この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、相関関連イベント(修復ステータスやホワイト リスト イベントなど)のスキーマとサポートされている結合について説明します。詳細については、次の表に示す項を参照してください。
compliance_event
テーブルには、Firepower Management Center により生成される相関イベントに関する情報が格納されます。
このテーブルのフィールドの多くは、相関ルールをトリガーしたイベントのタイプに応じて空白になることがある点に注意してください。たとえば、システムで特定のアプリケーション プロトコルまたは特定のポートで稼働している Web アプリケーションが検出されたために、Firepower Management Center により相関イベントが生成される場合、その相関イベントには、侵入関連の情報は含まれません。また、このテーブルのフィールドは、Firepower システム の設定に基づいて空白になることもあります。たとえば Control ライセンスを所有していない場合、相関イベントにはユーザ アイデンティティ情報が含まれません。
バージョン 5.0 以降、Firepower システム は検出エンジンではなく、管理対象デバイス レベルでのネットワークおよびユーザ アクティビティの検出を記録することに注意してください。現在、 compliance_event
テーブルの detection_engine_name
フィールドと detection_engine_uuid
フィールドは空白だけを返し、これらのフィールドを結合するクエリはレコードを返しません。イベントが検出された場所に関する情報については、 detection_engine_uuid
フィールドではなく sensor_uuid
フィールドを照会する必要があります。
次の表に、 compliance_event
テーブルでアクセスできるデータベース フィールドについて説明します。
次の表に、 compliance_event
テーブルで実行できる結合について説明します。
|
|
---|---|
次のクエリは、1 週間の相関イベント レコードを最大 25 件返します。これらのレコードには、イベント時刻、送信元と宛先の IP アドレス、送信元と宛先のポート、ポリシー情報などのイベント情報が含まれています。
SELECT event_id, policy_time_sec, impact, blocked, src_ipaddr, dst_ipaddr, src_port, dst_port, description, policy_name, policy_rule_name, priority, src_host_criticality, dst_host_criticality, security_zone_egress_name, security_zone_ingress_name, sensor_name, interface_egress_name, interface_ingress_name
FROM compliance_event WHERE event_type!="whitelist"
BETWEEN UNIX_TIMESTAMP("2011-10-01 00:00:00")
AND UNIX_TIMESTAMP("2011-10-07 23:59:59")
remediation_status
テーブルには、修復イベントに関する情報が格納されます。修復イベントは、Firepower Management Center が相関ポリシー違反に対応して修復を開始すると生成されます。
次の表に、 remediation_status
テーブルでアクセスできるデータベース フィールドについて説明します。
|
|
---|---|
修復の開始時に発生した事象を説明するメッセージ(「 |
次のクエリは、特定の日付より前に生成された最大 25 件のレコードを返します。これらのレコードには修復のステータスに関する情報(修復のタイムスタンプ、ステータス メッセージなど)が含まれます。
SELECT policy_time_sec, remediation_time_sec, remediation_name, policy_name, policy_rule_name, status_text
FROM remediation_status WHERE remediation_time_sec <= UNIX_TIMESTAMP("2011-10-01 00:00:00")
white_list_event
テーブルにはホワイト リスト イベントが格納されます。ホワイト リスト イベントは、ホストがアクティブなホワイト リスト コンプライアンス ポリシーのホワイト リストに準拠していないことがシステムにより検出されると生成されます。
バージョン 5.0 以降、Firepower システム は検出エンジンではなく、管理対象デバイス レベルでのネットワークおよびユーザ アクティビティの検出を記録することに注意してください。 white_list_event
テーブルの detection_engine_name
フィールドと detection_engine_uuid
フィールドは null
だけを返し、またこれらのフィールドを結合するクエリはレコードを返しません。 detection_engine_uuid
フィールドの代わりに sensor_uuid
フィールドを照会すると、同等の情報が返されます。
次の表に、 white_list_event
テーブルでアクセスできるデータベース フィールドについて説明します。
次の表に、 white_list_event
テーブルで実行できる結合について説明します。
|
|
---|---|
次のクエリは、指定された時点よりも前に生成されたレコードを最大 25 件返します。これらのレコードには、ホワイト リスト イベントに関する情報(コンプライアンス ポリシー名、イベント生成時点のタイムスタンプ、ホワイト リストの名前など)が含まれます。
SELECT policy_name, policy_time_sec, ipaddr, user_name, port, description, white_list_name, priority, host_criticality, sensor_name
FROM white_list_event WHERE policy_time_sec <= UNIX_TIMESTAMP("2011-10-01 00:00:00")
white_list_violation
テーブルは、コンプライアンス ホワイト リスト違反を追跡します。この違反は、ネットワーク上のホストが、アクティブなコンプライアンス ポリシーのコンプライアンス ホワイト リストにどのように違反しているかを追跡します。
次の表に、 white_list_violation
テーブルでアクセスできるデータベース フィールドについて説明します。
次のクエリは、ホワイト リスト違反に関する情報(ホワイト リストに違反するホストの IP アドレス、違反が発生したホワイト リストの名前、違反の数など)を含むレコードを最大 25 件返します。
SELECT host_id, white_list_name, count(*)