接続イベントについて
システムは、管理対象デバイスが検出した接続のログを生成することができます。このログは接続イベントと呼ばれます。ルールやポリシーの設定を行うことで、ログに記録する接続の種類、接続をログに記録するタイミング、およびデータを保存する場所をきめ細かく制御できます。セキュリティ インテリジェンス イベントは特殊な接続イベントで、レピュテーションベースのセキュリティ インテリジェンス機能によってブラックリストに登録されている(ブロックされた)接続を表します。詳細については、接続ロギングを参照してください。
接続イベントとセキュリティ インテリジェンス イベントの比較
セキュリティ インテリジェンス イベントは、レピュテーションベースのセキュリティ インテリジェンス機能によりセッションがブラックリストに登録された(ブロックされた)ときに生成される接続イベントです。
ただし、各セキュリティ インテリジェンス イベントには同一の接続イベントがあり、セキュリティ インテリジェンス イベントを個別に表示、分析できます。また、システムはセキュリティ インテリジェンス イベントを個別に保存およびプルーニングします。
システムは、より多くのリソースを消費する評価を行う前に、セキュリティ インテリジェンスを実施することに注意してください。接続がセキュリティ インテリジェンスによってブロックされた場合、結果として生成されるイベントには、その後の評価によってシステムで収集されることになっていた情報(ユーザ ID など)が含まれません。
(注) |
本書では違うと明記されていない限り、接続イベントに関する情報は、セキュリティ インテリジェンス イベントに関する情報でもあります。 |
NetFlow 接続
管理対象デバイスで収集された接続データを補うために、NetFlow エクスポータによってブロードキャストされたレコードを使用して接続イベントを生成できます。この方法が特に役立つのは、NetFlow エクスポータが、管理対象デバイスでモニタしているネットワークとは別のネットワークをモニタしている場合です。
システムは NetFlow レコードを単方向の接続終了イベントとして Firepower Management Center データベースに記録します。これらの接続に関して使用可能な情報は、アクセス コントロール ポリシーで検出された接続の情報とは若干異なります。NetFlow データと管理対象デバイス データの違いを参照してください。
接続の概要(グラフ用集約データ)
Firepower システムは 5 分間隔で収集された接続データを集約し、接続の概要を作成します。この概要を使用して、接続グラフとトラフィック プロファイルがシステムで生成されます。必要に応じて、接続の概要データに基づいてカスタム ワークフローを作成できます。これは、個々の接続イベントに基づいたワークフローと同じように使用できます。
セキュリティ インテリジェンス イベント専用の接続の概要はないことに注意してください。ただし、対応する接続終了イベントは接続の概要データに集約できます。
集約するには、複数の接続が以下の状態である必要があります。
-
接続終了を表している
-
送信元と宛先の IP アドレスが同じで、応答側(宛先)のホストで同じポートを使用している
-
同じプロトコルを使用している(TCP または UDP)
-
同じアプリケーション プロトコルを使用している
-
同じ Firepower システム管理対象デバイスまたは同じ NetFlow エクスポータによって検出される
各接続の概要には、接続数など全トラフィック統計情報が含まれています。NetFlow エクスポータは単一方向接続を生成するので、接続の概要では、NetFlow データに基づく接続ごとに接続数が 2 ずつ増えます。
接続の概要には、概要内の集約された接続に関するすべての情報が含まれているわけではありませんので注意してください。たとえば、接続の概要に集約される接続にはクライアント情報が使用されないため、概要にクライアント情報は含まれません。
長時間接続
接続データを集約する 5 分間隔の 2 回以上に監視対象のセッションがまたがる場合、その接続は長時間接続と見なされます。接続サマリーで接続数を計算する際には、長時間接続が開始された 5 分間隔の回のみカウントします。
また、長時間接続において発信側と応答側が送信したパケット数とバイト数を計算する際は、システムは 5 分間隔の各回で実際に送信されたパケット数とバイト数を報告しません。代わりにシステムは、送信された合計パケット数と合計バイト数、接続の長さ、5 分間隔の各回で接続のどの部分が行われたかに基づいて、一定の送信速度を仮定し、値を推定します。
外部応答側からの統合接続サマリ
接続データの保存に必要なスペースを減らし、接続グラフのレンダリングを高速化するために、システムは次の場合に接続サマリを統合します。
-
接続に関連するホストの 1 つが監視対象のネットワーク上にない場合
-
外部ホストの IP アドレス以外で、サマリ内の接続がサマリ集約条件を満たす場合
イベント ビューアで接続サマリを表示する場合や、接続グラフを使用する場合、システムは非監視対象ホストの IP アドレスの代わりに [外部(external
)] と表示します。
この集約の結果として、外部応答側を含む接続サマリまたはグラフから接続データのテーブル ビューにドリル ダウンしようとすると(つまり、個別の接続データへのアクセス)、テーブル ビューには情報が何も表示されません。