イベントには次の情報が含まれます。これらの情報は、イベントの詳細情報を表示すると確認できます。また、イベント ビューア表に列を追加すると、最も関心のある情報を表示できます。
以下に、使用可能なフィールドの完全なリストを示します。すべてのフィールドがどのイベント タイプにも適用されるわけではありません。個別のイベントで利用可能な情報は、システムがいつ、なぜ、どのようにして接続を記録したかによって異なることに注意してください。
- [アクション(Action)]
-
接続イベントまたはセキュリティ インテリジェンス イベントの場合、接続をロギングしたアクセス制御ルールまたはデフォルト アクションに関連付けられたアクション。
- [許可(Allow)]
-
明示的に許可された接続。
- [信頼(Trust)]
-
信頼できる接続。最初のパケットが信頼ルールによって検出された TCP 接続のみ、接続終了イベントを生成します。システムは、最後のセッション パケットの 1 時間後にイベントを生成します。
- [ブロック(Block)]
-
ブロックされている接続。[ブロック(Block)] 動作は、次の条件下で、アクセス許可ルールに関連付けることができます。
-
侵入ポリシーによってエクスプロイトがブロックされた接続。
-
ファイルがファイル ポリシーによってブロックされている接続。
-
セキュリティ インテリジェンスによってブラックリストに載せられている接続。
-
SSL ポリシーによってブロックされている接続。
- [デフォルトアクション(Default Action)]
-
接続はデフォルト アクションによって処理されました。
ファイル イベントまたはマルウェア イベントの場合は、ファイルが一致したルールのルール アクションに関連付けられたファイル ルール アクションと、すべての関連するファイル ルール アクションのオプション。
- [許可された接続(Allowed Connection)]
-
システムがイベントのトラフィック フローを許可したかどうか。
- [アプリケーション(Application)]
-
接続で検出されたアプリケーション。
- [アプリケーションのビジネスとの関連性(Application Business Relevance)]
-
接続で検出されたアプリケーション トラフィックに関連するビジネス関連性:Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するビジネスとの関連性があります。このフィールドでは、それらのうち最も低いもの(関連が最も低い)が表示されます。
- [アプリケーションカテゴリ、アプリケーションタグ(Application Categories, Application Tag)]
-
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
- [アプリケーションのリスク(Application Risk)]
-
接続で検出されたアプリケーション トラフィックに関連するリスク:Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するリスクがあります。このフィールドでは、それらのうち最も高いものが表示されます。
- [ブロックタイプ(Block Type)]
-
イベントでトラフィック フローが一致したアクセス制御ルールで指定されたブロックのタイプ:block または interactive block。
- [クライアントアプリケーション、クライアントバージョン(Client Application, Client Version)]
- 接続で検出されたクライアントのクライアント アプリケーションとバージョン。
- [クライアントのビジネスとの関連性(Client Business Relevance)]
-
接続で検出されたクライアント トラフィックに関連するビジネスとの関連性:Very High、High、Medium、Low、または Very Low。接続で検出されたクライアントのタイプごとに、ビジネスとの関連性が関連付けられています。このフィールドは、最も低いもの(関連性が最も低い)を表示します。
- [クライアントカテゴリ、クライアントタグ(Client Application, Client Version)]
-
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
- [クライアントリスク(Client Risk)]
-
接続で検出されたクライアント トラフィックに関連するリスク:Very High、High、Medium、Low、または Very Low。接続で検出されたクライアントのタイプごとに、リスクが関連付けられています。このフィールドは、最も高いものを表示します。
- [接続(Connection)]
-
内部的に生成されたトラフィック フローの固有 ID。
- [接続ブロックタイプインジケータ(Connection Blocktype Indicator)]
-
イベントのトラフィック フローと一致するアクセス コントロール ルールで指定されたブロックのタイプ。ブロックまたはインタラクティブ ブロック。
- [接続バイト(Connection Bytes)]
-
接続の合計バイト数。
- [接続時間(Connection Time)]
-
接続の開始時刻。
- [接続タイムスタンプ(Connection Timestamp)]
-
接続が検出された時刻。
- [拒否された接続(Denied Connection)]
-
システムがイベントのトラフィック フローを拒否したかどうか。
- [宛先の国または大陸(Destination Country and Continent)]
-
受信ホストの国および大陸。
- [宛先 IP アドレス(Destination IP)]
-
侵入、ファイル、またはマルウェア イベントで受信側ホストによって使用された IP アドレス。
- [宛先ポート/ICMPコード、宛先ポート、宛先Icode(Destination Port/ICMP Code; Destination Port; Destination Icode)]
-
セッション レスポンダが使用するポートまたは ICMP コード。
- [方向(Direction)]
-
ファイルの送信方向。
- [傾向(Disposition)]
-
ファイルの性質。
- [マルウェア(Malware)]
-
AMP クラウドでそのファイルがマルウェアとして分類されていること、またはファイルの脅威スコアが、ファイル ポリシーで定義されたマルウェアしきい値を超えていることを示します。ローカル マルウェア分析では、ファイルをマルウェアとしてマークすることもできます。
- [クリーン(Clean)]
-
AMP クラウドでそのファイルがクリーンとして分類されているか、ユーザがファイルをクリーン リストに追加したことを示します。
- [不明(Unknown)]
-
システムが AMP クラウドに問い合わせましたが、ファイルの性質が割り当てられていませんでした。言い換えると、AMP クラウドがファイルを正しく分類していませんでした。
- [応対不可(Unavailable)]
-
システムがAMPクラウドに問い合わせできなかったことを示します。この性質に関するイベントが、わずかながら存在する可能性があります。これは予期された動作です。
- [該当なし(N/A)]
-
[ファイル検出(Detect Files)] または [ファイル ブロック(Block Files)] ルールがファイルを処理し、システムが AMP クラウドに問い合わせなかったことを示します。
- [出力インターフェイス、出力セキュリティ ゾーン(gress Interface, Egress Security Zone)]
-
接続がデバイスを通り抜けたゾーンとインターフェイス。
- [イベント、イベントタイプ(Event, Event Type)]
-
イベントのタイプ。
- [イベント秒、イベントマイクロ秒(Event Seconds, Event Microseconds)]
-
イベントが検出された時刻(秒またはマイクロ秒単位)。
- [ファイルカテゴリ(File Category)]
-
ファイル タイプの一般的なカテゴリ(Office ドキュメント、アーカイブ、マルチメディア、実行可能ファイル、PDF ファイル、エンコード ファイル、グラフィック、システム ファイルなど)。
- [ファイルイベントタイムスタンプ(File Event Timestamp)]
-
ファイルまたはマルウェア ファイルが作成された日時。
- [ファイル名(File Name)]
-
ファイルの名前。
- [ファイルルールのアクション(File Rule Action)]
-
ファイルを検出したファイル ポリシー ルールに関連したアクション、および関連するファイル アクション オプション。
- [ファイルSHA-256(File SHA-256)]
-
ファイルの SHA-256 ハッシュ値。
- [ファイル サイズ(File Size)(KB)]
-
ファイルのサイズ(KB 単位)。システムがファイルを完全に受信する前にブロックした場合、ファイル サイズが空白になる場合があります。
- [ファイルタイプ(File Type)]
-
ファイルのタイプ(HTML や MSEXE など)。
- [ファイル/マルウェアポリシー(File/Malware Policy)]
-
イベントの生成に関連付けられているファイル ポリシー。
- [ファイルログブロックタイプインジケータ(Filelog Blocktype Indicator)]
-
イベントでトラフィック フローが一致したファイル ルールで指定されたブロックのタイプ:block または interactive block。
- [ファイアウォールポリシールール、ファイアウォールルール(Firewall Policy Rule, Firewall Rule)]
-
接続を処理したアクセス コントロール ルールまたはデフォルト アクション。
- [最初のパケット(First Packet)]
-
セッションの最初のパケットが検出された日時。
- [HTTPリファラ(HTTP Referrer)]
-
接続で検出された HTTP トラフィックの要求された URL の参照元を表す HTTP 参照元(別の URL へのリンクを提供した Web サイトや別の URL からのリンクをインポートした Web サイトなど)。
- [HTTPレスポンス(HTTP Response)]
-
クライアントからの接続経由の HTTP 要求に応じて送信される HTTP ステータス コード。
- [IDSの分類(IDS Classification)]
-
イベントを生成したルールが属している分類。
- [入力インターフェイス、入力セキュリティゾーン(Ingress Interface, Ingress Security Zone)]
-
接続がデバイスに入ったゾーンとインターフェイス。
- [イニシエータバイト、イニシエータパケット(Initiator Bytes, Initiator Packets)]
-
セッション イニシエータが送信した合計バイト数またはパケット数。
- [イニシエータの国または大陸(Initiator Country and Continent)]
-
セッションを開始したホストの所在地の国と地域の名前。イニシエータの IP アドレスがルーティング可能であるときにのみ使用できます。
- [イニシエータ IP(Initiator IP)]
-
接続イベントまたはセキュリティ インテリジェンス イベントでセッションを開始したホスト IP アドレス(および DNS 解決が有効になっている場合のホスト名)。
- [インライン結果(Inline Result)]
-
インライン モードで動作しているときに、侵入イベントをトリガーしたパケットをシステムがドロップした、またはドロップするはずだったか。ブランクは、トリガーとして使用されたルールが [ドロップしてイベントを生成する(Drop and Generate
Events)] に設定されていないことを示します
- [侵入ポリシー(Intrusion Policy)]
-
イベントを生成したルールが有効にされた侵入ポリシー。
- [IPSブロックタイプインジケータ(IPS Blocktype Indicator)]
-
イベントのトラフィック フローと一致する侵入ルールのアクション。
- [最後のパケット(Last Packet)]
-
セッションの最後のパケットが検出された日時。
- [MPLSラベル(MPLS Label)]
-
この侵入イベントをトリガーしたパケットと関連付けられているマルチプロトコル ラベル スイッチング ラベル。
- [マルウェアブロックタイプインジケータ(Malware Blocktype Indicator)]
-
イベントのトラフィック フローと一致するファイル ルールで指定されたブロックのタイプ。ブロックまたはインタラクティブ ブロック。
- [メッセージ(Message)]
-
侵入イベントの場合、イベントの説明テキスト。マルウェアまたはファイル イベントの場合は、マルウェア イベントに関連付けられている追加情報。
- [NetBIOSドメイン(NetBIOS Domain)]
-
セッションで使用された NetBIOS ドメイン。
- [元のクライアントの国と大陸(Original Client Country and Continent)]
-
セッションを開始した元のクライアント ホストの所在地の国と地域の名前。元のクライアントの IP アドレスがルーティング可能であるときにのみ使用できます。
- [クライアントのオリジナルIP(Original Client IP)]
-
HTTP 接続を開始したクライアントの元の IP アドレス。このアドレスは、X-Forwarded-For(XFF)または True-Client-IP HTTP のヘッダー フィールド、またはそれらの同等品から取得されます。
- [ポリシー、ポリシーの改訂(Policy, Policy Revision)]
-
アクセス コントロール ポリシーとその改訂版。イベントに関連付けられているアクセス(ファイアウォール)ルールを含みます。
- [プライオリティ(Priority)]
-
Cisco Talos Intelligence Group(Talos) により決定されたイベントのプライオリティ(高(high)、中(medium)、または低(low))。
- [プロトコル(Protocol)]
-
接続に使用されるトランスポート プロトコルです。
- [理由(Reason)]
-
次の表では、接続がロギングされた状況を説明しています。該当しない場合、このフィールドは空になります。これ以外の場合、このフィールドは空です。
理由
|
説明
|
[ファイルブロック(File Block)]
|
ファイルまたはマルウェア ファイルが接続に含まれており、システムがその送信を防いでいます。[ファイルブロック(File Block)] の理由は必ず [ブロック(Block)] アクションと対として組み合わされます。
|
[ファイルモニタ(File Monitor)]
|
システムが接続において特定のファイルの種類を検出しました。
|
[ファイル復帰許可(File Resume Allow)]
|
ファイル送信がはじめに [ファイルブロック(Block Files)] ルールまたは [マルウェアブロック(Block Malware)] ファイル ルールによってブロックされました。ファイルを許可する新しいアクセス コントロール ポリシーが展開された後、HTTP
セッションが自動的に再開しました。
|
[ファイル復帰ブロック(File Resume Block)]
|
ファイル送信がはじめに [ファイル検出(Detect Files)] ルールまたは [マルウェアクラウドルックアップ(Malware Cloud Lookup)] ファイル ルールによって許可されました。ファイルをブロックする新しいアクセス コントロール
ポリシーが展開された後、HTTP セッションが自動的に停止しました。
|
[侵入ブロック(Intrusion Block)]
|
接続で検出されたエクスプロイト(侵入ポリシー違反)をシステムがブロックしたか、ブロックするはずでした。[侵入ブロック(Intrusion Block)] の理由は、ブロックされたエクスプロイトの場合は [ブロック(Block)]、ブロックされるはずだったエクスプロイトの場合は
[許可(Allow)] のアクションと対として組み合わされます。
|
[侵入モニタ(Intrusion Monitor)]
|
接続で検出されたエクスプロイトをシステムが検出したものの、ブロックしなかったことを示します。これは、トリガーされた侵入ルールの状態が [イベントを生成する(Generate Events)] に設定されている場合に発生します。
|
[IPブロック(IP Block)]
|
IP アドレスとセキュリティ インテリジェンス データに基づいて、インスペクションなしで接続が拒否されました。[IPブロック(IP Block)] の理由は必ず [ブロック(Block)] のアクションと対として組み合わされます。
|
SSL ブロック(SSL Block)
|
システムが SSL インスペクション設定に基づいて暗号化接続をブロックしました。[SSL ブロック(SSL Block)] の理由は必ず [ブロック(Block)] のアクションと対として組み合わされます。
|
[URLブロック(URL Block)]
|
URL とセキュリティ インテリジェンス データに基づいて、インスペクションなしで接続が拒否されました。[URLブロック(URL Block)] の理由は必ず [ブロック(Block)] のアクションと対として組み合わされます。
|
- [受信時間(Receive Times)]
-
イベントが生成された日時。
- [参照ホスト(Referenced Host)]
-
接続のプロトコルが DNS、HTTP、または HTTPS の場合、このフィールドにはそれぞれのプロトコルが使用していたホスト名が表示されます。
- [レスポンダバイト、レスポンダパケット(Responder Bytes, Responder Packets)]
-
セッション レスポンダが送信した合計バイト数またはパケット数。
- [レスポンダの国または大陸(Responder Country and Continent)]
-
セッションに応答したホストの所在地の国と地域の名前。レスポンダの IP アドレスがルーティング可能であるときにのみ使用できます。
- [レスポンダ IP(Responder IP)]
-
接続イベントまたはセキュリティ インテリジェンス イベントのセッション応答側のホスト IP アドレス(および DNS 解決が有効になっている場合のホスト名)。
- [SIカテゴリID (セキュリティインテリジェンスカテゴリ)(SI Category ID (Security Intelligence Category))]
-
ネットワーク名や URL オブジェクト名、フィード カテゴリの名前など、ブラックリスト項目が含まれるオブジェクトの名前。
- [シグネチャ(Signature)]
-
ファイル/マルウェア イベントの署名 ID。
- [ソースの国または大陸(Source Country and Continent)]
-
送信ホストの国と大陸。送信元 IP アドレスがルーティング可能であるときにのみ使用できます。
- [ソースIP(Source IP)]
-
侵入、ファイル、マルウェア イベントで送信側ホストによって使用された IP アドレス。
- [送信元ポート/ICMPタイプ、送信元ポート、送信元ポートItype(Source Port/ICMP Type; Source Port; Source Port Itype)]
-
セッション イニシエータが使用するポートまたは ICMP タイプ。
- 実際の SSL アクション
-
システムによって接続に適用される実際のアクション。これは期待される動作とは異なることがあります。たとえば、接続が復号化を適用するルールと一致しても、いくつかの理由で復号化できないことがあります。
アクション
|
説明
|
[ブロック(Block)/リセットしてブロック(Block With Reset)]
|
ブロックされた暗号化接続を表します。
|
[復号(再署名)(Decrypt (Resign))]
|
再署名サーバ証明書を使用して復号された発信接続を表します。
|
[復号(キーの交換)(Decrypt (Replace Key))]
|
置き換えられた公開キーと自己署名サーバ証明書を使用して復号化された発信接続を表します。
|
[復号(既知のキー)(Decrypt (Known Key))]
|
既知の秘密キーを使用して復号化された着信接続を表します。
|
[デフォルトアクション(Default Action)]
|
接続がデフォルト アクションによって処理されたことを示します。
|
[復号しない(Do not Decrypt)]
|
システムが復号化しなかった接続を表します。
|
- [SSL証明書のフィンガープリント(SSL Certificate Fingerprint)]
-
証明書の認証に使用する SHA ハッシュ値。
- [SSL証明書ステータス(SSL Certificate Status)]
-
これは、認証ステータスの SSL ルール条件が設定されている場合にのみ適用されます。暗号化されたトラフィックが SSL ルールに一致すると、このフィールドに次のサーバの証明書のステータス値の 1 つ以上が表示されます。
復号できないトラフィックが SSL ルールと一致する場合、[チェックしていない(Not Checked)] がこのフィールドに表示されます。
- [SSL暗号スイート(SSL Cipher Suite)
-
接続に使用された暗号スイート。
- [予期されたSSLアクション(SSL Expected Action)]
-
接続が一致した SSL ルールで指定されたアクション。
- SSL フロー フラグ(SSL Flow Flags)
-
暗号化された接続の最初の 10 デバッグ レベル フラグ。
- [SSLフローメッセージ(SSL Flow Messages)]
-
HELLO_REQUEST や CLIENT_HELLO など、SSL ハンドシェイク中にクライアントとサーバ間で交換された SSL/TLS メッセージ。TLS 接続で交換されたメッセージの詳細については、http://tools.ietf.org/html/rfc5246 を参照してください。
- [SSLポリシー(SSL Policy)
-
接続に適用された SSL 復号ポリシーの名前。
- [SSLルール(SSL Rule)]
-
接続に適用された SSL 復号ルールの名前。
- [SSLセッションID(SSL Session ID)]
-
SSL ハンドシェイク時にクライアントとサーバ間でネゴシエートされた 16 進数のセッション ID。
- [SSLチケットID(SSL Ticket ID)]
-
SSL ハンドシェイク中に送信されたセッション チケット情報の 16 進数のハッシュ値。
- [SSLURLカテゴリ(SSL URL Category)]
-
SSL 復号処理中に決定された宛先 Web サーバの URL カテゴリ。
- [SSLバージョン(SSL Version)]
-
接続に使用された SSL/TLS バージョン。
- [TCPフラグ(TCP Flags)]
-
接続で検出された TCP フラグ。
- [合計パケット数(Total Packets)]
-
接続で送信されたパケットの総数:[イニシエータパケット] + [レスポンダパケット]。
- [URL、URLカテゴリ、URLレピュテーション、URLレピュテーションスコア(URL, URL Category, URL Reputation, URL Reputation Score)]
-
セッション中に監視対象のホストによって要求された URL と、関連付けられたカテゴリ、レピュテーション、およびレピュテーション スコア(利用できる場合)。
システムが SSL アプリケーションを識別またはブロックする場合、要求された URL は暗号化トラフィック内にあるため、システムは、SSL 証明書に基づいてトラフィックを識別します。したがって SSL アプリケーションの場合、この URL は証明書に含まれる一般名を表示します。
- [ユーザ(User)]
-
イニシエータの IP アドレスに関連付けられたユーザ。
- [VLAN]
-
イベントをトリガーしたパケットに関連付けられている最内部 VLAN ID。
- [Webアプリケーションのビジネスとの関連性(Web App Business Relevance)]
-
接続で検出された Web アプリケーション トラフィックに関連するビジネス関連性:Very High、High、Medium、Low、または Very Low。接続で検出された Web アプリケーションのタイプごとに、ビジネスとの関連性が関連付けられています。このフィールドは、最も低いもの(関連性が最も低い)を表示します。
- [Webアプリケーションのカテゴリおよびタグ(Web App Categories、Web App Tag)]
-
Web アプリケーションの機能を理解するのに役立つ、Web アプリケーションの特性を示す基準。
- [Webアプリケーションのリスク(Web App Risk)]
-
接続で検出された Web アプリケーション トラフィックに関連するリスク:Very High、High、Medium、Low、または Very Low。接続で検出された Web アプリケーションのタイプごとに、リスクが関連付けられています。このフィールドは、最も高いものを表示します。
- [Webアプリケーション(Web Application)]
-
接続で検出された HTTP トラフィックの内容または要求された URL を表す Web アプリケーション。
Web アプリケーションがイベントの URL に一致しない場合、そのトラフィックは通常、参照先のトラフィックです(アドバタイズメントのトラフィックなど)。システムは、参照先のトラフィックを検出すると、参照元のアプリケーションを保存し(可能な場合)、そのアプリケーションを
Web アプリケーションとして表示します。