- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: ワークフローの概要と使用
- ワークフローのコンポーネント
- 事前定義ワークフローとカスタム ワークフローの比較
- 事前定義テーブルとカスタム テーブルのワークフローの比較
- 事前定義の侵入イベント ワークフロー
- 事前定義のマルウェア ワークフロー
- 事前定義のファイル ワークフロー
- 事前定義されたキャプチャ ファイル ワークフロー
- 事前定義の接続データ ワークフロー
- 事前定義のセキュリティ インテリジェンス ワークフロー
- 事前定義のホスト ワークフロー
- 事前定義の侵害の痕跡ワークフロー
- 事前定義のアプリケーション ワークフロー
- 事前定義のアプリケーション詳細ワークフロー
- 事前定義のサーバ ワークフロー
- 事前定義のホスト属性ワークフロー
- 事前定義のディスカバリ イベント ワークフロー
- 事前定義のユーザ ワークフロー
- 事前定義の脆弱性ワークフロー
- 事前定義のサードパーティの脆弱性ワークフロー
- 事前定義の相関およびホワイトリスト ワークフロー
- 事前定義のシステム ワークフロー
- 保存済みのカスタム ワークフロー
- ワークフローの使用
ワークフローの概要と使用
ワークフローは防御センターの Web インターフェイス上でユーザに合わせて作成された一連のデータ ページで、アナリストはワークフローを使用して、システムで生成されたイベントを評価することができます。防御センターには、次の 3 つのタイプのワークフローがあります。
•
事前定義ワークフロー :システムにインストールされているプリセット ワークフローで、ユーザは変更または削除できません。
• 保存済みのカスタム ワークフロー :事前に定義されているカスタム ワークフローで、ユーザは変更または削除できます。
• カスタム ワークフロー :ユーザが作成し、自身のニーズに合わせてカスタマイズするワークフローです。
たとえば、侵入イベントを分析する場合は、このタスク用に作成されたいくつかの事前定義ワークフローから選択することができます。
ワークフローに表示されるデータは、ほとんどの場合、管理対象デバイスのライセンスおよび導入方法、データを提供する機能を設定しているかどうか(シリーズ 2 アプライアンスの場合は、アプライアンスがデータを提供する機能をサポートしているかどうか)によって異なります。たとえば、DC500 防御センターおよび シリーズ 2 のデバイスは、カテゴリおよびレピュテーションによる URL フィルタリングをサポートしていないため、DC500 防御センターではこの機能のデータが表示されず、シリーズ 2 デバイスはこのデータを検出しません。
事前定義ワークフローおよびカスタム ワークフローの使用に関する詳細は、次の項を参照してください。
ヒント カスタム ワークフローを、イベント レポートのベースとして使用することもできます。詳細については、「レポートの操作」を参照してください。
ワークフローのコンポーネント
ワークフローには、以下の項に記載されているように、複数のタイプのページを含めることができます。
テーブル ビューには、ワークフローのベースとなるデータベースの各フィールドに対するカラムが含まれています。
たとえば、検出イベントのテーブル ビューには、[Time]、[Event]、[IP Address]、[User]、[MAC Address]、[MAC Vendor]、[Port]、[Description]、および [Device] カラムが含まれています。
また、サーバのテーブル ビューには、[Last Used]、[IP Address]、[Port]、[Protocol]、[Application Protocol]、[Vendor]、[Version]、[Web Application]、[Application Risk]、[Business Relevance]、[Hits]、[Source Type]、[Device]、および [Current User] カラムが含まれています。
ドリルダウン ページには、データベースで使用できるカラムのサブセットが含まれています。
たとえば、検出イベントのドリルダウン ページには、[IP Address]、[MAC Address]、および [Time] カラムのみが含まれています。また、侵入イベントのドリルダウン ページには、[Priority]、[Impact Flag]、[Inline Result]、および [Message] カラムが含まれています。
一般的にドリルダウン ページは、テーブル ビューのページに移動する前にユーザが使用して調査対象を絞り込むための中間ページです。
接続データに基づくワークフローには、グラフ ページ( 接続グラフ とも呼ばれる)を含めることができます。
たとえば接続グラフには、一定期間にシステムで検出された接続の数を示す線グラフを表示することができます。一般的に接続グラフは、ドリルダウン ページと同様に、ユーザが調査対象を絞り込むために使用する中間ページです。詳細については、「接続グラフの使用」を参照してください。
ワークフローの最終ページは、ワークフローがベースとするイベントのタイプによって異なります。
–ホスト ビューは、アプリケーション、アプリケーションの詳細、検出イベント、ホスト、侵害の痕跡(IOC)、サーバ、または任意のタイプの脆弱性に基づいたワークフローの最終ページです。このページからホスト プロファイルを表示することにより、ユーザは、複数のアドレスを持つホストに関連付けられているすべての IP アドレス上のデータを簡単に表示することができます。詳細については、「ホスト プロファイルの使用」を参照してください。
–ユーザの詳細ビューは、ユーザ、およびユーザ アクティビティに基づいたワークフローの最終ページです。詳細については、「ユーザの詳細とホストの履歴について」を参照してください。
–脆弱性の詳細ビューは、シスコの脆弱性に基づいたワークフローの最終ページです。詳細については、「脆弱性の詳細の表示」を参照してください。
–パケット ビューは、侵入イベントに基づいたワークフローの最終ページです。詳細については、「パケット ビューの使用」を参照してください。
他の種類のイベント(監査ログ イベントやマルウェア イベントなど)に基づいたワークフローには、最終ページがありません。
• 「事前定義テーブルとカスタム テーブルのワークフローの比較」
• 「事前定義のセキュリティ インテリジェンス ワークフロー」
事前定義ワークフローとカスタム ワークフローの比較
FireSIGHT システムには、(これ以降の項で説明されている) 事前定義 ワークフローのセットが付随しており、ユーザはこれを使用して、イベントや収集した他のデータを分析することができます。
カスタム ワークフローは、組織に特有のニーズに合わせて作成するワークフローです。カスタム ワークフローを作成する場合は、ワークフローのベースとなるイベント(またはデータベース テーブル)の種類を選択します。防御センターでは、カスタム ワークフローをカスタム テーブルのベースにすることができます。また、カスタム ワークフローに含まれるページを選択することもできます。カスタム ワークフローには、ドリルダウン、テーブル ビュー、ホストまたはパケット ビューのページを含めることができます。
防御センターには、いくつかの 保存済みのカスタム ワークフロー が付属しています。このワークフローは、防御センターに付属している保存済みのカスタム テーブルに基づいています。事前定義のテーブルとカスタム テーブルに基づいたワークフローの違いについては、次の項 事前定義テーブルとカスタム テーブルのワークフローの比較で説明します。
事前定義テーブルとカスタム テーブルのワークフローの比較
カスタム テーブルの機能を使用して、複数のイベント タイプのデータを使用するテーブルを作成することができます。これにより、たとえば、ユーザが侵入イベントのデータと検出データを関連付けるテーブルおよびワークフローを作成して、重要なシステムに影響を及ぼすイベントを簡単に検索できるようになるため、役立ちます。カスタム テーブルの作成については、「カスタム テーブルの使用」を参照してください。
それぞれのカスタム テーブルにはデフォルトでワークフローが含まれており、これを使用して、テーブルに関連付けられているイベントを表示することができます。ワークフローの機能は、使用するテーブルのタイプによって異なります。たとえば、侵入イベント テーブルに基づいたカスタム テーブルのワークフローは、必ずパケット ビューで終了します。ただし、検出イベントに基づいたカスタム テーブルのワークフローは、必ずホスト ビューで終了します。
事前定義のイベント テーブルに基づいたワークフローとは異なり、カスタム テーブルに基づいたワークフローには、他のタイプのワークフローへのリンクがありません。
事前定義の 侵入イベント ワークフロー
次の表で、FireSIGHT システムに含まれている事前定義の侵入イベント ワークフローについて説明します。これらのワークフローへのアクセスについては、「侵入イベントの表示」および「侵入イベントについて」を参照してください。
事前定義のマルウェア ワークフロー
次の表で、防御センターに含まれている事前定義のマルウェア ワークフローについて説明します。すべての事前定義のマルウェア ワークフローは、マルウェア イベントのテーブル ビューを使用します。
DC500 シリーズ 2 防御センターおよび シリーズ 2 のデバイスは、ネットワークベースの高度なマルウェア対策をサポートしていないため、DC500 防御センターではこの機能のデータが表示されず、シリーズ 2 デバイスはこのデータを検出しないことに注意してください。
マルウェア イベントへのアクセスについては、「マルウェア イベントの操作」を参照してください。
事前定義のファイル ワークフロー
次の表で、防御センターに含まれている事前定義のファイル イベント ワークフローについて説明します。すべての事前定義のファイル イベント ワークフローは、ファイル イベントのテーブル ビューを使用します。ファイル イベントへのアクセスについては、「ファイル イベントの操作」を参照してください。
事前定義されたキャプチャ ファイル ワークフロー
次の表で、防御センターに含まれている事前定義のキャプチャ ファイルワークフローについて説明します。すべての事前定義のキャプチャ ファイル ワークフローは、キャプチャ ファイルのテーブル ビューを使用します。
DC500 シリーズ 2 防御センターおよび シリーズ 2 のデバイスは、ネットワークベースの高度なマルウェア対策をサポートしていないため、DC500 防御センターではこの機能のデータが表示されず、シリーズ 2 デバイスはこのデータを検出しないことに注意してください。
キャプチャ ファイルへのアクセスについては、「キャプチャ ファイルの操作」を参照してください。
|
|
|
|---|---|
このワークフローは、タイプ、カテゴリ、および脅威のスコアに基づいてキャプチャ ファイルについての詳細な情報を提供します。 |
|
このワークフローは、キャプチャ ファイルが動的解析用に送信されたかどうかに基づいて、キャプチャ ファイルのカウントを提供します。 |
事前定義の接続データ ワークフロー
次の表で、防御センターに含まれている事前定義の接続データ ワークフローについて説明します。すべての事前定義の接続データ ワークフローは、接続データのテーブル ビューを使用します。接続データへのアクセスについては、「接続およびセキュリティ インテリジェンスのデータの表示」を参照してください。
事前定義のセキュリティ インテリジェンス ワークフロー
サポート対象デバイス:シリーズ 3、Virtual、X-Series、ASA FirePOWER
次の表で、防御センターに含まれている事前定義のセキュリティ インテリジェンス ワークフローについて説明します。すべての事前定義のセキュリティ インテリジェンス ワークフローは、セキュリティ インテリジェンス イベントのテーブル ビューを使用します。セキュリティ インテリジェンス イベント データへのアクセスについては、「接続およびセキュリティ インテリジェンスのデータの表示」を参照してください。
事前定義のホスト ワークフロー
次の表で、ホスト データで使用できる事前定義のワークフローについて説明します。
|
|
|
|---|---|
このワークフローには、ホストのテーブル ビューが含まれており、その後にホスト ビューが続きます。ホスト テーブルに基づいたワークフロー ビューにより、ホストに関連付けられているすべての IP アドレスに関するデータを簡単に表示することができます。詳細については、「ホストの表示」を参照してください。 |
|
このワークフローを使用して、ネットワークで使用されているオペレーティング システムを分析することができます。このワークフローには一連のページがあり、ネットワーク上のオペレーティング システム、およびオペレーティング システムのベンダーのリストを示すページから始まり、オペレーティング システムの各バージョンを実行しているホスト数を示すページが続きます。次のページには、重要度、IP アドレス、および NetBIOS 名別にホストがリストされ、関連するオペレーティング システムおよびオペレーティング システムのベンダーも示されます。このワークフローは、ホストのテーブル ビュー、およびその後に続くホスト ビューで終了します。詳細については、「ホストの表示」を参照してください。 |
事前定義の侵害の痕跡ワークフロー
次の表は、IOC(侵害の痕跡)データで使用できる事前定義のワークフローについて説明します。
|
|
|
|---|---|
このワークフローは、カウントおよびカテゴリによってグループ化された IOC データの概要ビューで始まり、その後で、イベント タイプによってサマリー データを細分化した詳細ビューが示されます。次に、IOC データの完全なテーブル ビューが示されます。このワークフローは、ホスト ビューで終了します。IOC データの表示と解釈の詳細については、「侵害の痕跡の使用」を参照してください。 |
|
このワークフローを使用して、ネットワーク上のどのホストが最も侵害されそうかを(IOC データに基づいて)判断できます。このワークフローには、IOC データ カウント別のホスト IP アドレスのビューが含まれており、その後に IOC データのテーブル ビューがあり、ホスト ビューで終了します。IOC データの表示と解釈の詳細については、「侵害の痕跡の使用」を参照してください。 |
事前定義のアプリケーション ワークフロー
次の表で、アプリケーション データで使用できる事前定義のワークフローについて説明します。
|
|
|
|---|---|
このワークフローを使用して、ネットワーク上で推定されるそれぞれのビジネスの関連性レベルの実行中アプリケーションを分析できます。これにより、ネットワーク リソースの適切な使用を監視することができます。このワークフローは、それぞれの関連性レベルのアプリケーションを実行しているホストのカウントで始まり、その後に対象のビジネスの関連性レベルおよびホスト カウントを持つ個々のアプリケーションのテーブルが続き、アプリケーションのテーブル ビュー、ホスト ビューと続きます。詳細については、「アプリケーションの表示」を参照してください。 |
|
このワークフローを使用して、ネットワーク上の各カテゴリ(電子メール、検索エンジン、ソーシャル ネットワークなど)の実行中アプリケーションを分析できます。これにより、ネットワーク リソースの適切な使用を監視することができます。このワークフローは、各カテゴリのアプリケーションを実行しているホストのカウントで始まり、その後に個々のアプリケーションを実行しているホストのカウント、アプリケーションのテーブル ビュー、ホスト ビューと続きます。詳細については、「アプリケーションの表示」を参照してください。 |
|
このワークフローを使用して、ネットワーク上で推定されるそれぞれのセキュリティ リスク レベルの実行中アプリケーションを分析できます。これにより、ユーザ アクティビティの潜在的なリスクを推定し、適切なアクションを実行することができます。このワークフローは、それぞれのリスク レベルのアプリケーションを実行しているホストのカウントで始まり、その後に対象のビジネスの関連性レベルおよびホスト カウントを持つ個々のアプリケーションのテーブルが続き、アプリケーションのテーブル ビュー、ホスト ビューと続きます。詳細については、「アプリケーションの表示」を参照してください。 |
|
このワークフローを使用して、ネットワーク上のアプリケーションおよび関連するホストの詳細情報を取得できます。これにより、ホスト アプリケーションのアクティビティについて詳しく調べることができます。このワークフローは、アプリケーションを実行する個々のホストの IP アドレスのリストで始まり、アプリケーションのテーブル ビュー、およびホスト ビューと続きます。 |
|
このワークフローを使用して、ネットワーク上で実行中のアプリケーションを分析できます。これにより、ネットワークがどのように使用されているか、概要を理解することができます。このワークフローは、個々のアプリケーションを実行しているホストのカウントで始まり、アプリケーションのテーブル ビュー、およびホスト ビューと続きます。詳細については、「アプリケーションの表示」を参照してください。 |
事前定義のアプリケーション詳細ワークフロー
次の表で、アプリケーションの詳細およびクライアント データで使用できる事前定義のワークフローについて説明します。
|
|
|
|---|---|
このワークフローを使用して、ネットワーク上のクライアント アプリケーションを詳しく分析することができます。このワークフローには、ネットワーク上のクライアント アプリケーションとアプリケーション製品のリスト、および各アプリケーションを実行しているホスト数のカウントを示す一連のページが含まれています。対象のアプリケーションの各バージョンを実行しているホストの数を表示できます。次のページでは、特定のホストに対して最も頻繁にアクセスしたアプリケーションを特定することができます。次にワークフローはクライアント アプリケーションのテーブル ビューを提供し、続いてホスト ビューを提供します。詳細については、「アプリケーションの詳細の表示」を参照してください。 |
|
このワークフローには、クライアント アプリケーションのテーブル ビューが含まれており、その後にホスト ビューが続きます。詳細については、「アプリケーションの詳細の表示」を参照してください。 |
事前定義のサーバ ワークフロー
次の表で、サーバ データで使用できる事前定義のワークフローについて説明します。
|
|
|
|---|---|
このワークフローを使用して、ネットワークで最も頻繁に使用されるアプリケーションを分析することができます。このワークフローには、アプリケーション、および各アプリケーションが存在するホストのカウントを示す一連のページが含まれています。さらに、各アプリケーションのベンダーとバージョンも示されます。ワークフローは、ホストごとのアプリケーションを示すテーブル ビュー、およびその後に続くホスト ビューで終了します。詳細については、「サーバの表示」を参照してください。 |
|
このワークフローを使用して、ネットワークで最もアクティブなアプリケーションを分析することができます。このワークフローには、アプリケーション、および各アプリケーションがアクセスされた頻度のカウントを示す一連のページが含まれています。さらに、各アプリケーションのベンダーとバージョンの情報も示されます。ワークフローは、ホストごとのアプリケーションを示すテーブル ビュー、およびその後に続くホスト ビューが含まれているページで終了します。詳細については、「サーバの表示」を参照してください。 |
|
このワークフローを使用して、検出されたサーバ アプリケーション プロトコルのベンダーおよびバージョンを詳しく分析することができます。ワークフローには、ベンダーに関連付けられているサーバのリストが含まれています。その後に、ベンダーとバージョンの両方に関連するサーバのリストが続き、サーバのテーブル ビューとホスト ビューで終了します。 |
|
このワークフローには、アプリケーションのテーブル ビューが含まれており、その後にホスト ビューが続きます。詳細については、「サーバの表示」を参照してください。 |
事前定義のホスト属性ワークフロー
次の表で、ホスト属性のデータで使用できる事前定義のワークフローについて説明します。
|
|
|
|---|---|
このワークフローを使用して、ネットワーク上のホストの IP アドレスおよびホストのステータスを監視することができます。このワークフローは、個々の IP アドレス、および現行のユーザ、ホストの重要度、注記、およびホワイトリストのコンプライアンスを示したホスト属性のテーブル ビューで始まります。そして、ホスト ビューで終了します。詳細については、「ホスト属性の表示」を参照してください。 |
事前定義のディスカバリ イベント ワークフロー
次の表で、ディスカバリ イベントのデータで使用できる事前定義のワークフローについて説明します。
|
|
|
|---|---|
このワークフローは、ディスカバリ イベントについてテーブル ビューの形式で詳細なリストを提供し、その後にホスト ビューが続きます。詳細については、「ディスカバリ イベント テーブルについて」を参照してください。 |
事前定義のユーザ ワークフロー
次の表で、防御センターに含まれている事前定義のユーザ ワークフローについて説明します。
|
|
|
|---|---|
このワークフローは、ユーザ イベントまたは LDAP サーバの接続から収集したユーザ情報のリストを提供します。ユーザ アイデンティティ ワークフローの詳細については、「ユーザの表示」を参照してください。 |
事前定義の脆弱性ワークフロー
次の表で、防御センターに含まれている事前定義の脆弱性ワークフローについて説明します。
|
|
|
|---|---|
このワークフローを使用して、データベース内のすべての脆弱性を示す脆弱性のテーブル ビューを確認することができます。その後に、ネットワーク上で検出されたホストに適合するアクティブな脆弱性のみのテーブル ビューが続きます。ワークフローは、脆弱性の詳細ビューで終了します。この詳細ビューには、ユーザの制約に一致するすべての脆弱性について詳しい説明が含まれています。詳細については、「脆弱性の表示」を参照してください。 |
事前定義のサードパーティの脆弱性ワークフロー
次の表で、防御センターに含まれている事前定義のサードパーティの脆弱性ワークフローについて説明します。
|
|
|
|---|---|
このワークフローを使用して、サードパーティの脆弱性が何個検出されたかを、モニタリング対象のネットワーク上のホスト IP アドレスごとにすぐに確認することができます。このワークフローは、サードパーティの脆弱性のテーブル ビュー、およびその後に続くホスト ビューで終了します。詳細については、「サードパーティの脆弱性の表示」を参照してください。 |
|
このワークフローを使用して、サードパーティの脆弱性が何個検出されたかを、サードパーティの脆弱性ソース(QualysGuard Scanner など)ごとにすぐに確認することができます。このワークフローは、中間のドリルダウン ページ上にこれらの脆弱性に関する詳細な情報を提供し、サードパーティの脆弱性のテーブル ビュー、およびその後に続くホスト ビューで終了します。詳細については、「サードパーティの脆弱性の表示」を参照してください。 |
事前定義の相関およびホワイトリスト ワークフロー
相関データ、ホワイトリスト イベント、ホワイトリスト違反、および修正ステータス イベントの各タイプについて、1 つの事前定義ワークフローが用意されています。
|
|
|
|---|---|
このワークフローには、相関イベントのテーブル ビューが含まれています。詳細については、「相関イベントの操作」を参照してください。 |
|
このワークフローには、ホワイトリスト イベントのテーブル ビューが含まれています。詳細については、「ホワイト リスト イベントの操作」を参照してください。 |
|
このワークフローは、1 つ以上のホワイトリストに違反しているすべてのホスト IP アドレスを示す一連のページを提供します。最初のページはアドレスごとの違反の数に基づいてアドレスをソートし、違反数が最も多い IP アドレスがリストの最上部に示されます。あるホスト IP アドレスが複数のホワイトリストに違反している場合、違反したそれぞれのホワイトリストに対して別の行が示されます。ワークフローには、すべての違反を示すホワイトリスト違反のテーブル ビューも含まれ、最後に検出された違反がリストの最上部に示されます。テーブルの各行には、検出された 1 つの違反が含まれます。詳細については、「ホワイト リスト違反の処理」を参照してください。 |
|
ワークフローには、すべての違反を示すホワイトリスト違反のテーブル ビューも含まれ、最後に検出された違反がリストの最上部に示されます。テーブルの各行には、検出された 1 つの違反が含まれます。詳細については、「ホワイト リスト違反の処理」を参照してください。 |
|
このワークフローには、修正ステータスのテーブル ビューが含まれています。このテーブル ビューには、違反したポリシーの名前、適用された修正の名前とステータスが含まれています。詳細については、「修復ステータス イベントの使用」を参照してください。 |
事前定義のシステム ワークフロー
FireSIGHT システムには、ルール更新のインポートやアクティブ スキャンの結果を表示するワークフロー、およびシステム イベント(監査イベントやヘルス イベント)などのいくつかの追加ワークフローが用意されています。
|
|
|
|---|---|
このワークフローには、監査イベントを示す監査ログのテーブル ビューが含まれています。詳細については、「監査レコードの表示」を参照してください。 |
|
このワークフローは、ヘルス モニタリング ポリシーによってトリガーされたイベントを表示します。詳細については、「ヘルス イベント テーブル ビューの操作」を参照してください。 |
|
このワークフローには、正常終了および失敗したルール更新のインポート両方の情報を示すテーブル ビューが含まれています。詳細については、「ルールの更新とローカル ルール ファイルのインポート」を参照してください。 |
|
このワークフローには、完了したそれぞれのスキャンを示すテーブル ビューが含まれています。詳細については、「アクティブ スキャンの結果での作業」を参照してください。 |
保存済みのカスタム ワークフロー
修正できない事前定義のワークフローだけでなく、防御センターには、保存済みのカスタム ワークフローがいくつか含まれています。これらのワークフローはそれぞれ 1 つのカスタム テーブルに基づいており、修正することができます。これらのワークフローへのアクセスについては、「カスタム テーブルに基づいたワークフローの表示」を参照してください。
|
|
|
|---|---|
Events by Impact, Priority, and Host Criticality(影響、優先度、およびホストの重大度に基づいたイベント) |
このワークフローを使用して、ネットワークにとって重要で、現在は脆弱な状態にあり、攻撃を受ける可能性があるようなホストをすばやく見つけて表示することができます。 デフォルトでは、このワークフローは、影響レベルでソートされ、次にホストの重要度、さらにイベントの発生数でソートされたイベントの概要で始まります。ワークフローの 2 ページ目を使用して、特定のイベントが発生した送信元および宛先のアドレスに対してドリルダウンし、表示することができます。ワークフローは、[Intrusion Events with Destination Criticality] のテーブル ビュー、およびパケット ビューで終了します。このワークフローは、[Intrusion Events with Destination Criticality] カスタム テーブルに基づいています。詳細については、「カスタム テーブルについて」を参照してください。 |
このワークフローは、イベントおよびイベントのタイプを、イベントの優先度の順に表示し、各イベントが発生した回数も示します。 このワークフローは、優先度のレベル、分類、および表示されている各イベントのカウントが含まれているドリルダウン ページから始まります。ワークフローの最終ページは、イベントのテーブル ビューとパケット ビューです。このワークフローは、[Intrusion Events] カスタム テーブルに基づいています。詳細については、「カスタム テーブルについて」を参照してください。 |
|
Events with Destination, Impact, and Host Criticality(宛先、影響、およびホストの重大度に基づいたイベント) |
このワークフローを使用して、ネットワークにとって重要で、現在脆弱な状態にあるホスト上の最近の攻撃を見つけることができます。 デフォルトでは、このワークフローは、影響レベルでソートされた最近のイベントのリストで始まります。ワークフローの次のページは、[Intrusion Events with Destination Criticality] のテーブル ビューを提供し、その後にパケット ビューが続きます。このワークフローは、[Intrusion Events with Destination Criticality] カスタム テーブルに基づいています。詳細については、「カスタム テーブルについて」を参照してください。 |
Hosts with Servers Default Workflow(サーバに接続しているホストのデフォルト ワークフロー) |
このワークフローを使用して、[Hosts with Servers] カスタム テーブルの基本情報をすばやく表示することができます。 デフォルトでは、このワークフローはサーバに接続しているホストのテーブル ビューで始まり、その後にホスト ビューが続きます。このワークフローは、[Hosts with Servers] カスタム テーブルに基づいています。詳細については、「カスタム テーブルについて」を参照してください。 |
Intrusion Events with Destination Criticality Default Workflow(宛先の重大度に基づく侵入イベントのデフォルト ワークフロー) |
このワークフローを使用して、Intrusion Events with Destination Criticality カスタム テーブルの基本情報をすばやく表示することができます。 デフォルトでは、このワークフローは Intrusion Events with Destination Criticality のテーブル ビューで始まり、その後にパケット ビューが続きます。このワークフローは、[Intrusion Events with Destination Criticality] カスタム テーブルに基づいています。詳細については、「カスタム テーブルについて」を参照してください。 |
Intrusion Events with Source Criticality Default Workflow(送信元の重大度に基づく侵入イベントのデフォルト ワークフロー) |
このワークフローを使用して、[Intrusion Events with Source Criticality] カスタム テーブルの基本情報をすばやく表示することができます。 デフォルトでは、このワークフローは [Intrusion Events with Source Criticality] のテーブル ビューで始まり、その後にパケット ビューが続きます。このワークフローは、[Intrusion Events with Source Criticality] カスタム テーブルに基づいています。詳細については、「カスタム テーブルについて」を参照してください。 |
このワークフローを使用して、ネットワーク上で最も頻繁に使用されているサーバ、およびそれらのサーバを実行しているホストを決定できます。 デフォルトでは、このワークフローは、各サービスにアクセスする頻度が示されたサーバの概要で始まります。次のページには、オペレーティング システムのベンダーとバージョンごとにサーバが示されます。このワークフローは、サーバを実行しているホストのテーブル ビュー、およびその後に続くホスト ビューで終了します。このワークフローは、[Hosts with Servers] カスタム テーブルに基づいています。詳細については、「カスタム テーブルについて」を参照してください。 |
ワークフローの使用
ワークフローのドリル ダウンおよびテーブル ビューのページを使用して、データのビューをすばやく絞り込むことができます。これにより、分析にとって重要なイベントに集中することが可能です。ワークフローのタイプによってデータは異なりますが、すべてのワークフローが共通の機能セットを共有しています。以降の項では、これらの機能について、およびこれらの機能の使用方法について説明します。
• 「ワークフローの選択」では、ワークフローの選択ページについて、および使用するワークフローを選択する方法について説明します。
• 「ワークフローのツールバーについて」では、ワークフローで使用できるツールバー オプションについて説明します。
• 「ワークフローのページの使用」では、すべてのワークフロー ページに表示される機能について、およびそれらの機能の使用方法について説明します。
• 「イベント時間の制約の設定」では、イベントベースのワークフローに対して時間範囲を設定する方法について説明します。ワークフローには、指定された時間範囲に生成されたイベントが含まれます。
• 「イベントの制約」では、ワークフローでデータのビューを制約して(絞り込んで)、次のワークフロー ページに進むために使用する機能について説明します。
• 「複合的な制約の使用」では、複合的な制約の使用方法を説明し、その例を示します。
• 「ドリルダウン ワークフロー ページのソート」では、ワークフローで表示されるデータをソートする機能について、および表示するテーブル カラムを削除および復元する機能について説明します。
• 「ワークフロー ページの行の選択」では、表示されるテーブル内で、分析の対象とする、または他のアクションを実行するデータ行を選択する方法について説明します。
• 「ワークフロー内の他のページへのナビゲート」では、選択されたすべてのイベントを含め、制約を使用して現行のワークフローから他のワークフローをオープンする方法について説明します。
• 「ワークフロー間のナビゲート」では、[Jump to] ドロップダウン リストについて、およびこのリストを使用して現行の制約を他のワークフローに適用する方法について説明します。
• 「イベントの検索」では、イベント データの検索に使用する機能について説明します。
• 「ブックマークの使用」では、ブックマークの作成、管理、および使用方法について説明します。
ワークフローの選択
FireSIGHT システムは、次の表に記載されているデータのタイプに対して、事前定義のワークフローを提供しています。
|
|
|
|
|---|---|---|
上記の表に記載されているいずれかの種類のデータを表示する場合、そのデータのデフォルトのワークフローの最初のページにイベントが表示されます。
また、ワークフローのアクセスは、以下のとおりに、自身のユーザ ロールによって異なります(「ユーザ ロールの設定」を参照してください)。
• Administrator ユーザはすべてのワークフローにアクセスできます。また、Administrator は監査ログ、スキャン結果、およびルール更新のインポート ログにアクセスできる唯一のユーザです。
• Maintenance ユーザは、ヘルス イベントにアクセスできます。
• Security Analyst および Security Analyst(読み取り専用)ユーザは、侵入、マルウェア、ファイル、接続、ディスカバリ、脆弱性、相関、およびヘルスのワークフローにアクセスできます。
デフォルト以外のワークフローを使用してデータを表示する方法:
アクセス:Admin/Any Security Analyst
ステップ 1 「ワークフローを使用する機能」 の表に記載されているように、適切なメニュー パスとオプションを選択します。
対象のデータ タイプに対するデフォルト ワークフローの最初のページが表示されます。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。
ステップ 2 必要に応じて、別のワークフローを使用します。ワークフローのタイトルの隣にある [(switch workflow)] をクリックして、使用するワークフローを選択します。
ステップ 3 選択したワークフローの最初のページが表示されます。
ワークフローのツールバーについて
ワークフローの各ページには、関連する機能へすばやくアクセスするためのツールバーが含まれています。次の表に、ツールバー上の各リンクについて説明します。
|
|
|
|---|---|
後でそのページに戻れるように、現在のページをブックマークします。ブックマークすると、表示中のページに適用されている制約が取得され、(データがまだ存在していれば)後で同じデータに戻ることができます。ブックマークの作成については、「ブックマークの使用」を参照してください。 |
|
現在制約されているワークフローを選択基準として使用して、Report Designer を開きます。レポートの作成については、「イベント ビューからのレポート テンプレートの作成」を参照してください。 |
|
現行のワークフローに関連するダッシュボードを開きます。たとえば、[Connection Events(接続イベント)] ワークフローは [Connection Summary] ダッシュボードと関連付けられています。ダッシュボードの使用については、「ダッシュボードの使用」を参照してください。 |
|
ユーザが選択できる、保存したブックマークのリストを表示します。ブックマークの作成および管理については、「ブックマークの使用」を参照してください。 |
|
[Search] ページが表示され、ここでワークフローのデータについて高度な検索を実行することができます。下向きの矢印アイコンをクリックし、保存済みの検索を選択して使用することもできます。ワークフローの検索については、「イベントの検索」を参照してください。 |
ワークフローのページの使用
ユーザがワークフローのページ上で実行できるアクションは、ページのタイプによって異なります。テーブル ビュー ページおよびドリルダウン ページには、ユーザが表示するイベント セットの制約、またはワークフローへのナビゲートに使用できる多数の機能が含まれています。各タイプのページで使用できる機能の詳細については、以降の項を参照してください。
共通のテーブル ビューまたはドリルダウン ページ機能の使用
テーブル ビューおよびドリルダウン ワークフローのページでは、テーブル 見出しおよびテーブル行に一連のアイコンおよび他の機能が用意されています。これを使用して、表示されたデータについてアクションを実行できます。
|
|
|
|---|---|
ファイル名および SHA-256 ハッシュ値のカラムに表示されるネットワーク ファイルのトラジェクトリ アイコンをクリックして、ファイルのトラジェクトリ マップを新しいウィンドウに表示します。詳細については、「ネットワーク ファイル トラジェクトリの分析。」を参照してください。 DC500 防御センターおよび シリーズ 2 のデバイスはいずれもネットワークベースのマルウェア検出をサポートしていないため、これらのアプライアンスでは、ネットワークベースのマルウェアおよびファイル イベントに対するネットワーク ファイルのトラジェクトリは表示できないことに注意してください。 |
|
[IP address] カラムに表示されるホスト プロファイル アイコンをクリックして、IP アドレスに関連付けられているホスト プロファイルをポップアップ ウィンドウに表示します。詳細については、「ホスト プロファイルの使用」を参照してください。 侵害の痕跡(IOC)ルールによってトリガーされた侵害の可能性が存在するとタグ付けされたホストには、通常のアイコンではなく、侵害されたホストのアイコンが表示されます。IOC の詳細については、「侵害の兆候について」を参照してください。 ホスト プロファイルのアイコンがグレー表示になっている場合は、ネットワーク マップ内にそのホストが存在することができないため、ホスト プロファイルを表示できません( セキュリティ インテリジェンス データに基づいてトラフィックのフィルタリングを実行する場合は、接続イベントで、ブラックリストに記載されている監視対象の IP アドレスの隣にあるホスト アイコンが少し異なります。これは、接続においてどのホストがブラックリストに記載されているかを識別するのに役に立ちます。DC500 防御センターおよび シリーズ 2 のデバイスはセキュリティ インテリジェンスのデータをサポートしていないことに注意してください。 |
|
脅威スコアのカラムに表示される脅威スコアのアイコンをクリックし、Dynamic Analysis Summary レポートで、ファイルに関連付けられている最高の脅威スコアを表示します。 DC500 防御センターと シリーズ 2 のデバイスはネットワークベースのマルウェア対策をサポートしていないため、これらのアプライアンスでは Dynamic Analysis Summary レポートを表示することはできません。 |
|
ユーザ アイデンティティのカラムに表示されるユーザ アイコンをクリックして、ユーザのプロファイル情報を表示します。詳細については、「ユーザの詳細とホストの履歴について」を参照してください。 ユーザ アイコンがグレー表示になっている場合は、そのユーザがデータベース内に存在することができないため、ユーザ プロファイルは表示できません(FireAMP コネクタ ユーザなどの場合)。 |
|
サードパーティの脆弱性 ID のカラムに表示される脆弱性アイコンをクリックし、サードパーティの脆弱性について詳細を表示します。詳細については、「脆弱性の詳細の表示」を参照してください。 |
|
ページ上で複数の行のチェック ボックスを選択して、処理を反映させる行を表示し、ページの下部にあるいずれかのボタン([View] ボタンなど)をクリックします。行の先頭にあるチェック ボックスを選択して、ページ上のすべての行を選択することもできます。 |
|
接続イベント、侵入イベント、ファイル イベント、マルウェア イベントなどのワークフローのページの中には、ルート可能な IP アドレスに、関連する国の情報が含まれているものがあります。このような 地理情報 が使用可能な場合は、その国の国旗および ISO コードが該当するカラム([Source Country] など)に表示されます。国名を表示するには、ポインタを国旗の上に移動します。(集約されたデータではなく)個別のデータ ポイントを表示する場合は、国旗のアイコンをクリックして、詳細な地理情報を表示することができます。詳細については、「地理情報の使用」を参照してください。 |
|
データ ビューを制約する値が存在する場合に、その値を表示します。展開の矢印( 1 つの制約を解除するには、その制約をクリックします。複合的な制約を解除するには、[Compound Constraints] をクリックします。 現行の 1 つの制約により値が事前に挿入された検索ページを開くには、[Edit Search] または [Save Search] をクリックします。詳細については、「イベントの制約」を参照してください。 (注) 複合的な制約では、複数の不可算値を持つ行に基づいて制約が作成されます。複合的な制約について、検索および検索の保存を実行することはできません。 |
|
ページの右上隅に表示される日付範囲は、ワークフローに含めるイベントの時間範囲を設定します。詳細については、「イベント時間の制約の設定」を参照してください。 イベント ビューを時間によって制約している場合は、(グローバルかイベントに特有かに関係なく)アプライアンスに設定されている時間枠の範囲外に生成されたイベントがイベント ビューに表示されることがあることに注意してください。アプライアンスに対してスライドする時間枠を設定した場合でも、この状況が発生することがあります。 |
|
ワークフロー ページのリンクは、事前定義されたワークフロー テーブル ビュー、およびドリルダウン ページの左上隅の、イベントの上で、ワークフロー名の下に示されます。ワークフロー ページのリンクをクリックして、アクティブな制約を使用しているページを表示します。 |
|
ページの上部にワークフロー名が表示されます。該当する場合は、ワークフロー名の隣に([switch workflows])リンクがあります。これを使用して、同じタイプの他のワークフローを選択することができます。 |
(正常)
(マルウェア)
(カスタム検出)
(不明)
(利用不可)
(侵害の可能性がある)
(ブラックリスト登録済み)
(ブラックリスト登録済み、監視対象に設定)
(低脅威スコア)
(中脅威スコア)
(高脅威スコア)
(非常に高い脅威スコア)
)をクリックすると、アクティブな制約および無効なカラムのリストが表示され、縮小の矢印(地理情報の使用
ネットワークの監視中、 地理情報 機能によって、ルート可能な IP アドレスの地理的な送信元について、追加のデータ(国や大陸など)が提供されます。たとえば、このデータを使用して、自身の組織と未接続の国が接続の発信元または宛先であるかどうかを判断することができます。
地理情報は、侵入イベント、接続イベント、ファイル イベント、マルウェア イベント、ホスト プロファイル、およびユーザ プロファイルで使用することができます。地理情報は、Context Explorer およびダッシュボードでも使用できます。
この目的でカスタムな地理情報オブジェクトを作成するだけでなく、アクセス コントロール ルールの条件として地理情報データ(送信元および宛先の国/大陸)を使用することもできます。詳細については、「位置情報オブジェクトの操作」および 「位置情報条件の追加」を参照してください。
地理情報データベース(GeoDB)の更新をインストールすると [Geolocation Details] ページが表示され、IP アドレスに関して使用可能な詳細情報(郵便番号、緯度/経度の座標、タイム ゾーン、自律システム番号(ASN)、インターネット サービス プロバイダ(ISP)、使用タイプ(個人または会社)、組織、ドメイン名、接続タイプ、プロキシ情報など)が示されます。また、サードパーティの 4 つのマップ ツールのいずれかを使用して、検出された場所を特定することもできます。GeoDB が更新されていない場合は、国旗アイコンおよび国名のみが表示され、[Geolocation Details] ページを参照することはできません。GeoDB のインストールと更新については、「地理情報データベースについて」を参照してください。[Help] > [About] をクリックして GeoDB 更新の最新バージョンを表示することができます。
使用可能なデータに応じて、[Geolocation Details] ページに多数のフィールドが表示されることがあります。情報が含まれないフィールドは表示されません。次の表で、これらのフィールドの情報について示します。
ステップ 1 イベント ビュー、ホスト プロファイル、またはその他の地理情報をサポートしているページで、個々のデータ ポイントのそばに表示される小さい国旗のアイコンまたは ISO 国コードをクリックします (国旗のアイコンが存在しても、[Connection Summary] ダッシュボードなどで、集約的な地理情報から詳細を表示することはできません)。
ヒント イベント ビューで国旗のアイコンの上にポインタを移動すると、ツールチップとして国名が示されます。
[Geolocation Details] ページが新しいウィンドウに表示されます。
テーブル ビュー ページの使用
デフォルトでカラムが有効になっている場合、テーブル ビューには、データベースの各フィールドに対するカラムが含まれています。テーブル ビューでカラムを無効にし、そのカラムを無効にすることによって同じ行が複数生成される場合には、FireSIGHT システムはイベント ビューに [Count] カラムを追加します。テーブル ビュー ページで 1 つの値をクリックすると、その値によって制約することができます。カスタム ワークフローを作成する場合は、[Add Table View] をクリックしてテーブル ビューを追加します。
テーブル ビュー ページには、ドリルダウン、ホスト ビュー、パケット ビュー、または脆弱性の詳細ページでは利用できない追加機能が用意されています。次の表で、これらの機能の詳細な情報について説明します。
|
|
|
|---|---|
非表示にするカラムの見出しで、このアイコンをクリックします。表示されるポップアップ ウィンドウで、[Apply] をクリックします。 ヒント 他のカラムを表示または非表示にするには、[Apply] をクリックする前に、該当するチェック ボックスをオンまたはオフにします。 |
|
ページからカラムを削除した場合、またはデフォルトでカラムを無効になっている場合、[Disabled Columns] リストにカラム名が表示されます。このリストは、テーブルの上にありますが、デフォルトでは非表示になっています。 無効になったカラムをイベント ビューに戻すには、[Search Constraints] の展開アイコン( 詳細については、「ドリルダウン ワークフロー ページのソート」を参照してください。 |
ドリルダウン ページの使用
ドリルダウン ページには、データベースで使用できるカラムのサブセットが含まれています。事前定義のワークフローに対するドリルダウン ページには、必ず [Count] カラムがあることに注意してください。ドリルダウン ページでは、表示するイベントの範囲を絞り込んで、ワークフローの先へ進むことができます。ドリルダウン ページで 1 つの値をクリックすると(たとえば、その値によって制約を行い、ワークフローの次のページへ進むと)、選択した値に一致するイベントに絞り込むことができます。ドリルダウン ページで値をクリックした場合は、次のページがテーブル ビューであっても、値が存在するカラムは無効になりません。カスタム ワークフローを作成する場合は、[Add Page] をクリックして、ドリルダウン ページを追加します。
ドリルダウン ページの機能を使用して、ワークフローを移動するときにイベント セットを制約する方法の詳細については、「共通のテーブル ビューまたはドリルダウン ページ機能の使用」を参照してください。
ホスト ビュー、パケット ビュー、または脆弱性の詳細ページの使用
検出イベント、ホスト、ホスト属性、侵害の痕跡、サーバ、クライアント アプリケーション、または接続データのワークフローの最終ページはホスト ビューです。脆弱性のワークフローの最終ページは、脆弱性の詳細ページです。侵入イベントのワークフローは必ず、パケット ビューで終了します。ワークフローの最終ページで詳細セクションを展開して、ワークフローの進行中に絞り込んだセットの各オブジェクトについて、具体的な情報を表示することができます。Web インターフェイスは、ワークフローの最終ページに制約を表示しませんが、以前に設定した制約は保持されており、データのセットに適用されます。
イベント時間の制約の設定
各イベントには、そのイベントがいつ発生したかを示すタイム スタンプがあります。時間枠(時間範囲とも呼ばれる)を設定することによって、いくつかのワークフローに表示される情報を制約することができます。
時間によって制約できるイベントに基づいたワークフローには、ページの上部に次の図に示すような時間範囲を表す行が含まれています。
デフォルトでは、シスコ アプライアンス上のワークフローは、1 時間前が開始時間として設定された時間枠を使用します。たとえば、午前 11:30 にログインした場合、午前 10:30~11:30 の間に発生したイベントが表示されます。時間が経過するにしたがって、時間枠が拡張されます。午後 12:30 には、午前 10:30~午後 12:30 の間に発生したイベントが表示されます。
デフォルトで独自の時間枠を設定することによって、この動作を変更することができます。これにより、次の 3 つのプロパティが影響を受けます。
• 時間枠の数(複数の時間枠、または単一のグローバル時間枠)
デフォルトの時間枠の一般的な情報については、「デフォルトの時間枠」を参照してください。
ページの上部にある時間範囲をクリックして [Date/Time] ポップアップ ウィンドウを表示し、デフォルトの時間枠の設定に関係なく、イベントの分析中に時間枠を手動で変更することができます。設定した時間枠の数、および使用しているアプライアンスのタイプに応じて [Date/Time] ウィンドウを使用して、表示しているイベントのタイプに対するデフォルトの時間枠を変更することもできます。
時間枠を一時的に停止することもできます。このようにすると、時間枠を変更したり、対象外のイベントを削除または追加したりしなくても、ワークフローが提供するデータを調べることができます。ページの下部にあるリンクをクリックしてイベントの他のページを表示する場合は、異なるワークフロー ページで同じイベントを表示しないように、時間枠が自動的に一時停止することに注意してください。準備ができたら時間枠の一時停止を解除できます。
• 「時間枠の変更」
時間枠の変更
デフォルトの時間枠に関係なく、イベントの分析中に時間枠を手動で変更することができます。
注 手動による時間枠の設定は、現行のセッションに対してのみ有効です。いったんログアウトしてからもう一度ログインすると、時間枠はデフォルトにリセットされます。
ユーザが設定した時間枠の数によっては、1 つのワークフローの時間枠の変更が、アプライアンス上の他のワークフローに影響を与えることがあります。たとえば、単一のグローバルな時間枠がある場合、1 つのワークフローの時間枠を変更すると、アプライアンス上の他のすべてのワークフローの時間枠が変更されます。一方、複数の時間枠を使用している場合は、監査ログまたはヘルス イベント ワークフローの時間枠を変更しても、他の時間枠には影響がありませんが、他の種類のイベントで時間枠を変更すると、時間によって制約されるすべてのイベント(監査イベントとヘルス イベントは除く)が影響を受けます。
すべてのワークフローを時間によって制約できるわけではないため、時間枠の設定は、ホスト、ホスト属性、アプリケーション、アプリケーションの詳細、脆弱性、ユーザ、またはホワイトリスト違反に基づいたワークフローには影響を与えないことに注意してください。
[Date/Time] ウィンドウの [Time Window] タブを使用して、時間枠を手動で設定します。デフォルトの時間枠設定で設定した時間枠の数によって、タブのタイトルは以下のいずれかになります。
• [Events Time Window]:複数の時間枠を設定し、監査ログまたはヘルス イベント ワークフロー以外のワークフローに対して時間枠を設定している場合
• [Health Monitoring Time Window]:複数の時間枠を設定し、ヘルス イベント ワークフローに対して時間枠を設定している場合
• [Audit Log Time Window]:複数の時間枠を設定し、監査ログに対して時間枠を設定している場合
• [Global Time Window]:単一の時間枠を設定している場合
時間枠を設定する場合には、最初に、使用する時間枠のタイプを決定する必要があります。
• 静的な 時間枠は、特定の開始時間から特定の終了時間の間に生成されたすべてのイベントを表示します。
• 拡張 時間枠は、特定の開始時間から現在までの間に生成されたすべてのイベントを表示します。時間の経過とともに時間枠が拡張され、イベント ビューに新しいイベントが追加されます。
• スライディング 時間枠は、特定の開始時間(1 週間前など)から現在までの間に生成されたすべてのイベントを表示します。時間の経過とともに時間枠が「スライド」し、自身が設定した範囲(この例では、過去 1 週間)のイベントのみが表示されます。
選択するタイプによっては、[Date/Time] ウィンドウが変化し、さまざまな設定オプションを提供します。次の図は、拡張の時間枠を使用するよう指定した [Date/Time] ウィンドウを示しています。拡張の時間枠では、[End Time] カレンダーがグレー表示され、終了時間は「Now」と示されます。
スライディング時間枠を使用するよう選択すると、オプションがさらに変わります。
注 FireSIGHT システムは、タイム ゾーンのプリファレンスに指定された時間に基づいて、24 時間の時計を使用します。タイム ゾーンの設定の詳細については、「デフォルトのタイム ゾーンの設定」を参照してください。
次の表で、[Time Window] タブで設定できるさまざまな設定について説明します。
アクセス:Admin/Maint/Any Security Analyst
ステップ 1 時間に制約されるワークフローで、時間範囲のアイコン(
)をクリックします。
ステップ 2 [Time Window] タブで、 「時間枠の設定」 の表に記載されているように時間枠を設定します。
ヒント 時間枠をデフォルトの設定に戻すには、[Reset] をクリックします。
ウィンドウが閉じて、イベント ビュー ページに新しい時間枠のイベントが表示されます。
イベント タイプのデフォルトの時間枠の変更
イベントの分析中に、[Date/Time] ウィンドウの [Preferences] タブを使用し、表示しているイベントのタイプに対するデフォルトの時間枠を(イベント ビューの設定を使用せずに)変更することができます(「デフォルトの時間枠」を参照してください)。
この方法でデフォルトの時間枠を変更すると、表示しているイベントのタイプのデフォルト時間枠のみが変わります。たとえば、複数の時間枠を設定しており、[Preferences] タブでデフォルトの時間枠を変更すると、イベント、ヘルス モニタリング、または監査ログ ウィンドウのいずれかの設定が変更されます。つまり、最初のタブで示されている時間枠が変更されます。1 つの時間枠を設定している場合に、[Preferences] タブでデフォルトの時間枠を変更すると、イベントのすべてのタイプのデフォルト時間枠が変わります。
次の図は、複数の時間枠が設定されているアプライアンスにおける、[Preferences] タブの防御センター バージョンを示しています。
次の表で、[Preferences] タブで設定できるさまざまな設定について説明します。
アクセス:Admin/Maint/Any Security Analyst
ステップ 1 時間に制約されるワークフローで、時間範囲のアイコン( )をクリックします。
ステップ 2 [Preferences] タブを選択し、 「時間枠のプリファレンス」 の表に記載されているようにプリファレンスを変更します。
ステップ 3 [Save Preferences] をクリックします。
• 使用しているイベント ビューに新しいデフォルト時間枠の設定を適用するには、[Apply] をクリックして [Date/Time] ウィンドウを閉じてイベント ビューをリフレッシュします。
• デフォルトの時間枠設定を適用せずに分析を続けるには、[Apply] をクリックせずに [Date/Time] ウィンドウを閉じます。
時間枠の一時停止
時間枠を一時停止することができます。これにより、ワークフローで提供されたデータのスナップショットを調べることができます。一時停止されないワークフローが更新されると、調査するイベントが削除されたり、調査対象外のイベントが追加されたりすることがあるため、この機能は有用です。
静的な時間枠は一時停止できないので注意してください。また、イベント時間枠の一時停止はダッシュボードには影響を与えず、ダッシュボードの一時停止も時間枠の一時停止に影響しません。
分析が完了したら、時間枠の一時停止を解除できます。時間枠の一時停止を解除すると、プリファレンスに従って時間枠が更新されます。また、一時停止を解除した時間枠を反映するようにイベント ビューが更新されます。
1 つのワークフロー ページで表示できるイベントよりも多くのイベントがデータベースに含まれている場合は、ページの下部にあるリンクをクリックして、他のイベントを表示できます(「ワークフロー内の他のページへのナビゲート」を参照してください)。この際、同じイベントが 2 回表示されないように時間枠が自動的に一時停止します。準備ができたら、時間枠の一時停止を解除できます。
アクセス:Admin/Maint/Any Security Analyst
ステップ 1 時間枠のコントロールで、一時停止のアイコン(
)をクリックします。
アクセス:Admin/Maint/Any Security Analyst
ステップ 1 時間範囲のコントロールで、再生のアイコン(
)をクリックします。
時間枠の一時停止が解除され、プリファレンスに従って更新されます。現行の時間枠を反映するようにイベント ビューが更新されます。
イベントの制約
ワークフロー ページに表示される情報は、ユーザが設定した制約によって異なります。たとえばイベント ワークフローを最初に開いた場合、情報は、最後の 1 時間に生成されたイベントに制約されています。
ワークフローの次のページに進んで、表示されるデータを特定の値で制約する場合は、ページでこれらの値を持つ行を選択し、[View] をクリックします。現在の制約を保持し、すべてのイベントを含めた状態でワークフローの次のページに進むには、[View All] を選択します。
注 複数の不可算値を持つ行を選択し、[View] を選択すると、複合的な制約が作成されます。複合的な制約の詳細については、「複合的な制約の使用」を参照してください。
ワークフローのデータを制約するための 3 番目の方法があります 自身が選択した値を持つ行のみが表示されるようページを制約し、ページの上部に示される制約リストに選択した値を追加するには、ページの行で値をクリックします。
たとえば、次のイベントでページ上の [Initiator IP] カラムの [10.10.60.119] をクリックすると、
制約されたページには、この IP アドレスを持つイベントのみが示されます。
ヒント 監視ルールの条件に基づいて接続イベントを制約するための手順は少し異なり、いくつかの追加手順が必要になる場合があります。また、関連付けられているファイルや侵入情報によって接続イベントを制約することはできません。詳細については、「接続およびセキュリティ インテリジェンスのデータ テーブルの使用」を参照してください。
検索を使用して、ワークフローの情報を制約することもできます。検索ページで入力した検索条件はページの上部に制約として表示され、これに従って制約されたイベントが合わせて表示されます。防御センターでは、複合的な制約でない限り、他のワークフローにナビゲートしたときにも現在の制約が適用されます(「ワークフロー間のナビゲート」を参照してください)。
検索する場合は、検索対象のテーブルに検索の制約を適用するかどうかに注意する必要があります。たとえば、クライアント データは接続サマリーでは使用できません。接続で検出されたクライアントに基づいて接続イベントを検索し、結果を接続サマリー イベント ビューで表示すると、防御センターでは、制約が設定されていない場合と同じように接続データが表示されます。無効な制約は、非適用(N/A)とラベルが付けられ、取り消し線が付けられます。
次の表では、制約を適用する場合に実行できるそれぞれのアクションについて説明します。
|
|
|
|---|---|
| たとえば、記録された接続のリストを表示する場合に、アクセス制御を使用して、自身が許可したものだけがリストに示されるよう制約する場合は、[Action] カラムで [Allow] をクリックします。他の例では、侵入イベントを表示する場合に、宛先ポートが 80 のイベントのみがリストに示されるよう制約する場合は、[DST Port/ICMP Code] カラムで [80 (http)/tcp] をクリックします。 |
|
これらの値を持つイベントのチェック ボックスをオンにし、[View] をクリックします。 行に複数の不可算値が含まれている場合は、複合的な制約が追加されることに注意してください。複合的な制約の詳細については、「複合的な制約の使用」を参照してください。 |
|
[Search Constraints] ボックスで [Edit Search] をクリックします。 1 つのカラム内の複数の値について制約する場合は、この機能を使用します。たとえば、2 つの IP アドレスに関連しているイベントを表示する場合は、[Edit Search] をクリックし、[Search] ページで対象の [IP address] フィールドを変更して両方のアドレスが含まれるようにして、[Search] をクリックします。 |
|
[Search Constraints] ボックスで [Save Search] をクリックし、クエリに名前を指定します。 複合的な制約が含まれているクエリは保存できないことに注意してください。複合的な制約の詳細については、「複合的な制約の使用」を参照してください。 |
|
[Jump to] をクリックしてイベント ビューを選択します。詳細については、「ワークフロー間のナビゲート」を参照してください。 別のワークフローに切り替えると、複合的な制約は保持されないことに注意してください。複合的な制約の詳細については、「複合的な制約の使用」を参照してください。 |
|
複合的な制約の使用
複合的な制約は、特定のイベントに対するすべての不可算値に基づいています。複数の不可算値を持つ行を選択する場合は、ページ上の対象行におけるすべての不可算値と一致するイベントのみを取得する複合的な制約を設定します。たとえば、送信元 IP アドレスが 10.10.31.17 で、宛先 IP アドレスが 10.10.31.15 である行と、送信元 IP アドレスが 172.10.10.17 で宛先 IP アドレスが 172.10.10.15 である行を選択すると、次のすべての結果が取得されます。
• 送信元 IP アドレスが 10.10.31.17 で、かつ宛先 IP アドレスが 10.10.31.15 のイベント
• 送信元 IP アドレスが 172.10.31.17 で、かつ宛先 IP アドレスが 172.10.31.15 のイベント
複合的な制約と単純な制約を組み合わせると、複合的な制約の各セットに単純な制約が追加されます。たとえば、上記に記載されている複合的な制約に対して、プロトコル値 tcp の単純な制約を追加すると、次のすべての結果が取得されます。
• 送信元 IP アドレスが 10.10.31.17 で、かつ宛先 IP アドレスが 10.10.31.15 で、かつプロトコルが tcp であるイベント
• 送信元 IP アドレスが 172.10.31.17 で、かつ宛先 IP アドレスが 172.10.31.15 で、かつプロトコルが tcp であるイベント
複合的な制約について、検索および検索の保存を実行することはできません。また、別のワークフローに切り替えるのに、イベント ビューのリンクを使用した場合、または [(switch workflow)] をクリックした場合は、複合的な制約は保持できません。複合的な制約が適用されているイベント ビューをブックマークしても、制約はブックマークに保存されません。
テーブル ビュー ページのソートおよびレイアウトの変更
ワークフローのデータを表示する場合に、使用可能なカラムに基づいてデータをソートすることも、表示するカラムを削除して復元することもできます。カラムによってデータを昇順または降順でソートできます。
ヒント カスタム ワークフローを作成すると、ページ上のカラムの配置を完全にカスタマイズしたり、ページのソート順を事前定義したりできます。詳細については、「カスタム ワークフローの作成」を参照してください。
ドリルダウン ワークフロー ページのソート
ワークフローまたはイベント ビューのデータを表示する場合に、使用可能なカラムに基づいてデータをソートしたり、表示するカラムを削除して復元したりすることができます。カラムによってデータを昇順または降順でソートできます。矢印のアイコン(
)は、データのソート基準になっているカラム、およびソートが昇順である(上向き矢印のアイコン)か、または降順である(下向き矢印のアイコン)かを表します。
ヒント カスタム ワークフローを作成すると、ページ上のカラムの配置を完全にカスタマイズしたり、ページのソート順を事前定義したりできます。詳細については、「カスタム ワークフローの作成」を参照してください。
アクセス:Admin/Maint/Any Security Analyst
アクセス:Admin/Maint/Any Security Analyst
ワークフロー ページの行の選択
ワークフロー ページで行を選択し、処理を行うにはいくつかの方法があります。
• ページ上のすべての行を選択するには、ページの上部にあるチェック ボックスをオンにします。
ページの下部にあるいずれかのボタン([View] や [Delete] など)をクリックすると、そのページ上のすべてのイベントにそのアクションを実行することができます。
• 1 行を選択するには、それぞれの行の隣にあるチェック ボックスをオンにします。
ページの下部にあるいずれかのボタンをクリックすると、その行に関連付けられているイベントでのみ、そのアクションを実行することができます。
• 1 行を選択し、ワークフローの次のページでその行に関連するイベントを表示するには、矢印のアイコン(
)をクリックします。
ワークフロー内の他のページへのナビゲート
1 つのワークフロー ページで表示できるイベントよりも多くのイベントがデータベースに含まれている場合は、ページの下部にあるリンクをクリックして、さらにイベントを表示できます。
これらのリンクの 1 つをクリックすると時間枠が自動的に一時停止されるため、同じイベントが 2 回表示されません。準備ができたら時間枠の一時停止を解除できます。詳細については、「イベント時間の制約の設定」を参照してください。
|
|
|
|---|---|
ワークフロー間のナビゲート
ワークフロー ページの [Jump to...] ドロップダウン リストのリンクを使用して、他のワークフローへナビゲートできます。ドロップダウン リストを選択し、追加のワークフローを表示および選択します。
新しいワークフローを選択すると、(適切な場合は)、選択する行で共有されているプロパティおよび設定する制約が、新しいワークフローで使用されます。設定した制約またはイベントのプロパティが、新しいワークフローのフィールドにマップされない場合は、これらはドロップされます。また、ワークフローを切り替えた場合には、複合的な制約は保持されません。キャプチャ ファイルのワークフローの制約は、ファイルおよびマルウェアのイベント ワークフローのみに転送されます。
注 所定の時間範囲のイベント数を表示する場合、詳細なデータを利用できるイベントの数が、イベントの総数に反映されないことがあります。これは、ディスク領域の使用率を管理するために、古いイベントの詳細がシステムによってプルーニングされることがあるために発生します。イベント詳細のプルーニングを最小限にするために、対象の展開にとって最も重要なイベントだけを記録するようにイベント ロギングを調整できます。詳細については、「接続、ファイル、マルウェアに関する情報のロギング」を参照してください。
時間枠を一時停止するか、または静的な時間枠を設定していない場合、ワークフローを変更したときに時間枠も変更されることに注意してください。詳細については、「イベント時間の制約の設定」を参照してください。
[Jump to] ドロップダウン リストを使用すると、次のテーブルのワークフローにすばやくアクセスできます。
この機能により、疑わしいアクティビティの調査が強化されます。たとえば、接続データを表示していて、内部ホストが異常に大量のデータを外部サイトに転送していることに気付いた場合は、応答側の IP アドレスとポートを制約として選択し、[Applications] ワークフローへ移動することができます。[Applications] ワークフローは応答側の IP アドレスとポートを IP アドレスとポートの制約として使用し、アプリケーションの種類などの追加情報を表示することができます。ページの上部にある [Hosts] をクリックして、リモート ホストのホスト プロファイルを表示することもできます。
アプリケーションに関する詳細を検索した後で、[Correlation Events ] を選択して接続データ ワークフローに戻る、制約から応答側の IP アドレスを削除する、制約にイニシエータの IP アドレスを追加する、[Application Details] を選択して、データをリモート ホストに転送するときに開始側のホストでユーザがどのクライアントを使用しているかを確認する、といったことができます。ポートの制約は、[Application Details] ページには転送されないことに注意してください。ローカル ホストを制約として保持したまま、追加情報を検索するために他のナビゲート ボタンを使用することもできます。
• ローカル ホストがいずれかのポリシーに違反しているかどうかを検出するには、IP アドレスを制約として保持したままで [Jump to] ドロップダウン リストから [Correlation Events] を選択します。
• ホストに対して侵入ルールがトリガーされた(侵害を表している)かどうかを確認するには、[Jump to] ドロップダウン リストから [Intrusion Events] を選択します。
• ローカル ホストのホスト プロファイルを表示し、ホストが、悪用された可能性のある脆弱性の影響を受けやすくなっているかどうかを判断するには、[Jump to] ドロップダウン リストから [Hosts] を選択します。
ブックマークの使用
イベントの分析中に所定の場所および時間にすばやく戻りたい場合には、ブックマークを作成します。ブックマークは、次の情報を保持します。
あるユーザが作成したブックマークは、ブックマーク アクセスを持っているすべてのユーザ アカウントで利用できます。これは、より詳細な分析を必要とするイベント セットを見つけた場合、簡単にブックマークを作成し、適切な権限を持った他のユーザに調査を引き継ぐことが可能であることを意味します。
注 ブックマークに表示されているイベントが(ユーザによって直接、またはデータベースの自動クリーンアップによって)削除されると、そのブックマークにはイベントの元のセットは表示されません。
ブックマークの使用の詳細については、以下の項を参照してください。
• 「ブックマークの作成」では、新しいブックマークを作成する方法について説明します。
• 「ブックマークの表示」では、既存のブックマークを表示および使用する方法について説明します。
• 「ブックマークの削除」では、ブックマークを削除する方法について説明します。
ブックマークの作成
アクセス:Admin/Maint/Any Security Analyst
ステップ 1 イベントの分析中に、表示されている対象のイベントで [Bookmark This Page] をクリックします。
[Create a Bookmark] ページが表示されます。
ステップ 2 [Bookmark Name] フィールドで、ブックマークの名前を(最大 80 文字の英数字とスペースで)入力し、[Save Bookmark] をクリックします。
ブックマークが保存され、ブックマークしたイベントのページがもう一度表示されます。
ブックマークの表示
既存のブックマークを表示して使用するには、次の手順を使用します。
アクセス:Admin/Maint/Any Security Analyst
ステップ 1 イベント ビューから [View Bookmarks] をクリックします。
ステップ 2 使用するブックマークの隣にある [View] をクリックします。
注 最初にブックマークに表示されていたイベントが(ユーザによって直接、またはデータベースの自動クリーンアップによって)削除されると、そのブックマークにはイベントの元のセットは表示されません。
ブックマークの削除
ブックマークを削除するには、次の手順を使用します。ブックマークを削除しても、そのブックマークによって取得されるイベントは影響を受けないことに注意してください。
アクセス:Admin/Maint/Any Security Analyst
ステップ 1 イベント ビューから [View Bookmarks] をクリックします。
ステップ 2 削除するブックマークの隣にある [削除] をクリックします。
カスタムワークフローの使用
シスコが提供する事前定義のカスタム ワークフローがニーズに合わない場合は、カスタム ワークフローを作成することができます。
• 「カスタム ワークフローの作成」(カスタム ワークフローを作成する手順)
• 「カスタム接続データ ワークフローの作成」(接続データに基づいてカスタム ワークフローを作成する手順)
• 「カスタム ワークフローの表示」(イベントおよびカスタム テーブルに基づいてカスタム ワークフローを表示する手順)
• 「カスタム ワークフローの編集」(カスタム ワークフローを編集する手順)
• 「カスタム ワークフローの削除」(カスタム ワークフローを削除する手順)
カスタム ワークフローの作成
シスコが提供する事前定義のカスタム ワークフローがニーズに合わない場合は、カスタム ワークフローを作成することができます。
ヒント 新しいカスタム ワークフローを作成する代わりに、別のアプライアンスからカスタム ワークフローをエクスポートし、それを自身のアプライアンスへインポートすることができます。その後でニーズに合わせて、インポートしたワークフローを編集することができます。詳細については、「設定のインポートおよびエクスポート」を参照してください。
カスタム ワークフローを作成する場合は、次の操作を行います。
• ワークフローにドリル ダウン ページおよびテーブル ビュー ページを追加する
ワークフローの各ドリル ダウン ページでは、次のことができます。
• Web インターフェイスのページの上部に表示される名前を指定する
ワークフロー ページの順序において、任意の場所にテーブル ビュー ページを追加することができます。これらのページには編集可能なプロパティ(ページ名、ソート順、ユーザ定義可能なカラム位置など)がありません。
カスタム ワークフローの最終ページは、次の表に記載されているように、ワークフローのベースにしているテーブルによって異なります。これらの最終ページは、ワークフローを作成したときにデフォルトで追加されます。
|
|
|
|---|---|
アプライアンスは、他の種類のイベント(監査ログやマルウェア イベントなど)に基づいたカスタム ワークフローには最終ページを追加しません。
注 接続データに基づいてカスタム ワークフローを作成するための手順は少し異なります。詳細は、次の項 カスタム接続データ ワークフローの作成を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Custom] > [Custom Workflows] を選択します。
[Custom Workflows] ページが表示されます。
ステップ 2 [Create Custom Workflow] をクリックします。
[Edit Custom Workflow] ページが表示されます。
ステップ 3 [Name] フィールドにワークフローの名前を入力します。
名前には最大 60 文字の英数字およびスペースを使用できます。
ステップ 4 オプションで、[Description] フィールドに、ワークフローの説明を入力します。
ステップ 5 [Table] ドロップダウン リストから、対象とするテーブルを選択します。
ステップ 6 オプションで、[Add Page] をクリックして、ワークフローに 1 つ以上のドリルダウン ページを追加します。
最大 80 文字の英数字(スペースは不可)を使用して、[Page Name] フィールドにページの名前を入力します。
[Column 1] で、ソートの優先度およびテーブルのカラムを選択します。このカラムは、ページの最も左のカラムとして表示されます。たとえば、対象とする宛先ポートを示すページを作成し、カウントでページをソートするには、[Sort Priority] ドロップダウン リストから [2] を選択し、[Field] ドロップダウン リストから [DST Port/ICMP Code] を選択します。
ページに表示するすべてのフィールドの指定が完了するまで、フィールドを選択してソートの優先度の設定を続けます。1 ページにつき最大 5 個のフィールドを指定できます。
注 ステップ 5 で [Table Type] として [Vulnerabilities] を選択し、テーブル カラムとして [IP Address] を追加しても、検索機能を使用して特定の IP アドレスまたはアドレスのブロックを表示するようワークフローを制約しない限り、カスタム ワークフローを使用して脆弱性を表示する場合に [IP Address] カラムは表示されません。脆弱性の検索の詳細については、「脆弱性の検索」を参照してください。
ステップ 7 オプションで、[Add Table View] をクリックして、ワークフローにテーブル ビュー ページを追加します。
注 カスタム ワークフローには、イベントのドリルダウン ページまたはテーブル ビューを少なくとも 1 つ追加する必要があります。
新しいワークフローが保存され、カスタム ワークフローのリストに追加されます。
カスタム接続データ ワークフローの作成
接続データに基づいたカスタム ワークフローは他のカスタム ワークフローと似ていますが、ドリルダウン ページとテーブル ビュー ページだけでなく、接続データ グラフのページも含めることができます。必要に応じて、ワークフローにそれぞれのタイプのページを任意の数だけ、任意の順序で含めることができます。それぞれの接続データ グラフのページには 1 つのグラフ(線グラフ、棒グラフ、または円グラフ)が含まれます。線グラフと棒グラフには、複数のデータセットを含めることができます。接続のサマリー、接続グラフ、データセットなどの接続データの詳細については、「接続データについて」を参照してください。
ヒント 新しいカスタム ワークフローを作成する代わりに、別のアプライアンスからカスタム ワークフローをエクスポートし、それを自身のアプライアンスへインポートすることができます。その後でニーズに合わせて、インポートしたワークフローを編集することができます。詳細については、「設定のインポートおよびエクスポート」を参照してください。
ステップ 1 [Analysis] > [Custom] > [Custom Workflow] を選択します。
ステップ 2 [Create Custom Workflow] をクリックします。
[Edit Custom Workflow] ページが表示されます。
ステップ 3 [Name] フィールドにワークフローの名前を入力します。
ステップ 4 オプションで、[Description] フィールドに、ワークフローの説明を入力します。
ステップ 5 [Table] ドロップダウン リストから、[Connection Events] を選択します。
ステップ 6 オプションで、ワークフローに 1 つ以上のドリルダウン ページを追加します。
• 個々の接続に関するデータが含まれているドリルダウン ページを追加するには、[Add Page] をクリックします。
• 接続のサマリー データが含まれているドリルダウン ページを追加するには、[Add Summary Page] をクリックします。
いずれの場合も、ドリルダウン ページのセクションが表示されます。
最大 80 文字の英数字(スペースは不可)を使用して、[Page Name] フィールドにページの名前を入力します。
[Column 1] で、ソートの優先度およびテーブルのカラムを選択します。このカラムは、ページの最も左のカラムとして表示されます。
ページに表示するすべてのフィールドの指定が完了するまで、フィールドを選択してソートの優先度の設定を続けます。1 ページにつき最大 5 個のフィールドを指定できます。
たとえば、監視対象ネットワーク経由で転送されるトラフィックの量を表示するページを作成し、トラフィックの転送量が最も多い応答側によってページをソートするには、[Sort Priority] ドロップダウン リストで [1] を選択し、[Field] ドロップダウン リストで [Responder Bytes] を選択します。
ステップ 7 オプションで、[Add Graph] をクリックして、ワークフローに 1 つ以上のグラフ ページを追加します。
最大 80 文字の英数字(スペースは不可)を使用して、[Graph Name] フィールドにページの名前を入力します。
次に、ページに含めるグラフの種類(線グラフ、棒グラフ、または円グラフ)を選択します。
グラフの X 軸と Y 軸を選択し、どのようなデータをグラフ化するのかを指定します。円グラフでは、X 軸は独立変数を表し、Y 軸は従属変数を表します。
最後に、グラフに含めるデータセットを選択します。円グラフには 1 つのデータセットしか含めることができないことに注意してください。
ステップ 8 オプションで、[Add Table View] をクリックして、接続データのテーブル ビューを追加します。
新しいワークフローが保存され、カスタム ワークフローのリストに追加されます。
カスタム ワークフローの表示
ワークフローが、事前定義のイベント テーブルまたはカスタム テーブルのいずれに基づいているかによって、ワークフローの表示に使用する方法が異なります。
カスタム ワークフローが事前定義のイベント テーブルに基づいている場合は、アプライアンスに付属しているワークフローにアクセスするのと同じ方法でアクセスします。たとえば、ホスト テーブルに基づいているカスタム ワークフローにアクセスするには、[Analysis Hosts] を選択します。また、カスタム ワークフローがカスタム テーブルに基づいている場合は、[Custom Tables] ページからアクセスする必要があります。
ヒント 任意のイベント タイプについて、デフォルト ワークフローとしてカスタム ワークフローを設定することができます。「イベント ビュー設定の設定」を参照してください。
事前定義のテーブルのカスタム ワークフローの表示
カスタム テーブルに基づいて いない カスタム ワークフローを表示するには、次の手順を使用します。「ワークフローの選択」に記載されているように、ワークフローのアクセスは使用しているプラットフォームとユーザ ロールによって異なることに注意してください。
事前定義のテーブルに基づいたカスタム ワークフローを表示する方法:
アクセス:Admin/Any Security Analyst
ステップ 1 「ワークフローを使用する機能」 の表に記載されているように、カスタム ワークフローのベースとなるテーブルについて、適切なメニュー パスとオプションを選択します。
そのテーブルのデフォルト ワークフローの最初のページが表示されます。カスタム ワークフローも含め、別のワークフローを使用するには、現行のワークフロー タイトルの隣にある [(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。イベントが表示されず、ワークフローを時間によって制約できる場合は、時間範囲の調整が必要なことがあります。「イベント時間の制約の設定」を参照してください。
カスタム テーブルのカスタム ワークフローの表示
カスタム テーブルに基づいているカスタム ワークフローを表示するには、次の手順を使用します。
カスタム テーブルに基づいたカスタム ワークフローを表示する方法:
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Custom] > [Custom Tables] を選択します。
[Custom Tables] ページが表示され、使用できるカスタム テーブルが示されます。
ステップ 2 表示するカスタム テーブルの隣にある表示アイコンをクリックするか、またはカスタム テーブルの名前をクリックします。
そのテーブルのデフォルト ワークフローの最初のページが表示されます。カスタム ワークフローも含め、別のワークフローを使用するには、現行のワークフロー タイトルの隣にある [(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。イベントが表示されず、ワークフローを時間によって制約できる場合は、時間範囲の調整が必要なことがあります。「イベント時間の制約の設定」を参照してください。
カスタム ワークフローの編集
イベント評価プロセスが変わった場合には、新しいニーズを満たすようにカスタム ワークフローを編集することができます。事前定義のワークフローは編集できないことに注意してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Custom] > [Custom Workflows] を選択します。
[Custom Workflows] ページが表示され、既存のカスタム ワークフローが示されます。
ステップ 2 編集するワークフロー名の隣にある編集アイコン(
)をクリックします。
ステップ 3 ワークフローに必要な変更を加え、[Save] をクリックします。
カスタム ワークフローの削除
次の手順は、不要になったカスタム ワークフローを削除する方法について説明します。
アクセス:Admin/Any Security Analyst
ステップ 1 [Analysis] > [Custom] > [Custom Workflows] を選択します。
[Custom Workflows] ページが表示され、使用できるカスタム ワークフローが示されます。
ステップ 2 削除するワークフロー名の隣にある削除アイコン(
)をクリックします。
フィードバック