どの接続をログに記録するかの決定
ライセンス:任意
アクセス コントロール ポリシーと SSL ポリシーのさまざまな設定を使用して、ASA FirePOWER モジュールがモニタする接続をログに記録できます。ほとんどの場合、接続の開始時および終了時に接続をログに記録できます。ただし、ブロックされたトラフィックは追加の検査なしですぐに拒否されるため、システムがログに記録できるのはブロックまたはブラックリスト登録されたトラフィックの接続開始イベントだけです。ログに記録できる固有の接続終了イベントはありません。
接続イベントをログに記録すると、イベント ビューアで表示できます。または、外部 syslog あるいは SNMP トラップ サーバに接続データを送信できます。
 ヒント |
ASA FirePOWER モジュールを使用して接続データの詳細な分析を実行するために、 シスコではクリティカルな接続の終了をログに記録することを推奨しています。 |
クリティカルな接続のロギング
ライセンス:任意
組織のセキュリティ上およびコンプライアンス上の要件に従って接続をロギングしてください。目標が生成するイベントの数を抑えパフォーマンスを向上させることである場合は、分析のために重要な接続のロギングのみを有効にします。しかし、プロファイリングの目的でネットワーク トラフィックの広範な表示が必要な場合は、追加の接続のロギングを有効にできます。アクセス コントロールおよび SSL ポリシーでさまざまな設定を行うことで、ロギングする接続の種類、接続をロギングする時期、およびデータを保存する場所をきめ細かく制御することができます。
 注意 |
サービス妨害(DoS)攻撃の間にブロックされた TCP 接続をロギングすると、類似の複数のイベントによってシステムが過負荷になる可能性があります。ブロック ルールに対してロギングを有効にする前に、そのルールがインターネット側のインターフェイスまたは DoS 攻撃を受けやすい他のインターフェイス上のトラフィックをモニタするかどうかを検討します。 |
設定するロギングに加えて、システムは禁止されたファイル、マルウェア、または侵入の試みを検出した場合に、ほとんどの接続を自動的にログに記録します。システムはこれらの接続終了イベントを、さらに分析するために保存します。すべての接続イベントは、自動的にログ記録された理由を [Action] および [Reason] フィールドで反映します。
セキュリティ インテリジェンス ブラックリスト登録の決定(オプション)
接続がレピュテーションベースのセキュリティ インテリジェンス機能によってブラックリスト登録(ブロック)される場合は、その接続をログに記録できます。オプションで、セキュリティ インテリジェンス フィルタリングにはモニタ専用設定を使用できます。パッシブ展開環境では、この設定が推奨されます。この設定では、ブラックリスト登録されるはずの接続をシステムがさらに分析できるだけでなく、ブラックリストと一致する接続をログに記録することもできます。
セキュリティ インテリジェンス ロギングを有効にすると、ブラックリストの一致によってセキュリティ インテリジェンス イベントおよび接続イベントが生成されます。セキュリティ インテリジェンス イベントは特殊なタイプの接続イベントで、個別に表示および分析できるだけでなく、個別に保存およびプルーニングできます。詳細については、セキュリティ インテリジェンス(ブラックリスト登録)の決定のロギングを参照してください。
アクセス コントロールの処理(任意)
接続がアクセス コントロール ルールまたはアクセス コントロールのデフォルト アクションによって処理される場合は、その接続をログに記録できます。このロギングはアクセス コントロール ルールごとに設定し、クリティカルな接続のみをログに記録できるようにします。詳細については、アクセス コントロールの処理に基づく接続のロギングを参照してください。
侵入に関連付けられた接続(自動)
アクセス コントロール ルールによって呼び出された侵入ポリシー(アクセス コントロール ルールを使用したトラフィック フローの調整を参照)が侵入を検出して侵入イベントを生成すると、システムはルールのロギング設定に関係なく、侵入が発生した接続の終了を自動的にロギングします。
しかし、アクセス コントロールのデフォルト アクションに関連付けられた侵入ポリシー(デフォルトの処理の設定およびネットワーク トラフィックのインスペクション を参照)によって侵入イベントが生成された場合、システムは関連する接続の終了を自動的にログに記録しません。代わりに、デフォルトのアクション接続のロギングを明示的に有効にする必要があります。これは、接続データをログに記録する必要がない、侵入防御専用の展開環境で役立ちます。
侵入がブロックされた接続では、接続ログ内の接続のアクションは Block、理由は Intrusion Block ですが、侵入インスペクションを実行するには、許可ルールを使用する必要があります。
ファイル イベントとマルウェア イベントに関連付けられた接続(自動)
アクセス コントロール ルールによって呼び出されたファイル ポリシーが禁止されたファイル(マルウェアを含む)を検出してファイル イベントまたはマルウェア イベントを生成すると、システムはアクセス コントロール ルールのロギング設定に関係なく、ファイルが検出された接続の終了をデータベースに自動的にロギングします。このロギングを無効にすることはできません。
 (注) |
NetBIOS-ssn(SMB)トラフィックの検査によって生成されるファイル イベントは、即座には接続イベントを生成しません。これは、クライアントとサーバが持続的接続を確立するためです。システムはクライアントまたはサーバがセッションを終了した後に接続イベントを生成します。 |
ファイルがブロックされた接続では、接続ログ内の接続のアクションは [ブロック(Block)] ですが、ファイルおよびマルウェアのインスペクションを実行するには、許可ルールを使用する必要があります。接続の原因は、File Monitor(ファイル タイプまたはマルウェアが検出された)、あるいは Malware Block または File Block(ファイルがブロックされた)です。
接続の開始および終了のロギング
ライセンス:任意
システムが接続を検出すると、ほとんどの場合、その開始および終了をログに記録できます。
ただし、ブロックされたトラフィックは追加の検査なしですぐに拒否されるため、多くの場合、ユーザがログに記録できるのはブロックまたはブラックリスト登録されたトラフィックの接続開始イベントだけです。ログに記録できる固有の接続終了イベントはありません。
(注) |
単一のブロックされていない接続の場合、接続終了イベントには、接続開始イベントに含まれるすべての情報に加えて、セッション期間中に収集された情報も含まれます。 |
何らかの理由で接続をモニタすると、接続終了ロギングが強制されることに注意してください。モニタされる接続のロギングについて を参照してください。
次の表では、接続開始イベントと接続終了イベントの違い(それぞれをロギングする利点を含む)を詳細に説明します。
|
コンテキスト |
接続開始イベント |
接続終了イベント |
|---|---|---|
|
次の場合に生成可能です |
システムが接続の開始を検出した場合(または、イベントの生成がアプリケーションまたは URL の識別に依存する場合は最初の数パケットの後) |
システムが以下の場合
|
|
次のものについてロギングが可能です |
セキュリティ インテリジェンスまたはアクセス コントロール ルールで評価されているすべての接続 |
すべての接続は構成可能。ただしシステムはブロックされている接続またはブラックリストに登録されている接続の終わりをログに記録できない。 |
|
次を含みます |
最初のパケット(または、イベントの生成がアプリケーションまたは URL の識別に依存する場合は最初の数パケット)で判別できる情報のみ |
接続開始イベント内のすべての情報と、セッション期間を通してトラフィックを検査して判別された情報(たとえば伝送されたデータ総量、接続の最後のパケットのタイムスタンプなど) |
|
次の場合に有用です |
次のものをロギングする場合
|
次を実行する場合
|
ASA FirePOWER モジュールまたは外部サーバへの接続のロギング
ライセンス:任意
接続イベントのログは、ASA FirePOWER モジュールの他に、外部の syslog または SNMP トラップ サーバに記録できます。外部サーバに接続データを記録する前に、そのサーバにアラート応答という接続を設定する必要があります。アラート応答の使用を参照してください。
アクセス コントロールおよび SSL ルール アクションがどのようにロギングに影響を及ぼすかについて
ライセンス:機能に応じて異なる
すべてのアクセス コントロールおよび SSL ルールにはアクションがあり、それによってシステムがルールに一致するトラフィックを検査および処理する方法だけでなく、一致するトラフィックに関する詳細をユーザがロギングできる時期と方法が決まります。
モニタされる接続のロギングについて
ライセンス:機能に応じて異なる
システムは、ルールのロギング設定や、後で接続を処理するデフォルト アクションとは関係なく、次の接続の終了を ASA FirePOWER モジュールに常にロギングします。
-
モニタに設定されたセキュリティ インテリジェンスのブラックリストに一致する接続
-
アクセス コントロールのモニタ ルールに一致する接続
言い換えると、パケットが他のルールに一致せず、デフォルト アクションでロギングが有効になっていない場合でも、パケットがモニタ ルールまたはセキュリティ インテリジェンスのモニタ対象ブラックリストに一致すれば、必ず接続がロギングされます。セキュリティ インテリジェンスのフィルタリングの結果、システムが接続イベントをロギングすると、一致するセキュリティ インテリジェンス イベントもロギングされます。そのイベントは特殊なタイプの接続イベントで、個別に表示および分析できます。セキュリティ インテリジェンス(ブラックリスト登録)の決定のロギング を参照してください。
モニタ対象のトラフィックは、必ず後で別のルールまたはデフォルト アクションによって処理されるため、モニタ ルールが原因でロギングされる接続に関連するアクションは、決して Monitor にはなりません。代わりに、後で接続を処理するルールまたはデフォルト アクションの操作が反映されます。
システムは、1 つの接続が 1 つの SSL またはアクセス コントロールのモニタ ルールに一致するたびに 1 つの別個のイベントを生成するわけではありません。1 つの接続が複数のモニタ ルールに一致する可能性があるため、ASA FirePOWER モジュールにロギングされる各接続イベントには、接続が一致する最初の 8 つのモニタ アクセス コントロール ルールに関する情報だけでなく、最初に一致するモニタ SSL ルールに関する情報を含めて表示できます。
同様に、外部 syslog または SNMP トラップ サーバに接続イベントを送る場合、システムは 1 つの接続が 1 つのモニタ ルールに一致するたびに 1 つの別個のアラートを送信するわけではありません。代わりに、接続の終了時にシステムから送られるアラートに、接続が一致したモニタ ルールの情報が含まれます。
信頼されている接続のロギングについて
ライセンス:機能に応じて異なる
信頼されている接続は、信頼アクセス コントロール ルールまたはアクセス コントロール ポリシーのデフォルト アクションによって処理される接続です。これらの接続の開始と終了をロギングできますが、暗号化されているかどうかにかかわらず、信頼されている接続は、侵入や、禁止されているファイルおよびマルウェアについて検査されないことに注意してください。したがって、信頼されている接続の接続イベントには、限られた情報が含まれます。
ブロックされた接続およびインタラクティブにブロックされた接続のロギングについて
ライセンス:機能に応じて異なる
トラフィックをブロックするアクセス コントロール ルールおよびアクセス コントロール ポリシーのデフォルト アクション(インタラクティブなブロッキング ルールを含む)の場合は、システムは接続開始イベントをロギングします。一致するトラフィックは、追加のインスペクションなしで拒否されます。
アクセス コントロールまたは SSL ルールでブロックされたセッションの接続イベントには、Block または Block with reset アクションがあります。ブロックされた暗号化接続の理由は SSL Block です。
インタラクティブ ブロッキング アクセス コントロール ルール(禁止されている Web サイトをユーザが参照するとシステムによって警告ページが表示される)は、接続の終了をログに記録します。その理由は、警告ページをユーザがクリック スルーすると、その接続は新規の、許可された接続と見なされ、システムによってモニタとロギングができるためです。許可された接続のロギングについて を参照してください。
したがって、インタラクティブ ブロック ルールまたはリセット付きインタラクティブ ブロック ルールにパケットが一致する場合、システムは以下の接続イベントを生成できます。
-
ユーザの要求が最初にブロックされ警告ページが表示されたときの接続開始イベント。このイベントにはアクション [インタラクティブ ブロック(Interactive Block)] または [リセットしてインタラクティブ ブロック(Interactive Block with reset)] が関連付けられます。
-
複数の接続開始または終了イベント(ユーザが警告ページをクリックスルーし、要求した最初のページをロードした場合。これらのイベントには Allow アクションおよび理由 User Bypass が関連付けられます)
インラインで展開されたデバイスのみがトラフィックをブロックできることに注意してください。ブロックされた接続はパッシブ展開で実際にはブロックされないため、システムにより、ブロックされた各接続に対し複数の接続開始イベントが報告される場合があります。
注意 |
サービス妨害(DoS)攻撃の間にブロックされた TCP 接続をロギングすると、類似の複数のイベントによってシステムが過負荷になる可能性があります。ブロック ルールに対してロギングを有効にする前に、そのルールがインターネット側のインターフェイスまたは DoS 攻撃を受けやすい他のインターフェイス上のトラフィックをモニタするかどうかを検討します。 |
許可された接続のロギングについて
ライセンス:機能に応じて異なる
[復号(Decrypt)] SSL ルール、[復号しない(Do not decrypt)] SSL ルール、および [許可(Allow)] アクセス コントロール ルールは、一致するトラフィックを許可し、インスペクションおよびトラフィック処理の次のフェーズへと通過させます。
アクセス コントロール ルールでトラフィックを許可すると、関連付けられた侵入ポリシーまたはファイル ポリシー(またはその両方)を使用して、トラフィックをさらに検査し、トラフィックが最終宛先に到達する前に、侵入、禁止されたファイル、およびマルウェアをブロックすることができます。
許可アクセス コントロール ルールに一致するトラフィックの接続は次のようにロギングされます。
-
アクセス コントロール ルールによって呼び出された侵入ポリシーが侵入を検出して侵入イベントを生成すると、システムはルールのロギング設定に関係なく、侵入が発生した接続の終了を ASA FirePOWER モジュールに自動的にロギングします。
-
アクセス コントロール ルールによって呼び出されたファイル ポリシーが禁止されたファイル(マルウェアを含む)を検出してファイル イベントまたはマルウェア イベントを生成すると、システムはアクセス コントロール ルールのロギング設定に関係なく、ファイルが検出された接続の終了を ASA FirePOWER モジュールに自動的にロギングします。
-
任意で、システムが安全と見なすトラフィックや、侵入ポリシーまたはファイル ポリシーで検査をしないトラフィックなど、許可されたトラフィックに対して接続の開始および終了のロギングを有効にできます。
結果として生じるすべての接続イベントで、[Action] および [Reason] フィールドにイベントがロギングされた理由が反映されます。次の点に注意してください。
-
アクション Allow は、最終宛先に到達した明示的に許可され、ユーザがバイパスしたインタラクティブにブロックされた接続を表します。
-
アクション Block は、アクセス コントロール ルールによって初めは許可されたが、侵入、禁止されたファイル、またはマルウェアが検出された接続を表します。
許可された接続のファイルおよびマルウェア イベント ロギングの無効化
ライセンス:Protection または Malware
アクセス コントロール ルールで暗号化されていないまたは復号化されたトラフィックを許可すると、関連付けられたファイル ポリシーを使用して、送信されたファイルを検査し、そのトラフィックが宛先に到達する前に禁止されたファイルおよびマルウェアをブロックできます。侵入防御パフォーマンスの調整を参照してください。
システムは禁止されたファイルを検出すると、次のタイプのイベントの 1 つを ASA FirePOWER モジュールに自動的にロギングします。
-
ファイル イベント:検出またはブロックされたファイル(マルウェア ファイルを含む)を表します。
-
マルウェア イベント:検出またはブロックされたマルウェア ファイルのみを表します。
-
レトロスペクティブ マルウェア イベント:以前に検出されたファイルに関するマルウェアの性質が変化した場合に生成されます。
ファイル イベントまたはマルウェア イベントをロギングしない場合は、アクセス コントロール ルール エディタの [Logging] タブの [Log Files] チェックボックスをオフにすることで、アクセス コントロール ルールごとにロギングを無効にできます。
(注) |
Cisco では、ファイル イベントおよびマルウェア イベントのロギングを有効のままにすることを推奨しています。 |
ファイル イベントおよびマルウェア イベントを保存するかどうかに関係なく、ネットワーク トラフィックがファイル ポリシーに違反すると、呼び出し元のアクセス コントロール ルールのロギング設定に関係なく、システムは関連付けられた接続の終了を ASA FirePOWER モジュールに自動的にロギングします。ファイル イベントとマルウェア イベントに関連付けられた接続(自動)を参照してください。
接続ロギングのライセンス要件
ライセンス:機能に応じて異なる
アクセス コントロール ポリシーおよび SSL ポリシーで接続ロギングを設定する前に、これらのポリシーが正常に処理できる任意の接続をロギングできます。
アクセス コントロール ポリシーおよび SSL ポリシーは、 ASA FirePOWER モジュールのどのライセンスでも作成できますが、アクセス コントロールの一部の操作を行うには、ポリシーを適用する前に、特定のライセンス機能を有効にする必要があります。
次の表では、アクセス コントロールを正常に設定し、アクセス コントロール ポリシーによって処理される接続をロギングするために必要なライセンスについて説明します。
|
次の接続をロギングするには |
ライセンス |
|---|---|
|
ネットワーク、ポート、またはリテラル URL 基準を使用して処理されるトラフィック用 |
任意 |
|
位置情報データを使用して処理されるトラフィック用 |
任意 |
|
関連付ける対象
|
Protection |
|
暗号化されていないまたは復号化されたトラフィックで検出されたマルウェアに関連付けられる |
Malware |
|
ユーザ制御またはアプリケーション制御によって処理されるトラフィック用 |
Control |
|
URL カテゴリおよびレピュテーション データを使用してシステムがフィルタリングするトラフィック用、およびモニタ対象ホストによって要求される URL の URL カテゴリおよび URL レピュテーション情報を表示するため |
URL Filtering |
フィードバック