侵入イベントの操作
FireSIGHT システムは、ホストとそのデータの可用性、整合性、および機密性に影響する可能性のあるトラフィックがないかどうか、ネットワークをモニタするのに役立ちます。主要なネットワーク セグメントに管理対象デバイスを配置すると、悪意のあるアクティビティを目的としてネットワークを通過するパケットを検査できます。このシステムには、攻撃者が開発したさまざまなエクスプロイトを検索するのに使用できるいくつかのメカニズムがあります。
システムは、潜在的な侵入を特定すると 侵入イベント を生成します。これは、エクスプロイトの日付、時間、タイプ、および攻撃元とそのターゲットに関するコンテキスト情報のデータです。パケットベースのイベントの場合、イベントをトリガーとして使用したパケットのコピーも記録されます。管理対象デバイスは、防御センターにイベントを送信します。ここで、集約データを確認し、ネットワーク アセットに対する攻撃を的確に把握できます。
管理対象デバイスをインライン型、スイッチ型、またはルート型の侵入システムとして展開することもできます。これにより、危険だと認識したパケットをドロップまたは置換するようデバイスを設定できます。
FireSIGHT システムは、ユーザが侵入イベントを確認し、ネットワーク環境とセキュリティ ポリシーのコンテキストでそのイベントが重要であるかどうかを評価するために必要なツールを提供します。これらのツールは次のとおりです。
• 管理対象デバイスでの現在のアクティビティの概要について説明するイベント要約ページ
• 選択した任意の期間に生成できるテキストベースおよびグラフィカルなレポート。独自のレポートを設計し、スケジュールされた間隔で実行されるよう設定することもできます
• 攻撃に関連したイベント データの収集に使用できるインシデント処理ツール。調査や応答のトラッキングに役立つ注記を追加することもできます
• SNMP、電子メール、および Syslog で設定できる自動アラート
• 特定の侵入イベントに対する応答や修復に使用できる自動化された相関ポリシー
• データをドリルダウンして、さらに調査したいイベントを特定するのに使用できる定義済みカスタム ワークフロー
詳細については、次の項を参照してください。
• 「侵入イベントの統計の表示」は [Intrusion Event Statistics] ページについて説明しています。このページでは、アプライアンスのヘルスの概要とネットワークに対する上位の脅威の要約について説明します。
• 「侵入イベントのパフォーマンスの表示」は、侵入イベントのパフォーマンス統計情報のグラフを生成する方法について説明します。
• 「侵入イベント グラフの表示」は、経時的にイベントのトレンドを示すグラフを生成する方法について説明します。
• 「侵入イベントの表示」は、Web インターフェイスを使用して侵入イベントを表示および調査する方法について説明します。
• 「侵入イベントのワークフロー ページについて」は、侵入イベント ワークフローで使用可能なさまざまなページと、それらを使用して侵入イベントを分析する方法について説明します。
• 「ドリルダウン ページとテーブル ビュー ページの使用」は、侵入イベント ワークフローでの 2 つのタイプのページの機能について説明します。
• 「パケット ビューの使用」は、侵入イベントのパケット ビューの使用方法について説明します。
• 「影響レベルを使用してイベントを評価する」は、影響レベルを使用して侵入イベントを評価する方法について説明します。
• 「侵入イベントの検索」は、検索機能を使用して侵入イベントのリストを特定の条件に制限する方法について説明します。
• 「クリップボードの使用」は、後でイベントをインシデントに追加できるように、クリップボードと呼ばれる保存エリアに侵入イベントを追加する方法について説明します。このセクションでは、クリップボードの内容に基づいてイベント レポートを生成する方法についても説明します。
次のセクションも参照してください。
• 「インシデント対応」は、インシデントの処理についての詳細と、インシデントを使用してイベント分析の進行状況をトラックする方法について説明します。
• 「侵入ルールの外部アラートの設定」は、自動アラートの詳細について説明します。
• 「レポートの操作」は、侵入イベントのレポートの詳細について説明します。
• 「地理情報の使用」は、侵入イベントの位置情報の詳細について説明します。
侵入イベントの統計の表示
ライセンス:Protection
[Intrusion Event Statistics] ページは、アプライアンスの現在の状態の概要と、ネットワークで生成されたすべての侵入イベントを表示します。
[Intrusion Event Statistics] ページには、次の 3 つのメイン エリアがあります。
• 「ホスト統計情報」は、[Host Statistics] セクションについて説明します。このセクションは、アプライアンスに関する情報、および、防御センターの場合はその管理対象デバイスに関する情報を表示します。
• 「イベントの概要」は、イベント データベース情報の概要を表示する [Event Overview] について説明します。
• 「イベント統計情報」は、上位 10 件のイベントなど、イベント データベースの情報の詳細を具体的に表示する [Event Statistics] について説明します。
このページの IP アドレス、ポート、プロトコル、イベント メッセージなどはそれぞれリンクになっています。関連イベントの情報を表示するには、任意のリンクをクリックします。たとえば、上位 10 個の宛先ポートのいずれかが 80(http)/tcp
である場合、そのリンクをクリックすると、デフォルトの侵入イベント ワークフローの最初のページが表示され、そのポートをターゲットとするイベントがリストされます。現在の時刻範囲で表示されるのはイベント(およびイベントを生成する管理対象デバイス)のみであることに注意してください。さらに、確認済みのマークを付けた侵入イベントは統計に引き続き表示されます。たとえば、現在の時刻範囲が過去 1 時間であり、最初のイベントが 5 時間前に生成された場合、[First Event] リンクをクリックすると、そのイベントは時刻範囲を変更するまでイベント ページには表示されません。
侵入イベントの統計情報を表示する方法:
アクセス:Admin/Intrusion Admin
ステップ 1 [Overview] > [Summary] > [Intrusion Event Statistics] を選択します。
[Intrusion Event Statistics] ページが表示されます。
ステップ 2 ページの上部にある 2 つの選択ボックスから、統計を表示するゾーンおよびデバイスを選択するか、[All Security Zones] および [All Devices] を選択して、侵入イベントを収集するすべてのデバイスの統計を表示します。
ステップ 3 [Get Statistics] をクリックします。
[Intrusion Event Statistics] ページは、選択したデバイスのデータに表示が更新されます。
ヒント カスタム時刻範囲からデータを表示するには、右上のページ エリアのリンクをクリックし、「イベント時間の制約の設定」にある指示に従います。
ステップ 4 [Intrusion Event Statistics] ページで表示される統計の詳細については、次のセクションを参照してください。
• 「ホスト統計情報」
• 「イベントの概要」
• 「イベント統計情報」
ホスト統計情報
ライセンス:Protection
[Intrusion Event Statistics] ページの [Host Statistics] セクションは、アプライアンス自体に関する情報を提供します。防御センターでは、このセクションはすべての管理対象デバイスに関する情報も提供します。
この情報には、次の内容が含まれます。
• [Time] は、アプライアンス上の現在の時刻を表示します。
• [Uptime] は、アプライアンス自体が再起動してから経過した日数、時間、および分数を示します。防御センターでは、[Uptime] に各管理対象デバイスの最終起動時刻、ログインしたユーザの数、および負荷平均も示されます。
• [Disk Usage] は使用中のディスクの割合を示します。
• [Memory Usage] は使用中のシステム メモリの割合を示します。
• [Load Average] は、過去 1 分間、5 分間、15 分間の CPU キュー内の平均プロセス数を示します。
イベントの概要
ライセンス:Protection
[Intrusion Event Statistics] ページの [Event Overview] セクションは、侵入イベント データベースにある情報の概要を示します。
これらの統計には、次が含まれています。
• [Events] は、侵入イベント データベース内のイベント数を示します。
• [Events in Time Range] は、現在選択されている時間範囲と、時間範囲内に収まるデータベースのイベントの割合を示します。
• [First Event] は、イベント データベース内の最初のイベントのイベント メッセージを示します。
• [Last Event] は、イベント データベース内の最後のイベントのイベント メッセージを示します。
注 防御センターでは、管理対象デバイスを選択した場合、そのデバイスの [Event Overview] セクションが代わりに表示されることに注意してください。
イベント統計情報
ライセンス:Protection
[Intrusion Event Statistics] ページの [Event Statistics] セクションでは、侵入イベント データベース内の情報に関する具体的な情報が表示されます。
この情報には、次に関する詳細が含まれます。
• 上位 10 個のイベント タイプ
• 上位 10 個のソース IP アドレス
• 上位 10 個の宛先 IP アドレス
• 上位 10 個の宛先ポート
• イベント数が最大であるプロトコル、イングレスとイーグレスのセキュリティ ゾーン、およびデバイス
侵入イベントのパフォーマンスの表示
ライセンス:Protection
[Intrusion Event Performance] ページでは、指定された期間の侵入イベントのパフォーマンス統計情報を示すグラフを生成できます。グラフを生成することにより、1 秒あたりの侵入イベントの数、1 秒あたりのメガビット数、1 パケットあたりの平均バイト数、Snort によって検査されていないパケットの割合、および TCP 正規化の結果としてブロックされたパケットの数を反映できます。これらのグラフは、過去 1 時間、前日、先週、または先月の操作の統計を表示できます。
詳細については、「侵入イベントのパフォーマンス統計グラフの生成」を参照してください。
侵入イベントのパフォーマンス統計情報を表示する方法:
アクセス:Admin/Maint
ステップ 1 [Overview] > [Summary] > [Intrusion Event Performance] を選択します。
[Intrusion Event Performance] ページが表示されます。
侵入イベントのパフォーマンス統計グラフの生成
ライセンス:Protection
1 秒あたりの侵入イベントの数、1 秒あたりのメガビット数、1 パケットあたりの平均バイト数、Snort によって検査されていないパケットの割合、および TCP 正規化の結果としてブロックされたパケットの数に基づいて、防御センターまたは管理対象デバイスのパフォーマンス統計を示すグラフを生成できます。
注 新しいデータは 5 分ごとに統計グラフに蓄積されます。したがって、グラフをすばやくリロードしても、次の 5 分の差分更新が実行されるまでデータは変更されていない場合があります。
次の表に、表示可能なグラフの種類を示します。
表 18-1 侵入イベントのパフォーマンスのグラフの種類
|
|
Events/Sec |
デバイスで生成された 1 秒あたりのイベント数。 |
Mbits/Sec |
デバイスをパススルーするトラフィックの 1 秒あたりのメガビット数。 |
Avg Bytes/Packet |
各パケットに含まれる平均バイト数。 |
Percent Packets Dropped |
選択されたすべてのデバイスで未検査のパケットの平均割合。たとえば、2 つのデバイスを選択した場合、平均が 50 % であるというのは、1 つのデバイスのドロップ率が 90 % であり、もう 1 つのデバイスのドロップ率が 10 % であることを示している可能性があります。また、両方のデバイスのドロップ率が 50% である可能性もあります。グラフは、1 つのデバイスを選択した場合にのみ合計ドロップ率を表します。 |
Blocked Packets |
インライン正規化の [Normalize TCP] オプションが有効になっている場合に、TCP 正規化の結果としてブロックされたパケット数。詳細については、「TCP 正規化」を参照してください。 |
侵入イベントのパフォーマンス グラフを生成する方法:
アクセス:Admin/Maint
ステップ 1 [Overview] > [Summary] > [Intrusion Event Performance] を選択します。
[Intrusion Event Performance] ページが表示されます。
ステップ 2 [Select Device] リストから、データを表示するデバイスを選択します。
ステップ 3 [Select Graph(s)] リストから、作成するグラフの種類を選択します。
ステップ 4 [Select Time Range] リストから、グラフに使用する時間範囲を選択します。
過去 1 時間、前日、先週、または先月から選択できます。
ステップ 5 [Graph] をクリックします。
グラフが表示され、ユーザが指定した情報が表示されます。
ステップ 6 グラフを保存するには、グラフを右クリックし、ブラウザでイメージを保存する手順に従います。
侵入イベント グラフの表示
ライセンス:Protection
FireSIGHT システムは、経時的な侵入イベントの傾向を示すグラフを表示します。以下に関する侵入イベントについて、過去 1 時間から先月までの範囲の経時的なグラフを生成できます。
• 1 つまたはすべての管理対象デバイス
• 上位 10 個の宛先ポート
• 上位 10 個の送信元 IP アドレス
• 上位 10 個のイベント メッセージ
イベント グラフを生成する方法:
アクセス:Admin/Intrusion Admin
ステップ 1 [Overview] > [Summary] > [Intrusion Event Graphs] を選択します。
[Intrusion Event Graphs] ページが表示されます。ページの上部にある 3 つの選択ボックスは、どのグラフを生成するかを制御します。
ステップ 2 [Select Device] で、[all] を選択してすべてのデバイスを含めるか、グラフに含める特定のデバイスを選択します。
ステップ 3 [Select Graph(s)] で、生成するグラフの種類を選択します。
ステップ 4 [Select Time Range] で、グラフの時間範囲を選択します。
ステップ 5 [Graph] をクリックします。
グラフが生成されます。
侵入イベントの表示
ライセンス:Protection
システムは、悪意のある可能性があるパケットを認識すると、侵入イベントを生成し、イベントをデータベースに追加します。
初期の侵入イベント ビューは、ページにアクセスするために使用するワークフローによって異なります。1 つ以上のドリルダウン ページ、侵入イベントのテーブル ビュー、および終了パケット ビューを含む、定義済みワークフローの 1 つを使用するか、独自のワークフローを作成できます。カスタム テーブルに基づいてワークフローを表示することもできます。これには、侵入イベントを含めることができます。大量の IP アドレスが含まれている状態で、[Resolve IP Addresses] イベント ビュー設定が有効になっている場合、イベント ビューの表示が遅くなる場合があることに注意してください。詳細については、「イベント ビュー設定の設定」を参照してください。
侵入イベントは、ネットワーク セキュリティに対する脅威があるかどうかを判断するために表示します。侵入イベントが悪意のあるものではないことがわかったら、そのイベントを確認済みとしてマークできます。ユーザの名前がレビューアとして表示され、確認されたイベントはデフォルトの侵入イベント ビューには表示されなくなります。イベントに未確認のマークを付けることによって、確認済みイベントをデフォルトの侵入イベント ビューに戻すことができます。
確認済みとしてマークした侵入イベントを表示できます。確認済みのイベントはイベント データベースに保存され、イベント要約統計に含まれますが、デフォルトのイベント ページには表示されなくなります。詳細については、「侵入イベントについて」を参照してください。
バックアップを実行してから確認済みの侵入イベントビューを削除した場合、バックアップを復元すると、削除された侵入イベント ビューは復元されますが、確認済みのステータスは復元されません。これらの復元された侵入イベントは、[Reviewed Events] ではなく [Intrusion Events] で表示されます。
1 つ以上の侵入イベントと関連付けられた接続イベントをすばやく表示するには、イベント ビューアのチェック ボックスを使用して侵入イベントを選択してから、[Jump to] ドロップダウン リストから [Connections] を選択します。これは、イベントのテーブル ビュー間を移動する場合に非常に役立ちます。同じ方法で、特定の接続に関連した侵入を表示することもできます。
詳細については、次の項を参照してください。
• 「侵入イベントについて」
• 「カスタム ワークフローの作成」
• 「ドリルダウン ページとテーブル ビュー ページの使用」
• 「パケット ビューの使用」
• 「侵入イベントと関連付けられた接続データの表示」
• 「侵入イベントについて」
• 「カスタム テーブルに基づいたワークフローの表示」
侵入イベントを表示する方法:
アクセス:Admin/Intrusion Admin
ステップ 1 [Analysis] > [Intrusions] > [Events] を選択します。
デフォルトの侵入イベントのワークフローの最初のページが表示されます。別のデフォルト ワークフローの指定方法については、「イベント ビュー設定の設定」を参照してください。イベントが表示されない場合は、時間範囲の調整が必要になることがあります。「イベント時間の制約の設定」を参照してください。
ヒント 侵入イベントのテーブル ビューが含まれないカスタム ワークフローを使用している場合、ワークフローのタイトルの横にある [(switch workflow)] をクリックして、アプライアンスに付属の定義済みワークフローのいずれかを選択します。
侵入イベント ビューに表示されるイベントの詳細については、「侵入イベントについて」を参照してください。分析にとって重要な侵入イベントにビューを絞り込む方法の詳細については、「侵入イベントのワークフロー ページについて」を参照してください。
侵入イベントについて
ライセンス:Protection
システムは、ホストとそのデータの可用性、整合性、および機密性に影響する可能性のある悪意のあるアクティビティについて、ネットワークを通過するパケットを検査します。システムは、潜在的な侵入を特定すると 侵入イベント を生成します。これは、エクスプロイトの日付、時間、タイプ、および攻撃元とそのターゲットに関するコンテキスト情報のデータです。パケットベースのイベントの場合、イベントをトリガーとして使用したパケットのコピーも記録されます。
次のリストで、侵入イベントに含まれる情報について説明します。侵入イベントのテーブル ビューの一部のフィールドはデフォルトで無効になっていることに注意してください。セッション中にフィールドを有効にするには、展開矢印( )をクリックして、検索制限を拡張してから、[Disabled Columns] の下の列名をクリックします。
Time
イベントの日付と時刻。
Priority
シスコ VRT で指定されたイベントの優先度。
Impact
このフィールドの影響レベルは、侵入データ、ネットワーク検出 データ、脆弱性情報との関係を示します。詳細については、「影響レベルを使用してイベントを評価する」を参照してください。
NetFlow データに基づいてネットワーク マップに追加されたホストで使用可能なオペレーティング システム情報が存在しない場合、ホスト入力機能を使用してホストのオペレーティング システム ID を手動で設定しない限り、防御センターはこれらのホストに関係した侵入イベントに対して影響レベル [Vulnerable](影響レベル 1:赤)を割り当てることができないことに注意してください。
Inline Result
次のいずれかです。
• 黒い下矢印。ルールをトリガーとして使用したパケットをシステムがドロップしたことを示します
• 灰色の下矢印。[Drop when Inline] ポリシー オプション(インライン展開環境)を有効にした場合、またはシステムがプルーニングしている間に [Drop and Generate] ルールがイベントを生成した場合、IPS がパケットをドロップしたことを示します
• ブランク。トリガーとして使用されたルールが [Drop and Generate Events] に設定されてないことを示します
侵入ポリシーのルールの状態またはインライン ドロップ動作にかかわらず、インライン インターフェイスがタップ モードになっている場合を含め、パッシブ展開環境ではシステムはパケットをドロップしないことに注意してください。詳細については、「ルール状態の設定」、「インライン展開での破棄動作の設定」、「パッシブ インターフェイスの設定」、および「タップ モード」を参照してください。
Source IP
送信元ホストが使用する IP アドレス。
Source Country
送信元ホストの国。
Destination IP
受信ホストが使用する IP アドレス。
Destination Country
受信ホストの国。
Original Client IP
X-Forwarded-For(XFF)またはTrue-Client-IP HTTP 見出しから取得された、元のクライアント IP アドレス。このフィールドの値を表示するには、ネットワーク解析ポリシーの HTTP プリプロセッサ [Extract Original Client IP Address] オプションを有効にする必要があります。詳細については、「サーバレベル HTTP 正規化オプションの選択」を参照してください。
このフィールドは、デフォルトでは無効です。
Source Port / ICMP Type
送信元ホストのポート番号。ICMP トラフィックの場合は、ポート番号がないため、システムは ICMP タイプを表示します。
Destination Port / ICMP Code
トラフィックを受信するホストのポート番号。ICMP トラフィックの場合は、ポート番号がないため、システムは ICMP コードを表示します。
VLAN ID
侵入イベントをトリガーとして使用したパケットと関連付けられた内部 VLAN ID。
MPLS Label
この侵入イベントをトリガーとして使用したパケットと関連付けられたマルチプロトコル ラベル スイッチング ラベル。
このフィールドは、デフォルトでは無効です。
Message
イベントを説明するテキスト。ルールベースの侵入イベントの場合、イベント メッセージはルールから取得されます。デコーダベースおよびプリプロセッサベースのイベントの場合は、イベント メッセージはハードコーディングされています。
Classification
イベントを生成したルールが属する分類。ルールの分類名と番号のリストについては、 「ルール分類」 の表を参照してください。
Generator
イベントを生成したコンポーネント。侵入イベント ジェネレータ ID のリストについては、 「ジェネレータ ID」 の表を参照してください。
Source User
送信元ホストにログインしている既知のユーザのユーザ ID。
Destination User
宛先ホストにログインしている既知のユーザのユーザ ID。
Application Protocol
(使用可能な場合)侵入イベントをトリガーとして使用したトラフィックで検出されたホスト間の通信を表す、アプリケーション プロトコル。FireSIGHT システムが防御センター Web インターフェイスで検出されたアプリケーション プロトコルを特定する方法の詳細については、 「FireSIGHT システムのアプリケーション プロトコルの識別」 の表を参照してください。
Client
(使用可能な場合)侵入イベントをトリガーとして使用したトラフィックで検出されたモニタ対象のホストで実行されているソフトウェアを表す、クライアント アプリケーション。
Web Application
侵入イベントをトリガーとして使用したトラフィックで検出された HTTP トラフィックの内容または要求された URL を表す、Web アプリケーション。
システムが HTTP のアプリケーション プロトコルを検出し、特定の Web アプリケーションを検出できなかった場合、システムはここで一般的な Web ブラウジング指定を提供することに注意してください。
IOC
侵入イベントをトリガーとして使用したトラフィックが、接続に関係するホストに対する侵入の痕跡(IOC)もトリガーとして使用したかどうか。IOC の詳細については、「侵害の兆候について」を参照してください。
Category、Tag(Application Protocol、Client、Web Application)
アプリケーションの機能を理解するのに役立つ、アプリケーションを特徴づける条件。詳細については、 「アプリケーションの特徴」 の表を参照してください。
Application Risk
侵入イベントをトリガーとして使用したトラフィックで、検出されたアプリケーションと関連付けられたリスク。接続で検出されるアプリケーションのタイプごとに関連するリスクがあります。このフィールドは、それらのうち最も高いリスクを表示します。詳細については、 「アプリケーションの特徴」 の表を参照してください。
Business Relevance
侵入イベントをトリガーとして使用したトラフィックで、検出されたアプリケーションと関連付けられたビジネスとの関連性。接続で検出されるアプリケーションのタイプごとに関連するビジネスとの関連性があります。このフィールドは、それらのうち最も低い(関連性が最も低い)ものを表示します。詳細については、 「アプリケーションの特徴」 の表を参照してください。
Ingress Security Zone
イベントをトリガーとして使用したパケットの入力セキュリティ ゾーン。パッシブ展開環境では、このセキュリティ ゾーン フィールドだけに入力されます。「セキュリティ ゾーンの操作」を参照してください。
Egress Security Zone
インライン展開環境の場合、イベントをトリガーとして使用したパケットの出力セキュリティ ゾーン。パッシブ展開環境では、このセキュリティ ゾーンのフィールドには入力されません。「セキュリティ ゾーンの操作」を参照してください。
Device
アクセス コントロール ポリシーが適用された管理対象デバイス。「デバイスの管理」を参照してください。
Security Context
トラフィックが通過した仮想ファイアウォール グループを識別するメタデータ。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。
Ingress Interface
イベントをトリガーとして使用したパケットの入力インターフェイス。パッシブ インターフェイスの場合、このインターフェイスの列だけに入力されます。「インターフェイスの設定」を参照してください。
Egress Interface
インライン セットの場合、イベントをトリガーとして使用したパケットの出力インターフェイス。パッシブ インターフェイスの場合、このインターフェイスの列には入力されません。「インターフェイスの設定」を参照してください。
Intrusion Policy
イベントを生成した侵入ルール、プリプロセッサ ルール、またはデコーダ ルールが有効にされた侵入ポリシー。アクセス コントロール ポリシーのデフォルト アクションとして侵入ポリシーを選択するか、アクセス コントロール ルールと侵入ポリシーを関連付けることができます。「デフォルト アクションの設定」および「許可されたトラフィックに対するファイル インスペクションと侵入インスペクションの実行」を参照してください。
Access Control Policy
イベントを生成した侵入ルール、プリプロセッサ ルール、またはデコーダ ルールが有効にされた侵入ポリシーが含まれるアクセス コントロール ポリシー。「アクセス コントロール ポリシーの使用」を参照してください。
Access Control Rule
イベントを生成した侵入ルールと関連付けられたアクセス コントロール ルール。「許可されたトラフィックに対するファイル インスペクションと侵入インスペクションの実行」を参照してください。[Default Action]
は、ルールが有効にされた侵入ポリシーがアクセス コントロール ルールに関連付けられていないことと、代わりにアクセス コントロール ポリシーのデフォルト アクションとして設定されていることを示します。「デフォルト アクションの設定」を参照してください。
HTTP Hostname
HTTP 要求のホスト 見出しから取得されたホスト名(存在する場合)。要求パケットにホスト名が常に含まれているわけではないことに注意してください。
ホスト名を表示するには、HTTP 検査プリプロセッサ [Log Hostname] オプションを有効にする必要があります。詳細については、「サーバレベル HTTP 正規化オプションの選択」を参照してください。
この列には、取得されたホスト名の最初の 50 文字が表示されます。ホストの省略名の表示部分にポインタを合わせると、最大 256 バイトまでの完全な名前を表示することができます。また、最大 256 バイトまでの完全なホスト名をパケット ビューに表示することもできます。詳細については、「イベント情報の表示」を参照してください。
このフィールドは、デフォルトでは無効です。
HTTP URI
(存在する場合)侵入イベントをトリガーとして使用した HTTP 要求パケットに関連付けられた raw URI。要求パケットに URI が常に含まれているわけではないことに注意してください。
取得された URI を表示するには、HTTP 検査プリプロセッサ [Log URI] オプションを有効にする必要があります。詳細については、「サーバレベル HTTP 正規化オプションの選択」を参照してください。
HTTP 応答によってトリガーとして使用された侵入イベントの関連 HTTP URI を参照するには、[Perform Stream Reassembly on Both Ports] オプションに HTTP サーバのポートを設定する必要があります。ただし、これにより、トラフィックのリアセンブル用のリソース要求が増加することに注意してください。「ストリームの再アセンブリのオプションの選択」を参照してください。
この列には、取得された URI の最初の 50 文字が表示されます。省略 URI の表示部分にポインタを合わせると、最大 2048 バイトまでの完全な URI を表示することができます。また、最大 2048 バイトまでの完全な URI をパケット ビューに表示することもできます。詳細については、「イベント情報の表示」を参照してください。
このフィールドは、デフォルトでは無効です。
Email Sender
SMTP MAIL FROM コマンドから取得された電子メール送信者のアドレス。このフィールドの値を表示するには、SMTP プリプロセッサの [Log From Address] オプションを有効にする必要があります。複数の送信者アドレスがサポートされます。詳細については、「SMTP デコードについて」を参照してください。
このフィールドは、デフォルトでは無効です。
Email Recipient
SMTP RCPT TO コマンドから取得された電子メール受信者のアドレス。このフィールドの値を表示するには、SMTP プリプロセッサの [Log To Addresses] オプションを有効にする必要があります。複数の受信者アドレスがサポートされます。詳細については、「SMTP デコードについて」を参照してください。
このフィールドは、デフォルトでは無効です。
Email Attachments
MIME の Content-Disposition 見出しから取得された MIME 添付ファイル名。添付ファイルの名前を表示するには、SMTP プリプロセッサの [Log MIME Attachment Names] オプションを有効にする必要があります。複数の添付ファイル名がサポートされます。詳細については、「SMTP デコードについて」を参照してください。
このフィールドは、デフォルトでは無効です。
Reviewed By
イベントを確認したユーザの名前。「侵入イベントについて」を参照してください。
Count
各行に表示される情報と一致するイベントの数。[Count] フィールドは 2 つ以上の同一の行を作成する制約を適用した後にのみ表示されることに注意してください。
侵入イベントと関連付けられた接続データの表示
ライセンス:Protection
侵入ポリシーをアクセス コントロール ルールまたはアクセス コントロール ポリシーのデフォルト アクションと関連付けた場合、システムは侵入イベントが検出された接続をログに記録できます。このロギングはアクセス コントロール ルールで自動的に行われますが、デフォルト アクションに関連する接続データを参照するには、接続ロギングを手動で有効にする必要があります。「デフォルト アクションの接続のロギング」を参照してください。
1 つ以上の侵入イベントに関連付けられた接続データを表示する方法:
アクセス:Admin
ステップ 1 [Analysis] > [Intrusions] > [Events] を選択します。
デフォルトの侵入イベントのワークフローの最初のページが表示されます。
関連データの表示は、イベントのテーブル ビュー間を移動する場合に非常に役立ちます。分析にとって重要な侵入イベントにビューを絞り込む方法の詳細については、「侵入イベントのワークフロー ページについて」を参照してください。
ステップ 2 イベント ビューアのチェック ボックスを使用して侵入イベントを選択してから、[Jump to] ドロップダウン リストから [Connections] を選択します。
同じ方法で、特定の接続に関連した侵入イベントを表示できます。詳細については、「ワークフロー間のナビゲート」を参照してください。
関連イベントを確認するとき、防御センターはデフォルトの接続データのワークフローを使用します。接続データの詳細については、「接続およびセキュリティ インテリジェンス のデータの使用」を参照してください。
ヒント 侵入イベントのテーブル ビューが含まれないカスタム ワークフローを使用している場合、ワークフローのタイトルの横にある [(switch workflow)] をクリックして、アプライアンスに付属の定義済みワークフローのいずれかを選択します。
侵入イベントについて
ライセンス:Protection
侵入イベントを調べて、そのイベントがネットワーク セキュリティに対して脅威ではないことがわかったら(おそらく、ネットワーク上のどのホストも検出されたエクスプロイトに対して脆弱でないことがわかったため)、そのイベントを確認済みとしてマークできます。ユーザの名前がレビューアとして表示され、確認されたイベントはデフォルトの侵入イベント ビューには表示されなくなります。確認済みとしてマークしたイベントはイベント データベースに残りますが、侵入イベントのビューには表示されなくなります。
侵入イベントに確認済みのマークを付けるには:
アクセス:Admin/Intrusion Admin
ステップ 1 侵入イベントが表示されるページで、次の 2 つの方法を選択できます。
• イベントのリストから 1 つまたは複数の侵入イベントにマークを付けるには、イベントの横にあるチェック ボックスを選択し、[Review] をクリックします。
• イベントのリストからすべての侵入イベントにマークを付けるには、[Review All] をクリックします。
成功メッセージが表示され、確認済みイベント リストが更新されます。
侵入イベント ビューに表示されるイベントの詳細については、「侵入イベントについて」を参照してください。分析にとって重要な侵入イベントにビューを絞り込む方法の詳細については、「侵入イベントのワークフロー ページについて」を参照してください。
注 確認されたイベントは、侵入イベントに関連したワークフローのページに表示されませんが、イベント要約の統計情報には含まれます。
以前に確認済みとマークされたイベントを表示する方法:
アクセス:Admin/Intrusion Admin
ステップ 1 [Analysis] > [Intrusions] > [Reviewed Events] を選択します。
デフォルトの確認済み侵入イベントのワークフローの最初のページが表示されます。別のデフォルト ワークフローの指定方法については、「イベント ビュー設定の設定」を参照してください。イベントが表示されない場合は、時間範囲の調整が必要になることがあります。「イベント時間の制約の設定」を参照してください。
ヒント 侵入イベントのテーブル ビューが含まれないカスタム ワークフローを使用している場合、ワークフローのタイトルの横にある [(switch workflow)] をクリックして、アプライアンスに付属の定義済みワークフローのいずれかを選択します。
確認済み侵入イベント ビューに表示されるイベントの詳細については、「侵入イベントについて」を参照してください。分析にとって重要な侵入イベントにビューを絞り込む方法の詳細については、「侵入イベントのワークフロー ページについて」を参照してください。
確認済みイベントに未確認のマークを付けるには:
アクセス:Admin/Intrusion Admin
ステップ 1 確認済みイベントが表示されるページで、次の 2 つの方法を選択できます。
• 確認済みイベント リストから個別の侵入イベントを削除するには、イベントの横にあるチェック ボックスを選択し、[Unreview] をクリックします。
• 確認済みイベント リストからすべての侵入イベントを削除するには、[Unreview All] をクリックします。
成功メッセージが表示され、確認済みイベント リストが更新されます。
侵入イベントのワークフロー ページについて
ライセンス:Protection
現在の侵入ポリシーで有効になっているプリプロセッサ、デコーダ、および侵入ルールは、モニタしているトラフィックがポリシーに違反するたびに、侵入イベントを生成します。
FireSIGHT システムは、侵入イベントの表示および分析に使用できる、イベント データが入力された定義済みワークフローのセットを提供します。これらのワークフローは、評価する侵入イベントの特定に役立つ一連のページを表示して手順を示します。
定義済みの侵入イベントのワークフローには、次の 3 種類のページまたはイベント ビューがあります。
• 1 つ以上のドリルダウン ページ
• 侵入イベントのテーブル ビュー
• パケット ビュー
ドリルダウン ページ には通常、1 つの特定の種類の情報を表示できるように 1 つのテーブル(一部のドリルダウン ビューでは複数のテーブル)に 2 つ以上の列が含まれます。
「ドリルダウン」して 1 つ以上の宛先ポートの詳細情報を検索すると、これらのイベントは自動的に選択され、ワークフローの次のページが表示されます。このように、ドリルダウン テーブルを使用すると、一度に分析するイベントの数を減らすことができます。
侵入イベントの最初の テーブル ビュー では、各侵入イベントが独自の行にリストされます。テーブルの列には、時間、発信元 IP アドレスおよびポート、宛先 IP アドレスおよびポート、イベントの優先度、イベント メッセージなどの情報が示されます。
イベントを選択してワークフローの次のページを表示する代わりに、テーブル ビューでイベントを選択した場合、イベントはいわゆる 制約 に追加されます。制約とは、分析するイベントの種類に加える制限のことです。
たとえば、任意の列で列のクローズ アイコン( )をクリックして、ドロップダウン リストから [Time] をクリアすると、[Time] を列の 1 つとして削除できます。分析内でイベントのリストを絞り込むには、テーブル ビューの行のいずれかの値のリンクをクリックします。たとえば、分析を送信元 IP アドレスの 1 つ(おそらく、潜在的な攻撃者)から生成されたイベントに制限するには、[Source IP Address] 列の IP アドレスをクリックします。
テーブル ビューの 1 つまたは複数の行を選択し、[View] をクリックすると、パケット ビューが表示されます。 パケット ビュー は、ルールをトリガーとして使用したパケットまたはイベントを生成したプリプロセッサに関する情報を提供します。パケット ビューの各セクションには、パケット内の特定の層についての情報が含まれます。折りたたまれたセクションを展開すると、より多くの情報を参照できます。
注 それぞれのポートスキャン イベントは複数のパケットによってトリガーとして使用されるため、ポートスキャン イベントは特別なバージョンのパケット ビューを使用します。詳細については、「ポートスキャンの検出」を参照してください。
定義済みのワークフローが特定のニーズを満たさない場合は、ユーザが関心のある情報のみを表示するカスタム ワークフローを作成できます。カスタム侵入イベントのワークフローには、ドリルダウン ページ、イベントのテーブル ビュー、またはその両方を含めることができます。システムはパケット ビューを最後のページとして自動的に組み込みます。イベントを調査する方法に応じて、定義済みワークフローと独自のカスタム ワークフローを簡単に切り替えることができます。
ヒント 「ワークフローの概要と使用」は、すべてのワークフロー ページに共通のワークフローおよび機能の使用方法について説明します。この章では、カスタム侵入イベントのワークフローを作成および使用する方法についても説明します。
詳細については、以下を参照してください。
• 「ドリルダウン ページとテーブル ビュー ページの使用」は、イベントのドリルダウン ページとテーブル ビューの使用方法について説明し、多くの共通機能を共有します。
• 「パケット ビューの使用」は、パケット ビューで機能を使用する方法について説明します。
• 「侵入イベントの検索」は、イベント データベースで特定の侵入イベントを検索する方法について説明します。
ドリルダウン ページとテーブル ビュー ページの使用
ライセンス:Protection
侵入イベントを調査するために使用できるワークフローでは、次の 3 種類のページが利用されます。
• ドリルダウン ページ
• 侵入イベントのテーブル ビュー
• パケット ビュー
これらの各ページについては、「侵入イベントのワークフロー ページについて」で説明されています。
イベントのドリルダウン ビューとテーブル ビューは、イベントのリストを絞り込み、関連するイベントのグループに分析を集中するために使用できる共通機能を共有します。次の表に、これらの機能について説明します。
表 18-2 侵入イベントの共通機能
|
|
表示される列についての理解 |
詳細については、「侵入イベントについて」を参照してください。 |
ホスト プロファイルの表示 |
ホスト IP アドレスの横に表示されるホスト プロファイル アイコン( )をクリックします。 |
位置情報の詳細の表示 |
[Source Country] または [Destination Country] 列に表示されるフラグ アイコンをクリックします。 |
表示されたイベントの日付と時刻の範囲の変更 |
詳細については、「イベント時間の制約の設定」を参照してください。 アプライアンスで設定されている時間ウィンドウ外で生成されたイベント(グローバルまたはイベント固有かどうかにかかわらず)は、イベント ビューが時間に制約されている場合、イベント ビューで表示される場合があることに注意してください。これは、アプライアンスのスライド時間ウィンドウを設定している場合でも発生する可能性があります。 |
現在のワークフロー ページでイベントをソートおよび制約する |
以下で詳細を参照できます。 • 「ドリルダウン ワークフロー ページのソート」 • 「ドリルダウン ページでのイベントの制約」 の表 • 「イベントのテーブル ビューのイベントの制約」 の表 |
現在のワークフロー ページ内の移動 |
詳細については、「ワークフロー内の他のページへのナビゲート」を参照してください。 ヒント 別のワークフロー ページで同じ侵入イベントを表示しないようにするため、ページの下部にあるリンクをクリックして別のページのイベントを表示すると時間範囲は一時停止し、クリックして後続のページでその他のアクションを実行すると再開します。詳細については、「イベント時間の制約の設定」を参照してください。 |
現在の制約を保持しながら、現在のワークフローのページ間を移動する |
ワークフロー ページの左上にある、該当するページのリンクをクリックします。詳細については、「ワークフローのページの使用」を参照してください。 |
後でインシデントに転送できるようにイベントをクリップボードに追加する |
次のいずれかの方法を使用します。 • ワークフロー ページの複数の侵入イベントをクリップボードにコピーするには、コピーするイベントの横にあるチェック ボックスを選択して、[Copy] をクリックします。 • 現在制約されているビューにあるすべての侵入イベントをクリップボードにコピーするには、[Copy All] をクリックします。 クリップボードはユーザごとに最大 25,000 個のイベントを保存します。詳細については、「クリップボードの使用」を参照してください。 |
イベント データベースからのイベントの削除 |
次のいずれかの方法を使用します。 • 選択した侵入イベントを削除するには、削除するイベントの横にあるチェック ボックスを選択し、[Delete] をクリックします。 • 現在の制約ビューにあるすべての侵入イベントを削除するには、[Delete All] をクリックし、すべてのイベントを削除してよいかどうかを確認します。 |
イベントに確認済みのマークを付けて、侵入イベントのページからそれらを削除し、イベント データベースからは削除しない |
次のいずれかの方法を使用します。 • 選択した侵入イベントを確認するには、確認するイベントの横にあるチェック ボックスを選択し、[Review] をクリックします。 • 現在制約されているビューにあるすべての侵入イベントを確認するには、[Review All] をクリックします。 詳細については、「侵入イベントについて」を参照してください。 |
選択した各イベントをトリガーとして使用したパケット(libpcap 形式のパケット キャプチャ ファイル)のローカル コピーをダウンロードする |
次のいずれかの方法を使用します。 • 選択した侵入イベントをトリガーとして使用したパケットをダウンロードするには、ダウンロードするパケットによってトリガーとして使用されたイベントの横にあるチェック ボックスを選択し、[Download Packets] をクリックします。 • 現在制約されているビューにある侵入イベントをトリガーとして使用したすべてのパケットをダウンロードするには、[Download All Packets] をクリックします。 キャプチャされたパケットは libpcap 形式で保存されます。この形式は、複数の一般的なプロトコル アナライザで使用されます。 |
他のイベント ビューに移動して、関連イベントを確認する |
詳細については、「ワークフロー間のナビゲート」を参照してください。 |
一時的に別のワークフローを使用する |
[(switch workflow)] をクリックします。詳細については、「ワークフローの選択」を参照してください。 |
すぐに戻ることができるように現在のページをブックマークする |
[Bookmark This Page] をクリックします。詳細については、「ブックマークの使用」を参照してください。 |
[Summary Dashboard] の [Intrusion Events] セクションを表示する |
[Dashboards] をクリックします。詳細については、「ダッシュボードの操作」を参照してください。 |
ブックマークの管理ページへの移動 |
[View Bookmarks] をクリックします。詳細については、「ブックマークの使用」を参照してください。 |
現在のビューのデータに基づいてレポートを生成する |
[Report Designer] をクリックします。詳細については、「イベント ビューからのレポート テンプレートの作成」を参照してください。 |
イベント ビューに表示される侵入イベントの数は、次の内容によっては非常に多くなることがあります。
• ユーザが選択する時間範囲
• ネットワークのトラフィック量
• 適用する侵入ポリシー
侵入イベントをさらに分析しやすくするために、イベント ページを制約できます。制約プロセスは、侵入イベントのドリルダウン ビューとテーブル ビューとは若干異なります。
ヒント 時間範囲は、侵入イベントのワークフロー ページの下部にあるリンクの 1 つをクリックして別のページに移動したときに一時停止し、クリックして後続のページでワークフローの終了を含む別のアクションを実行した時に再開します。これにより、ワークフロー内の他のページに移動してより多くのイベントを参照した場合に同じイベントが表示される可能性が減ります。詳細については、「イベント時間の制約の設定」および「ワークフロー内の他のページへのナビゲート」を参照してください。
次の表では、ドリルダウン ページの使用方法について説明します。
表 18-3 ドリルダウン ページでのイベントの制約
|
|
次のワークフロー ページのドリルダウンを特定の値に制約する |
値をクリックします。 たとえば、[Destination Port(宛先ポート)] ワークフローで、イベントを宛先がポート 80 であるものに制約するには、[DST Port/ICMP Code] 列で [80/tcp] をクリックします。ワークフローの次のページ [Events] が表示され、ポート 80/tcp のイベントだけが含まれます。 |
次のワークフロー ページのドリルダウンを選択したイベントに制約する |
次のワークフロー ページで表示するイベントの横にあるチェック ボックスを選択し、[View] をクリックします。 たとえば、[Destination Port(宛先ポート)] ワークフローで、イベントを宛先がポート 20/tcp および 21/tcp であるものに制約するには、それらのポートの行の横にあるチェック ボックスを選択し、[View] をクリックします。ワークフローの次のページ [Events] が表示され、ポート 20/tcp および 21/tcp のイベントだけが含まれます。 (注) 複数の行を制約し、テーブルに複数の列が存在する場合([Count] 列を含まない)、いわゆる複合制約が作成されます。複合制約により、必要以上のイベントを制約に含めないようにすることができます。たとえば、[Event(イベント)] と [Destination(宛先)] のワークフローを使用する場合は、最初のドリルダウン ページで選択した各行により、複合制約が作成されます。宛先 IP アドレス 10.10.10.100 のイベント 1:100 を選択し、宛先 IP アドレス 192.168.10.100 のイベント 1:200 も選択した場合、複合制約により、イベント タイプとして 1:100 を含むイベントや宛先 IP アドレスとして 192.168.10.100 を含むイベント、またはイベント タイプとして 1:200 を含むイベントや宛先 IP アドレスとして 10.10.10.100 を含むイベントが選択されないようになります。 |
現在の制約を保持しながら、次のワークフロー ページをドリルダウンする |
[View All] をクリックします。 |
次の表では、テーブル ビューの使用方法について説明します。
表 18-4 イベントのテーブル ビューのイベントの制約
|
|
1 つの属性を持つイベントにビューを制約する |
属性をクリックします。 たとえば、宛先がポート 80 であるイベントにビューを制約するには、[DST Port/ICMP Code] 列で [80/tcp] をクリックします。 |
テーブルから列を削除する |
非表示にする列見出しのクローズ アイコン( )をクリックします。表示されるポップアップ ウィンドウで、[Apply] をクリックします。 )をクリックして検索制約を拡張し、[Disabled Columns] の下の列名をクリックします。 |
1 つ以上のイベントに関連付けられたパケットを表示する |
次のいずれかを行います。 • パケットを表示するイベントの横にある下矢印アイコン( )をクリックします。 • パケットを表示する 1 つ以上のイベントを選択し、ページの下部にある [View] をクリックします。 • ページの下部で、[View All] をクリックして、現在の制約に一致するすべてのイベントのパケットを表示します。 |
ヒント プロセスの任意の時点で、制約を検索条件のセットとして保存できます。たとえば、ネットワークが数日にわたり単一の IP アドレスから攻撃者によって探られていることに気付いた場合、調査中に制約をいったん保存し、後で使用することができます。ただし、複合制約を検索条件のセットとして保存することはできません。詳細については、「検索設定の実行と保存」を参照してください。
ヒント 侵入イベントがイベント ビューに表示されない場合、選択した時間範囲を調整すると、結果が返される場合があります。古い時間範囲を選択した場合、その時間範囲内のイベントが削除されることがあります。ルールのしきい値の設定を調整すると、イベントが生成される場合があります。
パケット ビューの使用
ライセンス:Protection
パケット ビューは、侵入イベントを生成したルールをトリガーとして使用したパケットに関する情報を表示します。
ヒント イベントを検出するデバイスで [Transfer Packet] オプションが無効になっている場合、防御センターでのパケット ビューにはパケット情報は含まれません。
パケット ビューは、パケットがトリガーとして使用した侵入イベントに関する情報を提供することによって、イベントのタイム スタンプ、メッセージ、分類、優先度、およびイベントを生成したルール(標準テキスト ルールでイベントが生成された場合)など、特定のパケットがキャプチャされた理由を示します。パケット ビューは、パケットのサイズなど、パケットに関する一般情報も表示します。
さらに、パケット ビューにはパケット内の各層(データ リンク、ネットワーク、およびトランスポート)について説明したセクションと、パケットを構成するバイトについて説明したセクションがあります。折りたたまれたセクションを展開すると、詳細情報を参照できます。
注 それぞれのポートスキャン イベントは複数のパケットによってトリガーとして使用されるため、ポートスキャン イベントは特別なバージョンのパケット ビューを使用します。詳細については、「ポートスキャンの検出」を参照してください。
次の表に、パケット ビューで実行できる操作を示します。
表 18-5 パケット ビューの操作
|
|
パケット ビューで日時範囲を変更する |
詳細については、「イベント時間の制約の設定」を参照してください。 |
パケットのビューに表示される情報について理解する |
以下で詳細を参照できます。 • 「イベント情報の表示」 • 「フレーム情報の表示」 • 「データリンク層情報の表示」 • 「ネットワーク層情報の表示」 • 「トランスポート層情報の表示」 • 「パケット バイト情報の表示」 |
後でインシデントに転送できるようにイベントをクリップボードに追加する |
次のいずれかを行います。 • [Copy] をクリックして、パケットを表示するイベントをコピーします • [Copy All] をクリックして、以前にパケットを選択したすべてのイベントをコピーします クリップボードはユーザごとに最大 25,000 個のイベントを保存します。クリップボードの詳細については、「クリップボードの使用」を参照してください。 |
イベント データベースからイベントを削除する |
次のいずれかを行います。 • [Delete] をクリックして、パケットを表示するイベントを削除します • [Delete All] をクリックして、以前にパケットを選択したすべてのイベントを削除します |
イベントに確認済みのマークを付けて、イベント ビューから削除し、イベント データベースからは削除しない |
次のいずれかを行います。 • [Review] をクリックして、パケットを確認するイベントを確認します • [Review All] をクリックして、以前にパケットを選択したすべてのイベントを確認します 詳細については、「侵入イベントについて」を参照してください。確認されたイベントは、[Intrusion Event Statistics] ページのイベント統計情報には引き続き含まれることに注意してください。 |
イベントをトリガーとして使用したパケット(libpcap 形式のパケット キャプチャ ファイル)のローカル コピーをダウンロードする |
次のいずれかを行います。 • [Download Packet] をクリックして、表示中のイベントのキャプチャされたパケットのコピーを保存します • [Download All Packets] をクリックして、以前にパケットを選択したすべてのイベントのキャプチャされたパケットのコピーを保存します キャプチャされたパケットは libpcap 形式で保存されます。この形式は、複数の一般的なプロトコル アナライザで使用されます。 単一のポートスキャン イベントは複数のパケットに基づいているため、ポートスキャン パケットをダウンロードできないことに注意してください。ただし、ポートスキャン ビューは使用可能なすべてのパケット情報を提供します。詳細については、「ポートスキャン イベントについて」を参照してください。 ダウンロードするには少なくとも 15 % の使用可能なディスク領域が必要であることに注意してください。 |
ページ セクションを展開または縮小する |
セクションの隣にある矢印をクリックします。 |
パケット ビューを表示する方法:
アクセス:Admin/Intrusion Admin
ステップ 1 侵入イベントのテーブル ビューで、表示するパケットを選択します。詳細については、 「イベントのテーブル ビューのイベントの制約」 の表を参照してください。
パケット ビューが表示されます。複数のイベントを選択した場合は、ページの下部にあるページ番号を使用してパケットのページ切り替えができます。
イベント情報の表示
ライセンス:Protection
パケット ビューで、[Event Information] セクションのパケットに関する情報を表示できます。
Event
イベントのメッセージ。ルールベースのイベントの場合、これはルール メッセージに対応します。他のイベントの場合、これはデコーダまたはプリプロセッサによって決まります。
イベントの ID は、 (GID:SID:Rev) の形式でメッセージに付加されます。 GID は、ルール エンジン、デコーダ、またはイベントを生成したプリプロセッサのジェネレータ ID です。 SID は、ルール、デコーダ メッセージ、またはプリプロセッサ メッセージの ID です。 Rev はルールのリビジョン番号です。詳細については、「プリプロセッサのジェネレータ ID の読み取り」を参照してください。
Timestamp
パケットが検出された時間。
Classification
イベントの分類。ルールベースのイベントの場合、これはルールの分類に対応します。他のイベントの場合、これはデコーダまたはプリプロセッサによって決まります。
Priority
イベントの優先度。ルールベースのイベントの場合、これは priority
キーワードの値または classtype
キーワードの値に対応します。他のイベントの場合、これはデコーダまたはプリプロセッサによって決まります。
Ingress Security Zone
イベントをトリガーとして使用したパケットの入力セキュリティ ゾーン。パッシブ展開環境では、このセキュリティ ゾーン フィールドだけに入力されます。「セキュリティ ゾーンの操作」を参照してください。
Egress Security Zone
インライン展開環境の場合、イベントをトリガーとして使用したパケットの出力セキュリティ ゾーン。「セキュリティ ゾーンの操作」を参照してください。
Device
アクセス コントロール ポリシーが適用された管理対象デバイス。「デバイスの管理」を参照してください。
Security Context
トラフィックが通過した仮想ファイアウォール グループを識別するメタデータ。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。
Ingress Interface
イベントをトリガーとして使用したパケットの入力インターフェイス。パッシブ インターフェイスの場合、このインターフェイスの列だけに入力されます。「インターフェイスの設定」を参照してください。
Egress Interface
インライン セットの場合、イベントをトリガーとして使用したパケットの出力インターフェイス。「インターフェイスの設定」を参照してください。
Source/Destination IP
イベント(ソース)をトリガーとして使用したパケットの発生元であるホスト IP アドレスまたはドメイン名、またはイベントをトリガーとして使用したトラフィックのターゲット(宛先)ホスト。
ドメイン名を表示するには、IP アドレス解決を有効にする必要があることに注意してください。詳細については、「イベント ビュー設定の設定」を参照してください。
アドレスまたはドメイン名をクリックしてコンテキスト メニューを表示してから、whois 検索を実行する場合は [Whois] を、ホスト情報を表示する場合は [View Host Profile] を、アドレスをグローバル ブラックリストまたはホワイトリストに追加する場合は [Blacklist Now] または [Whitelist Now] を選択します。「ホスト プロファイルの使用」および「グローバル ホワイトリストおよびブラックリストの操作」を参照してください。
Source Port/ICMP Type
イベントをトリガーとして使用したパケットの送信元ポート。ICMP トラフィックの場合は、ポート番号がないため、システムは ICMP タイプを表示します。
Destination Port/ICMP Code
トラフィックを受信するホストのポート番号。ICMP トラフィックの場合は、ポート番号がないため、システムは ICMP コードを表示します。
Email Headers
電子メール 見出しから取得したデータ。電子メール 見出しは侵入イベントのテーブル ビューには表示されませんが、電子メール 見出し データは検索条件として使用できることに注意してください。
電子メール 見出しを SMTP トラフィックの侵入イベントと関連付けるには、SMTP プリプロセッサの [Log Headers] オプションを有効にする必要があります。詳細については、「SMTP デコードについて」を参照してください。ルールベースのイベントの場合、この行は電子メール データが取得されたときに表示されます。
HTTP Hostname
(存在する場合)HTTP 要求のホスト 見出しから取得されたホスト名。この行には、最大 256 バイトの完全なホスト名が表示されます。ホスト名が単一行よりも長い場合、展開矢印( )をクリックすると完全なホスト名が表示されます。
ホスト名を表示するには、HTTP 検査プリプロセッサ [Log Hostname] オプションを有効にする必要があります。詳細については、「サーバレベル HTTP 正規化オプションの選択」を参照してください。
HTTP 要求パケットにホスト名が常に含まれているわけではないことに注意してください。ルールベースのイベントの場合、この行はパケットに HTTP ホスト名または HTTP URI が含まれる場合に表示されます。
HTTP URI
(存在する場合)侵入イベントをトリガーとして使用した HTTP 要求パケットに関連付けられた raw URI。この行には、最大 2048 バイトの完全な URI が表示されます。URI が単一行よりも長い場合、展開矢印( )をクリックすると完全な URI が表示されます。
URI を表示するには、HTTP 検査プリプロセッサ [Log URI] オプションを有効にする必要があります。詳細については、「サーバレベル HTTP 正規化オプションの選択」を参照してください。
HTTP 要求パケットに URI が常に含まれているわけではないことに注意してください。ルールベースのイベントの場合、この行はパケットに HTTP ホスト名または HTTP URI が含まれる場合に表示されます。
HTTP 応答によってトリガーとして使用された侵入イベントの関連 HTTP URI を参照するには、[Perform Stream Reassembly on Both Ports] オプションに HTTP サーバのポートを設定する必要があります。ただし、これにより、トラフィックのリアセンブル用のリソース要求が増加することに注意してください。「ストリームの再アセンブリのオプションの選択」を参照してください。
Intrusion Policy
(存在する場合)侵入イベントを生成した侵入、プリプロセッサ、デコーダのルールが有効にされた侵入ポリシー。アクセス コントロール ポリシーのデフォルト アクションとして侵入ポリシーを選択するか、アクセス コントロール ルールと侵入ポリシーを関連付けることができます。「デフォルト アクションの設定」および「許可されたトラフィックに対するファイル インスペクションと侵入インスペクションの実行」を参照してください。
Access Control Policy
イベントを生成した侵入ルール、プリプロセッサ ルール、またはデコーダ ルールが有効にされた侵入ポリシーが含まれるアクセス コントロール ポリシー。「アクセス コントロール ポリシーの使用」を参照してください。
Access Control Rule
イベントを生成した侵入ルールと関連付けられたアクセス コントロール ルール。「許可されたトラフィックに対するファイル インスペクションと侵入インスペクションの実行」を参照してください。[Default Action]
は、ルールが有効にされた侵入ポリシーがアクセス コントロール ルールに関連付けられていないことと、代わりにアクセス コントロール ポリシーのデフォルト アクションとして設定されていることを示します。「デフォルト アクションの設定」を参照してください。
Rule
標準テキスト ルール イベントの場合、イベントを生成したルール。
イベントが、共有オブジェクト ルール、デコーダ、またはプリプロセッサに基づいている場合は、ルールを使用できないことに注意してください。
ルール データにはネットワークに関する機密情報が含まれるため、管理者はユーザが View Local Rules 権限を使用してパケット ビューでルール情報を表示できる機能を、ユーザ ロール エディタで切り替えることができます。詳細については、「ユーザ特権とオプションの変更」を参照してください。
Actions
標準テキスト ルール イベントの場合は、[Actions] を展開して、イベントをトリガーとして使用したルールに対して次の操作のいずれかを実行します。
– ルールを編集する
– ルールのリビジョンのドキュメントを表示する
– ルールにコメントを追加する
– ルールの状態を変更する
– ルールのしきい値を設定する
– ルールを抑制する
詳細については、「パケット ビュー アクションの使用」、「パケット ビュー内でのしきい値オプションの設定」、および「パケット ビュー内での抑制オプションの設定」を参照してください。
イベントが、共有オブジェクト ルール、デコーダ、またはプリプロセッサに基づいている場合は、ルールを使用できないことに注意してください。
パケット ビュー アクションの使用
ライセンス:Protection
パケット ビューで、イベントを生成したルールの [Event Information] セクションにあるいくつかのアクションを実行できます。イベントが、共有オブジェクト ルール、デコーダ、またはプリプロセッサに基づいている場合は、ルールを使用できないことに注意してください。ルールのアクションを表示するには、[Actions] を展開する必要があります。
編集
標準テキスト ルール イベントの場合、[Edit] をクリックして、イベントを生成したルールを変更します。
イベントが、共有オブジェクト ルール、デコーダ、またはプリプロセッサに基づいている場合は、ルールを使用できないことに注意してください。
注 シスコによって提供された(カスタム 標準テキスト ルール ではない)ルールを編集する場合、実際には新規のローカル ルールを作成していることになります。ローカル ルールを設定して、イベントを生成し、現在の侵入ポリシーで元のルールを無効にしていることを確認してください。ただし、デフォルトのポリシーのローカル ルールは有効にできないことに注意してください。詳細については、「既存のルールの変更」を参照してください。
マニュアルの表示
標準テキスト ルール イベントの場合、[View Documentation] をクリックして、イベントを生成したルール リビジョンの説明を確認します。
ルールのコメント
標準テキスト ルール イベントの場合、[Rule Comment] をクリックして、イベントを生成したルールにテキスト コメントを追加します。
これにより、ルールや、特定されたエクスプロイトまたはポリシー違反に関するコンテキストおよび情報を提供できます。さらに、ルール エディタでルールのコメントの追加および表示を行うこともできます。詳細については、「ルールにコメントを追加する」を参照してください。
このルールを無効にする
このイベントが標準テキスト ルールによって生成された場合は、必要に応じてルールを無効にできます。ローカルで編集できるすべてのポリシーにルールを設定できます。または、現在のポリシーをローカルで編集できる場合は、現在のポリシー(つまり、イベントを生成したポリシー)のみにルールを設定することもできます。
詳細については、「ルール状態の設定」を参照してください。
現在のポリシー オプションは、現在のポリシーを編集できる場合にのみ表示されることに注意してください。たとえば、カスタム ポリシーを編集できますが、シスコが提供するデフォルト ポリシーは編集できません。
注 パケット ビューから 共有オブジェクト ルール を無効にしたり、デフォルトのポリシーでルールを無効にしたりすることはできません。
イベントを生成するようにこのルールを設定する
このイベントが標準テキスト ルールによって生成された場合は、ルールを設定して、ローカルで編集できるすべてのポリシーでイベントを生成できます。または、現在のポリシーをローカルで編集できる場合は、現在のポリシー(つまり、イベントを生成したポリシー)のみにルールを設定することもできます。
詳細については、「ルール状態の設定」を参照してください。
現在のポリシー オプションは、現在のポリシーを編集できる場合にのみ表示されることに注意してください。たとえば、カスタム ポリシーを編集できますが、シスコが提供するデフォルト ポリシーは編集できません。
注 共有オブジェクト ルールでパケット ビューからイベントを生成するようにを設定したり、デフォルト ポリシーのルールを無効にしたりすることはできません。
ドロップするようにこのルールを設定する
管理対象デバイスがネットワーク上でインライン展開されている場合、イベントをトリガーとして使用したルールを設定して、ローカルで編集できるすべてのポリシーでルールをトリガーするパケットをドロップできます。または、現在のポリシーをローカルで編集できる場合は、現在のポリシー(つまり、イベントを生成したポリシー)のみにルールを設定することもできます。
現在のポリシー オプションは、現在のポリシーを編集できる場合にのみ表示されることに注意してください。たとえば、カスタム ポリシーを編集できますが、シスコが提供するデフォルト ポリシーは編集できません。このオプションは [Drop when Inline] が現在のポリシーで有効になっている場合のみ表示されることに注意してください。詳細については、「インライン展開での破棄動作の設定」を参照してください。
しきい値オプションを設定する
このオプションを使用して、ローカルで編集できるすべてのポリシーでも、これをトリガーとして使用したルールのしきい値を作成できます。または、現在のポリシーをローカルで編集できる場合は、現在のポリシー(つまり、イベントを生成したポリシー)でのみしきい値を作成することもできます。
しきい値オプションについては、「パケット ビュー内でのしきい値オプションの設定」で説明します。
現在のポリシー オプションは、現在のポリシーを編集できる場合にのみ表示されることに注意してください。たとえば、カスタム ポリシーは編集できますが、シスコが提供するデフォルトの侵入ポリシーは編集できません。
抑制オプションを設定する
このオブジェクトを使用して、ローカルで編集できるすべてのポリシーで、このイベントをトリガーとして使用したルールを抑制できます。または、現在のポリシーをローカルで編集できる場合は、現在のポリシー(つまり、イベントを生成したポリシー)のみでルールを制約することもできます。
抑制オプションについては、「パケット ビュー内での抑制オプションの設定」で説明します。
現在のポリシー オプションは、現在のポリシーを編集できる場合にのみ表示されることに注意してください。たとえば、カスタム ポリシーを編集できますが、シスコが提供するデフォルト ポリシーは編集できません。
パケット ビュー内でのしきい値オプションの設定
ライセンス:Protection
侵入イベントのパケット ビューでしきい値オプションを設定することによって、ルールごとに時間の経過とともに生成されるイベントの数を制御できます。ローカルで編集できるすべてのポリシーに、またはローカルで編集できる場合は現在のポリシー(つまり、イベントを生成したポリシー)のみに、しきい値オプションを設定できます。
パケット ビュー内でしきい値オプションを設定する方法:
アクセス:Admin/Intrusion Admin
ステップ 1 侵入ルールによって生成された侵入イベントのパケット ビュー内で、[Event Information] セクションの [Actions] を展開し、[Set Thresholding Options] を展開し、次の 2 つのオプションのいずれかを選択します。
• in the current policy
• in all locally created policies
現在のポリシー オプションは、現在のポリシーを編集できる場合にのみ表示されることに注意してください。たとえば、カスタム ポリシーを編集できますが、シスコが提供するデフォルト ポリシーは編集できません。
しきい値オプションが表示されます。
ステップ 2 設定するしきい値の種類を選択します。
• [limit] を選択して、通知を期間ごとに指定したイベント インスタンスの数に制限します。
• [threshold] を選択して、期間ごとに指定したイベント インスタンス数に達するたびに通知します。
• [both] を選択して、指定したイベント インスタンス数に達したら、期間ごとに 1 度通知します。
ステップ 3 イベント インスタンスを [Source] または [Destination] IP アドレスでトラックするかどうかを示すため、該当するオプション ボタンを選択します。
ステップ 4 [Count] フィールドで、しきい値として使用するイベント インスタンスの数を入力します。
ステップ 5 [Seconds] フィールドで、イベント インスタンスをトラックする期間を指定する 1 から 86400 までの数を入力します。
ステップ 6 既存の侵入ポリシーでこのルールの現在のしきい値をオーバーライドする場合、[Override any existing settings for this rule] を選択します。
ステップ 7 [Save Thresholding] をクリックします。
システムはしきい値を追加し、成功を示すメッセージを表示します。既存の設定をオーバーライドしない選択をした場合に競合が発生すると、競合を通知するメッセージが表示されます。
パケット ビュー内での抑制オプションの設定
ライセンス:Protection
抑制オプションを使用して、侵入イベントをまとめて、または発信元 IP アドレスまたは宛先 IP アドレスに基づいて抑制できます。ローカルで編集できるすべてのポリシーで抑制オプションを設定できます。または、現在のポリシーをローカルで編集できる場合は、現在のポリシー(つまり、イベントを生成したポリシー)のみに抑制オプションを設定することもできます。
パケット ビュー内で侵入イベントを抑制する方法:
アクセス:Admin/Intrusion Admin
ステップ 1 侵入ルールによって生成された侵入イベントのパケット ビュー内で、[Event Information] セクションの [Actions] を展開し、[Set Suppression Options] を展開し、次の 2 つのオプションのいずれかをクリックします。
• in the current policy
• in all locally created policies
現在のポリシー オプションは、現在のポリシーを編集できる場合にのみ表示されることに注意してください。たとえば、カスタム ポリシーを編集できますが、シスコが提供するデフォルト ポリシーは編集できません。
抑制オプションが表示されます。
ステップ 2 次のいずれかの [Track By] オプションを選択します。
• このイベントをトリガーとして使用したルールのイベントを完全に抑制するには、[Rule] を選択します。
• 指定した送信元 IP アドレスから発信されたパケットによって生成されるイベントを抑制するには、[Source] を選択します。
• 指定した宛先 IP アドレスに入るパケットによって生成されるイベントを抑制するには、[Destination] を選択します。
ステップ 3 [IP address] または [CIDR block] フィールドで、発信元または宛先 IP アドレスとして指定する IP アドレスまたは CIDR ブロック/プレフィクス長を入力します。
FireSIGHT システムで CIDR 表記およびプレフィクス長を使用する方法の詳細については、「IP アドレスの表記法」を参照してください。
ステップ 4 [Save Suppression] をクリックします。
侵入ポリシー内の抑制オプションは、ユーザの仕様に従って変更されます。既存の設定をオーバーライドしない選択をした場合に競合が発生すると、競合を通知するメッセージが表示されます。
フレーム情報の表示
ライセンス:Protection
パケット ビューで、[Frame] の横にある矢印をクリックして、キャプチャされたフレームに関する情報を表示します。パケット ビューには単一フレームまたは複数フレームを表示できます。各フレームには、個々のネットワークのパケットに関する情報が表示されます。たとえば、タグ付きパケットまたはリアセンブルされたTCP ストリーム内のパケットの場合、複数のフレームが表示されます。タグ付きパケットの詳細については、「攻撃後トラフィックの評価」を参照してください。リアセンブルされた TCP ストリームの詳細については、「TCP ストリームの再アセンブリ」を参照してください。
Frame n
キャプチャされたフレーム。 n は単一フレーム パケットの場合は 1、複数フレーム パケットの場合は差分フレーム番号です。フレーム内のキャプチャされたバイト数はフレーム番号に追加されます。
Arrival Time
フレームがキャプチャされた日時。
Time delta from previous captured frame
複数フレーム パケットの場合、前のフレームがキャプチャされてからの経過時間。
Time delta from previous displayed frame
複数フレーム パケットの場合、前のフレームが表示されてからの経過時間。
Time since reference or first frame
複数フレーム パケットの場合、最初のフレームがキャプチャされてからの経過時間。
Frame Number
差分フレーム番号。
Frame Length
フレームの長さ(バイト単位)。
Capture Length
キャプチャされたフレームの長さ(バイト単位)。
Frame is marked
フレームがマークされているかどうか(true または false)。
Protocols in frame
フレームに含まれるプロトコル。
データリンク層情報の表示
ライセンス:Protection
パケット ビューで、データリンク層プロトコル(たとえば、イーサネット II)の横にある矢印をクリックして、パケットに関するデータリンク層情報を表示します。これには、送信元ホストおよび宛先ホストの 48 ビットの Media Access Control(MAC)アドレスが含まれます。ハードウェア プロトコルに応じて、パケットに関する他の情報も表示されることがあります。
注 この例では、イーサネット リンク層情報について説明していることに注意してください。他のプロトコルも表示されることがあります。
パケット ビューはデータリンク層で使用されるプロトコルを反映します。次のリストでは、パケット ビューでイーサネット II または IEEE 802.3 イーサネット パケットについて参照できる情報について説明します。
Destination
宛先ホストの MAC アドレス。
注 イーサネットは、宛先アドレスとしてマルチキャストおよびブロードキャスト アドレスを使用することもできます。
Source
送信元ホストの MAC アドレス。
Type
イーサネット II パケットの場合、イーサネット フレームでカプセル化されるパケットの種類。たとえば、IPv6 または ARP データグラム。この項目はイーサネット II パケットの場合にのみ表示されることに注意してください。
Length
IEEE 802.3 イーサネット パケットの場合、チェックサムを含まないパケットのトータル長(バイト単位)。この項目はIEEE 802.3 イーサネット パケットの場合にのみ表示されることに注意してください。
ネットワーク層情報の表示
ライセンス:Protection
パケット ビューで、パケットにネットワーク層プロトコル(たとえば、[Internet Protocol])の横にある矢印をクリックして、パケットに関連したネットワーク層の情報の詳細情報を表示します。
注 この例では、IP パケットについて説明していることに注意してください。他のプロトコルも表示されることがあります。
詳細については、次の項を参照してください。
• 「IPv4 ネットワーク層情報の表示」
• 「IPv6 ネットワーク層情報の表示」
IPv4 ネットワーク層情報の表示
ライセンス:Protection
次のリストは、IPv4 パケットで表示される可能性があるプロトコル固有の情報について説明します。
Version
インターネット プロトコルのバージョン番号。
Header Length
すべての IP オプションを含む、見出しのバイト数。オプションのない IP 見出しの長さは 20 バイトです。
Differentiated Services Field
送信元ホストが明示的輻輳通知(ECN)サポートする方法を示す次の差別化サービスの値。
– 0x0
:ECN-Capable Transport(ECT)をサポートしません
– 0x1
および 0x2
:ECT をサポートします
– 0x3
:Congestion Experienced(CE)
Total Length
IP 見出しを差し引いた IP パケットの長さ(バイト単位)。
Identification
送信元ホストから送信される IP データグラムを一意的に識別する値。この値は同じデータグラム フラグメントをトレースするために使用されます。
Flags
IP フラグメンテーションを制御する値。
[Last Fragment] の値は、データグラムに関連付けられた追加のフラグメントが存在するかどうかを次のように示します。
– 0
:データグラムに関連付けられた追加のフラグメントは存在しない
– 1
:データグラムに関連付けられた追加のフラグメントが存在する
– [Don't Fragment] フラグの値は、データグラムをフラグメント化できるかどうかを次のように制御します。
– 0
:データグラムをフラグメント化できる
– 1
:データグラムをフラグメント化 してはならない
Fragment Offset
データグラムの先頭からのフラグメント オフセットの値。
Time to Live (ttl)
データグラムが期限切れになる前にデータグラムがルータ間で作成できるホップの数。
Protocol
IP データグラムにカプセル化されるトランスポート プロトコル。たとえば、ICMP、IGMP、TCP、または UDP。
Header Checksum
IP チェックサムが有効かどうかを示すインジケータ。チェックサムが無効な場合、データグラムが送信中に破損したか、侵入回避の試行において使用中である可能性があります。
Source/Destination
送信元(または宛先)ホストの IP アドレスまたはドメイン名。
ドメイン名を表示するには、IP アドレス解決を有効にする必要があることに注意してください。詳細については、「イベント ビュー設定の設定」を参照してください。
アドレスまたはドメイン名をクリックしてコンテキスト メニューを表示してから、whois 検索を実行する場合は [Whois] を、ホスト情報を表示する場合は [View Host Profile] を、アドレスをグローバル ブラックリストまたはホワイトリストに追加する場合は [Blacklist Now] または [Whitelist Now] を選択します。「ホスト プロファイルの使用」および「グローバル ホワイトリストおよびブラックリストの操作」を参照してください。
IPv6 ネットワーク層情報の表示
ライセンス:Protection
次のリストは、IPv6 パケットで表示される可能性があるプロトコル固有の情報について説明します。
Traffic Class
IPv4 で提供される差別化サービス機能と同じように、IPv6 パケット クラスまたは優先度を特定する IPv6 見出し内の Experimental 8 ビットのフィールド。 未使用の場合、このフィールドはゼロに設定されます。
Flow Label
非デフォルトの QoS またはリアルタイム サービスなどの特別なフローを特定する、1 から FFFF までの、オプションの 20 ビットの IPv6 16 進数値。未使用の場合、このフィールドはゼロに設定されます。
Payload Length
IPv6 ペイロードのオクテットの数を特定する 16 ビット フィールド。これは、任意の拡張子見出しを含む、IPv6 見出しに続くすべてのパケットで構成されます。
Next Header
IPv4 プロトコル フィールドと同じ値を使用して、IPv6 見出しのすぐ後に続く、見出しの種類を特定する 8 ビットのフィールド。
Hop Limit
パケットを転送するノードごとに 1 つずつデクリメントする 8 ビットの 10 進整数。デクリメントした値がゼロになると、パケットは破棄されます。
Source
送信元ホストの 128 ビットの IPv6 アドレス。
Destination
宛先ホストの 128 ビットの IPv6 アドレス。
トランスポート層情報の表示
ライセンス:Protection
パケット ビューで、トランスポート層プロトコル(たとえば [TCP]、[UDP]、または [ICMP])の横にある矢印をクリックして、パケットに関連した詳細情報を表示します。
ヒント (存在する場合)[Data] をクリックして、パケット ビューの [Packet Information] セクションで、プロトコルのすぐ上にあるペイロードの最初の 24 バイトを表示します。
次の各プロトコルのトランスポート層の内容は、以下で説明されています。
• 「TCP パケット ビュー」
• 「UDP パケット ビュー」
• 「ICMP パケット ビュー」
注 これらの例では、TCP、UDP、および ICMP パケットについて説明していることに注意してください。他のプロトコルも表示されることがあります。
TCP パケット ビュー
ライセンス:Protection
ここでは、TCP パケットのプロトコル固有の情報について説明します。
Source port
発信元のアプリケーション プロトコルを識別する番号。
Destination port
受信側のアプリケーション プロトコルを識別する番号。
Sequence number
TCP ストリームの初期シーケンス番号と連動する、現在の TCP セグメントの最初のバイトの値。
Next sequence number
応答パケットにおける、送信する次のパケットのシーケンス番号。
Acknowledgement number
以前に受信されたデータのシーケンス番号に連動したTCP 確認応答。
Header Length
見出しのバイト数。
Flags
TCP セグメントの転送状態を示す 6 ビット。
– U
:緊急ポインタが有効
– A
:確認応答番号が有効
– P
:受信者はデータをプッシュする必要がある
– R
:接続をリセットする
– S
:シーケンス番号を同期して新しい接続を開始する
– F
:送信者はデータ送信を終了した
Window size
受信ホストが受け入れる、確認応答されていないデータの量(バイト単位)。
Checksum
TCP チェックサムが有効かどうかを示すインジケータ。チェックサムが無効な場合、データグラムが送信中に破損したか、回避の試行において使用中である可能性があります。
Urgent Pointer
緊急データが終了する TCP セグメントの位置(存在する場合)。 U
フラグとともに使用します。
Options
TCP オプションの値(存在する場合)。
UDP パケット ビュー
ライセンス:Protection
ここでは、UDP パケットのプロトコル固有の情報について説明します。
Source port
発信元のアプリケーション プロトコルを識別する番号。
Destination port
受信側のアプリケーション プロトコルを識別する番号。
Length
UDP 見出しとデータを組み合わせた長さ。
Checksum
UDP チェックサムが有効かどうかを示すインジケータ。チェックサムが無効な場合、データグラムが送信中に破損した可能性があります。
ICMP パケット ビュー
ライセンス:Protection
ここでは、ICMP パケットのプロトコル固有の情報について説明します。
Type
ICMP メッセージのタイプ。
– 0:エコー応答
– 3:宛先到達不能
– 4:ソース クエンチ(始点抑制要求)
– 5:リダイレクト
– 8:エコー要求
– 9:ルータ アドバタイズメント
– 10:ルータ送信要求
– 11:時間超過
– 12:パラメータの問題
– 13:タイムスタンプ要求
– 14:タイムスタンプ応答
– 15:情報要求(廃止)
– 16:情報応答(廃止)
– 17:アドレス マスク要求
– 18:アドレス マスク応答
Code
ICMP メッセージ タイプに付随するコード。ICMP メッセージ タイプ 3、5、11、および 12 には、RFC 792 で説明されている対応コードがあります。
Checksum
ICMP チェックサムが有効かどうかを示すインジケータ。チェックサムが無効な場合、データグラムが送信中に破損した可能性があります。
パケット バイト情報の表示
ライセンス:Protection
パケット ビューで、[Packet Bytes] の横にある矢印をクリックして、パケットを構成するバイトの 16 進数および ASCII バージョンを表示します。
影響レベルを使用してイベントを評価する
ライセンス:Protection
イベントがネットワークに与える影響を評価するために、防御センターは侵入イベントのテーブル ビューに影響レベルを表示します。イベントごとに、防御センターは影響レベル アイコンを追加し、侵入データ、ネットワーク検出 データ、脆弱性情報との関係を色で示します。
注 NetFlow データに基づいてネットワーク マップに追加されたホストで使用可能なオペレーティング システム情報が存在しない場合、ホスト入力機能を使用してホストのオペレーティング システム ID を手動で設定しない限り、防御センターはこれらのホストに関係した侵入イベントに対して影響レベル [Vulnerable](影響レベル 1:赤)を割り当てることはできません。
次の表に、影響レベルで使用可能な値を示します。
表 18-6 影響レベル
|
|
|
|
|
不明 |
グレー |
送信元ホストと宛先ホストは両方ともネットワーク検出によってモニタされているネットワーク上に存在しません。 |
|
脆弱 |
レッド |
次のいずれかを意味します。 • 送信元ホストまたは宛先ホストはネットワーク マップ内にあり、脆弱性はホストにマッピングされます • 送信元ホストまたは宛先ホストは、ウイルス、トロイの木馬、または他の悪意のあるソフトウェアによって侵害される可能性があります。詳細については、「影響レベル 1 の設定」を参照してください。 |
|
潜在的に脆弱 |
オレンジ |
送信元ホストまたは宛先ホストはネットワーク マップ内にあり、次のいずれかに当てはまります。 • ポート指向のトラフィックの場合、ポートはサーバ アプリケーション プロトコルを実行しています • ポート指向ではないトラフィックの場合、ホストはプロトコルを使用します |
|
現在は脆弱ではない |
黄色 |
送信元ホストまたは宛先ホストはネットワーク マップ内にあり、次のいずれかに当てはまります。 • ポート指向のトラフィック(たとえば、TCP または UDP)の場合、ポートが開いていません • ポート指向ではないトラフィック(たとえば、ICMP)の場合、ホストはプロトコルを使用しません |
|
不明なターゲット |
ブルー |
送信元ホストまたは宛先ホストがモニタ対象のネットワークにありますが、ネットワーク マップ内にそのホストのエントリがありません。 |
テーブル ビューの影響レベルを使用してイベントを評価する方法:
アクセス:Admin/Intrusion Admin
ステップ 1 [Analysis] > [Intrusions] > [Events] を選択します。
デフォルトの侵入イベントのワークフローの最初のページが表示されます。別のデフォルト ワークフローの指定方法については、「イベント ビュー設定の設定」を参照してください。イベントが表示されない場合は、時間範囲の調整が必要になることがあります。「イベント時間の制約の設定」を参照してください。
ステップ 2 評価するイベントのみを表示するには、イベント ビューを制約します。
詳細については、「ドリルダウン ページとテーブル ビュー ページの使用」を参照してください。
ステップ 3 ページの上部にある [Table View of Events] をクリックします。
イベントのテーブル ビューが表示されます。[Impact] には、 「影響レベル」 の表に記載されているいずれかの値が入ります。
ステップ 4 影響レベルでテーブルをソートするには、[Impact] をクリックします。
イベントは影響レベルでソートされます。
ヒント ソート順序を反転させるには、もう一度 [Impact] をクリックします。
侵入イベントの検索
ライセンス:Protection
FireSIGHT システムで配信された定義済み検索を使用するか、または独自の検索基準を作成することによって特定の侵入イベントを検索できます。
定義済み検索は例として使用でき、これによりネットワークに関する重要な情報に素早くアクセスできます。デフォルトの検索内の特定のフィールドを変更して、使用するネットワーク環境に合わせてカスタマイズし、後で再利用できるようにそれらを保存することもできます。使用できる検索条件を次のリストに示します。
ヒント 侵入イベント検索で IP アドレスとポートを指定するための構文の詳細については、「検索での IP アドレスの指定」および「検索でのポートの指定」を参照してください。
保存済み検索のロードおよび削除方法を含む、検索の詳細については、「イベントの検索」を参照してください。
Priority
表示するイベントの優先度を指定します。優先度は、 priority
キーワードの値または classtype
キーワードの値に対応します。他の侵入イベントの場合、優先度はデコーダまたはプリプロセッサによって決まります。有効な値は、 high、medium
、および low
です。
Impact
侵入データとネットワーク検出 データの相互関係に基づいて、侵入イベントに割り当てる影響レベルを指定します。大文字と小文字を区別しない有効な値は、 Impact 0、Impact Level 0
、 Impact 1、Impact Level 1
、 Impact 2、Impact Level 2
、 Impact 3、Impact Level 3
、 Impact 4、
および Impact Level 4
です。
影響アイコンの色または部分文字列は使用しないでください(たとえば、 blue
、 level 1
、または 0
を使用しないでください)。
詳細については、「影響レベルを使用してイベントを評価する」を参照してください。
Inline Result
次のいずれかを入力してください。
– dropped
。パケットがインライン展開環境でパケットをドロップするかどうかを指定します
– would have dropped
。インライン展開環境でパケットをドロップするように侵入ポリシーが設定されている場合に、パケットをドロップするかどうかを指定します
侵入ポリシーのルールの状態またはインライン ドロップ動作にかかわらず、インライン インターフェイスがタップ モードになっている場合を含め、パッシブ展開環境ではシステムはパケットをドロップしないことに注意してください。詳細については、「ルール状態の設定」、「インライン展開での破棄動作の設定」、「パッシブ インターフェイスの設定」、および「タップ モード」を参照してください。
Source IP
侵入イベントに関連する送信元ホストが使用する IP アドレスを指定します。
Destination IP
侵入イベントに関連する宛先ホストが使用する IP アドレスを指定します。
Source/Destination IP
侵入イベントを表示するホストによって使用される送信元または宛先 IP アドレスを指定します。
Source Country
侵入イベントに関連する送信元ホストの国を指定します。
Destination Country
侵入イベントに関連する宛先ホストの国を指定します。
Source/Destination Country
表示する侵入イベントに関連する送信元または宛先ホストの国を指定します。
Source Continent
侵入イベントに関連する送信元ホストの大陸を指定します。
Destination Continent
侵入イベントに関連する宛先ホストの大陸を指定します。
Source/Destination Continent
表示する侵入イベントに関連する送信元または宛先ホストの大陸を指定します。
Original Client IP
X-Forwarded-For(XFF)または True-Client-IP HTTP 見出しから取得された、元のクライアント IP アドレスを指定します。侵入イベントのこのフィールドの値を取得するには、HTTP プリプロセッサ [Extract Original Client IP Address] オプションを有効にする必要があります。詳細については、「サーバレベル HTTP 正規化オプションの選択」を参照してください。
Protocol
http://www.iana.org/assignments/protocol-numbers にリストされた、接続で使用するトランスポート プロトコルの名前または番号を入力します。
侵入イベントのテーブル ビューには [Protocol] 列がないことに注意してください。これは、送信元および宛先ポート/ICMP の列と関連付けられたプロトコルです。
Source Port / ICMP Type
侵入イベントに関連する送信元ポートを指定します。
ヒント ICMP トラフィックの場合、ポートをターゲットとしないため、このフィールドを使用して特定の ICMP タイプのイベントを検索することができます。
Destination Port / ICMP Code
侵入イベントに関連する宛先ポートを指定します。
ヒント ICMP トラフィックの場合、ポートをターゲットとしないため、このフィールドを使用して特定の ICMP コードのイベントを検索することができます。
VLAN ID
侵入イベントをトリガーとして使用したパケットと関連付けられた内部 VLAN ID を指定します。
MPLS Label
侵入イベントをトリガーとして使用したパケットと関連付けられたマルチプロトコル ラベル スイッチング ラベルを指定します。
Message
表示するイベントのイベント メッセージのすべてまたは一部を指定します。
Classification
表示するイベントを生成したルールの分類番号を入力するか、分類名または説明のすべてまたは一部を入力します。また、番号、名前、または説明のコンマ区切りリストを入力することもできます。最後に、カスタム分類を追加した場合、その名前または説明のすべてまたは一部を使用して検索することもできます。分類の番号、名前、および説明のリストについては、 「ルール分類」 の表を参照してください。
Generator
「ジェネレータ ID」 の表にリストされた、表示するイベントを生成したコンポーネントを指定します。
Snort ID
イベントを生成したルールの Snort ID(SID)を指定するか、オプションで、ルールの複合ジェネレータ ID(GID)および SID を指定します。ここで、GID および SID は、コロン(:)で区切られ、GID:SID の形式になります。次の表の任意の値を指定できます。
表 18-7 Snort ID の検索値
|
|
単一の SID |
10000 |
SID の範囲 |
10000-11000 |
SID より大きい |
>10000 |
SID 以上 |
>=10000 |
SID 未満 |
<10000 |
SID 以下 |
<=10000 |
SID のコンマ区切りリスト |
10000,11000,12000 |
単一の GID:SID の組み合わせ |
1:10000 |
GID:SID の組み合わせのコンマ区切りリスト |
1:10000,1:11000,1:12000 |
SID および GID:SID の組み合わせのコンマ区切りリスト |
10000,1:11000,12000 |
詳細については、「プリプロセッサのジェネレータ ID の読み取り」を参照してください。
Snort ID 列は検索結果に表示されないことに注意してください。ユーザが表示するイベントの SID は [Message] 列にリストされます。
Source User
送信元ホストにログインしているユーザのユーザ ID を指定します。
Destination User
宛先ホストにログインしているユーザのユーザ ID を指定します。
Source/Destination User
送信元または宛先ホストにログインしているユーザのユーザ ID を指定します。
Application Protocol
侵入イベントをトリガーとして使用したトラフィックで検出された、ホスト間の通信を表すアプリケーション プロトコルの名前を入力します。
Client
侵入イベントをトリガーとして使用したトラフィックで検出されたモニタ対象のホストで実行されているソフトウェアを表す、クライアント アプリケーションの名前を入力します。
Web Application
侵入イベントをトリガーとして使用したトラフィックで検出された HTTP トラフィックの内容または要求された URL を表す、Web アプリケーションの名前を入力します。
Category、Tag(Application Protocol、Client、Web Application)
セッションで検出されたアプリケーションに関連するカテゴリまたはタグを入力します。複数のカテゴリまたはタグを指定する場合はカンマで区切ります。これらのフィールドに入力する文字列はすべて、大文字と小文字を区別しません。
Application Risk
セッションで検出されたアプリケーションに関連する最も高いリスクを入力します。有効な条件は次のとおりです。 Very High
、 High
、 Medium
、 Low
、および Very Low
。これらのフィールドに入力する文字列はすべて、大文字と小文字を区別しません。
Business Relevance
セッションで検出されたアプリケーションに関連する最も低いビジネスとの関連性を入力します。有効な条件は次のとおりです。 Very High
、 High
、 Medium
、 Low
、および Very Low
。これらのフィールドに入力する文字列はすべて、大文字と小文字を区別しません。
Security Zone (Ingress、Egress、Ingress/Egress)
イベントをトリガーとして使用したパケットと関連付けられたセキュリティ ゾーンの名前を指定します。これらのフィールドに入力する文字列はすべて、大文字と小文字を区別しません。「セキュリティ ゾーンの操作」を参照してください。
Device
アクセス コントロール ポリシーが適用されたデバイスを指定します。デバイス名、デバイス グループ、または IP アドレスを指定できます。「デバイスの管理」、「割り当てられたデバイス名の編集」、および「デバイス グループの管理」を参照してください。
スタック構成設定では、プライマリ デバイスとセカンダリ デバイスは、侵入イベントを別々にレポートすることに注意してください。詳細については、「スタックに含まれるデバイスの管理」を参照してください。
Security Context
トラフィックが通過した仮想ファイアウォール グループを特定するセキュリティ コンテキストの名前を入力します。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。
Interface(Ingress、Egress)
イベントをトリガーとして使用したパケットと関連付けられたインターフェイスの名前を入力します。「インターフェイスの設定」を参照してください。
Intrusion Policy
イベントと関連付けられた侵入ポリシー名を入力します。「侵入ポリシーの設定」を参照してください。
Access Control Policy
イベントと関連付けられたアクセス コントロール ポリシー名を入力します。「アクセス コントロール ポリシーの使用」を参照してください。
Access Control Rule
イベントと関連付けられたアクセス コントロール ポリシー名を入力します。「アクセス コントロール ルールの概要と作成」を参照してください。
HTTP Hostname
HTTP 要求のホスト 見出しから取得された単一のホスト名を指定します。
ホスト名を HTTP クライアント トラフィックの侵入イベントと関連付けるには、HTTP 検査プリプロセッサの [Log Headers] オプションを有効にする必要があります。詳細については、「サーバレベル HTTP 正規化オプションの選択」を参照してください。
HTTP URI
侵入イベントをトリガーとして使用した HTTP 要求パケットと関連付けられた単一 URI を指定します。
URI を HTTP クライアント トラフィックの侵入イベントと関連付けるには、HTTP 検査プリプロセッサの [Log URI] オプションを有効にする必要があります。詳細については、「サーバレベル HTTP 正規化オプションの選択」を参照してください。
Email Sender
SMTP MAIL FROM コマンドから取得された電子メール送信者のアドレスを指定します。また、コンマ区切りリストを入力して、すべての指定されたアドレスに関連付けられたイベントを検索することもできます。詳細については、「侵入イベントについて」を参照してください。
Email Recipient
SMTP RCPT TO コマンドから取得された電子メール受信者のアドレスを指定します。また、コンマ区切りリストを入力して、すべての指定されたアドレスに関連付けられたイベントを検索することもできます。詳細については、「侵入イベントについて」を参照してください。
Email Attachments
MIME の Content-Disposition 見出しから取得された MIME 添付ファイル名を指定します。リストのすべての添付ファイルのファイル名に関連付けられたイベントを検索するには、コンマ区切りリストを入力します。詳細については、「侵入イベントについて」を参照してください。
Email Headers
電子メール 見出しから取得したデータを指定します。電子メール 見出しは侵入イベントのテーブル ビューには表示されませんが、電子メール 見出し データは検索条件として使用できることに注意してください。
電子メール 見出しを SMTP トラフィックの侵入イベントと関連付けるには、SMTP プリプロセッサの [Log Headers] オプションを有効にする必要があります。詳細については、「SMTP デコードについて」を参照してください。
Reviewed By
イベントを確認したユーザの名前を指定します。「侵入イベントについて」を参照してください。
ヒント unreviewed
と入力すると、まだ確認されていないイベントを検索できます。
侵入イベントを検索する方法:
アクセス:Admin/Intrusion Admin
ステップ 1 [Analysis] > [Search] を選択します。
[Intrusion Events] 検索ページが表示されます。
侵入イベントのリストを表示しているときに([Analysis] > [Intrusions] > [Events])、[Search] をクリックすることもできます。
ステップ 2 オプションで、検索を保存する場合は、[Name] フィールドに検索の名前を入力します。
名前を入力しなかった場合、検索の保存時に名前が自動的に作成されます。
ステップ 3 手順の上の表に示されているように、該当するフィールドに検索条件を入力します。
検索でのオブジェクトの使用を含む、検索の構文の詳細については、「イベントの検索」を参照してください。
ステップ 4 他のユーザがアクセスできるように検索を保存する場合は、[Save As Private] チェック ボックスをクリアします。それ以外の場合は、このチェック ボックスを選択したままにして、検索をプライベートとして保存します。Administrator ロールを持つユーザはプライベートとして保存した検索であっても表示できることに注意してください。
カスタム ユーザ ロールに対するデータ制約として検索を使用する場合は、プライベート検索として保存する 必要があります 。
ステップ 5 次の選択肢があります。
• 検索を開始するには、[Search] をクリックします。
検索結果は、現在の時刻範囲によって制約される、デフォルトの侵入イベント ワークフローに表示されます。別のデフォルト ワークフローの指定方法については、「イベント ビュー設定の設定」を参照してください。
• 既存の検索を変更している場合に変更内容を保存するには、[Save] をクリックします。
• [Save as New Search] をクリックすると、検索条件が保存されます。検索は、後で実行できるように保存されます([Save As Private] を選択した場合は、ユーザ アカウントと関連付けられます)。
クリップボードの使用
ライセンス:Protection
クリップボードは、任意の侵入イベント ビューから侵入イベントをコピーできる保存エリアです。クリップボードにイベントを追加する方法については、「ドリルダウン ページとテーブル ビュー ページの使用」および「パケット ビューの使用」を参照してください。
クリップボードの内容は、イベントが生成された日時別にソートされます。クリップボードに侵入イベントを追加した後、クリップボードからそれらを削除することも、クリップボードの内容のレポートを生成することもできます。
クリップボードの侵入イベントをインシデントに追加することもできます。インシデントとは、セキュリティ ポリシーの違反の可能性に関係していると思われるイベントのコンパイルです。クリップボードからインシデントにイベントを追加する方法の詳細については、「インシデントの作成」を参照してください。
詳細については、次の項を参照してください。
• 「クリップボードのレポートの生成」
• 「クリップボードからのイベントの削除」
クリップボードのレポートの生成
ライセンス:Protection
任意のイベント ビューで行うのと同じように、クリップボードのイベントに関するレポートを生成できます。
クリップボードの侵入イベントのレポートを生成する方法:
アクセス:Admin/Intrusion Admin
ステップ 1 次のように、クリップボードに 1 つ以上のイベントを追加します。
• ドリルダウン ページまたはイベントのテーブル ビューからクリップボードにイベントを追加する方法については、「ドリルダウン ページとテーブル ビュー ページの使用」を参照してください。
• パケット ビューからクリップボードにイベントを追加する方法については、「パケット ビューの使用」を参照してください。
ステップ 2 [Analysis] > [Intrusions] > [Clipboard] を選択します。
クリップボードが表示されます。
ステップ 3 次の選択肢があります。
• クリップボード上のページの特定のイベントを含めるには、そのページに移動し、イベントの横にあるチェック ボックスを選択し、[Generate Report] をクリックします。
• クリップボードのすべてのイベントを含めるには、[Generate Report] をクリックします。
いずれの場合も、[Report Templates] ページが表示されます。
ステップ 4 レポートの表示方法を指定してから、[Generate] をクリックします。
[Generate Report] ポップアップ ダイアログが表示されます。
ステップ 5 1 つ以上の出力形式(HTML、PDF、CSV)を選択し、オプションで、他の設定を変更します。
ヒント レポート デザイナの使用方法の詳細については、「レポートの操作」を参照してください。
ステップ 6 [Generate] をクリックし、[Yes] をクリックします。
[Report Generation Complete] ポップアップ ウィンドウが、レポートを表示するリンクとともに表示されます。
ステップ 7 次のいずれかをクリックします。
• レポートのリンク。新しいウィンドウが開き、選択したレポートが表示されます。
• [OK]。レポートのデザインを変更できる [Report Templates] ページに戻ります。
クリップボードからのイベントの削除
ライセンス:Protection
インシデントに追加したくない侵入イベントがクリップボード上に存在する場合は、そのイベントを削除できます。
注 クリップボードからイベントを削除しても、イベント データベースからイベントは削除されません。ただし、イベント データベースからイベントを削除すると、イベントはクリップボードから削除されます。
イベントをクリップボードから削除する方法:
アクセス:Admin/Intrusion Admin
ステップ 1 [Analysis] > [Intrusions] > [Clipboard] を選択します。
クリップボードが表示されます。
ステップ 2 次の選択肢があります。
• クリップボード上のページの特定の侵入イベントを削除するには、そのページに移動し、イベントの横にあるチェック ボックスを選択し、[Delete] をクリックします。
イベントが削除されます。
• クリップボードのすべてのイベントを削除するには、[Delete All] をクリックします。
すべてのイベントがクリップボードから削除されます。[Event Preferences] で [Confirm 'All' Actions] オプションを選択した場合、最初にすべてのイベントを削除するかどうか確認するプロンプトが出されることに注意してください。