- Access Control Policy (Syslog: ACPolicy)
-
接続をモニタしたアクセス コントロール ポリシー。
- アクセス制御ルール (Syslog: AccessControlRuleName)
-
接続を処理したアクセス コントロール ルールまたはデフォルト アクションと、その接続に一致した最大 8 つのモニタ ルール。
接続が 1 つのモニタ ルールに一致した場合、Firepower Management Center は接続を処理したルールの名前を表示し、その後にモニタ ルール名を表示します。接続が複数のモニタ ルールに一致した場合、一致するモニタ ルールの数が表示されます(Default Action + 2 Monitor Rules など)。
接続に一致した最初の 8 つのモニタ ルールのリストをポップアップ ウィンドウに表示するには、[N モニタ ルール(NMonitor Rules)] をクリックします。
- Action (Syslog: AccessControlRuleAction)
-
接続をロギングした設定に関連付けられているアクション。
セキュリティ インテリジェンスによってモニタされている接続の場合、そのアクションは、接続によってトリガーされる最初のモニタ以外のアクセス コントロール ルールのアクションであるか、またはデフォルト アクションです。同様に、モニタ ルールに一致するトラフィックは常に後続のルールまたはデフォルト
アクションによって処理されるため、モニタ ルールによってロギングされた接続と関連付けられたアクションが [モニタ(Monitor)] になることはありません。ただし、モニタ ルールに一致する接続の相関ポリシー違反をトリガーする可能性があります。
アクション
|
説明
|
許可(Allow)
|
アクセス コントロールによって明示的に許可された、またはユーザがインタラクティブ ブロックをバイパスしたために許可された接続。
|
ブロック(Block)、リセットしてブロック(Block with reset)
|
次を含むブロックされた接続:
-
プレフィルタ ポリシーによってブロックされたトンネルおよびその他の接続
-
セキュリティ インテリジェンスによってブラックリストに載せられた接続
-
SSL ポリシーによってブロックされた暗号化接続
-
侵入ポリシーによってエクスプロイトがブロックされた接続
-
ファイル ポリシーによってファイル(マルウェアを含む)がブロックされた接続。
システムが侵入またはファイルをブロックする接続では、アクセス コントロールの許可ルールを使用してディープ インスペクションを呼び出す場合にも、システムはブロックを表示します。
|
高速パス(Fastpath)
|
プレフィルタ ポリシーによって高速パスが適用された暗号化されていないトンネルおよびその他の接続。
|
インタラクティブ ブロック(Interactive Block)、リセット付きインタラクティブ ブロック(Interactive Block with reset)
|
システムがインタラクティブ ブロック ルールを使用してユーザの HTTP 要求を最初にブロックしたときにログに記録された接続。システムにより表示される警告ページでユーザがクリックスルーすると、そのセッションでログに記録されるその後の接続に許可アクションが付きます。
|
信頼(Trust)
|
アクセス コントロールによって信頼された接続。The system logs trusted TCP connections differently depending on the device model.
|
デフォルト アクション(Default Action)
|
アクセス コントロール ポリシーのデフォルト アクションによって処理される接続。
|
- アプリケーション プロトコル (Syslog: ApplicationProtocol)
-
In the Firepower Management Center web interface, this value constrains summaries and graphs.
接続で検出された、ホスト間の通信を表すアプリケーション プロトコル。
- アプリケーション プロトコル カテゴリとタグ(Application Protocol Category and Tag)
-
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
- [アプリケーションのリスク(Application Risk)]
-
接続で検出されたアプリケーション トラフィックに関連するリスク:Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するリスクがあります。このフィールドでは、それらのうち最も高いものが表示されます。
- ビジネスとの関連性(Business Relevance)
-
接続で検出されたアプリケーション トラフィックに関連するビジネス関連性:Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するビジネスとの関連性があります。このフィールドでは、それらのうち最も低いもの(関連が最も低い)が表示されます。
- クライアントとクライアントのバージョン (Syslog:クライアント、 ClientVersion)
-
接続で検出されたクライアントのクライアント アプリケーションとバージョン。
接続に使用されている特定のクライアントをシステムが特定できなかった場合、このフィールドは汎用的な名称としてアプリケーション プロトコル名の後に「client」という語を付加して FTP client などと表示します。
- クライアント カテゴリとタグ(Client Category and Tag)
-
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
- [Connection Counter](Syslog のみ)
-
ある接続と別の同時接続を区別するカウンタ。このフィールドは、それ自体には意味がありません。
[Sensor UUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを一意に識別できます。
- [Connection Instance ID](Syslog のみ)
-
接続イベントを処理した Snort インスタンス。このフィールドは、それ自体には意味がありません。
[Sensor UUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを一意に識別できます。
- ConnectionDuration(Syslog のみ)
-
このフィールドはのみ存在する syslog フィールド; として存在しない、 Firepower Management Center Web インターフェイス。(Web インターフェイスは、最初のパケットと最後のパケットの列を使用してこの情報を伝達します)。
このフィールドは、接続の終了時にロギングが発生した場合にのみ、値があります。開始-接続の Syslog メッセージのこのフィールドは、出力、これはその時点で知られませんため。
エンド-接続の Syslog メッセージには、このフィールドは、最初のパケットと最後のパケットは、ゼロに短時間の接続があります間の秒数を示します。たとえば、syslog のタイムスタンプは 12時 34分: 56 と、ConnectionDuration
は 5、し、最初のパケットが観察された 12時 34分: 51 にします。
- 接続(Connections)
-
接続サマリーに含まれる接続数。長時間接続(複数回の接続サマリー間隔にまたがる接続)の場合、最初の接続サマリー間隔の分だけ増加します。[接続(Connections)] 条件を使用した検索で意味のある結果を表示するには、接続サマリー ページを持つカスタム ワークフローを使用する必要があります。
- メンバー数(Count)
-
各行に表示される情報に一致する接続数。同一の行が複数作成される制約を適用した後にのみ、[Count] フィールドが表示されることに注意してください。カスタム ワークフローを作成し、ドリルダウン ページに [カウント(Count)] カラムを追加しない場合、各接続は個別に表示され、パケット数とバイト数は合計されません。
- 宛先ポート/ICMP コード (Syslog: フィールド - DstPort、 ICMPCodeを分離)
-
Firepower Management Center Web インターフェイスでは、これらの値がサマリーとグラフを抑制します。
セッション レスポンダが使用するポートまたは ICMP コード。
- Device
-
In the Firepower Management Center web interface, this value constrains summaries and graphs.
接続を検出した管理対象デバイス。または、NetFlow データから生成された接続の場合は、データを処理した管理対象デバイス。
- DNS クエリ (Syslog: DNSQuery)
-
ドメイン名を検索するために接続でネーム サーバに送信された DNS クエリ。
- DNS レコードの種類 (Syslog: DNSRecordType)
-
接続で送信された DNS クエリを解決するために使用された DNS リソース レコードのタイプ。
- DNS 応答 (Syslog: DNSResponseType)
-
問い合わせ時に接続でネーム サーバに返された DNS レスポンス。
- DNS シンクホール名 (Syslog: DNS_Sinkhole)
-
システムが接続をリダイレクトしたシンクホール サーバの名前。
- DNS の TTL (Syslog: DNS_TTL)
-
DNS サーバが DNS リソース レコードをキャッシュする秒数。
- ドメイン(Domain)
-
接続を検出した管理対象デバイスのドメイン。または、NetFlow データから生成された接続の場合は、データを処理した管理対象デバイスのドメイン。 This field is only present if you have ever configured the Firepower Management Center for multitenancy.
- エンドポイント ロケーション(Endpoint Location)
-
ISE で指定された、ユーザの認証に ISE を使用したネットワーク デバイスの IP アドレス。
- エンドポイントのプロファイル (Syslog:エンドポイント プロファイル)
-
ISE で指定されたユーザのエンドポイント デバイス タイプ。
- ファイル (Syslog: FileCount)
-
(マルウェア ファイルを含む) ファイルの数は、検出または 1 つまたは複数のファイル イベントに関連付けられている接続でブロックします。
In the Firepower Management Center web interface, the view files icon () links to a list of files. アイコンの数字は、その接続で検出またはブロックされたファイル数(マルウェア ファイルを含む)を示します。
- 最初のパケットまたは最後のパケット (Syslog: ConnectionDuration ] フィールドを参照してください)
-
セッションの最初または最後のパケットが検出された日時。
- [First Packet Time](Syslog のみ)
-
システムが最初のパケットを検出した時間。
[Sensor UUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを一意に識別できます。
- HTTP Referrer (Syslog: HTTPReferer)
-
接続で検出された HTTP トラフィックの要求 URL の参照元を示す HTTP 参照元(他の URL へのリンクを提供した Web サイト、他の URL からリンクをインポートした Web サイトなど)。
- HTTP 応答コード (Syslog:要求に対する応答)
-
クライアントからの接続経由の HTTP 要求に応じて送信される HTTP ステータス コード。
- 入力/出力インターフェイス (Syslog: IngressInterface、 EgressInterface)
-
接続に関連付けられた入力または出力のインターフェイス。展開に非対称のルーティング設定が含まれている場合は、入力と出力のインターフェイスが同じインライン ペアに属する場合があります。
- セキュリティ ゾーンの入力/出力 (Syslog: IngressZone、 EgressZone)
-
接続に関連付けられた入力または出力のセキュリティ ゾーン。
再区分されたカプセル化接続では、元の入力セキュリティ ゾーンの代わりに、割り当てたトンネル ゾーンが入力フィールドに表示されます。出力フィールドは空白です。
- イニシエータ/Responder バイト (Syslog: InitiatorBytes、 ResponderBytes)
-
The total number of bytes transmitted by the session initiator or received by the session responder.
- イニシエータ/レスポンダ大陸(Initiator/Responder Continent)
-
ルーティング可能な IP が検出された場合の、セッション イニシエータまたはレスポンダの IP アドレスに関連付けられた大陸。
- イニシエータ/レスポンダ国(Initiator/Responder Country)
-
ルーティング可能な IP が検出された場合の、セッション イニシエータまたはレスポンダの IP アドレスに関連付けられた国。システムにより、国旗のアイコンと、国の ISO 3166-1 alpha-3 国番号が表示されます。国旗アイコンの上にポインタを移動すると、国の完全な名称が表示されます。
- Initiator/Responder IP (Syslog: SrcIP, DstIP)
-
In the Firepower Management Center web interface, these values constrain summaries and graphs.
The IP address (and host name, if DNS resolution is enabled) of the session initiator (source IP address) or responder (destination
IPaddress).
In the Firepower Management Center web interface, host icons next to blacklisted IP addresses look slightly different so that you can identify the blacklisted
IP address in a blacklisted connection.
For plaintext, passthrough tunnels either blocked or fastpathed by the prefilter policy, source and destination IP addresses
represent the tunnel endpoints—the routed interfaces of the network devices on either side of the tunnel.
- イニシエータ/応答側パケット (Syslog: InitiatorPackets、 ResponderPackets)
-
The total number of packets transmitted by the session initiator or received by the session responder.
- Initiator User (Syslog: User)
-
Firepower Management Centerサマリーとグラフに Web インターフェイス、この値が制限されます。
セッション イニシエータにログインしていたユーザ。このフィールドに [認証なし(No Authentication)] が入力されている場合、ユーザ トラフィックは次のようになります。
- 侵入イベント (Syslog: IPSCount)
-
The number of intrusion events, if any, associated with the connection.
In the Firepower Management Center web interface, the view intrusion events icon () links to a list of events.
- IOC
-
マルウェア イベントが、接続に関与したホストに対する侵入の痕跡(IOC)をトリガーしたかどうか。
- NetBIOS ドメイン (Syslog: NetBIOSDomain)
-
セッションで使用された NetBIOS ドメイン。
- NetFlow SNMP 入出力(NetFlow SNMP Input/Output)
-
NetFlow データから生成された接続の場合、接続トラフィックが NetFlow 対応デバイスに入ったか、NetFlow エクスポータから出た際のインターフェイスのインターフェイス インデックス。
- NetFlow 送信元/宛先の自律システム(NetFlow Source/Destination Autonomous System)
-
NetFlow データから生成された接続の場合、接続のトラフィックの送信元または宛先に対する、Border Gateway Protocol の自律システム番号。
- NetFlow 送信元/宛先のプレフィックス(NetFlow Source/Destination Prefix)
-
NetFlow データから生成された接続の場合、送信元または宛先の IP アドレスに、送信元と宛先のプレフィックス マスクが追加されたもの。
- NetFlow 送信元/宛先 TOS(NetFlow Source/Destination TOS)
-
NetFlow データから生成された接続の場合、接続トラフィックが NetFlow 対応デバイスに入ったか、NetFlow エクスポータから出たときの Type of Service(TOS)バイトの設定。
- Network Analysis Policy (Syslog: NAPPolicy)
-
イベントの生成に関連付けられているネットワーク分析ポリシー(NAP)(ある場合)。
- クライアントのオリジナル国(Original Client Country)
-
元のクライアントの IP アドレスが属する国。この値を取得するために、システムは元のクライアント IP アドレスを X-Forwarded-For(XFF)、True-Client-IP、またはカスタム定義の HTTP ヘッダーから抽出し、それを地理位置情報データベース(GeoDB)を使用して国にマップします。このフィールドに入力するには、元のクライアントに基づいてプロキシ
トラフィックを処理するアクセス コントロール ルールを有効にする必要があります。
- 元のクライアント IP (Syslog: originalClientSrcIP )
-
X-Forwarded-For(XFF)、True-Client-IP、またはカスタム定義の HTTP ヘッダーからの、元のクライアント IP アドレス。このフィールドに入力するには、元のクライアントに基づいてプロキシ トラフィックを処理するアクセス
コントロール ルールを有効にする必要があります。
- プレフィルタ ポリシー (Syslog:プレフィルタ ポリシー)
-
接続を処理したプレフィルタ ポリシー。
- プロトコル (Syslog:プロトコル)
-
In the Firepower Management Center web interface:
接続に使用されるトランスポート プロトコルです。特定のプロトコルを検索するには、名前を使用するか、http://www.iana.org/assignments/protocol-numbers に記載されたプロトコルの番号を指定します。