- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: システムのモニタリング
システムのモニタリング
FireSIGHT システムは、日常のシステム管理をサポートする多くの便利なモニタリング機能を、単一のページ上で提供します。たとえば、[Host Statistics] ページでは、基本的なホスト統計情報および侵入イベント情報に加え、当日の [Data Correlator] やネットワーク検出プロセスを監視できます。また、防御センターまたは管理対象デバイスで現在実行されているすべてのプロセスの概要と詳細情報を監視できます。以下の項では、システムに備わっているモニタリング機能について詳しく説明します。
•
「ホスト統計情報の表示」 では、次のようなホスト情報の表示方法について説明します。
•防御センターで、ヘルス モニタを使用して、ディスク使用状況を監視し、ディスク容量不足の状態をアラートすることもできます。詳細については、「ヘルス モニタリングについて」を参照してください。
•「システム ステータスとディスク領域使用率の監視」 では、基本的なイベントおよびディスク パーティションの情報を表示する方法について説明します。
•「システム プロセス ステータスの表示」 では、基本プロセスの状態を表示する方法について説明します。
•「実行中のプロセスについて」 では、アプライアンスで実行する基本システム プロセスについて説明します。
[Overview] > [Summary] にあるオプションを使用して、侵入イベントおよび検出イベントの統計情報を表示およびグラフ化することができます。詳細については、以下を参照してください。
ホスト統計情報の表示
[Statistics] ページには、次の内容の現在のステータスが表示されます。
•一般的なホスト統計情報。詳細については、 「ホスト統計情報」 の表を参照してください
•Data Correlator の統計情報(防御センターのみ、FireSIGHT が必要)。詳細については、 「Data Correlator プロセスの統計情報」 の表を参照してください
•侵入イベント情報(Protection が必要)。詳細については、 「侵入イベントの情報」 の表を参照してください
次の表に、[Statistics] ページにリストされているホスト統計情報を示します。
|
|
|
|---|---|
使用中のディスクの割合。詳細なホスト統計情報を表示するには、矢印をクリックします。詳細については、「システム ステータスとディスク領域使用率の監視」を参照してください。 |
|
システムで実行されているプロセスの概要。詳細については、「システム プロセス ステータスの表示」を参照してください。 |
FireSIGHT システムの展開に FireSIGHT のライセンスを使用した防御センターが含まれる場合、当日の [Data Correlator] やネットワーク検出プロセスも表示できます。管理対象デバイスがデータの取得、復号化、および分析を実行する際に、ネットワーク検出プロセスはデータをフィンガープリントおよび脆弱性データベースと関連付けてから、防御センターで実行中の Data Correlator で処理されるバイナリ ファイルを生成します。Data Correlator はバイナリ ファイルの情報を分析し、イベントを生成し、検出ネットワーク マップを作成します。
ネットワーク検出と Data Correlator に表示される統計情報は、デバイスごとに 0:00 から 23:59 までの間に収集された統計情報を使用した、当日の平均です。
次の表に、Data Correlator プロセスに表示される統計情報を示します。
|
|
|
|---|---|
管理対象デバイスおよびデバイスを管理する防御センターでは、前回の侵入イベントの日時、過去 1 時間および過去 1 日に発生したイベントの合計数、およびデータベース内のイベントの合計数を表示することもできます。
注 [Statistics] ページの [Intrusion Event Information] セクションにある情報は、防御センターに送信された侵入イベントではなく、管理対象デバイスに保存されている侵入イベントに基づいています。侵入イベントがローカルで保存されないようにデバイスを管理する場合、このページには侵入イベントの情報は表示されません。これは、イベントをローカルで保存できない管理対象デバイスについても同様です。
次の表に、[Statistics] ページの [Intrusion Event Information] セクションに表示される統計情報を示します。
|
|
|
|---|---|
ステップ 1 [System] > [Monitoring] > [Statistics] を選択します。
ステップ 2 防御センターで、管理対象デバイスの統計情報をリストすることもできます。[Select Device(s)] ボックスから、[Select Devices] をクリックします。Shift キーまたは Ctrl キーを使用して、複数のデバイスを同時に選択することができます。
[Statistics] ページは、選択したデバイスの統計情報で更新されます。
システム ステータスとディスク領域使用率の監視
[Statistics] ページの [Disk Usage] セクションは、カテゴリ別およびパーティション ステータス別に、ディスク使用率のクイック概要を示します。マルウェア ストレージ パックがデバイスにインストールされている場合、そのパーティション ステータスも確認できます。このページを定期的に監視して、システム プロセスおよびデータベースで十分なディスク領域が使用可能であることを確認できます。
ヒント 防御センターで、ヘルス モニタを使用して、ディスク使用状況を監視し、ディスク容量不足の状態をアラートすることもできます。詳細については、「ヘルス モニタリングについて」を参照してください。
ステップ 1 [System] > [Monitoring] > [Statistics] を選択します。
ステップ 2 [By Category] 積み上げ横棒で、ディスク使用率カテゴリの上にポインタを移動すると、以下が(順番に)表示されます。
ディスク使用量カテゴリの詳細については、「Disk Usage ウィジェットについて」を参照してください。
ステップ 3 展開するには、[Total] の横にある下矢印をクリックします。
[Disk Usage] セクションが展開され、パーティションの使用状況が表示されます。マルウェア ストレージ・パックがインストールされている場合は、 /var/storage パーティションの使用状況も表示されます。
複数の管理対象デバイスが展開に含まれる場合、特定のデバイスによってディスク使用状況のデータを制約することもできます。
防御センターで、特定のデバイスのディスク使用状況の情報を表示するには、次の手順に従います。
ステップ 1 [Select Device(s)] ボックスからデバイス名を選択し、[Select Devices] をクリックします。
ページがリロードされ、選択した各デバイスのホスト統計情報が表示されます。
ステップ 2 展開するには、[Disk Usage] の横にある下矢印をクリックします。
システム プロセス ステータスの表示
[Host Statistics] ページの [Processes] セクションで、アプライアンスで現在実行中のプロセスを表示できます。これは、一般的なプロセス情報と、実行中の各プロセスに固有の情報を提供します。防御センターでデバイスを管理している場合、防御センターの Web インターフェイスを使用して、管理対象デバイスのプロセス ステータスを表示することができます。
|
|
|
|---|---|
nice 値。プロセスのスケジューリング優先度を示す値です。値は -20(最も高い優先度)から 19(最も低い優先度)までの範囲になります |
|
ステップ 1 [System] > [Monitoring] > [Statistics] を選択します。
ステップ 2 防御センターで、プロセス統計を表示するデバイスを [Select Device(s)] ボックスから選択し、[Select Devices] をクリックします。
ステップ 3 [Processes] の横にある下矢印をクリックします。
プロセス リストが展開され、実行中のタスクの数やタイプ、現在の時刻、現在のシステム稼働時間、システムの負荷平均、CPU、メモリ、およびスワップ情報などの、一般的なプロセス ステータス情報と、実行中の各プロセスに関する固有の情報がリストされます。
[Cpu(s)] は、以下の CPU 使用状況情報をリストします。
• nice 使用状況の割合(高い優先度を示す、負の nice 値を持つプロセスの CPU 使用状況)
nice 値は、システム プロセスのスケジュールされた優先度を示しており、-20(最も高い優先度)から 19(最も低い優先度)の範囲の値になります。
[Swap] は、以下のスワップ使用状況情報をリストします。
注 アプライアンスで実行されるプロセスのタイプの詳細については、「実行中のプロセスについて」を参照してください。
ステップ 1 [Processes] の横にある上矢印をクリックします。
実行中のプロセスについて
アプライアンスで実行されるプロセスには、デーモンと実行可能ファイルの 2 種類があります。デーモンは常に実行され、実行可能ファイルは必要に応じて実行されます。
•「実行可能ファイルおよびシステム ユーティリティについて」
システム デーモンについて
デーモンは、アプライアンスで継続的に実行されます。これにより、サービスが使用可能になり、必要に応じてプロセスが生成されるようになります。次の表では、[Process Status] ページに表示されるデーモンをリストし、その機能について簡単に説明します。
注 次の表は、アプライアンスで実行される可能性があるすべてのプロセスの包括的なリストではありません。
実行可能ファイルおよびシステム ユーティリティについて
システム上には、他のプロセスまたはユーザ操作によって実行される実行可能ファイルが数多く存在します。次の表に、[Process Status] ページで表示される実行可能ファイルについて説明します。
|
|
|
|---|---|
FireSIGHT で作成されるバイナリ ファイルを分析し、イベント、接続データ、およびネットワーク マップを生成します。 |
|
指定された入力を、ファイルおよびフォルダで検索するユーティリティ。標準 grep でサポートされていない正規表現の拡張セットをサポートします |
|
[Access Configuration] ページに加えられた変更に基づいてアクセス制限を処理します。アクセス権の設定の詳細については、「アプライアンスのアクセス リストの設定」を参照してください。 |
|
アプライアンスがアクティブであることを示す、ハートビート ブロードキャストを識別します。ハートビートはデバイスと防御センターの間の接続を維持するのに使用されます |
|
フィードバック