システム監査について
システム上のアクティビティを 2 つの方法で監査できます。Firepower システムの一部であるアプライアンスによって、Web インターフェイスとユーザとの対話のそれぞれに対して監査レコードが生成され、システム ステータス メッセージがシステム ログに記録されます。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
次のトピックでは、システム上のアクティビティを監査する方法について説明します。
システム上のアクティビティを 2 つの方法で監査できます。Firepower システムの一部であるアプライアンスによって、Web インターフェイスとユーザとの対話のそれぞれに対して監査レコードが生成され、システム ステータス メッセージがシステム ログに記録されます。
Firepower Management Center および 7000 および 8000 シリーズ管理対象デバイスは、ユーザ アクティビティに関する読み取り専用の監査情報をログに記録します。監査ログは標準イベント ビューに表示され、監査ビュー内の任意の項目に基づいて監査ログ メッセージを表示、ソート、およびフィルタリングできます。監査情報を簡単に削除したり、それに関するレポートを作成したりすることができ、ユーザが行った変更に関する詳細なレポートを表示することもできます。
監査ログには最大 100,000 のエントリが保存されます。監査ログ エントリの数が 100,000 を超えると、アプライアンスは最も古いレコードをデータベースからプルーニングして、100,000 エントリまで数を削減します。
(注) |
7000 または 8000 シリーズ デバイスをリブートした直後にすばやく補助 CLI にログインした場合、そこで実行するコマンドは、ローカル Web インターフェイスが使用可能になるまでは監査ログに記録されません。 |
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
Firepower Management Center または 7000 および 8000 シリーズ デバイスで、監査レコードのテーブルを表示できます。事前定義された監査ワークフローには、イベントを示す単一のテーブル ビューが含まれます。ユーザは検索する情報に応じてテーブル ビューを操作することができます。また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。
マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。
ステップ 1 |
を使用して監査ログのワークフローにアクセスします。 |
||
ステップ 2 |
イベントが 1 つも表示されない場合は、時間範囲を調整することを考慮してください。詳細については、イベント時間の制約を参照してください。
|
||
ステップ 3 |
次の選択肢があります。
|
次の表で、表示および検索できる監査ログ フィールドについて説明します。
フィールド |
説明 |
---|---|
時刻(Time) |
アプライアンスが監査レコードを生成した日時。 |
ユーザ(User) |
監査イベントをトリガーしたユーザのユーザ名。 |
サブシステム |
監査レコードが生成されたときにユーザがたどったフル メニュー パス。たとえば、 は、監査ログを表示するためのメニュー パスです。 メニュー パスが該当しない数少ないケースでは、[サブシステム(Subsystem)] フィールドにイベント タイプのみが表示されます。たとえば、Login は、ユーザがログインしようとしたことを表します。 |
メッセージ(Message) |
ユーザが実行したアクション、またはユーザがページでクリックしたボタン。 たとえば、 Firepower システムに対する変更は比較アイコン()付きで表示され、アイコンをクリックすると変更の概要を確認することができます。 |
ソース IP |
ユーザが使用したホストに関連付けられている IP アドレス。 注:このフィールドを検索する場合は、特定の IP アドレスを入力する必要があります。監査ログの検索で IP 範囲を使用することはできません。 |
ドメイン(Domain) |
監査イベントがトリガーされたときのユーザの現行ドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。 |
設定の変更(Configuration Change) (検索専用) |
設定の変更の監査レコードを検索結果に表示するかどうかを指定します。( |
メンバー数(Count) |
各行に表示される情報と一致するイベントの数。[カウント(Count)] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。このフィールドは検索できません。 |
イベント ビューのレイアウトを変更したり、ビュー内のイベントをフィールド値で制限したりできます。カラムを無効にする場合は、非表示にするカラム見出しの [閉じる(Close)] アイコン()をクリックした後、表示されるポップアップ ウィンドウで [適用(Apply)] をクリックします。カラムを無効にすると、そのカラムは(後で元に戻さない限り)そのセッションの期間中は無効になります。最初のカラムを無効にすると、[カウント(Count)] カラムが追加されることに注意してください。
他のカラムを表示/非表示にしたり、無効になったカラムをビューに再び追加したりするには、該当するチェックボックスを選択またはクリアしてから [適用(Apply)] をクリックします。
テーブル ビューの行内の値をクリックすると、テーブル ビューが制約されます(ワークフロー内の次のページにはドリルダウンされません)。
ヒント |
テーブル ビューでは、必ずページ名に「テーブル ビュー(Table View)」が含まれます。 |
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
監査ログを使用して、システムの変更に関する詳細レポートを表示できます。これらのレポートは、現在のシステム設定を、特定の変更が行われる直前の設定と比較します。
[設定の比較(Compare Configurations)] ページには、変更前のシステム設定と、現在実行中の設定との違いが横並び形式で表示されます。監査イベント タイプ、最終変更時間、および変更を行ったユーザ名が、各設定の上のタイトル バーに表示されます。
2 つの設定の違いは次のように強調表示されます。
青は、強調表示されている設定項目が 2 つの設定間で異なっていることを示し、異なっている部分は赤のテキストで表示されます。
グリーンは、強調表示されている設定項目が一方の設定に含まれ、もう一方の設定には含まれないことを示します。
マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。
ステップ 1 |
を選択します。 |
||
ステップ 2 |
[メッセージ(Message)] カラムの該当する監査ログ イベントの横にある比較アイコン()をクリックします。
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
監査ポリシーで、Firepower System/ユーザ間の特定のタイプのインタラクションを監査する必要がない場合は、それらのインタラクションによって、Firepower Management Center または 7000 および 8000 シリーズ デバイス上で監査レコードが生成されないように設定できます。たとえば、デフォルトでは、ユーザがオンライン ヘルプを表示するたびに、Firepower System は監査レコードを生成します。このようなインタラクションのレコードを保持する必要がない場合は、これらを自動的に抑制できます。
監査イベントの抑制を設定するには、アプライアンスの admin
ユーザ アカウントにアクセスできる必要があり、アプライアンスのコンソールにアクセスできる(またはセキュア シェルを開くことができる)必要があります。
注意 |
許可された担当者だけが、アプライアンスとその |
AuditBlock.type
|
それぞれの監査ブロック タイプの内容は、以下の表に記載されているように、特定の形式でなければなりません。ファイル名の大文字/小文字を必ず正しく表記してください。また、ファイルの内容でも大文字と小文字が区別されることに注意してください。
AuditBlock
ファイルを追加した場合、サブシステム Audit
およびメッセージ Audit Filter
type
Changed
を含む監査レコードが監査イベントに追加されることに注意してください。セキュリティ上の理由から、この監査レコードを抑制することはできません。
タイプ(Type) |
説明 |
---|---|
アドレス(Address) |
|
メッセージ |
たとえば、 |
サブシステム |
部分文字列は照合されないことに注意してください。正確な文字列を使用する必要があります。監査対象のサブシステムのリストについては、監査対象のサブシステムを参照してください。 |
ユーザ(User) |
|
次の表に、監査対象のサブシステムを示します。
[名前(Name)] |
何に関するユーザ インタラクションを含んでいるか |
---|---|
管理 |
管理機能(システムとアクセス権の設定、時刻の同期、バックアップと復元、デバイス管理、ユーザ アカウントの管理、スケジュール設定など) |
アラート(Alerting) |
アラート機能(電子メール アラート、SNMP アラート、Syslog アラートなど) |
監査ログ(Audit Log) |
監査イベントの表示 |
監査ログ検索(Audit Log Search) |
監査イベントの検索 |
コマンド ライン |
コマンドライン インターフェイス |
設定(Configuration) |
電子メール アラート機能 |
COOP |
運用の継続性に関する機能 |
日付(Date) |
イベント ビューの日時範囲 |
デフォルトのサブシステム(Default Subsystem) |
サブシステムが割り当てられていないオプション |
検出および防止ポリシー(Detection & Prevention Policy) |
侵入ポリシーのメニュー オプション |
エラー(Error) |
システム レベルのエラー |
eStreamer |
eStreamer 構成 |
EULA |
エンド ユーザ ライセンス契約書の確認 |
イベント |
侵入および検出イベント ビュー |
イベント クリップボード(Events Clipboard) |
侵入イベント クリップボード |
確認済みイベント(Events Reviewed) |
確認済みの侵入イベント |
イベント検索(Events Search) |
あらゆるイベント検索 |
ルール更新のインストールの失敗(Failed to install rule update) |
ルール更新のインストール |
ヘッダー |
ユーザ ログイン後のユーザ インターフェイスの初回表示 |
状態 |
ヘルス モニタリング |
ヘルス イベント(Health Events) |
ヘルス モニタリング イベントの表示 |
ヘルプ |
オンライン ヘルプ |
高可用性 |
高可用性ペアでの Firepower Management Center の確立と管理 |
IDS インパクト フラグ(IDS Impact Flag) |
インパクト フラグの設定 |
IDS ポリシー(IDS Policy) |
侵入ポリシー |
IDS ルール SID: |
SID 別の侵入ルール |
[インシデント(Incidents)] |
侵入インシデント |
インストール(Install) |
更新のインストール |
侵入イベント |
侵入イベント |
ログイン(Login) |
Web インターフェイスのログイン/ログアウト機能 |
ログアウト |
Web インターフェイス ログアウト機能 |
メニュー |
あらゆるメニュー オプション |
[設定のエクスポート(Configuration export)] > [ |
特定のタイプと名前の設定のインポート |
権限のエスカレーション(Permission Escalation) |
ユーザ ロールのエスカレーション |
初期設定 |
ユーザ設定(ユーザ アカウントのタイム ゾーン、個々のイベント設定など) |
ポリシー |
侵入ポリシーを含む、あらゆるポリシー |
登録 |
Management Center でのデバイスの登録 |
リモート ストレージ デバイス(RemoteStorageDevice) |
リモート ストレージ デバイスの設定 |
レポート |
レポート リスト機能およびレポート デザイナ機能 |
ルール(Rules) |
侵入ルール(侵入ルール エディタとルールのインポート プロセスを含む) |
ルール更新インポート ログ(Rule Update Import Log) |
ルール更新インポート ログの表示 |
ルール更新インストール(Rule Update Install) |
ルール更新のインストール |
セッションの時間切れ |
Web インターフェイスのセッション タイムアウト |
ステータス(Status) |
Syslog およびホストとパフォーマンスの統計 |
システム(System) |
システム全体のさまざまな設定 |
タスク キュー(Task Queue) |
バックグラウンド プロセス ステータスの表示 |
Users |
ユーザ アカウントとロールの作成および変更 |
[システム ログ(System Log)](syslog)ページには、アプライアンスのシステム ログ情報が表示されます。システム ログには、システムによって生成された各メッセージが表示されます。次の項目が順にリストされます。
メッセージが生成された日付
メッセージが生成された時刻
メッセージを生成したホスト
メッセージ自体
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
任意(Any) |
グローバルだけ |
Admin/Maint |
システム ログ情報はローカルな情報です。たとえば、Firepower Management Center を使用して、管理対象デバイスのシステム ログ内のシステム ステータス メッセージを見ることはできません。
Firepower Management Center または 7000 & 8000 シリーズ デバイスでは、特定のコンポーネントでフィルタリングすることによって、システム ログ メッセージのビューを変更できます。
ステップ 1 |
を選択します。 |
ステップ 2 |
システム ログの特定のメッセージ内容を検索する場合は、システム ログ メッセージのフィルタリングを参照してください。 |
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
任意(Any) |
グローバルだけ |
Admin/Maint |
Firepower Management Center または 7000 および 8000 シリーズ のデバイスで、特定のコンポーネントをフィルタリングして、システム ログ メッセージの表示を変更することができます。フィルタリングにより、メッセージ内容に基づいて特定のメッセージを検索することができます。
フィルタリング機能は、UNIX ファイル検索ユーティリティ Grep を使用しているため、Grep で使用可能なほとんどの構文を使用できます。つまり、パターン マッチング用に Grep 互換の正規表現を使用できます。単一の語をフィルタとして使用したり、Grep でサポートされる正規表現を使用したりして内容を検索できます。
ステップ 1 |
を選択します。 |
||
ステップ 2 |
システム ログ フィルタの構文に記載されているように、フィルタのフィールドに単語またはクエリを入力します。
|
||
ステップ 3 |
大文字と小文字が区別されるようにするには、[大文字と小文字を区別する(Case-sensitive)] をチェックします。(デフォルトでは、フィルタで大文字/小文字は区別されません。) |
||
ステップ 4 |
オプションで、[除外(Exclusion)] をチェックすると、入力した条件に一致しないすべてのシステム ログ メッセージが検索されます。 |
||
ステップ 5 |
[移動(Go)] をクリックします。 |
11 月 5 日に生成されたすべてのログ エントリを検索するには、Nov[[:space:]]*5
を使用します。
ユーザ名 ”Admin” を含むすべてのログ エントリを検索するには Admin
を使用します。
11 月 5 日のデバッグ情報の認証を含むすべてのログ エントリを検索するには、Nov[[:space:]]*5.*AUTH.*DEBUG
を使用します。
次の表に、システム ログ フィルタで使用できる正規表現構文を示します。
構文のコンポーネント |
説明 |
例 |
---|---|---|
|
任意の文字またはスペースと一致します |
|
|
任意の英文字と一致します |
|
|
任意の大文字の英文字と一致します |
|
|
任意の小文字の英文字と一致します |
|
|
任意の数字と一致します |
|
|
任意の英数字と一致します |
|
|
タブを含む、任意のスペースと一致します |
|
|
その前にある文字または式のゼロ個以上のインスタンスと一致します |
|
|
ゼロ個または 1 つのインスタンスと一致します |
|
\ |
これを使用すると、通常は正規表現構文と解釈される文字を検索できます |
alert\? |