システムは次の種類のイベントを生成できます。モニタリング ダッシュボードでこの情報に関連する統計情報を確認するには、次のイベントを生成する必要があります。

接続イベント

ユーザがシステムを通過するトラフィックを生成するときの接続イベントを生成できます。アクセス ルールで接続のロギングを有効化している場合のみ、接続イベントを確認できます。

接続イベントには、送信元および宛先 IP アドレスとポート、使用される URL およびアプリケーション、送信されるバイト数またはパケット数など、接続に関するさまざま情報が含まれています。この情報には、実行したアクション（たとえば接続の許可またはブロック）、接続に適用されるポリシーなども含まれます。

侵入イベント

システムは、ネットワークを通過するパケットのインスペクションを実行し、ホストとそのデータの可用性、整合性、および機密性に影響を与える可能性がある悪意のあるアクティビティについて調べます。システムは、侵入の可能性を特定すると侵入イベントを生成します。これは、エクスプロイトの日付、時刻、タイプ、および攻撃元とそのターゲットに関するコンテキスト情報の記録です。

ファイル イベント

ファイル イベントは、ファイル ポリシーに基づいてシステムがネットワーク トラフィック内で検出した（およびオプションでブロックした）ファイルを表します。これらのイベントを生成するには、ファイル ポリシーを適用するアクセス ルールでファイルのロギングを有効にする必要があります。

システムがファイル イベントを生成するときは、呼び出しを行うアクセス コントロール ルールのロギング設定に関係なく、関連する接続の終了も記録します。

マルウェア イベント

システムは、全体的なアクセス コントロール設定の一環として、ネットワーク トラフィックのマルウェアを検出できます。AMP for Firepower は、結果として生じたイベントの性質や、いつどこでどのようにしてマルウェアが検出されたかに関するコンテキスト データを含むマルウェア イベントを生成できます。これらのイベントを生成するには、ファイル ポリシーを適用するアクセス ルールでファイルのロギングを有効にする必要があります。

複雑なフィルタを作成してイベント テーブルを制限し、現在関心のあるイベントのみが表示されるようにできます。次の手法を単独または組み合わせて使用して、フィルタを作成できます。

カラムのクリック

フィルタを作成する最も簡単な方法は、フィルタリングの基準となる値を含むイベント テーブルのセルをクリックすることです。セルをクリックすると、その値とフィールドの組み合わせに正しく定式化されているルールを使用して、[フィルタ（Filter）]フィールドが更新されます。ただし、この手法を使用するには、イベントの既存のリストに目的の値が含まれている必要があります。

すべてのカラムをフィルタリングすることはできません。セルのコンテンツをフィルタリングできる場合は、そのセルの上にカーソルを合わせたときに下線が表示されます。

アトミック要素の選択

[フィルタ（Filter）]フィールドをクリックして、ドロップダウンから目的のアトミック要素を選択した後、照合値を入力することでフィルタを作成することもできます。これらの要素には、イベント テーブルのカラムとして表示されないイベント フィールドが含まれます。また、表示するイベントと入力された値との関係を定義するオペレータが含まれます。カラムをクリックすると必ず、「equals (=)」フィルタが表示されますが、要素を選択すると、数値フィールドに「greater than (>)」または「less than (<)」も選択できるようになります。

[フィルタ（Filter）]フィールドに要素を追加する方法に関係なく、フィールドに入力してオペレータまたは値を調整できます。テーブルにフィルタを適用するには、[フィルタ（Filter）]をクリックします。

イベントには次の情報が含まれます。これらの情報は、イベントの詳細情報を表示すると確認できます。また、イベント ビューア表に列を追加すると、最も関心のある情報を表示することができます。

以下に、使用可能なフィールドの完全なリストを示します。すべてのフィールドがどのイベント タイプにも適用されるわけではありません。個別のイベントで利用可能な情報は、システムがいつ、なぜ、どのようにして接続を記録したかによって異なることに注意してください。

操作

接続イベントの場合、接続をロギングしたアクセス コントロール ルールまたはデフォルト アクションに関連付けられたアクション。

許可（Allow）

明示的に許可された接続。

信頼（Trust）

信頼できる接続。最初のパケットが信頼ルールによって検出された TCP 接続のみ、接続終了イベントを生成します。システムは、最後のセッション パケットの 1 時間後にイベントを生成します。

ブロック（Block）

ブロックされている接続。[ブロック（Block）]動作は、次の条件下で、アクセス許可ルールに関連付けることができます。

• 侵入ポリシーによってエクスプロイトが検出された接続。

• ファイルがファイル ポリシーによってブロックされている接続。

デフォルト アクション（Default Action）

接続はデフォルト アクションによって処理されました。

ファイル イベントまたはマルウェア イベントの場合、ファイルが一致したルールのルール アクションに関連付けられているファイル ルール アクションと、関連するファイル ルール アクションのオプション。

許可された接続（Allowed Connection）

システムがイベントのトラフィック フローを許可したかどうか。

アプリケーション（Application）

接続で検出されたアプリケーション。

アプリケーションのビジネスとの関連性（Application Business Relevance）

接続で検出されたアプリケーション トラフィックに関連するビジネス関連性：Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するビジネス関連性があります。このフィールドでは、それらのうち最も低いもの（関連が最も低い）が表示されます。

アプリケーション カテゴリ、アプリケーション タグ（Application Categories、Application Tag）

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

アプリケーションのリスク（Application Risk）

接続で検出されたアプリケーション トラフィックに関連するリスク：Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するリスクがあります。このフィールドでは、それらのうち最も高いものが表示されます。

ブロック タイプ（Block Type）

イベントのトラフィック フローと一致するアクセス コントロール ルールで指定されたブロックのタイプ。ブロックまたはインタラクティブ ブロック。

クライアント アプリケーション（Client Application）、クライアント バージョン（Client Version）

接続で検出されたクライアントのクライアント アプリケーションとバージョン。

クライアントのビジネスとの関連性（Client Business Relevance）

接続で検出されたクライアント トラフィックに関連するビジネス関連性：Very High、High、Medium、Low、または Very Low。接続で検出されたクライアントのタイプごとに、ビジネスとの関連性が関連付けられています。このフィールドは、最も低いもの（関連性が最も低い）を表示します。

クライアント カテゴリ、クライアント タグ（Client Category、Client Tag）

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

クライアント リスク（Client Risk）

接続で検出されたクライアント トラフィックに関連するリスク：Very High、High、Medium、Low、または Very Low。接続で検出されたクライアントのタイプごとに、リスクが関連付けられています。このフィールドは、最も高いものを表示します。

接続（Connection）

内部的に生成されたトラフィック フローの固有 ID。

接続ブロックタイプ インジケータ（Connection Blocktype Indicator）

イベントのトラフィック フローと一致するアクセス コントロール ルールで指定されたブロックのタイプ。ブロックまたはインタラクティブ ブロック。

接続バイト（Connection Bytes）

接続の合計バイト数。

接続時間（Connection Time）

接続の開始時刻。

接続タイムスタンプ（Connection Timestamp）

接続が検出された時刻。

拒否された接続（Denied Connection）

システムがイベントのトラフィック フローを拒否したかどうか。

宛先の国または大陸（Destination Country and Continent）

受信ホストの国および大陸。

宛先 IP（Destination IP）

受信ホストの IP アドレス。

宛先ポート/ICMP コード、宛先ポート、宛先 Icode（Destination Port/ICMP Code：Destination Port： Destination Icode）

セッション レスポンダが使用するポートまたは ICMP コード。

方向（Direction）

ファイルの送信方向。

傾向（Disposition）

ファイルの性質。

マルウェア（Malware）

AMP クラウドでそのファイルがマルウェアとして分類されていること、またはファイルの脅威スコアが、ファイル ポリシーで定義されたマルウェアしきい値を超えていることを示します。

正常（Clean）

AMP クラウドがファイルを正常に分類したことを示します。

不明（Unknown）

システムが AMP クラウドに問い合わせましたが、ファイルの性質が割り当てられていませんでした。言い換えると、AMP クラウドがファイルを正しく分類していませんでした。

応対不可（Unavailable）

システムがAMPクラウドに問い合わせできなかったことを示します。この性質を持つイベントはごくわずかである可能性があります。これは予期された動作です。

該当なし

[ファイル検出（Detect Files）] または [ファイル ブロック（Block Files）] ルールがファイルを処理し、システムが AMP クラウドに問い合わせなかったことを示します。

出力インターフェイス、出力セキュリティ ゾーン（Egress Interface、Egress Security Zone）

接続がデバイスを通り抜けたゾーンとインターフェイス。

イベント、イベント タイプ（Event、Event Type）

イベントのタイプ。

イベント秒、イベント マイクロ秒（Event Seconds、Event Microseconds）

イベントが検出された時刻（秒またはマイクロ秒単位）。

ファイル カテゴリ（File Category）

ファイル タイプの一般的なカテゴリ（Office ドキュメント、アーカイブ、マルチメディア、実行可能ファイル、PDF ファイル、エンコード ファイル、グラフィック、システム ファイルなど）。

ファイル イベント タイムスタンプ（File Event Timestamp）

ファイルまたはマルウェア ファイルが作成された日時。

ファイル名（File Name）

ファイルの名前です。

ファイル ルールのアクション（File Rule Action）

ファイルを検出したファイル ポリシー ルールに関連したアクション、および関連するファイル アクション オプション。

ファイル SHA256（File SHA256）

ファイルの SHA-256 ハッシュ値。

ファイル サイズ（File Size）（KB）

ファイルのサイズ（KB 単位）。システムがファイルを完全に受信する前にブロックした場合、ファイル サイズが空白になる場合があります。

ファイル タイプ（File Type）

ファイルのタイプ（HTML や MSEXE など）。

ファイル/マルウェア ポリシー（File/Malware Policy）

イベントの生成に関連付けられているファイル ポリシー。

ファイルログ ブロックタイプ インジケータ（Filelog Blocktype Indicator）

イベントのトラフィック フローと一致するファイル ルールで指定されたブロックのタイプ。ブロックまたはインタラクティブ ブロック。

ファイアウォール ポリシー ルール、ファイアウォール ルール（Firewall Policy Rule、Firewall Rule）

接続を処理したアクセス コントロール ルールまたはデフォルト アクション。

最初のパケット（First Packet）

セッションの最初のパケットが検出された日時。

HTTP リファラ（HTTP Referrer）

接続で検出された HTTP トラフィックの要求 URL のリファラを示す HTTP リファラ（他の URL へのリンクを提供した Web サイト、他の URL からリンクをインポートした Web サイトなど）。

HTTP レスポンス（HTTP Response）

クライアントからの接続経由の HTTP 要求に応じて送信される HTTP ステータス コード。

IDS の分類（IDS Classification）

イベントを生成したルールが属する分類。

入力インターフェイス、入力セキュリティ ゾーン（Ingress Interface、Ingress Security Zone）

接続がデバイスに入ったゾーンとインターフェイス。

イニシエータ バイト、イニシエータ パケット（Initiator Bytes、Initiator Packets）

セッション イニシエータが送信した合計バイト数またはパケット数。

イニシエータの国または大陸（Initiator Country and Continent）

セッションを開始したホストの所在地の国と地域の名前。イニシエータの IP アドレスがルーティング可能であるときにのみ使用できます。

イニシエータ IP（Initiator IP）

セッションを開始したホスト IP アドレス（および DNS 解決が有効化されている場合はホスト名）。

インライン結果（Inline Result）

インライン モードで動作しているときに、侵入イベントをトリガーしたパケットをシステムがドロップした、またはドロップするはずだったか。ブランクは、トリガーとして使用されたルールが [ドロップしてイベントを生成する（Drop and Generate Events）] に設定されていないことを示します

侵入ポリシー（Intrusion Policy）

イベントを生成したルールが有効にされた侵入ポリシー。

IPS ブロックタイプ インジケータ（IPS Blocktype Indicator）

イベントのトラフィック フローと一致する侵入ルールのアクション。

最後のパケット（Last Packet）

セッションの最後のパケットが検出された日時。

MPLSラベル（MPLS Label）

この侵入イベントをトリガーしたパケットと関連付けられているマルチプロトコル ラベル スイッチング ラベル。

マルウェア ブロックタイプ インジケータ（Malware Blocktype Indicator）

イベントのトラフィック フローと一致するファイル ルールで指定されたブロックのタイプ。ブロックまたはインタラクティブ ブロック。

メッセージ（Message）

侵入イベントの場合、イベントの説明テキスト。マルウェアまたはファイル イベントの場合は、マルウェア イベントに関連付けられている追加情報。

NetBIOS ドメイン（NetBIOS Domain）

セッションで使用された NetBIOS ドメイン。

元のクライアントの国と大陸（Original Client Country and Continent）

セッションを開始した元のクライアント ホストの所在地の国と地域の名前。元のクライアントの IP アドレスがルーティング可能であるときにのみ使用できます。

クライアントのオリジナル IP（Original Client IP）

HTTP 接続を開始したクライアントの元の IP アドレス。このアドレスは、X-Forwarded-For（XFF）または True-Client-IP HTTP のヘッダー フィールド、またはそれらの同等品から取得されます。

ポリシー、ポリシーの改訂（Policy、Policy Revision）

アクセス コントロール ポリシーとその改訂版。イベントに関連付けられているアクセス（ファイアウォール）ルールを含みます。

プライオリティ（Priority）

Cisco Talos Security Intelligence and Research Group（Talos）によって決定されたイベント優先順位：High、Medium、または Low。

プロトコル（Protocol）

接続に使用されるトランスポート プロトコルです。

理由（Reason）

次の場合に接続がロギングされた 1 つまたは複数の原因。

理由	説明
ファイル ブロック（File Block）	ファイルまたはマルウェア ファイルが接続に含まれており、システムがその送信を防いでいます。[ファイル ブロック（File Block）] の理由は必ず [ブロック（Block）] のアクションと対として組み合わされます。
ファイル モニタ（File Monitor）	システムが接続において特定のファイルの種類を検出しました。
ファイル復帰許可（File Resume Allow）	ファイル送信がはじめに [ファイル ブロック（Block Files）] ルールまたは [マルウェア ブロック（Block Malware）] ファイル ルールによってブロックされました。ファイルを許可する新しいアクセス コントロール ポリシーが展開された後、HTTP セッションが自動的に再開しました。
ファイル復帰ブロック（File Resume Block）	ファイル送信がはじめに [ファイル検出（Detect Files）] ルールまたは [マルウェア クラウド ルックアップ（Malware Cloud Lookup）] ファイル ルールによって許可されました。ファイルをブロックする新しいアクセス コントロール ポリシーが展開された後、HTTP セッションが自動的に停止しました。
侵入ブロック（Intrusion Block）	接続で検出されたエクスプロイト（侵入ポリシー違反）をシステムがブロックしたか、ブロックするはずでした。[侵入ブロック（Intrusion Block）] の原因は、ブロックされたエクスプロイトの場合は [ブロック（Block）]、ブロックされるはずだったエクスプロイトの場合は [許可（Allow）] のアクションと対として組み合わされます。
侵入モニタ（Intrusion Monitor）	接続で検出されたエクスプロイトをシステムが検出したものの、ブロックしなかったことを示します。これは、トリガーされた侵入ルールの状態が [イベントを生成する（Generate Events）] に設定されている場合に発生します。

受信時間（Receive Times）

イベントが生成された日時。

参照ホスト（Referenced Host）

接続のプロトコルが DNS、HTTP、または HTTPS の場合、このフィールドにはそれぞれのプロトコルが使用していたホスト名が表示されます。

レスポンダ バイト、レスポンダ パケット（Responder Bytes、Responder Packets）

セッション レスポンダが送信した合計バイト数またはパケット数。

レスポンダの国または大陸（Responder Country and Continent）

セッションに応答したホストの所在地の国と地域の名前。レスポンダの IP アドレスがルーティング可能であるときにのみ使用できます。

レスポンダ IP（Responder IP）

セッション レスポンダのホスト IP アドレス（および DNS 解決が有効化されている場合はホスト名）。

シグネチャ（Signature）

イベントのトラフィックと一致する侵入ルールのシグネチャ ID。

ソースの国または大陸（Source Country and Continent）

送信元ホストの国および大陸。送信元 IP アドレスがルーティング可能であるときにのみ使用できます。

ソース IP

侵入イベントで送信元ホストが使用する IP アドレス。

送信元ポート/ICMP タイプ、送信元ポート、送信元ポート Itype（Source Port/ICMP Type、Source Port、Source Port Itype）

セッション イニシエータが使用するポートまたは ICMP タイプ。

TCP フラグ（TCP Flags）

接続で検出された TCP フラグ。

URL、URL カテゴリ、URL レピュテーション、URL レピュテーション スコア（URL、URL Category、URL Reputation、URL Reputation Score）

セッション中に監視対象のホストによって要求された URL と、関連付けられたカテゴリ、レピュテーション、およびレピュテーション スコア（利用できる場合）。

システムが SSL アプリケーションを識別またはブロックする場合、要求された URL は暗号化トラフィック内にあるため、システムは、SSL 証明書に基づいてトラフィックを識別します。したがって SSL アプリケーションの場合、この URL は証明書に含まれる一般名を表示します。

ユーザ（User）

イニシエータの IP アドレスに関連付けられたユーザ。

VLAN

イベントをトリガーしたパケットに関連付けられている最内部 VLAN ID。

Web アプリケーションのビジネスとの関連性（Web App Business Relevance）

接続で検出された Web アプリケーション トラフィックに関連するビジネス関連性：Very High、High、Medium、Low、または Very Low。接続で検出された Web アプリケーションのタイプごとに、ビジネスとの関連性が関連付けられています。このフィールドは、最も低いもの（関連性が最も低い）を表示します。

Web アプリケーション カテゴリ、Web アプリケーション タグ（Web App Categories、Web App Tag）

Web アプリケーションの機能を理解するのに役立つ、Web アプリケーションの特性を示す基準。

Web アプリケーションのリスク（Web App Risk）

接続で検出された Web アプリケーション トラフィックに関連するリスク：Very High、High、Medium、Low、または Very Low。接続で検出された Web アプリケーションのタイプごとに、リスクが関連付けられています。このフィールドは、最も高いものを表示します。

Web アプリケーション（Web Application）

接続で検出された HTTP トラフィックの内容または要求された URL を表す Web アプリケーション。

Web アプリケーションがイベントの URL に一致しない場合、そのトラフィックは通常、参照先のトラフィックです（アドバタイズメントのトラフィックなど）。システムは、参照先のトラフィックを検出すると、参照元のアプリケーションを保存し（可能な場合）、そのアプリケーションを Web アプリケーションとして表示します。