトコルのロギングを無効にします。詳細については、「ユーザ ロギングの制限」を参照してください。
データベースからユーザを検索、表示、削除することができます。また、データベースからすべてのユーザを消去することもできます。詳細については、次の項を参照してください。
• 「ユーザの表示」
• 「ユーザの検索」
ユーザの表示
ユーザのテーブルを表示して、検索する情報に応じてイベント ビューを操作することができます。
ユーザにアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義のワークフローを使用することができますが、これには、検出されたすべてのユーザが記載されているユーザのテーブル ビューが含まれています。このワークフローは、ユーザの詳細ページで終了します。ユーザの詳細ページは、制約を満たす各ユーザについての情報を提供します。
また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。カスタム ワークフローの作成については、「カスタム ワークフローの作成」を参照してください。
テーブルのカラムの内容については、「ユーザ テーブルについて」に詳しく記載されています。次の表は、ユーザ ワークフロー ページで実行できる特定の操作について説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されている操作も実行できます。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Users] > [Users] を選択します。
デフォルトのユーザ ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
ヒント ユーザのテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Users] を選択します。
ユーザ テーブルについて
システムはユーザを検出したときに、そのユーザに関するデータを収集してデータベースに格納します。次に、ユーザ テーブルのフィールドについて説明します。
–ユーザの名前と姓、およびユーザ名(オプションの防御センターと LDAP サーバの接続を介して収集されたもの)
–ユーザ名のみ(防御センターと LDAP サーバの接続を設定していない場合、または防御センターが LDAP レコードと相関できなかったユーザの場合)
防御センターは、ユーザの検出に使用したプロトコルも表示します。
成功しなかった AIM ログインの試行も記録されるため、防御センターには、(ユーザが入力するユーザ名のスペルを間違っていた場合など)無効な AIM ユーザが格納されている可能性があることに注意してください。
ユーザがログインしたホストに関連付けられている IP アドレス。(あるユーザが権限を持っており、新しいユーザが権限を持っていない場合を除いて)、ユーザがログインした後で、権限を持っている他のユーザが同じ IP アドレスでホストにログインすると、このフィールドは空白になります (システムは、IP アドレスと、最後にホストにログインした権限のあるユーザを関連付けます)。権限のあるユーザと権限のないユーザの詳細については、「ユーザ データベース」を参照してください。
ユーザの名前(オプションの防御センターと LDAP サーバとの接続で取得されたもの)。以下の場合、このフィールドは空白になります。
–防御センターが、防御センター データベースのユーザと LDAP レコードを相関させていない(AIM、Oracle、または SIP ログインによってユーザがデータベースに追加された場合など)
–LDAP サーバに、対象のユーザと関連付けられている名前がない
オプション防御センターの- LDAP サーバ接続から抽出したユーザの姓。以下の場合、このフィールドは空白になります。
–防御センターが、防御センター データベースのユーザと LDAP レコードを相関させていない(AIM、Oracle、または SIP ログインによってユーザがデータベースに追加された場合など)
–LDAP サーバに、対象のユーザと関連付けられている姓がない
ユーザの電子メール アドレス。以下の場合、このフィールドは空白になります。
–LDAP ログインによってユーザがデータベースに追加されており、LDAP サーバ上にユーザと関連付けられている電子メール アドレスがない
ユーザの部門(オプションの防御センターと LDAP サーバとの接続で取得されたもの)。LDAP サーバ上のユーザに明示的に関連付けられている部門がない場合、この部門は、サーバが割り当てるいずれかのデフォルト グループとして示されます。たとえば、Active Directory では、これは Users (ad) となります。以下の場合、このフィールドは空白になります。
–防御センターが、防御センター データベースのユーザと LDAP レコードを相関させていない(AIM、Oracle、または SIP ログインによってユーザがデータベースに追加された場合など)
ユーザの電話番号(オプションの防御センターと LDAP サーバとの接続で取得されたもの) 以下の場合、このフィールドは空白になります。
–防御センターが、防御センター データベースのユーザと LDAP レコードを相関させていない(AIM、Oracle、または SIP ログインによってユーザがデータベースに追加された場合など)
–LDAP サーバに、対象のユーザと関連付けられている電話番号がない
ユーザの検出に使用されるプロトコル。たとえば、POP3 ログインを検出したときにデータベースに追加されるユーザの場合、ユーザ タイプは pop3 になります。
各ローに示される情報と一致するユーザの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。
ユーザの詳細とホストの履歴について
特定のユーザについて詳細を示すために、ユーザのテーブル ビューだけでなく、ユーザ ID データを他の種類のイベントに関連付けているイベント ビューを利用して [User Identity] ポップアップ ウィンドウを表示することができます。ユーザ ワークフローの最終ページには、ユーザの情報も表示されます。
このユーザ データは、ユーザのテーブル ビューで表示されるものと同じです。詳細については、「ユーザ テーブルについて」を参照してください。
ホストの履歴は、最後の 24 時間に行われたユーザ アクティビティをグラフィックで表示します。ユーザがログインおよびログオフしたホストの IP アドレスのリストは、ログインとログアウトの回数の概数を棒グラフで示します。一般的なユーザは、1 日の間に複数のホストに対してログオンおよびログオフする可能性があります。たとえば、メール サーバに対する定期的な自動ログインは複数回の短いセッションとして示されますが、(勤務時間中などの)長時間のログインは、長いセッションとして示されます。
ホストに対して権限のないユーザがログインしていることが検出された場合、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、ホストに対して権限のあるユーザのログインが検出された後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。ネットワーク検出ポリシーで、失敗したログインのキャプチャを設定した場合、ホストの履歴には、ユーザがログインに失敗したホストも示されます。
ホストの履歴を生成するのに使用されるデータは、ユーザの履歴データベースに格納されています。このデータベースは、デフォルトで 1000 万のユーザ ログイン イベントが格納されます。ホストの履歴で特定のユーザに関するデータが表示されない場合、そのユーザが非アクティブであるか、またはデータベースの制限を増やさなければならないことが考えられます。詳細については、「データベース イベント制限の設定」を参照してください。
ユーザの詳細およびホストの履歴を表示するには、以下を行います。
アクセス:Admin/Any Security Analyst
• ユーザが示されているいずれかのイベント ビューで、ユーザ ID の隣に示されているユーザ アイコン(
)をクリックします。
ユーザの検索
特定のユーザを検索することができます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。
それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。
• すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。
• 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。
• いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。
• ほとんどのフィールドでは大文字/小文字が区別されません。
• IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。
• オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。
検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。
ユーザ タイプについては、有効な検索条件は ldap 、 pop3 、 imap 、および aim です。ユーザは SMTP ログインに基づいてデータベースに追加されないため、 smtp と入力しても結果は返されません。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Search] を選択します。
ステップ 2 [Table] ドロップダウン リストから [Users] を選択します。
ヒント 別の種類のイベントについてデータベースを検索するには、[Table] ドロップダウン リストからデータベースを選択します。
ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。
名前を入力しない場合は、検索を保存するときに自動的に名前が付けられます。
ステップ 4 該当するフィールドに検索基準を入力します。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。
ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、検索は非公開として保存されます。
ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります。
• 検索を開始するには、[Search] ボタンをクリックします。
検索結果は、デフォルトのユーザ ワークフローに表示されます。別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
• 既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。
• 検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。
ユーザ アクティビティ の使用
FireSIGHT システムは、ネットワーク上のユーザ アクティビティの詳細についてやりとりするイベントを生成します。次に、ユーザ アクティビティの 4 つのタイプについて説明します。
このイベントは、システムが、データベースに存在しないユーザのユーザ ログインを検出したときに生成されます。
–Active Directory サーバにインストールした Active Directory Agent が LDAP ログインを検出した
–管理対象デバイスが LDAP、POP3、IMAP、SMTP、AIM、Oracle または SIP のログインを検出した
–ユーザ ログイン イベントについては、以下の点について留意しておく必要があります。
–一致する電子メール アドレスを持つユーザがすでにデータベースに存在する場合を除いて、SMTP ログインは記録されません。
–失敗したログインは LDAP、IMAP、および POP3 で、トラフィック内で検出された場合のみです。ログインに失敗すると、検出されたユーザ データベースにユーザは追加されません。ただし、ネットワーク検出ポリシーのユーザ ログインの設定に基づいて、ユーザ アクティビティ データベースにオプションとしてアクティビティが記録されます。
–特別にログイン タイプを制限している場合は、ユーザ ログインは記録されません。「ユーザ ロギングの制限」を参照してください。
権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。
このイベントは、データベースからユーザを手動で削除したときに生成されます。
User Identity Dropped: User Limit Reached
このイベントは、システムがデータベースに存在しないユーザを検出したものの、FireSIGHT ライセンスで設定されているデータベースの最大ユーザ数に達したためにユーザを追加できなかったときに生成されます。
検出されたユーザについて、防御センターが格納できる総数は、FireSIGHT のライセンスによって異なります。ライセンス制限に達すると、ほとんどの場合、システムはデータベースへの新しいユーザの追加を停止します。新しいユーザを追加するには、古いユーザまたは非アクティブなユーザをデータベースから手動で削除するか、データベースからすべてのユーザを消去する必要があります。
ただし、システムでは権限のあるユーザが優先されます。すでに制限に達しており、以前は検出されなかった権限のあるユーザのログインが検出された場合、システムは、長期間非アクティブな状態の非権限ユーザを削除し、そのユーザと権限のある新しいユーザを置き換えます。
システムがユーザ アクティビティを検出すると、そのアクティビティはデータベースに記録されます。ユーザ アクティビティを表示、検索、および削除することも、データベースからすべてのユーザ アクティビティを消去することもできます。
可能な場合はいつでも、FireSIGHT システムがユーザ活動とその他のタイプのイベントを関連付けます。たとえば、侵入イベントは、イベント発生時に送信元ホストおよび宛先ホストにログインしていたユーザを通知することができます。これにより、攻撃の対象になっていたホストの所有者、または内部攻撃やポートスキャンを開始したユーザがわかります。
また、相関ルールでユーザ アクティビティを使用することもできます。ユーザ アクティビティのタイプだけでなく、自分で指定する他の条件に基づいて、相関ルールを作成することができます。相関ルールは相関ポリシーで使用され、ネットワーク トラフィックが条件を満たしたときに、修復およびアラートの応答を起動します。ユーザ アクティビティの詳細については、「ユーザ データ収集について」を参照してください。
ユーザ アクティビティ イベントの表示
ユーザ アクティビティのテーブルを表示して、検索する情報に応じてイベント ビューを操作することができます。
ユーザ アクティビティにアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義のワークフローを使用することができます。このワークフローにはユーザ アクティビティのテーブル ビューが含まれており、制約を満たすすべてのユーザの詳細が含まれている、ユーザの詳細ページで終了します。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。カスタム ワークフローの作成については、「カスタム ワークフローの作成」を参照してください。
テーブルのカラムの内容については、「ユーザ アクティビティ テーブルについて」に詳しく記載されています。次の表は、ユーザ アクティビティのワークフロー ページで実行できる特定の操作について説明しています。 「一般的なディスカバリ イベントのアクション」 の表に記載されている操作も実行できます。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Users] > [User Activity] を選択します。
デフォルトのユーザ アクティビティ ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。イベントが表示されない場合は、時間範囲の調整が必要なことがあります。「イベント時間の制約の設定」を参照してください。
ヒント ユーザ アクティビティのテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [User Activity] を選択します。
ユーザ アクティビティ テーブルについて
システムがユーザ アクティビティを検出すると、そのアクティビティはデータベースに記録されます。次に、ユーザ テーブルのフィールドについて説明します。
ユーザ アクティビティのタイプ。詳細については、「ユーザ アクティビティ の使用」を参照してください。
アクティビティに関連付けられているユーザ。このフィールドには少なくとも、ユーザの検出に使用されたユーザ名とプロトコルが含まれています。ユーザの LDAP メタデータがある場合は、このフィールドには、ユーザの名前と姓も含まれることがあります。
ユーザの検出に使用されるプロトコル。たとえば、システムが POP3 ログインを検出したときにデータベースに追加されるユーザの場合、ユーザ タイプは pop3 になります。
User Login アクティビティの場合、これはログインに関連する IP アドレスになります。ユーザのホストの IP アドレス(LDAP、POP3、IMAP、および AIM ログインの場合)、サーバの IP アドレス(SMTP および Oracle ログインの場合)、またはセッションの開始者の IP アドレス(SIP ログインの場合)のいずれかになります。
関連付けられている IP アドレスは、そのユーザが IP アドレスの現行のユーザであることを意味するわけではないので注意してください。権限を持たないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されます。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。
他のタイプのユーザ アクティビティの場合、このフィールドは空白です。
Delete User Identity and User Identity Dropped アクティビティの場合、データベースから削除されたユーザの名前、またはデータベースへの追加に失敗したユーザの名前になります。ネットワーク リソースへのログインの場合、 network login が表示されます。他のタイプのユーザ アクティビティの場合、このフィールドは空白です。
管理対象デバイスで検出したユーザ アクティビティの場合は、そのデバイスの名前。他のタイプのユーザ アクティビティの場合は、管理している防御センターになります。
各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。
ユーザ アクティビティの検索
特定のユーザ アクティビティを検索することができます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。
それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。
• すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。
• 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。
• いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。
• ほとんどのフィールドでは大文字/小文字が区別されません。
• IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。
• オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。
検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Search] を選択します。
ステップ 2 [Table] ドロップダウン リストから [User Activity] を選択します。
[User Activity search] ページが表示されます。
ヒント 別の種類のイベントについてデータベースを検索するには、[Table] ドロップダウン リストからデータベースを選択します。
ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。
名前を入力しない場合は、検索を保存するときに自動的に名前が付けられます。
ステップ 4 該当するフィールドに検索基準を入力します。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。
ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、検索は非公開として保存されます。
ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります。
• 検索を開始するには、[Search] ボタンをクリックします。
検索結果は、現行の時間範囲によって制約され、デフォルトのユーザ アクティビティ ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
• 既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。
• 検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。
フィードバック