- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: Glossary
Glossary
シリーズ 3の
管理対象デバイスのグループ。このシリーズのデバイスには、70xx ファミリ(3D7010/7020/7030 モデル)および71xx ファミリ(3D7110/7120/3D7115/3D7125 および AMP7150 モデル)が含まれます。
シリーズ 3の
管理対象デバイスのグループ。このシリーズのデバイスには、81xx ファミリ(3D8120/8130/8140 および AMP8150 モデル)、82xx ファミリ(3D8250/8260/8270/8290 モデル)、および 83xx ファミリ(3D8350/8360/8370/8390 モデル)が含まれます。8000 シリーズ デバイスは、通常
7000 シリーズ デバイスより高性能です。
コマンドライン インターフェイスを参照してください。
証明書失効リスト(CRL)を参照してください。
Cisco Adaptive Security Appliance (ASA)
管理対象デバイスのグループ。このシリーズのデバイスには、ASA5512-X、ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X、ASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40、および ASA5585-X-SSP-60 のモデルが含まれます。
クラウド サービス と呼ばれることもあります。
ヘルス イベントが最新の関連情報(マルウェア、
セキュリティ インテリジェンス、
URL フィルタリング データを含む)を取得できるシスコがホストする外部サーバ。
マルウェア クラウド ルックアップも参照してください。
侵入、
接続、ファイル、
位置情報、マルウェア、および
ディスカバリ データを使用して、モニタ対象ネットワークに関する詳細でインタラクティブなグラフィカル情報を表示するページ。明確に区切られたセクションには、鮮明な線グラフ、棒グラフ、円グラフ、ドーナツ グラフの形式で情報が、詳細リストとともに表示されます。カスタム フィルタを簡単に作成および適用して、分析をきめ細かく調整することができます。また、グラフ領域をクリックするか、グラフ領域の上にカーソルを移動することによって、データ セクションの詳細を確認することができます。高度にカスタマイズ可能で、細分化され、リアルタイムで更新される
ダッシュボードとは対照的に、Context Explorer は手動で更新され、より広範囲に及ぶデータのコンテキストを提供するように設計されています。また、ユーザが積極的に調査することができるようにレイアウトは 1 つの一貫した設計になっています。
ユーザや
アプリケーションの条件を
アクセス コントロール ルールに追加することによって、
ユーザ制御と
アプリケーション制御を実装することを許可するライセンス。また、管理対象
クラスタリングのスイッチング、ルーティング(DHCP リレーや
NAT)、およびクラスタリングを実行するように、管理対象
デバイスを設定することもできるようになります。
マルウェアの発生、存在する脅威、および標的型攻撃を検出、把握、ブロックするのエンタープライズ クラスのシスコ ベースの高度なマルウェア分析および防御ソリューション。
エンドポイント組織に
FireAMP サブスクリプションがある場合、個々のユーザがエンドポイント(コンピュータ、モバイル デバイス)にインストールした軽量の
FireAMP コネクタが
Collective Security Intelligence クラウドと通信します。これにより、マルウェアを瞬時に識別して検疫するだけでなく、マルウェアの発生を識別し、その伝搬経路を追跡し、その影響を把握して、正常にリカバリする方法を知ることができます。
FireAMP ポータルを使用して、カスタム保護を作成したり、特定のアプリケーションの実行をブロックしたり、カスタム ホワイトリストを作成したりすることもできます。ネットワークベースの
高度なマルウェア対策と比較してください。
サブスクリプションベースの
FireAMP 展開のユーザがコンピュータやモバイル デバイスなどの
エンドポイントにインストールする軽量のエージェント。コネクタは、
Collective Security Intelligence クラウドと通信し、情報を交換します。これにより、組織全体でマルウェアを識別し検疫できます。また、エンドポイントのホストで
侵害の痕跡も識別できます。
組織が
高度なマルウェア対策(AMP)ソリューションとして
FireAMP を使用するために別個に購入するサブスクリプション。ネットワークベースの AMP を実行するために管理対象
デバイスで有効にする
Malware ライセンスと比較してください。
組織のサブスクリプションベースの
FireAMP 展開を設定できる Web サイト(http://amp.sourcefire.com/)。
侵入ポリシーの情報に基づいて、
ネットワーク マップでどのルールを有効/無効にしたらよいかを推奨する機能。推奨に基づいてシステムが
ルール状態を変更することを許可することを選択できます。これを許可すると、システムによって読み取り専用の
FireSIGHT 推奨レイヤが追加されます。
ホスト、
アプリケーション、およびユーザ ディスカバリを実行するための
ヘルス イベントのデフォルト ライセンス。FireSIGHT ライセンスは、
ヘルス イベントとその管理対象
デバイスを使用してモニタできる
ホストとユーザの数、および
ユーザ制御を実行するために
アクセス コントロール ルールで使用できる
アクセス制御ユーザの数を決定します。
ジェネレータ ID。FireSIGHT システムのどのコンポーネントが
侵入イベントを生成したかを示す番号。GID は、ルールの
SID が、ルールをトリガーとして使用するパケットのコンテキストを提供するのと同じ方法でイベントの種類を分類することによって、より効率的にイベントを分析するのに役立ちます。
位置情報データベースを参照してください。
ハイ アベイラビリティ リンク インターフェイスとも呼ばれ、デバイス間でヘルス情報を共有するため冗長通信チャネルとして機能する
デバイスのクラスタ化されたペアの各メンバーに対して設定される
物理インターフェイス。
アクセス コントロール ポリシーによって、ユーザの HTTP 要求がブロックされたときにそのことが表示されるようにシステムを設定できる Web ページ。シスコ提供の汎用応答ページを表示するか、カスタム HTML を提供できます。
インタラクティブ ブロック ルールによって要求がブロックされる場合、ユーザが応答ページのボタンをクリックして、要求元のサイトに戻って続行できるようにすることができます。
現在のアクティブ ID および以前に報告されたパッシブ ID と競合する、新しいパッシブ オペレーティング システムまたは
サーバの ID がシステムによって報告されると発生する競合。
ユーザ クレデンシャルを Lightweight Directory Access Protocol (LDAP)ディレクトリ サーバに保存されている LDAP ディレクトリと比較することによって、ユーザ クレデンシャルを確認する
外部認証の形式。
アウトバンド Serial over LAN (SOL)管理接続を使用することにより、アプライアンスの Web インターフェイスにログインせずに、
アプライアンスをリモートでモニタまたは管理することができる シリーズ 3 の機能。シャーシのシリアル番号の表示や、ファンの速度や温度などの設定のモニタといった、限られたタスクを実行できます。
ネットワーク トラフィックで
高度なマルウェア対策(AMP)を実行することができるライセンス。
ファイル ポリシーを使用して、管理対象
デバイスによって検出された特定の
ファイル タイプについて
マルウェア クラウド ルックアップを実行するようにシステムを設定できます。
FireAMP サブスクリプションと比較してください。
ネットワーク アドレス変換。プライベート ネットワーク上の複数の
ホストで単一のインターネット接続を共有するために最も一般的に使用される機能。
ディスカバリを使用することで、システムは
ネットワーク デバイスを
ロード バランサとして識別できます。また、FireSIGHT システムのレイヤ 3 展開で、
NAT ポリシーを使用して NAT によるルーティングを設定できます。
ネットワーク トラフィックを評価し、条件に一致するトラフィックの変換方法を指定する一連の設定と条件。NAT ルールは、
NAT を使用してルーティングを実行するために既存の
NAT ポリシーに追加されます。
Cisco IOS 対応機器で実行するために Cisco Systems によって開発された、IP トラフィック情報を収集するための公開されている独自のネットワーク プロトコル。NetFlow 対応デバイスによって収集された情報は、システムによって収集されたディスカバリ データと
接続データを補足したり、管理対象
デバイスがカバーしないネットワークをモニタしたりするために使用できます。
Network Mapper。ホストで実行しているオペレーティング システムと
アプリケーション プロトコルを検出するために使用できるオープン ソースのアクティブ スキャナ。
Nmap スキャンを実行すると、検出された情報が
ネットワーク マップに追加されます。
Remote Authentication Dial In User Service。ネットワーク リソースへのユーザ アクセスを認証、許可、および説明するために使用されるサービス。外部
認証オブジェクトを作成して、FireSIGHT システム ユーザが RADIUS サーバを介して認証できるようにすることができます。
侵入検知と防御、
ファイル制御、および
セキュリティ インテリジェンス フィルタリングを実行できるようにする、
シリーズ 3 のデバイス、
仮想デバイス、および Sourcefire Software for X-Series のライセンス。ライセンスがなくても、
シリーズ 2 のデバイスでは、セキュリティ インテリジェンス以外のProtection機能を自動的に使用できます。
71xx ファミリ デバイスのネットワーク モジュールに挿入された Small Form-Factor Pluggable トランシーバ。SFP モジュールのセンシング インターフェイスは、
設定可能なバイパスを許可しません。
マルウェア クラウド ルックアップを実行するファイルを表す 32 ビット文字列。SHA256 と略記されることもあります。ハッシュ値は、暗号ハッシュ関数を使用して計算されます。複数のファイルの SHA-256 値が同じであれば、コンテンツが同じである可能性が非常に高くなります。
シグニチャ ID (または
Snort ID)。それぞれの
侵入ルールに割り当てられた一意の識別番号。新しいルールを作成するか、既存の
標準テキスト ルールを変更すると、1,000,000 かそれより大きな SID が割り当てられます。FireSIGHT システムで提供される
共有オブジェクト ルールおよび標準テキスト ルールの SID は、1,000,000 より小さくなります。また、
プリプロセッサおよび
デコーダは、SID を使用して、検出するさまざまな種類のパケットを識別します。
脆弱性 IDを参照してください。
IP ネットワークでのリアルタイム トラフィック分析およびパケット ロギングを実行するオープン ソースの侵入検知システム。Snort は、プロトコル分析、コンテンツ検索、およびコンテンツ マッチングを実行できます。また、さまざまな攻撃やプローブを検出できます。Snort では、柔軟なルールの言語を使用して、収集または通過させるべきネットワーク トラフィックを示します。FireSIGHT システムは、Snot を使用して、
デコーダ、
プリプロセッサ、および
侵入ルールに照らしてパケットをテストします。
個々の URL を表す再利用可能な
オブジェクト。
モニタ対象ホストによって要求された URL に基づいて、ネットワークを通過できるトラフィックを決定する
アクセス コントロール ルールを作成できる機能。
ヘルス イベントによって
Collective Security Intelligence クラウドから取得される、それらの URL の
URL カテゴリおよび
URL レピュテーションの情報に相関します。許可するまたはブロックする個々の URL または URL グループを指定することによって、Web トラフィックに関するよりきめの細かいカスタム コントロールを実現することもできます。
協定世界時。グリニッジ標準時(GMT)とも呼ばれる、UTC は世界中のあらゆる場所で認識されている標準時間です。タイム ゾーン機能を使用して現地時間を設定することができますが、FireSIGHT システムは UTC を使用します。
脆弱性データベースを参照してください。
仮想ローカル エリア ネットワーク VLAN は、地理的な場所ではなく、その他の基準(部門や主な使用方法など)に従ってホストをマッピングします。モニタ対象ホストの
ホスト プロファイルには、そのホストに関連付けられた VLAN 情報が示されます。VLAN 情報は、イベントをトリガーしたパケットの最も内側の VLAN タグとして
接続イベントおよび
侵入イベントにも含まれています。VLAN で侵入ポリシーをフィルタリングしたり、VLAN ごとに
コンプライアンス ホワイトリストのターゲットを設定したりできます。レイヤ 2 およびレイヤ 3 の展開では、VLAN のタグが付けられたトラフィックを適切に処理するように、管理対象
デバイスで
仮想スイッチおよび
仮想ルータを設定できます。
シスコ VRTを参照してください。
HTTP トラフィックの内容または要求された URL を表示する、
アプリケーションの 1 つの種類。
イベントしきい値を参照してください。
管理対象
デバイスがモニタするネットワーク トラフィックに対して
アクセス制御を実施するために、それらのデバイスに
適用する
ポリシー。アクセス コントロール ポリシーには、複数の
アクセス コントロール ルールが含まれる場合があります。これらのルールの基準を満たさないトラフィックの処理とロギングは、同じくアクセス コントロール ポリシーによって指定される
デフォルト アクションによって決定されます。アクセス コントロール ポリシーでは、
HTTP 応答ページ、
セキュリティ インテリジェンス、およびその他の詳細設定も指定できます。
モニタ対象のネットワーク トラフィックを調べるために FireSIGHT システムが使用する一連の条件。これにより、きめ細かい
アクセス制御が可能になります。
アクセス コントロール ポリシーに組み込まれるアクセス コントロール ルールは、簡単な IP アドレスのマッチングを実行したり、各種のユーザ
接続、ポート、URL が関係する複雑な
アプリケーションの特性を示したりすることがあります。
アクセス コントロール ルール アクションは、ルールの条件を満たすトラフィックをシステムがどのように処理するかを決定します。その他のルール設定は、接続をログに記録する方法(および記録するかどうか)と、
侵入ポリシーや
ファイル ポリシーによって該当トラフィックが検査されるかどうかを決定します。
システムが
アクセス コントロール ルールの条件を満たすネットワーク トラフィックをどのように処理するかを決定する設定。該当トラフィックを
ブロック することができます(
接続の再設定はしてもしなくても構いません)。HTTP トラフィックでは、ブロックをバイパスするオプションを提供できます。また、トラフィックを
信頼 して、それ以上検査せずに通過させることも、該当トラフィック(必要に応じて
侵入ポリシーと
ファイル ポリシーを使用して検査することが可能)を
許可 することも、または追加のアクセス コントロール ルールを使用してトラフィックを
モニタ し続けることもできます。
アプライアンスにアクセス可能な
ホストを表す IP アドレスのリスト。
システム ポリシーで設定されます。デフォルトでは、だれでもポート 443 (HTTPS)を使用してアプライアンスの Web インターフェイスに、またポート 22 (SSH)を使用してコマンドラインにアクセスできます。さらに、ポート 161 を使用する SNMP アクセスも追加できます。
ネットワークを通過するトラフィックの指定、検査、記録を可能にする FireSIGHT システムの機能。アクセス制御には、
侵入検知と防御、
ファイル制御、および
高度なマルウェア対策の機能が含まれます。また、
ディスカバリ機能を使用して検査できるトラフィックは、アクセス制御によって決まります。
アクセス制御によってネットワークの使用を制御されるユーザ。Microsoft Active Directory サーバと
ヘルス イベントの間の接続を設定する場合は、アクセス制御ユーザが所属する必要のある LDAP グループを指定します。
ユーザ エージェントがアクセス制御ユーザによるログインをレポートする場合、それらのユーザは IP アドレスと関連付けられます。これにより、ユーザ条件が指定された
アクセス コントロール ルールのトリガーが可能になります。
非アクセス制御ユーザと比較してください。
アクティブ ソースを使用した
ホスト、
アプリケーション、およびユーザ情報のディスカバリ。アクティブ ソースには、
Nmap のようなスキャナ、システムの Web インターフェイスへのユーザ入力、またはコマンド ラインやサードパーティのアプリケーション API 呼び出しを使用した
ネットワーク マップへの
ホスト入力が含まれます。
非保留中(アプリケーション プロトコル)と比較してください。
ヘルス イベントまたは管理対象
デバイス。アプライアンスは、物理アプライアンスか、ソフトウェアベース(仮想または Sourcefire Software for X-Series)のアプライアンスとなります。
稼働時間、システム メモリの使用率、負荷平均、ディスク使用率、システム プロセスのサマリなど、
アプライアンスに関する取得可能な情報。また、
ヘルス イベントでは
データ コリレータプロセスに関する情報。
作成する
アクセス コントロール ルールの対象にできる、検出されたネットワーク資産、通信手段、または HTTP コンテンツ。システムは 3 種類のアプリケーション(
アプリケーション プロトコル、
クライアント アプリケーション、
Web アプリケーション)を検出します。
アプリケーションの最も本質的な機能を示す一般分類。各アプリケーションは、少なくとも 1 つのカテゴリに属します。
アプリケーション カテゴリでは説明されない、
アプリケーションに関する情報。たとえば、ビデオ ストリーミングの
Web アプリケーションには「高帯域幅」や「ディスプレイ広告」というタグが付けられることがあります。アプリケーションには、任意の数のタグを付けることができます(タグを全く付けないこともできます)。
ネットワーク上の
アプリケーションを識別するためにシステムが使用するツール。アプリケーション ディテクタは、パケット 見出し内の ASCII または 16 進数のパターンか、トラフィックが使用するポート、あるいはその両方を使用して、アプリケーションを識別します。シスコでは、システムのアップデート、
脆弱性データベースのアップデート、または
インポート/
エクスポート機能を介して追加のディテクタを提供することがあります。独自の
アプリケーション プロトコル ディテクタを作成することもできます。
アプリケーション
リスク、
ビジネスとの関連性、種類、カテゴリ、およびタグに関連した基準に従ってグループ化された 1 つ以上の
アプリケーション。これらのフィルタを使用して、
アクセス コントロール ルール、検索、一部の
ダッシュボード ウィジェット、およびレポートを制約することができます。
オブジェクト マネージャまたはその場でアクセス コントロール ルール エディタを使用してアプリケーション フィルタを作成します。
アプリケーションが、娯楽目的ではなく、組織の事業運営のコンテキスト内でが使用される可能性。アプリケーションのビジネスとの関連性は、Very Low から Very High までの範囲です。
システムが特定の
イベントを生成したことを示す通知。
侵入イベント(
影響を含む)、
ディスカバリ イベント、ネットワークベースの
マルウェア イベント、
相関ポリシー違反、ヘルス ステータスの変更、および特定の
アクセス コントロール ルールによって記録された
接続に基づいて警告できます。ほとんどの場合、電子メール、Syslog、または SNMP トラップで通知できます。
システムが電子メール、Syslog、または SNMP トラップで
アラートを送信することを許可する一連の設定。単一のアラート応答を使用して複数のタイプの
イベントについてのアラートを受けることができます。
モニタ対象ネットワークのトラフィックで検出されるルーティング可能な IP アドレスの位置情報のデータを提供する機能。これには、接続タイプ、インターネット サービス プロバイダーなどが含まれます。
位置情報データベース、
接続イベント、
侵入イベント、
ファイル イベント、
マルウェア イベント、および
ホスト プロファイルに保存される位置情報を参照できます。
GeoDB とも呼ばれ、ルーティング可能な IP アドレスに関連付けられた既知の
位置情報データの、定期的に更新されるデータベース。
ワークフローを使用して
イベント ビューアで表示できる特定の発生に関する詳細のコレクション。イベントは、ネットワークへの攻撃、検出されたネットワーク資産への変更、組織のセキュリティおよびネットワーク使用ポリシーに対する違反などを表す場合があります。システムは、
アプライアンスのヘルス ステータスの変更、Web インターフェイスの使用、オンライン変更のヘルス ステータス、
ルール更新、起動された
修復に関する情報を含むイベントも生成します。また、システムは、その他の特定の情報もイベントとして示します。それらの「イベント」は必ずしも特定の発生を表すとは限りません。たとえば、イベント ビューアを使用して、検出された
ホスト、
アプリケーション、およびそれらの脆弱性に関する詳細情報を表示することができます。
ヘルス イベントを参照してください。
イベントを表示したり、処理したりできるシステムのコンポーネント。イベント ビューアは、
ワークフローを使用して、幅広いイベント ビューや、目的のイベントだけを含むより的の絞られたイベント ビューを提供します。イベント ビューのイベントを制約するには、ワークフローをドリル ダウンするか、検索を使用します。
指定した時間内にイベントが生成される回数に基づいて、システムがログを記録したり、
侵入イベントを表示したりする回数を制限する機能。同一のイベントが大量に発生して悩まされている場合には、イベントしきい値を使用します。
特定の IP アドレスまたは IP アドレスの範囲によって
侵入ルールがトリガーとして使用された場合に、抑制
侵入イベントを使用できるようにする機能。イベント抑制は、誤検出を低減するのに役立ちます。たとえば、特定のエクスプロイトのように見えるパケットを送信する電子メール サーバがある場合、そのサーバによってトリガーとして使用されるルールのイベントを抑止することにより、本物の攻撃に対するイベントのみが表示されるようにすることができます。
予想される
セキュリティ ポリシーの違反に関与している疑いのある 1 つ以上の
侵入イベント。システムには、インシデントの調査に関連した情報の収集および処理に使用できるインシデント処理機能が備えられています。
インライン インターフェイスの 1 つ以上のペア。
管理対象
デバイスがネットワーク上にインラインで配置される FireSIGHT システムの展開。この設定では、デバイスはスイッチング、ルーティング、
アクセス制御、および
侵入検知と防御を使用するネットワーク トラフィック フローに影響を与える可能性があります。
ダッシュボード ウィジェットを参照してください。
侵入イベントに関する、
侵入データ、
ディスカバリ データ、および
脆弱性の間の相関関係を示す番号付きインジケータ。たとえば、影響レベル 1 (赤色の影響アイコン)は、ターゲット
ホストが、侵入イベントによって表される攻撃に対して
脆弱 であることを意味します。影響レベル 2 (オレンジ色の影響アイコン)は、
潜在的に脆弱 であることを意味します。
ネットワーク検出ポリシーによってモニタされていないネットワーク上のホストに向けられた攻撃は、影響レベル 0 (灰色の影響アイコン)になります。これは、
ヘルス イベントがイベントの影響を判別できないことを示しています。
アプライアンスからアプライアンスへのさまざまな設定(ポリシーなど)を転送するために使用できる方法。1 つのアプライアンスから設定をエクスポートしたら、同じタイプの別のアプライアンスにその設定を
インポートできます。
名前を値に関連付ける再利用可能な設定(IP アドレスまたは URL など)。その値を使用したいときは、その名前のオブジェクトを代わりに使用できます。
ディスカバリ ルール、
アクセス コントロール ルール、レポート、
ダッシュボード、および
イベント検索など Web インターフェイスのさまざまな場所でオブジェクトを使用できます。
ネットワーク オブジェクト、
セキュリティ インテリジェンス オブジェクト、
ポート オブジェクト、
VLAN タグ オブジェクト、
URL オブジェクト、
アプリケーション フィルタ、
HA リンク インターフェイス、および
セキュリティ ゾーンも参照してください。
オペレーティング システム ベンダーと、
ホスト上のオペレーティング システムのバージョンの詳細。
FireSIGHT システムによって提供される事前定義された 2 つ以上のテーブルからのフィールドを組み合わせた、ユーザが構築できるテーブル。たとえば、新しいコンテキストで接続データを調べるために、
ホスト属性テーブルからの
ホストの重要度情報と
接続 データ テーブルからの情報を組み合わせることができます。
フィンガープリントを参照してください。
特殊なアクセス権限を持つ
ユーザ ロール。カスタム ユーザ ロールには、メニューベースの権限とシステム権限を任意で組み合わせて付与することができます。また、カスタム ユーザ ロールは、完全にオリジナルなロールとして作成することもできれば、事前定義されたユーザ ロールを基に作成することもできます。
組織の固有のニーズを満たすために作成する
ワークフロー。
SHA-256 ハッシュ値によって表されるファイルのリスト。システムはこのリストにあるファイルを検出した場合、
Collective Security Intelligence クラウドでそのファイルの
処理が [Clean] であっても、そのファイルをマルウェアとして見なして
マルウェア クラウド ルックアップを実行しません。
ネットワークを通過するインバウンドおよびアウトバウンドのトラフィックを処理する
スイッチド インターフェイスのグループ。レイヤ 2 展開では、論理セグメントにネットワークを分割しながら、スタンドアロン ブロードキャスト ドメインとして機能するように管理対象
デバイスで仮想スイッチを設定できます。仮想
デバイスまたはスタックのいずれかに障害が発生した場合に、ピアがトラフィック フローを中断することなく引き継ぐことができるようにするために、クラスタ化されたデバイスまたはスタックを同期できる機能。状態共有は、厳密な TCP の適用、単方向のアクセス コントロール ルール、ブロックの持続性、および動的 NAT が適切にフェールオーバーすることを保証します。スイッチは、ホストからの Media Access Control (MAC)アドレスを使用して、パケットの送信先を決定します。
仮想ホスティング環境の独自の機器に配置できる管理対象
デバイス。仮想デバイスは、
ハイ アベイラビリティ、
クラスタリング、
スタッキング、
NAT、
VPN、
高速パス ルールなどのハードウェアベースの機能をサポートしません。また、仮想デバイスを
仮想スイッチまたは
仮想ルータとして設定することはできません。
仮想ホスティング環境の独自の機器に配置できる
ヘルス イベント。
レイヤ 3 トラフィックをルーティングする
ルーテッド インターフェイスのグループ。レイヤ 3 展開では、仮想ルータを設定し、宛先 IP アドレスに従ってパケット転送を決定することによって、パケットをルーティングできます。スタティック ルートを定義し、Routing Information Protocol (RIP)および Open Shortest Path First (OSPF)のダイナミック ルーティング プロトコルを設定して、ネットワーク アドレス変換(
NAT)を実装できます。
Web インターフェイスとの特定の FireSIGHT システム ユーザ インタラクションを示す
イベント。各監査イベントには、タイム スタンプ、イベントを生成したアクションを実行したユーザのユーザ名、送信元 IP アドレス、イベントを説明するテキストが含まれます。監査イベントは、
監査ログに記録されます。
Web インターフェイスとのユーザ インタラクションの記録。監査ログは、
監査イベントで構成されます。
FireSIGHT システムの
アプライアンスを管理するために使用するネットワーク インターフェイス。ほとんどの展開では、管理インターフェイスは、内部
保護されたネットワークに接続されます。
センシング インターフェイスと比較してください。
デバイスを参照してください。
ユーザが FireSIGHT システム
アプライアンスにログインする際、外部に保存されたユーザ クレデンシャルを使用してユーザ名とパスワードを認証する方法(
LDAP 認証や
RADIUS 認証など)。
内部認証と比較してください。
選択可能な一連の設定。シスコによって提供されるデフォルトの
侵入ポリシーか、カスタム ポリシーを基本ポリシーにできます。
ネットワーク トラフィックで検出され、
動的分析または
Spero 分析のために
Collective Security Intelligence クラウド へ送信するため、あるいはデバイスへの
ファイル ストレージのために
デバイスによってコピーされたファイル。
イベント ビューアからキャプチャされたファイルに関する情報を確認できます。
ファイルを
動的分析のために、
Collective Security Intelligence クラウドに送信した結果としてファイルに割り当てられ、ファイルにマルウェアが含まれる可能性の尺度となる 1 ~ 100 の評価。
C ソース コードからコンパイルされたバイナリ モジュールとして提供される
侵入ルール。共有オブジェクト ルールを使用すると、
標準テキスト ルールでは検出できない方法で、攻撃を検出できます。共有オブジェクト ルールのルール キーワードおよび引数は変更できません。できるのは、ルールで使用される
変数を変更したり、送信元と宛先のポートや IP アドレスなどの側面を変更したり、カスタム共有オブジェクト ルールとしてルールの新規インスタンスを保存したりすることに限られます 共有オブジェクト ルールの
GID (ジェネレータ ID)は 3 です。
その他の侵入ポリシーによって使用されることをユーザーが許可した
侵入ポリシー
レイヤ 共有レイヤを使用するポリシーは、共有レイヤの
侵入ルールおよび
詳細設定への変更によって、それらの変更がコミットされたときに更新されます。共有レイヤは、その共有を許可するポリシーでのみ変更できます。共有レイヤを使用するポリシーでは共有レイヤは読み取り専用になります。
クライアント アプリケーションとも呼ばれる、
ホストで実行され、一部の操作を別のホスト(
サーバ)に頼って実行する
アプリケーション。たとえば、電子メール クライアントは、電子メールの送受信を実行できます。あるホスト上のユーザが別のホストにアクセスするために特定のクライアントを使用していることをシステムが検出すると、クライアントの名前とバージョン(該当する場合)などを含めてその情報を
ホスト プロファイルと
ネットワーク マップでレポートします。
クライアントを参照してください。
Collective Security Intelligence クラウドを参照してください。
2 つの シリーズ 3 のピア
デバイスまたはピア
スタック間でネットワーキング機能と設定データの冗長性を実現する機能。クラスタリングは、
ポリシーの適用、システムの更新、および登録のための、 1 つの論理システムを提供します。冗長
ヘルス イベントの設定を可能にする
ハイ アベイラビリティと比較してください。
SHA-256 ハッシュ値によって表されるファイルのリスト。システムはこのリストにあるファイルを検出した場合、
Collective Security Intelligence クラウドでのそのファイルの
処理が [Malware] であっても、そのファイルをクリーンとして見なして
マルウェア クラウド ルックアップを実行しません。
すべての
アクセス コントロール ポリシーの
セキュリティ インテリジェンス ブラックリストにデフォルトで含められる
セキュリティ インテリジェンス オブジェクト。グローバル ブラックリストは、すべての
セキュリティ ゾーンに適用されます。
ダッシュボード、
Context Explorer、および多くの
イベント ビューア ページの IP アドレスのコンテキスト メニューを使用して、個々の IP アドレスをグローバル ブラックリストに追加できます。
すべての
アクセス コントロール ポリシーの
セキュリティ インテリジェンス ホワイトリストにデフォルトで含められる
セキュリティ インテリジェンス オブジェクト。グローバル ホワイトリストは、すべての
セキュリティ ゾーンに適用されます。
ダッシュボード、
Context Explorer、および多くの
イベント ビューア ページの IP アドレスのコンテキスト メニューを使用して、個々の IP アドレスをグローバル ホワイトリストに追加できます。
特定のネットワーク資産に対して、システムが最も正しいと見なすオペレーティング システムまたは
サーバの ID。システムは多くの方法でこのデータを使用します。たとえば、統計の計算、
脆弱性情報の割り当て、攻撃の影響の評価、および
相関ルールの評価のために使用します。
システムが
ホストと関連付けるユーザ。ユーザが
アクセス制御ユーザである場合、システムはそのホストとの間のトラフィックに対して
ユーザ制御を実行できます。ホストに関連付けられたアクセス制御ユーザがいない場合は、
非アクセス制御ユーザがホストの現在のユーザとなることができます。ただし、アクセス制御ユーザがホストにログインした後は、別のアクセス制御ユーザがログインした場合のみ、現在のユーザが変更されます。
略称は AMP。FireSIGHT システムのネットワークベースの
マルウェア検出と
マルウェア ブロッキングの機能。この機能を
FireAMP (
FireAMP サブスクリプションを必要とするシスコのエンドポイントベースの AMP ツール)と比較してください。
シリーズ 3 および仮想
デバイス上の制限されたテキストベースのインターフェイス。CLI ユーザが実行できるコマンドは、ユーザに割り当てられたアクセス レベルによって異なります。
Web インターフェイスの多くのページで使用可能なポップアップ メニュー。FireSIGHT システムのその他の機能にアクセスするためのショートカットとして使用できます。メニューの内容は、表示しているページ、調べている特定のデータ、
ユーザ ロールなどの複数の要因によって異なります。コンテキスト メニュー オプションには、
侵入ルール、
イベント、ホスト情報へのリンク、さまざまな侵入ルール 設定、
Context Explorer へのクイック リンク、ホストを
セキュリティ インテリジェンスの
グローバル ブラックリストまたは
グローバル ホワイトリストに追加するオプション(IP アドレスで指定)、およびファイルを
グローバル ホワイトリストに追加するオプション(
SHA-256 ハッシュ値で指定)が含まれます。
相関ルールと同様、ネットワーク トラフィックが
相関ポリシーに違反していると見なされる場合に満しているべき基準を指定する方法の 1 つ。どのオペレーティング システム、
アプリケーション、およびプロトコルが特定のサブネットの
ホスト上で実行できるかを指定するコンプライアンス ホワイトリストは、
ヘルス イベントを使用して設定できます。ホワイトリストに違反した場合に、
アラートや
修復のような応答を起動するように防御センターを設定することもできます。コンプライアンス ホワイトリストは他のタイプの
しきい値とは関連付けられないことに注意してください。
ホワイトリスト イベントを参照してください。
ホワイトリスト違反を参照してください。
サードパーティから取得された脆弱性データ。組織でスクリプトを作成するか、またはコマンドライン インポート ファイルを作成して、サードパーティ
アプリケーションから
ネットワーク マップ データを
インポートできる場合、システムの脆弱性データを補強するために、
ホスト入力機能を使用してサードパーティの
脆弱性データをインポートすることができます。
サーバを識別するうえで役立つ追加情報を提供する
サーバに関して検出された最初のパケットの最初の 256 バイト。システムは、初めてサーバが検出されたときに、一度だけサーバ バナーを収集します。
認証局によって発行される暗号化された証明書。サーバ ID の変更できない証明書を提供します。任意の認証局に証明書を要求し、そのカスタム証明書をアプライアンスにアップロードできます。
IP 最適化
プリプロセッサ(
侵入検知と防御のコンポーネント)により、ターゲット
ホストのオペレーティング システムに基づいて、フラグメント化された IP パケットを再構成する方法を示すポリシー。
適応型プロファイルは適応型最適化ポリシーを使用することに注意してください。
同じホスト上の別のサーバによって呼び出される
サーバ。
シスコ VRT によってレピュテーションが低いと判定される IP アドレスの定期的に更新されるリストの集合。フィードの各リストは、特定のカテゴリ(オープン リレー、既知の攻撃者、偽の IP アドレス(bogon)など)を表します。
アクセス コントロール ポリシーでは、
セキュリティ インテリジェンスを使用して、すべてまたはいずれかのカテゴリを
ブラックリストに登録できます。インテリジェンス フィードは定期的に更新されるため、このフィードを使用することによって、システムで最新の情報を使用してネットワーク トラフィックをフィルタリングすることができます。
メール中継ホスト設定や時刻同期設定のような、展開内の複数の
アプライアンスで同じになる可能性のある設定。システム ポリシーは、
ヘルス イベントを使用して、防御センター自体または管理対象
デバイスに
適用します。
システムに対する潜在的な攻撃を軽減するアクション。修復を設定し、
相関ポリシー内でそれらを
相関ルールおよび
コンプライアンス ホワイトリストと関連付けることにより、それらがトリガーとして使用されるときに、
ヘルス イベントによって修復が起動されるようにすることができます。これは、ユーザがすぐに対応できないときに攻撃を自動的に緩和するだけでなく、システムが組織の
セキュリティ ポリシーに準拠し続けるようにします。防御センターは、事前定義された
修復モジュールとともに出荷されます。柔軟性のある API を使用して、カスタム修復を作成することもできます。
修復モジュールの一連の設定。モジュールごとに複数のインスタンスを設定できます。たとえば、異なる相関ポリシーの違反に対し、同一のモジュールの、設定の違う異なるインスタンスを使用して対応することができます。修復インスタンスがトリガーとして使用されると、その結果実行されるアクションを
修復と呼びます。
修復インスタンスと呼ばれる一連の設定を使用して
修復を起動するプログラム。FireSIGHT システムは、さまざまなアクションを実行するいくつかの修復モジュールとともに出荷されます。柔軟性のある API を使用して、独自の修復を作成することもできます。
アプライアンスのユーザ証明書を発行した
認証局によって取り消された証明書のリスト。これによって、クライアント ブラウザの証明書チェックを使用して FireSIGHT システム Web インターフェイスへのアクセスを制限することができます。失効した証明書として CRL にリストされている証明書をユーザが選択した場合、ブラウザは Web インターフェイスをロードできません。
マルウェア処理を参照してください。
シスコ
アプライアンス モデルの 2 番目のシリーズ。リソース、アーキテクチャ、およびライセンス制限のため、シリーズ 2 アプライアンスは、限定された一連の FireSIGHT システムの機能をサポートします。シリーズ 2 デバイスには、3D500、 3D1000、 3D2000、 3D2100、 3D2500、 3D3500、 3D4500、 3D6500 および 3D9900 が含まれます。シリーズ 2
ヘルス イベントには、DC500、DC 1000、および DC3000 が含まれます。
シスコ
アプライアンス モデルの 3 番目のシリーズ。シリーズ 3 アプライアンスには、
7000 シリーズおよび
8000 シリーズの
デバイスと、DC750、 DC1500、および DC3500 の
ヘルス イベントが含まれます。
FireSIGHT システム データ コリレータおよび
FireAMP エンドポイント データ分析により、セキュリティ侵害を示している可能性のあるイベントとモニタ対象ネットワークのホストが関連付けられる機能。
ネットワーク検出ポリシーで設定されます。侵害を受けた可能性のあるホストには、そのステータスを示すタグが付けられます。このタグは、
ホスト プロファイルや関連するイベント ビューで表示されます。略称は IOC です。
セキュリティ ポリシー違反についてのネットワーク トラフィックのモニタリング、および
インライン展開で悪質なトラフィックをブロックまたは変更する機能。FireSIGHT システムでは、侵入ポリシーをアクセス コントロール ルールまたはデフォルト アクションと関連付けているときに、侵入検知と防御が実行されます。
侵入および
セキュリティ ポリシー違反についてネットワーク トラフィックを検査するために設定できる各種のコンポーネント。これらのコンポーネントには、プロトコル 見出し値、ペイロードの内容、および特定のパケット サイズの特性を検査する
侵入ルール、侵入ルールで一般的に使用される
変数、
FireSIGHT 推奨ルール設定、
プリプロセッサやその他の検出およびパフォーマンスの機能などの
詳細設定、および関連するプリプロセッサ オプションのイベントを生成することを可能にする
プリプロセッサ ルールが含まれます。ネットワーク トラフィックが
アクセス コントロール ルールの条件を満たす場合、侵入ポリシーでそのトラフィックを検査することができます。また、侵入ポリシーと
デフォルト アクションを関連付けることもできます。
モニタ対象のネットワーク トラフィックに適用される場合に、潜在的な
侵入、
セキュリティ ポリシー違反、およびセキュリティ違反を識別する一連のキーワードおよび引数。システムはルールの条件とパケットを比較します。パケット データが条件に一致した場合、ルールがトリガーとして使用され、
侵入イベントが生成されます。侵入ルールには、
廃棄ルールと
パス ルールが含まれます。
任意のイベント ビューにおける
イベントの時間的制約。それぞれのイベント ビューには、ユーザ設定に応じた異なるデフォルトの時間枠がある場合があります。すべてのイベント ビューが時間で制約されるわけではないことに注意してください。
インターフェイスを通過するパケットを処理する時間を制限し、時間が超過したときにパケットが処理をバイパスすることを可能にする高度な
デバイス設定。シスコは、非実稼働環境での
インライン展開に、この機能を使用することを推奨します。
デバイスまたはスタックのいずれかに障害が発生した場合に、ピアがトラフィック フローを中断することなく引き継ぐことができるようにするために、クラスタ化された
デバイスまたは
スタックを同期できる機能。状態共有は、厳密な TCP の適用、単方向の
アクセス コントロール ルール、ブロックの持続性、および動的
NAT が適切にフェールオーバーすることを保証します。
スイッチ
マルチポート ブリッジとして機能する
ネットワーク デバイス。
ネットワーク検出を使用することで、システムはスイッチをブリッジとして識別します。また、管理対象
デバイスを、2 つ以上のネットワークの間でパケット スイッチングを実行する
仮想スイッチとして設定できます。
レイヤ 2 展開でトラフィックをスイッチするために使用するインターフェイス。タグなし
VLAN トラフィックを処理するための物理スイッチド インターフェイスと、VLAN タグが指定されたトラフィックを処理するための論理スイッチド インターフェイスを設定できます。
スタック構成で 2 ~ 4 台の物理
デバイスを接続することによって、ネットワーク セグメントで検査されるトラフィックの量を増加させることができる機能。スタック構成を確立したら、スタックされた各デバイスのリソースを単一の共有設定に統合します。
検出リソースを共有する、2 ~ 4 台の接続された
デバイス。
相関ルールがトリガーとして使用された後に、
ヘルス イベントがそのルールのトリガーを停止する間隔(秒、分、時間単位で指定される)。そのルールが再度違反されても、この期間内はトリガーしません。スヌーズ期間が終了したら、ルールを再びトリガーできるようになります(そしてトリガーとして使用された時点から新しいスヌーズ期間が開始します)。
非アクティブな期間も参照してください。
送信元または宛先の IP アドレスに基づいて、
アクセス コントロール ポリシーごとに、ネットワークを通過できるトラフィックを指定できる機能。これは、トラフィックが
アクセス コントロール ルールによって分析される前に、特定の IP アドレスをブラックリストに登録する(この IP アドレスを宛先または送信元するトラフィックを拒否する)場合に特に便利です。オプションで、セキュリティ インテリジェンス フィルタリングのために、
モニタを使用することができます。これにより、ブラックリストに登録された接続を分析すると同時に、ブラックリストに一致する対象をログに記録することができます。
1 つ以上の IP アドレスを表す単一の設定。これは、
アクセス コントロール ポリシーの
セキュリティ インテリジェンス ブラックリストおよび
セキュリティ インテリジェンス ホワイトリストに追加します。セキュリティ インテリジェンス オブジェクトには、
セキュリティ インテリジェンス リスト、
セキュリティ インテリジェンス フィード、および
ネットワーク オブジェクトとグループが含まれます。
グローバル ブラックリスト、
グローバル ホワイトリスト、および
シスコ インテリジェンス フィードのカテゴリは、セキュリティ インテリジェンス オブジェクトと見なされます。
セキュリティ インテリジェンス オブジェクトの種類の 1 つ。ユーザが設定する間隔で、システムが定期的にダウンロードする IP アドレスの動的なコレクション。フィードは定期的に更新されるため、これらのフィードを使用するなら、システムは
セキュリティ インテリジェンス機能を使用して最新の情報でネットワーク トラフィックをフィルタリングすることになります。
シスコ インテリジェンス フィードも参照してください。
アクセス コントロール ポリシーで、トラフィックが
アクセス コントロール ルールによって分析される前に、対象のホストとの間のトラフィックを拒否することを可能にする IP アドレスのリスト。ブラックリストは、
グローバル ブラックリストで構成されます。これには、
セキュリティ インテリジェンス オブジェクトも含まれます。アクセス コントロール ポリシーの
セキュリティ インテリジェンス ホワイトリストは、ブラックリストよりも優先されます。
アクセス コントロール ポリシーで、
アクセス コントロール ルールを使用するホストとの間のトラフィックがポリシーによって検査されるように強制する(つまり、
セキュリティ インテリジェンスを使用してトラフィックを拒否しないようにする)ための IP アドレスのリスト。ポリシーのホワイトリストは
セキュリティ インテリジェンス ブラックリストよりも優先されるため、ブラックリストをきめ細かく調整するために使用できます。ホワイトリストは、
グローバル ホワイトリストで構成されます。これには、
セキュリティ インテリジェンス オブジェクトも含まれます。
ユーザが
セキュリティ インテリジェンス オブジェクトとして防御センターに手動でアップロードする IP アドレスのシンプルで静的なコレクション。
セキュリティ インテリジェンス フィード、
グローバル ブラックリスト、および
グローバル ホワイトリストを補強してきめ細かく調整するために、このリストを使用します。
さまざまなポリシーおよび設定でトラフィック フローを管理および分類するために使用できる 1 つ以上のインライン、パッシブ、スイッチド、または
ルーテッド インターフェイスのグループ。単一ゾーンのインターフェイスは、複数
デバイスのにまたがる場合があります。単一のデバイスに対して複数のセキュリティ ゾーンを設定することもできます。各インターフェイスでトラフィックを処理するには、まずそのインターフェイスを 1 つのセキュリティ ゾーンに割り当てる必要があります。また、個々のインターフェイスは 1 つのセキュリティ ゾーンにしか所属できません。
ネットワークを保護するための組織のガイドライン。たとえば、
セキュリティ ポリシーでは、ワイヤレス アクセス ポイントの使用が禁止されることがあります。セキュリティ ポリシーには、従業員に組織のシステムの使用方法に関するガイドラインを示す利用規定(AUP)が含まれる場合もあります。
2 つの
ホスト間のモニタ対象セッション。
アクセス コントロール ポリシーの管理対象
デバイスによって検出された接続をログに記録できます。
ネットワーク検出ポリシーで
NetFlow 接続のロギングを設定します。
システムがモニタ対象
ホストとその他のホストの間で
接続を検出したときに生成される
イベント。接続イベントには、検出されたトラフィックに関する情報が含まれます。管理対象
デバイスによって検出された接続の場合、
アクセス コントロール ルール アクション、
デフォルト アクション、または
セキュリティ インテリジェンスの決定に応じて、接続の開始時または終了時、あるいはその両方で、接続イベントをログに記録できます。これらの接続は、
ヘルス イベント データベースに記録できます。ルールまたはデフォルト アクションに応じて、接続イベントを Syslog または SNMP トラップ サーバにも記録できます。
NetFlow 接続は、接続の終わりに記録され、常にデータベースに保存されます。
グラフ形式で
接続イベントを表示する方法。
5 分間隔で集約される接続データ。システムは、接続サマリを使用して、
接続グラフや
トラフィック プロファイルを作成します。複数の
接続が集約されるためには、それらが接続の終了を表し、同じ送信元と宛先の IP アドレスを使用し、応答側(宛先)
ホストで同じポートを使用している必要があります。それらは同じプロトコル(TCP または UDP)と
アプリケーション プロトコルを使用している必要があります。また、同じシスコの管理対象
デバイスによって検出されるか、同じ
NetFlow 対応デバイスによってエクスポートされる必要があります。
相関ルールの最初の基準が満たされた後に、システムが特定の
接続を追跡し始めるようにするために、
相関ルールを制約する 1 つ以上の条件。追跡された接続が追加基準を満たす場合のみ、ルールがトリガーとして使用されます。
接続イベントを参照してください。
ホストに被害を及ぼす可能性がある、特定のセキュリティ侵害の説明。
ヘルス イベントは、ホストの
ホスト プロファイルでそれぞれのホストに影響する脆弱性に関する情報を提供します。また、脆弱性の
ネットワーク マップを使用して、モニタ対象ネットワーク全体でシステムが検出した脆弱性の全体像を得ることができます。特定のセキュリティ侵害に対して
ホストが脆弱ではなくなったと判断した場合、特定の脆弱性を非アクティブにするか、無効としてマークすることができます。
特定の
脆弱性に関連付けられた ID 番号。シスコの
脆弱性データベースおよび
サードパーティの脆弱性データベース(Bugtraq や CVE など)では、異なる脆弱性 ID の番号付け方式が使用されています。
ホストに被害を及ぼす可能性のある既知の脆弱性のデータベース。VDB とも呼ばれます。ユーザが特定のホストでネットワークのセキュリティ侵害のリスクが大きくなっているかどうかを判断できるように、システムは各ホストで検出されたオペレーティング システム、
アプリケーション プロトコル、および
クライアントを VDB に関連付けます。VDB アップデートには、新規の脆弱性と更新された脆弱性、および新規
アプリケーション ディテクタと更新されたアプリケーション ディテクタが含まれることがあります。
ネットワークの脅威にリアルタイムで対応する
相関ポリシーを構築するために使用できる機能。相関の
修復コンポーネントは、
ポリシー 違反に対応する独自のカスタム修復モジュールを作成してアップロードすることを可能にする柔軟な API を提供します。
相関ルールがトリガーとして使用されると、
ヘルス イベントよって生成される
イベント。
ホワイトリスト イベント(
ホワイトリスト違反より生成される)は、特殊な相関イベントであることに注意してください。
相関ルールおよび
コンプライアンス ホワイトリストを使用して、
セキュリティ ポリシー違反に相当するネットワーク アクティビティを表すポリシー。ポリシー内の各ルールまたはホワイトリストへの
応答を指定できます。
コンプライアンス ホワイトリストと同様、ネットワーク トラフィックが
相関ポリシーに違反していると見なされる場合に満たしているべき基準を指定する方法の 1 つ。
ヘルス イベントを使用して、特定の
侵入イベント、
マルウェア イベント、
ディスカバリ イベント、
ホスト入力イベント、または
接続イベントが発生したとき、またはネットワーク トラフィックが
トラフィック プロファイルが示す通常のネットワーク トラフィック パターンから逸脱しているときにトリガーとして使用され(て
相関イベントを生成す)る相関ルールを設定することもできます。
ホスト プロファイル条件、
接続トラッカー、
スヌーズ期間、および
非アクティブな期間で相関ルールを制約することもできます。相関ルールがトリガーした場合に、
アラートや
修復のような応答を起動するように防御センターを設定することもできます。
セキュリティ ゾーンを参照してください。
ポリシー ターゲットを参照してください。
アプリケーション タグを参照してください。
アプライアンスが実行する必要のあるジョブのキュー。
ポリシーを
適用し、ソフトウェア アップデートをインストールし、その他の長時間実行ジョブを実行すると、ジョブはキューに入れられ、それらの状態が [Task Status] ページに示されます。[Task Status] ページには、ジョブの詳細リストが提供され、10 秒ごとに更新されて状態が更新されます。
3D9900 および シリーズ 3 のデバイスで使用可能な高度な
インライン セットのオプション。これを使用する場合は、各パケットのコピーが分析され、ネットワーク トラフィック フローは
デバイスを通過しないので、影響を受けません。パケット自体ではなくパケットのコピーを処理するため、トラフィックをドロップ、変更、またはブロックするように、アクセス制御および侵入ポリシーを設定した場合でも、デバイスはパケット ストリームに影響を与えることはありません。
現在のシステム ステータスを一目で理解できるビューを提供するディスプレイ。これには、システムによって収集され、生成される
イベントに関するデータが含まれます。システムによって提供されるダッシュボードを補強するために、選択した
ダッシュボード ウィジェットを組み込んだ複数のカスタム ダッシュボードを作成できます。モニタ対象のネットワークの状態と機能を、幅広の簡潔かつカラフルな図で示す
Context Explorer と比較してください。
FireSIGHT システムの側面に対する洞察を与える、小さな独立した
ダッシュボードのコンポーネント。
イベント情報を表示する
ワークフロー ページの 1 つの種類。データベース テーブルの各フィールドに対して 1 列があります。イベント分析を実行する際は、関心のあるイベントに関する詳細を表示するテーブル ビューに移動する前に、
ドリルダウン ページを使用して、調査するイベントを制約できます。多くの場合、テーブル ビューは、システムによって提供されるワークフローの最後から 2 番目のページになります。
ディスカバリ データを使用して、パケットのターゲット
ホストのオペレーティング システムを判別する
侵入ポリシー プロファイル。侵入ポリシー内のプロファイルは、自動的に適応し、
プリプロセッサに IP パケットを最適化させて、ストリームをターゲット ホストのオペレーティング システムと同じ方法で再構築させるか、または、
Snort によって宛先ホストで使用されているのと同じ形式でデータが分析されるようにします。
ポリシーまたはその
ポリシーに対する変更を有効にするアクション。ほとんどのポリシーは、
ヘルス イベントから管理対象
デバイスに適用します。ただし、
相関ポリシーは管理対象デバイスの設定への変更に関与しないため、このポリシーはアクティブにしたり非アクティブにしたりします。
サードパーティのクライアントによる
ヘルス イベント データベースへの読み取り専用アクセスを許可する機能。
管理対象
デバイスを使用してネットワークをモニタし、ネットワークの完全で永続的なビューを提供する、FireSIGHT システムのコンポーネント。ネットワーク検出は、ネットワーク上の
ホスト(
ネットワーク デバイスと
モバイル デバイスを含む)の数と種類、およびそれらのホストのオペレーティング システム、アクティブな
アプリケーション、オープン ポートを判別します。ネットワーク上の
ユーザ アクティビティを監視するようにシスコの管理対象デバイスを設定することもできます。これにより、ポリシー違反、攻撃、またはネットワークの脆弱性の源を識別できます。
新しい資産または既存の資産に対する変更の
ディスカバリの詳細を示す
イベント。
ホスト入力イベントは、特別な種類のディスカバリ イベントです。シスコでは、
ディスカバリ データや
脆弱性の情報全般に言及する際に、この「ディスカバリ イベント」という用語を使用することがあります。
ネットワーク検出ポリシーを参照してください。
ネットワーク検出ポリシー内で、モニタするネットワークと
ゾーン、それらをモニタするために使用する
デバイス(
NetFlow 対応デバイスを含む)、およびモニタ対象から除外するポートを指定します。各ルールは、モニタ対象ネットワークで
ホスト、
ユーザ、または
アプリケーションを検出するかどうかも指定します。
スループットの範囲で使用可能な、フォールトトレラントな特定用途向けの
アプライアンス。デバイス上で有効にするライセンス機能に応じ、これらを使用してパッシブにトラフィックをモニタすることにより、ネットワーク資産、
アプリケーション トラフィック、および
ユーザ アクティビティの包括的なマップを作成したり、
侵入検知と防御を実行したり、
アクセス制御を実行したり、スイッチングとルーティングを設定したりすることができます。
ヘルス イベントを使用してデバイスを管理する必要があります。
クラスタリングを参照してください。
スタッキングを参照してください。
アクセス コントロール ポリシーの一部として、ポリシー内のどのルールの条件も満たさないトラフィックの処理方法を決定します。
アクセス コントロール ルールや
セキュリティ インテリジェンスの設定が含まれていないアクセス コントロール ポリシーを
適用する場合は、デフォルト ポリシー アクションによって、ネットワークの高速パス以外のトラフィックがどのように処理されるかが決まります。デフォルト アクションを設定することにより、それ以降のインスペクションを行わずにトラフィックをブロックまたは信頼したり、または
ネットワーク検出ポリシーや
侵入ポリシーでトラフィックを検査したりすることができます。
ユーザが指定した期間にログに記録される
接続 データに基づいた、ネットワーク上のトラフィックのプロファイル。モニタ対象ネットワーク セグメントのすべてのトラフィックを使用してプロファイルを作成することも、より対象を絞ってプロファイルを作成することもできます。次に、
相関機能を使用し、既存のプロファイルに照らして新しいトラフィックを評価することによって、異常なネットワーク トラフィックを検出することができます。
デバイスが「Bump In The Wire」として機能できるようにする、またデバイスが認識するすべてのネットワーク トラフィックを、その送信元および送信先に関係なく、転送できるようにする、高度な
インライン セットのオプション。
マルウェア分析のために、
デバイスから
Collective Security Intelligence クラウドに
キャプチャされたファイルを送信する方法。クラウドはテスト環境でファイルを実行し、
脅威スコアと
動的分析サマリ レポートを
ヘルス イベントに返します。動的分析サマリ レポートから、
VRT の分析レポートも表示できます。
Collective Security Intelligence クラウドが
脅威スコアをファイルに割り当てた理由(
動的分析時に発見されたすべての脅威、およびファイルをテスト環境で実行したときに検出された追加のプロセスを含む)のサマリ。ここから、
VRT の分析レポートを表示することもできます。
ルールに一致するトラフィックで検出されたレートの異常に応答して一定期間設定される侵入
ルール状態。
アプライアンス上のローカル データベースにユーザ クレデンシャルを保存する認証方式。ユーザ がアプライアンスにログインする際に、ユーザ名およびパスワードが、データベース内の情報と照合されます。
外部認証と比較してください。
2 つのいずれか理由で、外部認証サーバに接続することを可能にする設定の集合。認証オブジェクトの 1 つ目の種類は、FireSIGHT システムの Web インターフェイスへの
外部認証(RADIUS または LDAP)を可能にします。もう 1 つの種類は、
アクセス コントロール ルールで使用できる LDAP ユーザまたはグループを指定し、ネットワーク トラフィックあるいは
ユーザ エージェントで検出されたアクティビティを実行した特定のユーザのメタデータを取得することを可能にします。
1 つ以上の IP アドレス、CIDR ブロック、またはプレフィクス長を表す再利用可能な
オブジェクト。
ホストがネットワークでファイルを転送する際のファイル パスの視覚表現。
SHA-256 ハッシュ値に関連付けられたファイルの場合、伝搬経路マップには、ファイルを転送したすべてのホストの IP アドレス、ファイルが検出された時間、ファイルの
マルウェア処理、関連する
ファイル イベント、
マルウェア イベントなどが表示されます。
ネットワークの詳細な表現。ネットワーク マップによって、ネットワークで実行する
ホスト、
モバイル デバイス、および
ネットワーク デバイス、またそれらに関連する
ホスト属性、
アプリケーション プロトコル、および脆弱性の観点からネットワーク トポロジを表示することができます。
ディスカバリを参照してください。
特定のネットワーク セグメント(
NetFlow 対応デバイスよってモニタされるネットワークを含む)に関してシステムが収集する
ディスカバリ データの種類(
ホスト、ユーザー、
アプリケーション データなど)を指定する
ポリシー。ネットワーク検出ポリシーは、
ID の競合の解決設定、
アクティブ検出のソースの優先度、および
侵害の痕跡も管理します。
デバイスのグループを管理するために、冗長物理
ヘルス イベントを設定することができる機能。管理対象デバイスから両方の防御センターへのイベント データ ストリームとほとんどの設定要素は、両方の防御センターで維持されます。プライマリ防御センターに障害が発生した場合は、セカンダリ防御センターを使用して中断なくネットワークをモニタできます。冗長デバイスを指定できる
クラスタリングと比較してください。
ルール状態が [Drop and Generate Events] に設定された
侵入ルール。悪質なパケットによって
インライン展開のルールがトリガーとして使用された場合、ユーザが
適用した
侵入ポリシーが [Drop When Inline] に設定されていれば、システムはそのパケットをドロップし、
侵入イベント(具体的には、
ドロップ イベント)を生成します。
システムにより、パッシブに収集された
ホストのフィンガープリントから作成されるオペレーティング システムの
フィンガープリント。収集された各フィンガープリントの信頼値と ID 間の裏付けとなるフィンガープリント データの量を使用して最も可能性の高い ID を計算する式を適用することにより作成されます。
サーバ バナーを参照してください。
侵入ルールをトリガーしたパケット、または
侵入イベントを生成した
プリプロセッサに関する詳細情報を提供する、
ワークフロー ページの 1 つの種類。パケット ビューは、侵入イベントに基づく
ワークフローの最後のページです。
トリガーとして使用されたときに、
侵入イベントを生成
せず 、またルールをトリガーしたパケットの詳細を記録
しない
侵入ルール。侵入ルールを無効にする代わりに、パス ルールを使用することによって、特定の状況で特定の基準を満たすパケットがイベントを生成しないようにできます。
廃棄ルールと比較してください。
パッシブ展開でトラフィックを分析するように設定された
センシング インターフェイス。
ユーザ エージェントまたは管理対象
デバイスのいずれかによって検出された、
アクセス制御には使用されないユーザ。非アクセス制御ユーザは、ホストにログインしている
アクセス制御ユーザがいない場合のみ、その
ホストの
現在のユーザになることができます。
ルール エディタで使用可能な ID、キーワード、および引数に基づいて作成された
侵入ルール。独自のカスタム 標準テキスト ルールを作成したり、シスコが提供する標準テキスト ルールを変更したりできます。標準テキスト ルールの
GID (ジェネレータ ID)は 1 です。
アプリケーションが、娯楽目的ではなく、組織の事業運営のコンテキスト内でが使用される可能性。アプリケーションのビジネスとの関連性は、Very Low から Very High までの範囲です。
グラフィック、実行可能ファイル、アーカイブなど、
ファイル タイプの一般的な分類。
キャプチャされたファイルを参照してください。
保存済みファイルを参照してください。
ファイル制御および
高度なマルウェア対策を実行するためにシステムによって使用される
ポリシー。
ファイル ルールが組み込まれたファイル ポリシーは、
アクセス コントロール ポリシー内の
アクセス コントロール ルールによって呼び出されます。
ネットワーク トラフィックを調べるために、FireSIGHT システムが使用する
ファイル ポリシー内の一連の基準。送信されたファイルがルールの基準と一致した場合、ルールがトリガーとして使用され、
ファイル イベントが生成されます。ルールの
ファイル ルール アクションによって、(
ファイル タイプまたは
マルウェア処理に基づいて)ファイルをブロックするか、単純にファイルを通過させてログに送信の記録をするかが決定されます。
システムが
ファイル ルールの条件を満たすファイルをどのように処理するかを決定する設定。特定の
ファイル タイプを検出してそれについてのアラートを出すことや、それらのファイルの送信をブロックすることができます。これらのファイル タイプのサブセットで
マルウェア クラウド ルックアップを実行することも、
マルウェア処理に基づいてこれらのファイルの送信をブロックすることもできます。
マルウェア処理を参照してください。
ネットワークを通過できるファイル タイプを指定したり、ログに記録したりすることができる、
アクセス制御の一環を成す機能。
ネットワーク ファイルの伝搬経路を参照してください。
セキュリティ インテリジェンス フィードを参照してください。
ホストのオペレーティング システムを識別するために、システムが特定のパケット 見出し値やネットワーク トラフィックのその他の固有データと比較する確立された定義。システムがホストのオペレーティング システムを誤って識別したり、識別できなかったりする場合は、ホストを識別するカスタム フィンガープリントを作成できます。
特定のイベントのすべての条件を使用してイベントのクエリを制約する
イベント ビューまたはイベント検索の制約セット。
イベント分析の特定の場所と時間への保存されたリンク。ブックマークは、使用している
ワークフロー、表示しているワークフローの一部、表示しているワークフロー内のページ数、選択した
時間枠、無効にした列、および課した制約に関する情報を保持します。
NetMod の物理ポートを表すインターフェイス。
侵入ポリシーによって検査されたトラフィックを正規化する機能。この機能はまた、不適切な見出し オプションの識別、IP データグラムの最適化、TCP ステートフル インスペクションとストリーム リアセンブルの提供、およびチェックサムの検証によって、ネットワーク層プロトコルおよびトランスポート層プロトコルの異常を識別するのに役立ちます。プリプロセッサは、特定の種類のパケット データを、システムが分析できる形式に変換することもできます。これらのプリプロセッサは、データ正規化のプリプロセッサ、またはアプリケーション層プロトコル プリプロセッサと呼ばれます。アプリケーション層プロトコルのエンコードを正規化することによって、システムは、データの表し方が異なる複数のパケットに同一のコンテンツ関連侵入ルールを適用し、有意義な結果を得ることができます。プリプロセッサは、パケットがユーザが設定したプリプロセッサ オプションをトリガーとして使用するたびに、
プリプロセッサ イベントを生成します。
パケットが指定された
プリプロセッサ オプションをトリガーとして使用すると生成される
侵入イベントの 1 つの種類。プリプロセッサ イベントは、異常なプロトコルのエクスプロイトを検出するのに役立ちます。
プリプロセッサまたはポートスキャン フロー ディテクタと関連付けられた
侵入ルール。これらに
イベントを生成させる場合、プリプロセッサ ルールを有効にする必要があります。プリプロセッサ ルールには、プリプロセッサ固有の
GID (ジェネレータ ID)があります。
展開内のいずれかの
アプライアンスが
ヘルス モジュールで指定されたパフォーマンス基準を満たす(または満たしていない)ときに生成される
イベント。ヘルス イベントは、
アラートを生成することもできます。
展開内の
アプライアンスのヘルスを検査するときに使用される基準。ヘルス ポリシーは、
ヘルス モジュールを使用して、FireSIGHT システムのハードウェアおよびソフトウェアが正しく動作しているかどうかを示します。デフォルトのヘルス ポリシーを使用するか、独自のヘルス ポリシーを作成できます。
展開内の
アプライアンスの特定のパフォーマンスの側面(CPU 使用率や使用可能なディスク領域)のテスト。
ヘルス ポリシーでユーザが有効にするヘルス モジュールは、ユーザがモニタするパフォーマンスの側面が特定のレベルに達した場合に、
ヘルス イベントを生成します。
不要な
ヘルス イベントの生成を防止するためにヘルス モニタリングの側面を一時的に無効にする設定。
アプライアンスのグループ、単一アプライアンス、または特定の
ヘルス モジュールのモニタリングを無効にできます。
過去 24 時間に行われたシステム変更すべての詳細レポート。新しい設定が保存されるたびに作成されるスナップショットに基づきます。毎日指定した時間に、それらのレポートを電子メールで送信するようにシステムを設定できます。
侵入ルールで一般的に使用される値の表現。FireSIGHT システムは、事前定義された変数を使用して、ネットワークとポート番号を定義します。複数のルールでこれらの値をハードコーディングするのではなく、ルールを調整してネットワーク環境を正確に反映するようにするため、変数の値を変更できます。
ネットワーク トラフィックに厳密に一致するように、侵入ポリシーで有効にする
侵入ルールを調整する目的で、
アクセス コントロール ルールまたは
アクセス コントロール ポリシーの
デフォルト アクションに関連付けられた
侵入ポリシーにリンクできる
変数設定のコレクション。
ファイアウォールなどのデバイスによって他のネットワーク ユーザから保護された組織の内部ネットワーク。FireSIGHT システムによって提供される
侵入ルールの多くは、
変数を使用して保護されたネットワークと保護されていない(または外部)ネットワークを定義します。
ネットワークに接続され、一意の IP アドレスを持つデバイス。FireSIGHT システムでは、ホストは、
モバイル デバイス、ブリッジ、
ルータ、
NAT デバイス、または
ロード バランサとしては分類されない、識別されたホストを指します。
特定の検出された
ホストに関する収集された情報。これには、ホストの名前やオペレーティング システム、またホストで実行されているプロトコルや
アプリケーションなどの
ホストに関する一般情報が含まれます。ホスト プロファイルには、そのホストに関する
ユーザ履歴、
ホスト属性、
VLAN 情報、該当する
ホワイトリスト違反、検出された脆弱性、およびスキャン結果も含まれる場合があります。
トラフィック プロファイルまたは
相関ルールで設定される制約。相関ルール内のホスト プロファイル条件は、
ホストが特定の基準を満たす場合のみ、
ヘルス イベントが
相関イベントを生成することを指定します。トラフィック プロファイル内のホスト プロファイル条件は、プロファイルが作成されるホストを制限します。
システムで検出される
ホストに関する情報を提供し、ネットワーク環境で重要になる方法でそれらのホストを分類するために使用できるツール。システムには、2 種類の事前定義されたホスト属性(
ホストの重要度とメモ)と、それぞれのアクティブな
コンプライアンス ホワイトリストとの各ホストのコンプライアンスを示すホスト属性があります。独自のホスト属性を作成することもできます。
ネットワーク マップの情報を補強するために、スクリプトまたはコマンド ライン ファイルを使用して、サードパーティ ソースからデータを
インポートすることができる機能。Web インターフェイスは、いくつかのホスト入力機能を提供します。オペレーティング システムや
アプリケーション プロトコル ID の変更、脆弱性の有効化または無効化、ネットワーク マップからのさまざまな項目(
クライアントと
サーバのポートなど)の削除を実行できます。
ホスト入力機能を使用するときに生成される、
ディスカバリ イベントの一種。ホスト入力イベントとパッシブ ディスカバリ イベントは
相関ルールを作成するときには区別されますが、通常は、これらのイベントは同じように処理されます。
ユーザ アクティビティの過去 24 時間のグラフィカル表現。ユーザの
ユーザ詳細で表示できるホスト履歴には、棒グラフで表わされるおおよそのログインおよびログアウトの時間とともに、ユーザがログインした
ホストの IP アドレスが表示されます。
システムがアプリケーション プロトコルを肯定的にも否定的にも識別できないときに
アプリケーション プロトコル ID に与えられる設定。多くの場合、システムが保留中のアプリケーション プロトコルを識別するには、より多くのデータを収集して分析する必要があります。
修復で、ある種のアクションから IP アドレスを除外するために設定できる
コンプライアンス ホワイトリスト、
セキュリティ インテリジェンス ホワイトリスト、
HA リンク インターフェイス、または IP アドレスのリスト。
トランスポート層プロトコル(TCP、 UDP、ICMP など)を使用するオープン ポートを表す再利用可能な
オブジェクト。
設定を(ほとんどの場合は、
アプライアンスに)適用するためのメカニズム。
アクセス コントロール ポリシー、
相関ポリシー、
ファイル ポリシー、
ヘルス ポリシー、
侵入ポリシー、
ネットワーク検出ポリシー、および
システム ポリシーを参照してください。
シスコの
高度なマルウェア対策ソリューションのいずれかによって生成される
イベント。ネットワークベースのマルウェア イベントは、
Collective Security Intelligence クラウドがネットワーク トラフィックで検出されたファイルに対して
マルウェア処理を返すと、生成されます。
レトロスペクティブ マルウェア イベントは、その処理が変更されたときに生成されます。展開された
FireAMP コネクタ が脅威を検出したとき、マルウェア の実行をブロックしたとき、マルウェアを検疫したまたは検疫に失敗したときに生成される
エンドポイントベースのマルウェア イベントと比較してください。
ファイルの
SHA-256 ハッシュ値に基づいて、ネットワーク トラフィックで検出されたファイルの
マルウェア処理を決定するために、
ヘルス イベントが
Collective Security Intelligence クラウドと通信するプロセス。
シスコのネットワークベースの
高度なマルウェア対策(AMP)ソリューションのコンポーネント。
マルウェア検出の結果として、検出されたファイルに対してマルウェアの
処理が示された場合や、検出されたファイルが
カスタム検出リストにある場合に、ファイルをブロックしたり、ファイルのアップロードやダウンロードを許可したりできます。この機能を
FireAMP (
FireAMP サブスクリプションを必要とするシスコのエンドポイントベースの AMP ツール)と比較してください。
キャプチャされたファイルを保存すために特定の
デバイスにインストールできるシスコが提供するセカンダリ ソリッド ステート ドライブ。これにより、
イベントおよび設定ストレージのためにデバイスのプライマリ ハード ドライブに空き領域が確保されます。
シスコのネットワークベースの
高度なマルウェア対策(AMP)ソリューションのコンポーネント。全体的な
アクセス制御設定の一環で管理対象
デバイスに適用されたファイル ポリシーにより、ネットワーク トラフィックが検査されます。防御センターは、検出された特定の
ファイル タイプについての
マルウェア クラウド ルックアップを実行し、ファイルの
マルウェア処理についてアラートするイベントを生成します。続いて AMP
マルウェア ブロッキングが実行され、ファイルがブロックされるか、ファイルのアップロードまたはダウンロードが許可されます。この機能を
FireAMP (
FireAMP サブスクリプションを必要とするシスコのエンドポイントベースの AMP ツール)と比較してください。
ファイルにマルウェアが含まれているかどうかについての
Collective Security Intelligence クラウド による判定。判定はファイルの
SHA-256 ハッシュ値、
脅威スコア、およびファイルが
クリーン リストまたは
カスタム検出リストのいずれにあるかに基づいて行われます。
ファイルの
マルウェア処理および
脅威スコアを保存する防御センターのキャッシュ。パフォーマンスの向上のために、システムがすでに
SHA-256 ハッシュ値に基づいてファイルの処理または脅威スコアを認識している場合、防御センターは
マルウェア クラウド ルックアップを実行する代わりにキャッシュ情報を使用します。特定の期間が経過したら、キャッシュの情報がタイムアウトすることにより、キャッシュ データが古くならないようになっています。
高度なマルウェア対策を参照してください。
アクセス コントロール ポリシーで、
セキュリティ インテリジェンス ブラックリストまたは
アクセス コントロール ルールに一致するトラフィックをログに記録する方法。この方法では、トラフィックをすぐに許可したりブロックしたりせずに、システムに引き続きトラフィックの評価を続行させます。
FireSIGHT システムにおける、
ディスカバリ機能によってモバイルまたはハンドヘルド デバイスとして識別される
ホスト(携帯電話やタブレットなど)。多くの場合、システムは、モバイル デバイスがジェイルブレイクされているかどうかを検出できます。
ユーザを参照してください。
ユーザがネットワークにログインする際、またはその他の理由で Active Directory 資格情報に対して認証する際に、ユーザをモニタするために
サーバにインストールするエージェント。
アクセス制御ユーザによるアクティビティは、ユーザ エージェントによって報告される場合のみ、
アクセス制御に使用されます。
FireSIGHT システムのユーザに付与されたアクセス レベル。たとえば、
イベント アナリスト、FireSIGHT システムを管理する管理者、サードパーティ製ツールを使用して
ヘルス イベント データベースにアクセスするユーザなどのために、Web インターフェイスへの異なるアクセス権限を付与できます。また、特殊なアクセス権限を持つカスタム ロールを作成することもできます。
ユーザ ID および
ユーザ アクティビティ
ワークフローの最後のページ。ユーザの詳細には、ユーザに関する一般情報とともに、
ホスト履歴も表示されます。これは、ユーザ アクティビティの過去 24 時間のグラフィカル表現です。
FireSIGHT システム Web サーバに対してユーザのブラウザを識別する暗号化された証明書。サーバでユーザ ID のセカンダリ検証を実行できるようにします。証明書は、アプライアンスの
サーバ証明書を発行したのと同じ
認証局によって発行される必要があります。
ネットワークに出入りしたり、ネットワーク内部を横断したりできるユーザ関連トラフィックを指定したり、ログに記録したりすることができる、
アクセス制御の一環を成す機能。
ホストに関する
ユーザ アクティビティの過去 24 時間のグラフィカル表現。ホストの
ホスト プロファイルに表示されるユーザ履歴には、棒グラフで表されるおおよそのログインおよびログアウトの時間とともに、そのホストにログインしたことが検出されたユーザのユーザ名が表示されます。
イベント データをログに記録するため FireSIGHT システムが使用するするバイナリ ファイル形式。
イベント抑制を参照してください。
アプリケーション リスクを参照してください。
セキュリティ インテリジェンス リストを参照してください。
インライン セットのインターフェイスの 1 つが停止したときに、ペアの 2 番目のインターフェイスを自動的に停止させる、バイパス モードの
インライン セットのオプション。停止したインターフェイスが再び起動すると、もう一方のインターフェイスも自動的に起動します。つまり、ペアにされたインターフェイスのリンク ステートが変更されると、その状態と一致するように他方のインターフェイスのリンク ステートが自動的に変更されます。
ゲートウェイに配置され、ネットワーク間のパケットを転送する
ネットワーク デバイス。
ネットワーク検出を使用することで、システムはルータを識別できます。また、管理対象
デバイスを 2 つ以上のインターフェイス間のトラフィックをルーティングする
仮想ルータとして設定できます。
レイヤ 3 展開でトラフィックをルーティングするインターフェイス。タグなし
VLAN トラフィックを処理するための物理ルーテッド インターフェイスと、VLAN タグが指定されたトラフィックを処理するための論理ルーテッド インターフェイスを設定できます。また、静的なアドレス解決プロトコル(ARP)エントリをルーテッド インターフェイスに追加することもできます。
ネットワーク トラフィックを検査する際に照らし合わせる基準となる、通常
ポリシー内に存在する構成要素。
必要に応じた
侵入ルールの更新。新規および更新された
標準テキスト ルール、
共有オブジェクト ルール、およびプリプロセッサ ルールも含まれます。ルール更新では、ルールの削除、侵入ポリシーのデフォルト設定の変更、デフォルト変数やルール カテゴリの追加や削除が実行されることもあります。
侵入ポリシー内で
侵入ルールが有効([Generate Events] または [Drop and Generate Events] に設定されている)か、無効([Disable] に設定されている)かを示します。ルールを有効にすると、そのルールはネットワーク トラフィックを評価するために使用されます。ルールを無効にすると、そのルールは使用されません。
一致したトラフィック レートに基づいて、ルールの新しい
侵入ルール状態を設定する異常検出の形式。
侵入ポリシー内の
侵入ルール、
プリプロセッサ ルール、および
詳細設定からなる設定一式。
組み込み レイヤまたはポリシー内のレイヤにカスタム
ユーザ レイヤを追加できます。侵入ポリシーの上位レイヤの設定は、下位レイヤの設定をオーバーライドします。
以前に検出されたファイルの
マルウェア処理が変更されると生成されるネットワークベースの
マルウェア イベント。このイベントが発生すると、システムは、そのレトロスペクティブ イベントの
SHA-256 ハッシュ値を共有するファイルやマルウェアの処理も更新します。
イベント データの幅広いビューから、ユーザが関心のあるイベントだけが含まれた、より的が絞られたビューに移動することで、
イベントを表示および評価するためにユーザが使用できる一連のページ。ワークフローには、それぞれが固有の機能を実行する 3 種類のページ(
ドリルダウン ページ、
テーブル ビュー、および最終ページ)を含めることができます。ワークフローの種類に応じて、最後のページは、
テーブル ビュー、
非保留中(アプリケーション プロトコル)、
ホスト ビュー、
脆弱性の詳細、
ユーザ詳細のいずれかになることが考えられます。
フィードバック