システムは、潜在的な侵入を特定すると侵入イベントを生成します。これは、エクスプロイトの日付、時間、タイプ、および攻撃元とそのターゲットに関するコンテキスト情報のデータです。パケットベースのイベントの場合、イベントをトリガーとして使用したパケットのコピーも記録されます。
侵入イベントを検索するときは、個別のイベントで利用可能な情報は、システムがいつ、なぜ、どのようにしてイベントを記録したかによって異なることに注意してください。たとえば、復号化されたトラフィックでトリガーされた侵入イベントだけが SSL 情報を含んでいます。
(注) |
デフォルトでは、侵入イベントのテーブル ビューにいくつかのフィールドが表示されます。セッション中にフィールドを有効にするには、検索制約を拡張してから、[無効の列(Disabled Columns)] の下の列名をクリックします。
|
アクセス コントロール ポリシー(Access Control Policy)
イベントを生成した侵入ルール、プリプロセッサ ルール、またはデコーダ ルールが有効になっている侵入ポリシーに関連付けられているアクセス コントロール ポリシー。
アクセス コントロール ルール(Access Control Rule)
イベントを生成した侵入ルールを呼び出したアクセス コントロール ルール。[デフォルト アクション(Default Action)]
は、ルールが有効化されている侵入ポリシーが特定のアクセス コントロール ルールに関連付けられておらず、代わりに、アクセス コントロール ポリシーのデフォルト アクションとして設定されていることを示しています。
侵入インスペクションがアクセス コントロール ルールにもデフォルト アクションにも関連付けられていない場合、このフィールドは空欄になります。たとえば、パケットがデフォルトの侵入ポリシーによって検査された場合などです。
アプリケーション プロトコル(Application Protocol)
(使用可能な場合)侵入イベントをトリガーとして使用したトラフィックで検出されたホスト間の通信を表す、アプリケーション プロトコル。
アプリケーション プロトコル カテゴリおよびタグ(Application Protocol Category and Tag)
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
アプリケーションのリスク(Application Risk)
侵入イベントをトリガーしたトラフィックで検出されたアプリケーションに関連付けられているリスク。[非常に高い(Very High)]、[高(High)]、[中(Medium)]、[低(Low)]、および [非常に低い(Very Low)]。接続で検出されるアプリケーションのタイプごとに関連するリスクがあります。このフィールドは、それらのうち最も高いリスクを表示します。
ビジネスとの関連性(Business Relevance)
侵入イベントをトリガーしたトラフィックで検出されたアプリケーションに関連付けられているビジネスとの関連性。[非常に高い(Very High)]、[高(High)]、[中(Medium)]、[低(Low)]、および [非常に低い(Very Low)]。接続で検出されるアプリケーションのタイプごとに関連するビジネスとの関連性があります。このフィールドは、それらのうち最も低い(関連性が最も低い)ものを表示します。
分類(Classification)
イベントを生成したルールが属する分類。
このフィールドを検索するときは、表示するイベントを生成したルールの分類番号を入力するか、分類名または説明のすべてまたは一部を入力します。また、番号、名前、または説明のコンマ区切りリストを入力することもできます。最後に、カスタム分類を追加した場合、その名前または説明のすべてまたは一部を使用して検索することもできます。
クライアント(Client)
(使用可能な場合)侵入イベントをトリガーとして使用したトラフィックで検出されたモニタ対象のホストで実行されているソフトウェアを表す、クライアント アプリケーション。
クライアント カテゴリおよびタグ(Client Category and Tag)
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
メンバー数(Count)
各行に表示された情報と一致するイベントの数。[カウント(Count)] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。このフィールドは検索できません。
送信先の大陸(Destination Continent)
侵入イベントに関連する受信ホストの大陸。
送信先の国(Destination Country)
侵入イベントに関連する受信ホストの国。
宛先 IP(Destination IP)
侵入イベントに関連する受信ホストが使用する IP アドレス。
送信先ポートまたは ICMP コード(Destination Port / ICMP Code)
トラフィックを受信するホストのポート番号。ICMP トラフィックの場合は、ポート番号がないため、このフィールドには ICMP コードが表示されます。
宛先ユーザ(Destination User)
宛先ホストにログインしている既知のユーザのユーザ ID。
Device
アクセス コントロール ポリシーが展開された管理対象デバイス。
スタック構成設定では、プライマリ デバイスとセカンダリ デバイスは、別々のデバイスであるかのように侵入イベントをレポートすることに注意してください。
ドメイン
侵入を検出したデバイスのドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。
出力インターフェイス(Egress Interface)
イベントをトリガーとして使用したパケットの出力インターフェイス。パッシブ インターフェイスの場合、このインターフェイスの列には入力されません。
出力セキュリティ ゾーン(Egress Security Zone)
イベントをトリガーとして使用したパケットの出力セキュリティ ゾーン。パッシブ展開環境では、このセキュリティ ゾーンのフィールドには入力されません。
電子メールの添付ファイル(Email Attachments)
[MIME コンテンツ - 傾向(MIME Content-Disposition)] 見出しから取得された MIME 添付ファイル名。添付ファイルの名前を表示するには、SMTP プリプロセッサの [MIME 添付ファイル名のログ(Log MIME
Attachment Names)] オプションを有効にする必要があります。複数の添付ファイル名がサポートされます。
電子メール ヘッダー(Email Headers)(検索のみ)
電子メールのヘッダーから取得したデータ。
電子メールのヘッダーを SMTP トラフィックの侵入イベントと関連付けるには、SMTP プリプロセッサの [ヘッダーのログ(Log Headers)] オプションを有効にする必要があります。
メール受信者(Email Recipient)
SMTP RCPT TO コマンドから取得された電子メール受信者のアドレス。このフィールドの値を表示するには、SMTP プリプロセッサの [受信者アドレスのログ(Log To Addresses)] オプションを有効にする必要があります。複数の受信者アドレスがサポートされます。
メール送信者(Email Sender)
SMTP MAIL FROM コマンドから取得された電子メール送信者のアドレス。このフィールドの値を表示するには、SMTP プリプロセッサの [送信者アドレスのログ(Log From Address)] オプションを有効にする必要があります。複数の送信者アドレスがサポートされます。
ジェネレータ(Generator)
イベントを生成したコンポーネント。
HTTP ホスト名(HTTP Hostname)
HTTP 要求のホスト ヘッダーから取得されたホスト名(存在する場合)。要求パケットにホスト名が常に含まれているわけではないことに注意してください。
ホスト名を HTTP クライアント トラフィックの侵入イベントと関連付けるには、HTTP 検査プリプロセッサの [ホスト名のログ(Log Headers)] オプションを有効にする必要があります。
テーブル ビューで、この列には、取得されたホスト名の最初の 50 文字が表示されます。ホストの省略名の表示部分にポインタを合わせると、最大 256 バイトまでの完全な名前を表示することができます。また、最大 256 バイトまでの完全なホスト名をパケット
ビューに表示することもできます。
HTTP 応答コード(HTTP Response Code)
イベントをトリガーした接続を介してクライアントの HTTP 要求に応答して送信される HTTP ステータス コード。
HTTP URI
(存在する場合)侵入イベントをトリガーした HTTP 要求パケットに関連付けられた raw URI。要求パケットに URI が常に含まれているわけではないことに注意してください。
URI を HTTP クライアント トラフィックの侵入イベントと関連付けるには、HTTP 検査プリプロセッサの [URI のログ(Log URI)] オプションを有効にする必要があります。
HTTP 応答によってトリガーとして使用された侵入イベントの関連 HTTP URI を参照するには、[両方のポートでのストリーム再構成の実行(Perform Stream Reassembly on Both Ports)] オプションに HTTP サーバのポートを設定する必要があります。ただし、これにより、トラフィックのリアセンブル用のリソース要求が増加することに注意してください。
この列には、取得された URI の最初の 50 文字が表示されます。省略 URI の表示部分にポインタを合わせると、最大 2048 バイトまでの完全な URI を表示することができます。また、最大 2048 バイトまでの完全な URI をパケット
ビューに表示することもできます。
影響(Impact)
このフィールドの影響レベルは、侵入データ、ネットワーク検出データ、脆弱性情報との関係を示します。
このフィールドを検索するときは、影響アイコンの色または一部の文字列を指定しないでください。たとえば、blue、level 1、または 0 を使用しないでください。有効な大文字と小文字を区別しない値は次のとおりです。
-
Impact 0、Impact Level 0
-
Impact 1、Impact Level 1
-
Impact 2、Impact Level 2
-
Impact 3、Impact Level 3
-
Impact 4、Impact Level 4
NetFlow データからネットワーク マップに追加されたホストに使用可能なオペレーティング システムの情報はないので、システムは、それらのホストに作用する侵入イベントに対し脆弱な(インパクト レベル 1:赤)インパクト レベルを割り当てることができません。このような場合は、ホスト入力機能を使用して、ホストのオペレーティング
システム ID を手動で設定します。
入力インターフェイス(Ingress Interface)
イベントをトリガーしたパケットの入力インターフェイス。パッシブ インターフェイスの場合、このインターフェイスの列だけに入力されます。
入力セキュリティ ゾーン(Ingress Security Zone)
イベントをトリガーとして使用したパケットの入力セキュリティ ゾーンまたはトンネル ゾーン。パッシブ展開環境では、このセキュリティ ゾーン フィールドだけに入力されます。
インライン結果(Inline Result)
ワークフローとテーブル ビューでは、このフィールドには次のいずれかが表示されます。
-
黒い下矢印:ルールをトリガーとして使用したパケットをシステムがドロップしたことを示します
-
灰色の下矢印:[インライン時にドロップ(Drop when Inline)] 侵入ポリシー オプション(インライン展開環境)を有効にした場合、またはシステムがプルーニングしている間に [ドロップしてイベントを生成する(Drop and Generate)] ルールがイベントを生成した場合、IPS がパケットをドロップしたことを示します
-
空白:トリガーとして使用されたルールが [ドロップしてイベントを生成する(Drop and Generate Events)] に設定されていないことを示します
侵入ポリシーのルールの状態またはインライン ドロップ動作にかかわらず、インライン インターフェイスがタップ モードになっている場合を含め、パッシブ展開環境ではシステムはパケットをドロップしません。
このフィールドを検索するときは、次のいずれかを入力します。
侵入ポリシー(Intrusion Policy)
イベントを生成した侵入ルール、プリプロセッサ ルール、またはデコーダ ルールが有効にされた侵入ポリシー。アクセス コントロール ポリシーのデフォルト アクションとして侵入ポリシーを選択するか、アクセス コントロール ルールと侵入ポリシーを関連付けることができます。
IOC
侵入イベントをトリガーとして使用したトラフィックが、接続に関係するホストに対する侵入の痕跡(IOC)もトリガーとして使用したかどうか。このフィールドを検索するときは、triggered または n/a を指定します。
メッセージ(Message)
イベントを説明するテキスト。ルールベースの侵入イベントの場合、イベント メッセージはルールから取得されます。デコーダベースおよびプリプロセッサベースのイベントの場合は、イベント メッセージはハード コーディングされています。
MPLSラベル(MPLS Label)
侵入イベントをトリガーしたパケットと関連付けられているマルチプロトコル ラベル スイッチング ラベル。
ネットワーク分析ポリシー(Network Analysis Policy)
イベントの生成に関連付けられているネットワーク分析ポリシー(ある場合)。
この列には、取得された URI の最初の 50 文字が表示されます。省略 URI の表示部分にポインタを合わせると、最大 2048 バイトまでの完全な URI を表示することができます。また、最大 2048 バイトまでの完全な URI をパケット
ビューに表示することもできます。
クライアントのオリジナル IP(Original Client IP)
X-Forwarded-For(XFF)、True-Client-IP、またはカスタム定義の HTTP ヘッダーから取得された、元のクライアント IP アドレス。
このフィールドの値を表示するには、ネットワーク解析ポリシーで HTTP プリプロセッサ [元のクライアント IP アドレスの抽出(Extract Original Client IP Address)] オプションを有効にする必要があります。オプションで、ネットワーク解析ポリシーの同じエリアで、最大 6 つのカスタム クライアント IP 見出しを指定し、システムが [クライアントのオリジナル IP(Original Client IP)] イベント
フィールドの値を選択する優先順位を設定します。
[プライオリティ(Priority)]
Cisco Talos Security Intelligence and Research Group(Talos) で指定されたイベントの優先度。優先度は、priority
キーワードの値または classtype
キーワードの値に対応します。その他の侵入イベントの場合、プライオリティはデコーダまたはプリプロセッサによって決定されます。有効な値は、[高(high)]、[中(medium)]、および [低(low)] です。
確認者(Reviewed By)
イベントを確認したユーザの名前。このフィールドを検索するときは、unreviewed と入力すると、まだ確認されていないイベントを検索できます。
セキュリティ コンテキスト(Security Context)
トラフィックが通過した仮想ファイアウォール グループを識別するメタデータ。システムがこのフィールドにデータを設定するのは、マルチ コンテキスト モードの ASA FirePOWER だけです。
Snort ID(Snort ID)(検索のみ)
イベントを生成したルールの Snort ID(SID)を指定するか、オプションで、ルールの複合ジェネレータ ID(GID)および SID を指定します。ここで、GID および SID は、コロン(:)で区切られ、GID:SID の形式になります。次の表の任意の値を指定できます。
表 1. Snort ID 検索値
値
|
例
|
単一の SID
|
10000
|
SID の範囲
|
10000 ~ 11000
|
SID より大きい
|
>10000
|
SID 以上
|
>=10000
|
SID 未満
|
<10000
|
SID 以下
|
<=10000
|
SID のカンマ区切りリスト
|
10000,11000,12000
|
単一の GID:SID の組み合わせ
|
1:10000
|
GID:SID の組み合わせのカンマ区切りリスト
|
1:10000,1:11000,1:12000
|
SID および GID:SID の組み合わせのカンマ区切りリスト
|
10000,1:11000,12000
|
表示しているイベントの SID が [メッセージ(Message)] 列に表示されます。
ソースの大陸(Source Continent)
侵入イベントに関連する送信ホストのある大陸。
ソースの国(Source Country)
侵入イベントに関連する送信ホストのある国。
ソース IP
侵入イベントに関連する送信ホストが使用する IP アドレス。
送信元ポート/ICMP タイプ(Source Port / ICMP Type)
送信元ホストのポート番号。ICMP トラフィックの場合は、ポート番号がないため、このフィールドには ICMP タイプが表示されます。
送信元ユーザ(Source User)
送信元ホストにログインしている既知のユーザのユーザ ID。
SSL の実際のアクション(SSL Actual Action)(検索のみ)
システムが暗号化トラフィックに適用したアクション。
- ブロック(Block)/リセットしてブロック(Block With Reset)
-
ブロックされた暗号化接続を表します。
- 複合(再署名)(Decrypt (Resign))
-
再署名サーバ証明書を使用して復号された発信接続を表します。
- 復号(キーの置き換え)(Decrypt (Replace Key))
-
置き換えられた公開キーと自己署名サーバ証明書を使用して復号された発信接続を表します。
- 復号(既知のキー)(Decrypt (Known Key))
-
既知の秘密キーを使用して復号された着信接続を表します。
- デフォルト アクション(Default Action)
-
接続がデフォルト アクションによって処理されたことを示しています。
- 復号しない(Do Not Decrypt)
-
システムが復号しなかった接続を表します。
フィールド値は、検索ワークフロー ページの [SSL ステータス(SSL Status)] フィールドに表示されます。
SSL 証明書情報(SSL Certificate Information)(検索のみ)
トラフィックを暗号化するための公開キー証明書に保存される次の情報:
-
件名/発行元共通名(Subject/Issuer Common Name)
-
件名/発行元組織(Subject/Issuer Organization)
-
件名/発行元組織ユニット(Subject/Issuer Organization Unit)
-
有効期間の開始/終了(Not Valid Before/After)
-
シリアル番号(Serial Number)
-
証明書フィンガープリント(Certificate Fingerprint)
-
公開キー フィンガープリント(Public Key Fingerprint)
SSL 失敗理由(SSL Failure Reason)(検索のみ)
システムが暗号化されたトラフィックの復号に失敗した理由:
-
不明
-
不一致(No Match)
-
Success
-
キャッシュされないセッション(Uncached Session)
-
不明な暗号スイート(Unknown Cipher Suite)
-
サポートされていない暗号スイート(Unsupported Cipher Suite)
-
サポートされていない SSL バージョン(Unsupported SSL Version)
-
SSL 圧縮の使用(SSL Compression Used)
-
パッシブ モードで復号できないセッション(Session Undecryptable in Passive Mode)
-
ハンドシェイク エラー(Handshake Error)
-
復号化エラー(Decryption Error)
-
保留サーバ名カテゴリ ルックアップ(Pending Server Name Category Lookup)
-
保留共通名カテゴリ ルックアップ(Pending Common Name Category Lookup)
-
内部エラー(Internal Error)
-
ネットワーク パラメータを使用できません(Network Parameters Unavailable)
-
無効なサーバ証明書の処理(Invalid Server Certificate Handle)
-
サーバ証明書フィンガープリントを使用できません(Server Certificate Fingerprint Unavailable)
-
サブジェクト DN をキャッシュできません(Cannot Cache Subject DN)
-
発行元 DN をキャッシュできません(Cannot Cache Issuer DN)
-
不明の SSL バージョン(Unknown SSL Version)
-
外部証明書リストを使用できません(External Certificate List Unavailable)
-
外部証明書フィンガープリントを使用できません(External Certificate Fingerprint Unavailable)
-
内部証明書リストが無効です(Internal Certificate List Invalid)
-
内部証明書リストを使用できません(Internal Certificate List Unavailable)
-
内部証明書を使用できません(Internal Certificate Unavailable)
-
内部証明書フィンガープリントを使用できません(Internal Certificate Fingerprint Unavailable)
-
サーバ証明書検証を使用できません(Server Certificate Fingerprint Unavailable)
-
サーバ証明書検証エラー(Server Certificate Validation Failure)
-
無効なアクション(Invalid Action)
フィールド値は、検索ワークフロー ページの [SSL ステータス(SSL Status)] フィールドに表示されます。
SSL ステータス(SSL Status)
暗号化接続をログに記録した [SSL の実際のアクション(SSL Actual Action)](SSL ルール、デフォルトのアクション、または復号化できないトラフィック アクション)に関連付けられているアクション。
システムが暗号化された接続の復号化に失敗した場合、実行された [SSL の実際のアクション(SSL Actual Action)](復号化できないトラフィック アクション)と [SSL 障害の理由(SSL Failure Reason)] が表示されます。たとえば、不明な暗号スイートによって暗号化されたトラフィックをシステムが検出し、それ以上のインスペクションをせずにこれを許可した場合、このフィールドには [復号しない(不明な暗号スイート)(Do Not Decrypt (Unknown
Cipher Suite))]
が表示されます。
証明書の詳細を表示するにはロック アイコン()をクリックします。
このフィールドを検索するときは、[SSL の実際のアクション(SSL Actual Action)] および [SSL 障害の理由(SSL Failure Reason)] の値を 1 つ以上を入力して、システムが処理した暗号化されたトラフィック、または復号化に失敗したトラフィックを表示します。
SSL 件名/発行元国(SSL Subject/Issuer Country)(検索のみ)
暗号化証明書に関連付けられている件名または発行者の国に関する 2 文字の ISO 3166-1 アルファ 2 国コード。
時刻(Time)
イベントの日付と時刻。このフィールドは検索できません。
VLAN ID(Admin. VLAN ID)
侵入イベントをトリガーとして使用したパケットと関連付けられた最内部 VLAN ID。
Web アプリケーション(Web Application)
侵入イベントをトリガーとして使用したトラフィックで検出された HTTP トラフィックの内容または要求された URL を表す、Web アプリケーション。
システムが HTTP のアプリケーション プロトコルを検出し、特定の Web アプリケーションを検出できなかった場合、システムはここで一般的な Web ブラウジング指定を提供します。
Web アプリケーション カテゴリおよびタグ(Web Application Category and Tag)
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。