システムでは、以下のタイプのイベントが生成されます。この情報に関連する統計情報をモニタリング ダッシュボードに表示するには、これらのイベントを生成する必要があります。

接続イベント

ユーザが生成するトラフィックがシステムを通過する場合、この接続に対してイベントを生成できます。接続イベントは、アクセス ルールで接続のロギングを有効にしている場合のみに表示できます。

接続イベントには接続に関する幅広い種類の情報が含まれ、これには送信元と宛先の IP アドレスおよびポート、使用された URL およびアプリケーション、送信されたバイト数またはパケット数などがあります。この情報には、実行されたアクション（接続の許可またはブロックなど）、接続に適用されたポリシーも含まれます。

侵入イベント

システムは、ネットワークを通過するパケットのインスペクションを実行し、ホストとそのデータの可用性、整合性、および機密性に影響を与える可能性がある悪意のあるアクティビティについて調べます。システムは潜在的な侵入を識別すると、侵入イベントを生成します。これには、エクスプロイトの日時とタイプ、攻撃とそのターゲットについての状況説明が記録されます。

ファイル イベント

ファイル イベントは、作成したファイル ポリシーに基づき、ネットワーク トラフィック内でシステムによって検出（オプションとしてブロック）されたファイルを表します。これらのイベントを生成するには、ファイル ポリシーを適用するアクセス ルールに対してファイル ロギングを有効にする必要があります。

システムはファイル イベントを生成する場合、基になったアクセス コントロール ルールのロギング設定にかかわらず、関連する接続の終了についても記録します。

マルウェア イベント

ネットワーク トラフィック内のマルウェア検出は、全体的なアクセス コントロール設定の一環として行われます。AMP for Firepower は、結果として生じたイベントの性質や、いつどこでどのようにしてマルウェアが検出されたかに関するコンテキスト データを含むマルウェア イベントを生成できます。これらのイベントを生成するには、ファイル ポリシーを適用するアクセス ルールに対してファイル ロギングを有効にする必要があります。

現在関心のあるイベントだけが表示されるように、複合的なフィルタを作成して、イベント テーブルの表示を制限できます。フィルタの作成には、以下の手法を単独で、またはいくつかを組み合わせて使用できます。

列のクリック

最も簡単なフィルタ作成方法は、イベント テーブル内で、フィルタ処理の基準に使用したい値を持つセルをクリックすることです。セルをクリックすると、[フィルタ（Filter）] フィールドが更新され、この値とフィールドの組み合わせに対して適切に作成されたルールが入力されます。ただし、この手法は、既存のイベント リストに必要な値が含まれていることが前提となります。

すべての列をフィルタ処理することはできません。フィルタ処理可能なデータが含まれるセルでは、このセルにマウス オーバーすると、セルに下線が表示されます。

アトミック要素の選択

もう 1 つのフィルタ作成方法は、[フィルタ（Filter）] フィールド内をクリックして、ドロップダウン リストから必要なアトミック要素を選択し、一致する値を入力する方法です。これらの要素には、イベント テーブル内の列としては表示されないイベント フィールドが含まれます。また、入力した値と表示するイベントとの関係を定義するための演算子も含まれます。列をクリックする場合は、常に「等号（=）」フィルタとなりますが、要素を選択する場合は、数値フィールドに対して「より大きい（>）」または「より小さい（<）」も選択できます。

どのような方法で要素を [フィルタ（Filter）] フィールドに追加する場合でも、フィールドに直接入力して、演算子や値を調整できます。[フィルタ（Filter）] をクリックすると、テーブルにフィルタが適用されます。

ここでは、各イベントに含めることのできる情報について説明します。この情報を読むには、イベントの詳細を表示します。また、関心の高い情報を表示する列をイベント ビューア テーブルに追加することもできます。

以下に、使用可能なフィールドの一覧を示します。すべてのイベント　タイプに対し、すべてのフィールドが適用されるわけではありません。それぞれのイベントで使用可能な情報は、システムが接続を記録する方法、理由、およびタイミングによって異なることに注意してください。

アクション（Action）

接続イベントにおいて、接続を記録したアクション コントロール ルールに関連付けられたアクション、またはデフォルト アクション。

許可（Allow）

明示的に許可された接続。

信頼（Trust）

信頼できる接続。信頼ルールによって最初のパケットで検出された TCP 接続は、接続終了イベントだけを生成します。システムは、最後のセッション パケットの 1 時間後にイベントを生成します。

ブロック（Block）

ブロックされた接続。以下の条件下で、ブロック（Block） アクションを許可（Allow）アクセス ルールに関連付けることができます。

• 侵入ポリシーによってエクスプロイトが検出された接続。

• ファイル ポリシーによってファイルがブロックされた接続。

デフォルト アクション（Default Action）

接続がデフォルト アクションによって処理された状況。

ファイル イベントまたはマルウェア イベントの場合、ファイルが一致したルールのルール アクションに関連付けられているファイル ルール アクションと、関連するファイル ルール アクションのオプション。

許可された接続（Allowed Connection）

システムがイベントのトラフィック フローを許可したかどうか。

アプリケーション（Application）

接続で検出されたアプリケーション。

アプリケーションのビジネスとの関連性（Application Business Relevance）

接続で検出されたアプリケーション トラフィックに関連付けられた、ビジネスとの関連性。「非常に高い（Very High）」、「高（High）」、「中（Medium）」、「低（Low）」、「非常に低い（Very Low）」のいずれかとなります。接続で検出されたアプリケーションのタイプごとに、関連するビジネス関連性があります。このフィールドでは、それらのうち最も低いもの（関連が最も低い）が表示されます。

アプリケーション カテゴリ（Application Categories）、アプリケーション タグ（Application Tag）

アプリケーションの機能を分かりやすくするため、アプリケーションの特徴付けに使用される基準。

アプリケーションのリスク（Application Risk）

接続で検出されたアプリケーション トラフィックに関連付けられたリスク。「非常に高い（Very High）」、「高（High）」、「中（Medium）」、「低（Low）」、「非常に低い（Very Low）」のいずれかとなります。接続で検出されたアプリケーションのタイプごとに、関連するリスクがあります。このフィールドでは、それらのうち最も高いものが表示されます。

ブロック タイプ（Block Type）

イベントのトラフィック フローと一致するアクセス コントロール ルールで指定されたブロックのタイプ。ブロックまたはインタラクティブ ブロック。

クライアント アプリケーション（Client Application）、クライアント バージョン（Client Version）

接続で検出されたクライアント アプリケーションおよびクライアント バージョン。

クライアントのビジネスとの関連性（Client Business Relevance）

接続で検出されたクライアント トラフィックに関連付けられた、ビジネスとの関連性。「非常に高い（Very High）」、「高（High）」、「中（Medium）」、「低（Low）」、「非常に低い（Very Low）」のいずれかとなります。接続で検出されたクライアントのタイプごとに、ビジネスとの関連性が関連付けられています。このフィールドは、最も低いもの（関連性が最も低い）を表示します。

クライアント カテゴリ（Client Category）、クライアント タグ（Client Tag）

アプリケーションの機能を分かりやすくするため、アプリケーションの特徴付けに使用される基準。

クライアント リスク（Client Risk）

接続で検出されたクライアント トラフィックに関連付けられたリスク。「非常に高い（Very High）」、「高（High）」、「中（Medium）」、「低（Low）」、「非常に低い（Very Low）」のいずれかとなります。接続で検出されたクライアントのタイプごとに、リスクが関連付けられています。このフィールドは、最も高いものを表示します。

接続（Connection）

内部的に生成されたトラフィック フローの固有 ID。

接続ブロックタイプ インジケータ（Connection Blocktype Indicator）

イベントのトラフィック フローと一致するアクセス コントロール ルールで指定されたブロックのタイプ。ブロックまたはインタラクティブ ブロック。

接続バイト（Connection Bytes）

接続の合計バイト数。

接続時間（Connection Time）

接続の開始時刻。

接続タイムスタンプ（Connection Timestamp）

接続が検出された時刻。

拒否された接続（Denied Connection）

システムがイベントのトラフィック フローを拒否したかどうか。

宛先の国または大陸（Destination Country and Continent）

受信ホストの国および大陸。

宛先 IP（Destination IP）

受信ホストの IP アドレス。

宛先ポート/ICMP コード（Destination Port/ICMP Code）、宛先ポート（Destination Port）、宛先 Icode（Destination Icode）

セッション レスポンダによって使用されるポートまたは ICMP コード。

方向（Direction）

ファイルの送信方向。

傾向（Disposition）

ファイルの傾向。

マルウェア（Malware）

AMP クラウドによってファイルがマルウェアと分類されたか、またはファイルの脅威スコアがファイル ポリシーに定義されたマルウェアのしきい値を超えたこと示します。

正常（Clean）

AMP クラウドによってファイルが正常であると分類されたことを示します。

不明（Unknown）

システムが AMP クラウドに問い合わせたが、ファイルに傾向が割り当てられていなかった（このファイルが AMP クラウドによって分類されていない）ことを意味します。

使用不可（Unavailable）

システムによる AMP クラウドへの照会が失敗したことを示します。この性質に関するイベントが、わずかながら存在する可能性があります。これは予期された動作です。

該当なし

ファイル検出（Detect Files）ルールまたはファイル ブロック（Block Files）ルールによってこのファイルが処理され、AMP クラウドへの照会は行われませんでした。

出力インターフェイス（Egress Interface）、出力セキュリティ ゾーン（Egress Security Zone）

接続がデバイスを通過する出口となるインターフェイスおよびゾーン。

イベント（Event）、イベント タイプ（Event Type）

イベントのタイプ。

イベントの秒数（Event Seconds）、イベントのマイクロ秒数（Event Microseconds）

イベントの検出時を表す秒単位またはマイクロ秒単位の値。

ファイル カテゴリ（File Category）

ファイル タイプの一般分類。Office ドキュメント、アーカイブ、マルチメディア、実行可能ファイル、PDF ファイル、エンコード ファイル、グラフィック、システム ファイルなど。

ファイル イベント タイムスタンプ（File Event Timestamp）

ファイルまたはマルウェア ファイルが作成された日時。

ファイル名（File Name）

ファイルの名前。

ファイル ルール アクション（File Rule Action）

ファイルを検出したファイル ポリシー ルールに関連付けられたアクション、および関連するすべてのファイル ルール アクション オプション。

ファイル SHA256（File SHA256）

ファイルの SHA-256 ハッシュ値。

ファイル サイズ（KB）（File Size）

キロバイト単位のファイル サイズ。受信が完了する前にシステムによってブロックされたファイルの場合、ファイル サイズが空になることがあります。

ファイル タイプ（File Type）

ファイルの種類（HTML、MSEXE など）。

ファイル/マルウェア ポリシー（File/Malware Policy）

イベントの生成に関連付けられているファイル ポリシー。

ファイルログ ブロックタイプ インジケータ（Filelog Blocktype Indicator）

イベントのトラフィック フローと一致するファイル ルールで指定されたブロックのタイプ。ブロックまたはインタラクティブ ブロック。

ファイアウォール ポリシー ルール（Firewall Policy Rule）、ファイアウォール ルール（Firewall Rule）

接続を処理したアクセス コントロール ルールまたはデフォルト アクション。

最初のパケット（First Packet）

セッションの最初のパケットが検出された日時。

HTTP リファラ（HTTP Referrer）

接続で検出された HTTP トラフィックの要求 URL のリファラを示す HTTP リファラ（他の URL へのリンクを提供した Web サイト、他の URL からリンクをインポートした Web サイトなど）。

HTTP 応答（HTTP Response）

クライアントの HTTP 要求への応答として、接続上を送信された HTTP ステータス コード。

IDS の分類（IDS Classification）

イベントを生成したルールが属する分類。

入力インターフェイス（Ingress Interface）、入力セキュリティ ゾーン（Ingress Security Zone）

接続がデバイスを通過する入口となるインターフェイスおよびゾーン。

イニシエータのバイト数またはパケット数（Initiator Bytes, Initiator Packets）

セッション イニシエータが送信したバイト数またはパケット数の合計。

イニシエータの国または大陸（Initiator Country and Continent）

セッションを開始したホストが属する国または大陸。イニシエータの IP アドレスがルーティング可能である場合にのみ使用可能です。

イニシエータ IP（Initiator IP）

セッションを開始したホストの IP アドレス（DNS 解決が有効化されている場合は IP アドレスおよびホスト名）。

インライン結果（Inline Result）

侵入イベントを トリガーさせたパケットが実際に破棄されたか、または、もしインライン モードで動作していたとしたら破棄されていたかどうか。空白の場合は、トリガーされたルールが「破棄およびイベント生成（Drop and Generate Events）」に設定されていなかったことを意味します。

侵入ポリシー（Intrusion Policy）

イベントを生成させたルールが有効化された侵入ポリシー。

IPS ブロックタイプ インジケータ（IPS Blocktype Indicator）

イベントのトラフィック フローと一致する侵入ルールのアクション。

最後のパケット（Last Packet）

セッションの最後のパケットが検出された日時。

MPLSラベル（MPLS Label）

この侵入イベントをトリガーしたパケットと関連付けられているマルチプロトコル ラベル スイッチング ラベル。

マルウェア ブロックタイプ インジケータ（Malware Blocktype Indicator）

イベントのトラフィック フローと一致するファイル ルールで指定されたブロックのタイプ。ブロックまたはインタラクティブ ブロック。

メッセージ（Message）

侵入イベントの場合は、このイベントを説明するテキスト。マルウェアまたはファイル イベントの場合は、マルウェア イベントに関連付けられた何らかの補足情報。

NetBIOS ドメイン（NetBIOS Domain）

セッションで使用された NetBIOS ドメイン。

元のクライアントの国または大陸（Original Client Country and Continent）

セッションを開始した元のクライアント ホストが属する国または大陸。元のクライアントの IP アドレスがルーティング可能である場合にのみ使用可能です。

元のクライアント IP（Original Client IP）

HTTP 接続を開始した元のクライアント IP アドレス。このアドレスは X-Forwarded-For（XFF）または True-Client-IP HTTP ヘッダー フィールド、またはこの同等フィールドから取得されます。

ポリシー（Policy）、ポリシー リビジョン（Policy Revision）

イベントに関連付けられたアクセス（ファイアウォール）ルールが含まれるアクセス コントロール ルールとそのリビジョン。

優先順位（Priority）

Cisco Talos Security Intelligence and Research Group（Talos）によって決定されたイベントの優先順位。「高（high）」、「中（medium）」、「低（low）」のいずれかとなります。

プロトコル（Protocol）

接続に使用されるトランスポート プロトコル。

理由（Reason）

次の場合に接続がロギングされた 1 つまたは複数の原因。

理由	説明
ファイル ブロック（File Block）	接続に、システムが送信を阻止するファイルまたはマルウェア ファイルが含まれます。理由「ファイル ブロック」は、常に「ブロック」アクションとペアになります。
ファイル モニタ（File Monitor）	接続内に特定のファイル タイプが検出されました。
ファイルの再開を許可（File Resume Allow）	最初に、「ファイルまたはマルウェア ファイルのブロック」ルールによってファイル伝送がブロックされました。このファイルを許可するアクセス コントロール ポリシーが新たに展開された後、HTTP セッションが自動的に再開されました。
ファイルの再開をブロック（File Resume Block）	最初に、「ファイルまたはマルウェア クラウド ルックアップ ファイルの検出」ルールによってファイル伝送が許可されました。このファイルをブロックするアクセス コントロール ポリシーが新たに展開された後、HTTP セッションが自動的に停止されました。
侵入ブロック（Intrusion Block）	接続中に検出されたエクスプロイト（侵入ポリシー違反）が実際にブロックされたか、またはブロックされていたことが想定されるか。理由「侵入ブロック」は、エクスプロイトがブロックされた場合は「ブロック」、ブロックされていたことが想定される場合は「許可」アクションとペアになります。
侵入モニタ（Intrusion Monitor）	接続中のエクスプロイトが検出されましたが、ブロックされませんでした。これは、トリガーされた侵入ルールの状態が「イベントの生成（Generate Events）」である場合です。

受信時間（Receive Times）

イベントが生成された日時。

参照ホスト（Referenced Host）

接続に使用されたプロトコルが HTTP または HTTPS であれば、このフィールドには、それぞれのプロトコルが使用したホストの名前が表示されます。

レスポンダのバイト数またはパケット数（Responder Bytes、Responder Packets）

セッション レスポンダが送信したバイト数またはパケット数の合計。

レスポンダの国または大陸（Responder Country and Continent）

セッションに応答したホストが属する国または大陸。レスポンダの IP アドレスがルーティング可能である場合にのみ使用可能です。

レスポンダ IP（Responder IP）

セッション レスポンダのホスト IP アドレス（DNS 解決が有効化されている場合は IP アドレスおよびホスト名）。

シグネチャ（Signature）

イベントのトラフィックと一致する侵入ルールのシグネチャ ID。

ソースの国または大陸（Source Country and Continent）

送信元ホストの国および大陸。送信元 IP アドレスがルーティング可能である場合にのみ使用可能です。

送信元 IP（Source IP）

侵入イベントで送信元ホストが使用する IP アドレス。

送信元のポート/ICMP タイプ（Source Port/ICMP Type）、送信元ポート（Source Port）、送信元ポート Itype（Source Port Itype）

セッション イニシエータに使用されるポートまたは ICMP タイプ。

TCP フラグ（TCP Flags）

接続で検出された TCP フラグ。

URL、URL カテゴリ（URL Category）、URL レピュテーション（URL Reputation）、URL レピュテーション スコア（URL Reputation Score）

セッション中、モニタリングされているホストから要求された URL と、これに関連するカテゴリ、レピュテーション、レピュテーション スコア（ある場合）。

SSL アプリケーションが識別またはブロックされた場合は、要求された URL は暗号化トラフィックであり、このトラフィックは SSL 証明書に基づいて識別されます。したがって、SSL アプリケーションの場合は、URL は証明書内の共通名を表しています。

ユーザ（User）

イニシエータ IP アドレスに関連付けられたユーザ。

VLAN

イベントをトリガーしたパケットに関連付けられている最内部 VLAN ID。

Web アプリケーションのビジネスとの関連性（Web App Business Relevance）

接続で検出された Web アプリケーション トラフィックに関連付けられた、ビジネスとの関連性。「非常に高い（Very High）」、「高（High）」、「中（Medium）」、「低（Low）」、「非常に低い（Very Low）」のいずれかとなります。接続で検出された Web アプリケーションのタイプごとに、ビジネスとの関連性が関連付けられています。このフィールドは、最も低いもの（関連性が最も低い）を表示します。

Web アプリケーションのカテゴリおよびタグ（Web App Categories、Web App Tag）

Web アプリケーションの機能を分かりやすくするため、Web アプリケーションの特徴付けに使用される基準。

Web アプリケーションのリスク（Web App Risk）

接続で検出された Web アプリケーション トラフィックに関連付けられたリスク。「非常に高い（Very High）」、「高（High）」、「中（Medium）」、「低（Low）」、「非常に低い（Very Low）」のいずれかとなります。接続で検出された Web アプリケーションのタイプごとに、リスクが関連付けられています。このフィールドは、最も高いものを表示します。

Web アプリケーション（Web Application）

接続で検出された HTTP トラフィックに対応する、コンテンツまたは要求 URL を表す Web アプリケーション。

このイベントの URL に Web アプリケーションが一致しない場合は、このトラフィックは参照先トラフィック（広告トラフィックなど）を表していることが考えられます。参照先トラフィックが検出された場合は、参照元アプリケーション（存在する場合）が保管され、このアプリケーションが Web アプリケーションとしてリストされます。