- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
FireSIGHT System バージョン 5.4.1 ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年8月6日
章のタイトル: マルウェアとファイル アクティビティの 分析
マルウェアとファイル アクティビティの分析
防御センター は、システムのファイル インスペクションおよび処理のレコードを、キャプチャされたファイル、ファイル イベント、およびマルウェア イベントとしてログ記録します。
- キャプチャされたファイル は、システムがキャプチャしたファイル。
- ファイル イベント は、システムがネットワーク トラフィック内で検出した(およびオプションでブロックした)ファイルを表します。
- マルウェア イベント は、システムがネットワーク トラフィック内で検出した(およびオプションでブロックした)マルウェア ファイルを表します。
- レトロスペクティブ マルウェア イベント :性質がマルウェア ファイルから変更されたファイル。
ファイル内のマルウェアを検出するために、システムはまずファイル自体を検出する必要があるため、ネットワーク トラフィック内のマルウェア検出/ブロックに基づいてシステムがマルウェア イベントを生成するときには、ファイル イベントも生成します。FireAMP コネクタによって生成されたエンドポイント ベースのマルウェア イベント(FireAMP と FireSIGHT システムの統合を参照)には、対応するファイル イベントがないことに注意してください。同様に、システムがネットワーク トラフィック内でファイルをキャプチャするとき、システムはまずファイルを検出するため、ファイル イベントも生成されます。
防御センター を使用すると、キャプチャされたファイル、ファイル イベント、およびマルウェア イベントを表示、操作、分析して、分析内容を他のユーザに送信できます。Context Explorer、ダッシュボード、イベント ビューア、コンテキスト メニュー、ネットワーク ファイル トラジェクトリ マップ、およびレポート機能を使用することにより、検出、キャプチャ、ブロックされたファイルおよびマルウェアに関してより深く理解できるようになります。また、イベントを使用して相関ポリシー違反をトリガーしたり、電子メール、SMTP、または syslog によるアラートを発行したりすることもできます。
DC500 では Malware ライセンスを使用できず、シリーズ 2 デバイスや Blue Coat X-Series 向け Cisco NGIPS では Malware ライセンスを有効にすることもできません。このため、これらのアプライアンスを使用して、マルウェア クラウド ルックアップまたはアーカイブ ファイルの内容に関連するキャプチャされたファイル、ファイル イベント、およびマルウェア イベントを生成/分析することはできません。
この章で説明するデータを生成する、マルウェア防御およびファイル制御アクションを実行するためのシステムの設定の詳細については、マルウェアと禁止されたファイルのブロッキングを参照してください。
ファイル ストレージの操作
サポートされるデバイス: シリーズ 2 と X-シリーズ を除くすべて
ファイル ポリシーの設定に基づき、ファイル制御機能を使用して、ファイルの検出およびブロックを行えます。ただし、疑わしいホストまたはネットワークからのファイルや、ネットワーク上の監視対象ホストに送信された大量のファイルについては、さらに分析が必要になる場合があります。ファイル ストレージ機能を使用することにより、選択したファイル(トラフィックで検出された)をキャプチャして、それらをデバイスのハード ドライブかマルウェア ストレージ パック(インストールされている場合)に自動的に保存できます。
デバイスがトラフィックでファイルを検出すると、そのファイルをキャプチャできます。こうしてコピーが作成され、システムはそれを保存したり動的分析のために送信したりできます。デバイスがファイルをキャプチャした後に、以下の選択肢があります。
- 後で分析するために、キャプチャしたファイルをデバイスのハード ドライブに保存する。詳細については、キャプチャ ファイル ストレージについてを参照してください。
- さらに手動で分析したりアーカイブしたりするために、保存したファイルをローカル コンピュータにダウンロードする。詳細については、保存されているファイルの別の場所へのダウンロードを参照してください。
- 動的分析のために、キャプチャしたファイルを Collective Security Intelligence クラウドに送信する。詳細については、動的分析の操作を参照してください。
注意すべき点として、デバイスがファイルを保存した後は、以後それを検出しても、デバイスが引き続きそれを保存していれば、そのファイルを再度キャプチャすることはありません。
(注
) 初めて検出されたファイルは、防御センター によるクラウド ルックアップの完了後に性質が割り当てられます。システムはファイル イベントを生成しますが、ファイルに性質が即座に割り当てられない限り、ファイルを保存できません。
以前に検出されていないファイルがブロック マルウェア アクション付きのファイル ルールと一致する場合、後続のクラウド ルックアップによって即座に性質が返されるので、システムはファイルを保存しイベントを生成できるようになります。
以前に検出されていないファイルがマルウェア クラウド ルックアップ アクション付きのファイル ルールと一致する場合、システムはファイル イベントを生成しますが、クラウド ルックアップを実行し性質を返すのに追加の時間を要します。この遅延のため、システムはマルウェア クラウド ルックアップ アクション付きのファイル ルールに一致するファイルがネットワーク上に 2 回目に現れるまで保存することはできません。
システムがファイルをキャプチャするか保存するかに関わらず、以下が可能です。
- イベント ビューアからのキャプチャされたファイルに関する情報(動的分析のためにファイルが保存されたのか送信されたかどうか、ファイルの性質、脅威スコアなど)を確認することにより、ネットワーク上で検出されたマルウェアの潜在的な脅威について迅速に検討する。詳細については、キャプチャ ファイルの操作を参照してください。
- ファイルのトラジェクトリを表示して、ネットワークのトラバースの仕方およびコピーを保持しているホストを判別する。詳細については、ネットワーク ファイル トラジェクトリの分析を参照してください。
- 以後の検出時に、ファイルをクリーンまたはマルウェアな性質を持つものとして常に扱うように、ファイルをクリーン リストまたはカスタム検出リストに追加する。詳細については、ファイル リストの操作を参照してください。
ファイル ポリシーでファイル ルールを設定して、特定のタイプまたは特定のファイル性質(使用できる場合)のファイルをキャプチャして保存します。ファイル ポリシーをアクセス コントロール ポリシーと関連付けて、それをデバイスに適用した後、トラフィック内の一致ファイルが検出され、保存されます。また、保存する最小ファイル サイズと最大ファイル サイズを制限できます。詳細については、ファイルおよびマルウェアのインスペクション パフォーマンスおよびストレージの調整とファイル ルールの操作を参照してください。
ファイル ストレージには、デバイスに十分なディスク領域が必要です。デバイスのプライマリ ハード ドライブに十分な領域がなく、マルウェア ストレージ パックもインストールされていない場合、デバイスにファイルを保存できません。
シスコから供給されたハード ドライブ以外はデバイスに取り付けないでください。サポートされていないハード ドライブを取り付けると、デバイスが破損する可能性があります。マルウェア ストレージ パック キットは、シスコから
のみ購入でき、8000 シリーズ デバイスで
のみ使用できます。マルウェア ストレージ パックのサポートが必要な場合は、サポートにお問い合わせください。詳細については、『
FireSIGHT システム Malware Storage Pack Guide』を参照してください。
DC500 で Malware ライセンスを使用したり、シリーズ 2 デバイスや Blue Coat X-Series 向け Cisco NGIPS で Malware ライセンスを有効にすることはできないので、それらのアプライアンスをファイルのキャプチャまたは保存に使用することはできないことに注意してください。
キャプチャ ファイル ストレージについて
ファイル ポリシー構成に基づいて、デバイスはハード ドライブにかなりの量のファイル データを保存することがあります。デバイスにマルウェア ストレージ パックを設置できます。システムがファイルをマルウェア ストレージ パックに保存することにより、イベントおよび設定ファイルを保存するために、プライマリ ハード ドライブにより多くスペースを確保できます。システムは定期的に古いファイルを削除します。
シスコから供給されたハード ドライブ以外はデバイスに取り付けないでください。サポートされていないハード ドライブを取り付けると、デバイスが破損する可能性があります。マルウェア ストレージ パック キットは、シスコから
のみ購入でき、8000 シリーズ デバイスで
のみ使用できます。マルウェア ストレージ パックのサポートが必要な場合は、サポートにお問い合わせください。詳細については、『
FireSIGHT システム
Malware Storage Pack Guide』を参照してください。
マルウェア ストレージ パックが設置されていない場合、ファイルを保存するようにデバイスを構成する際に、設定された量のプライマリ ハード ドライブのスペースだけがキャプチャ ファイル ストレージに割り当てられます。デバイスにマルウェア ストレージ パックを設置して、ファイルを保存するようにデバイスを構成すると、デバイスは代わりに、マルウェア ストレージ パック全体をキャプチャ ファイルの保存用に割り当てます。デバイスは、マルウェア ストレージ パックに他の情報を保存することはできません。
キャプチャ ファイル ストレージに割り当てられたスペースがいっぱいになると、システムは割り当てられたスペースがシステム定義しきい値に達するまで、保管されている古いファイルを削除します。保存されていたファイルの数によっては、システムがファイルを削除した後、ディスク使用率がかなり減る場合があります。
マルウェア ストレージ パックを設置する時点で、デバイスがすでにファイルを保存している場合、次にデバイスを再起動したときに、プライマリ ハード ドライブに保存されていたキャプチャ ファイルがすべて、マルウェア ストレージ パックに移動されます。それ以降デバイスが保存するファイルはすべて、マルウェア ストレージ パックに保存されます。デバイスのプライマリ ハード ドライブに使用可能な領域が十分でなく、マルウェア ストレージ パックも設置されていない場合、ファイルを保存することはできません。
保存したファイルは、システム バックアップ ファイルに含められないことに注意してください。詳細については、バックアップ ファイルの作成を参照してください。
保存されているファイルの別の場所へのダウンロード
サポートされるデバイス: シリーズ 2 と X-シリーズ を除くすべて
デバイスがファイルを保存すると、防御センター がそのデバイスと通信でき、しかもファイルが削除されていない限り、そのファイルをダウンロードできます。手動でファイルを分析したり、長期保存や分析のためにローカル ホストにダウンロードしたりできます。関連ファイル イベント、マルウェア イベント、キャプチャ ファイル ビュー、またはファイルのトラジェクトリからファイルをダウンロードできます。詳細については、コンテキスト メニューの使用およびサマリー情報を参照してください。
マルウェアによる被害を防ぐために、デフォルトでは、ファイルのダウンロードのたびに確認を行う必要があります。ただし、ファイル ダウンロード プロンプトでの確認を無効にできます。確認を再度有効にするには、ファイル設定を参照してください。
シスコは、有害な結果が生じるのを防ぐために、マルウェアをダウンロード
しないように強くお勧めします。ファイルをダウンロードする際は、マルウェアが含まれている可能性があるので注意してください。ファイルをダウンロードする前に、ダウンロード先をセキュアにするために必要な予防措置を行っていることを確認します。
性質が使用不可のファイルにはマルウェアが含まれている可能性があるため、ファイルをダウンロードすると、システムはまずそのファイルを. zip パッケージにアーカイブします。.zip ファイル名には、ファイルの性質とファイル タイプ(存在する場合)さらに SHA-256 値が含まれます。誤って解凍してしまわないように、.zip ファイルをパスワードで保護できます。デフォルトの .zip ファイル パスワードを編集または削除するには、ファイル設定を参照してください。
動的分析の操作
サポートされるデバイス: シリーズ 2 と X-シリーズ を除くすべて
クラウドの精度を向上させ、追加のマルウェア分析および脅威識別を提供するために、適格なキャプチャ ファイルを シスコ クラウドに送信して、動的分析を行うことができます。クラウドはテスト環境でそのファイルを実行し、その結果に基づいて、脅威スコアおよび動的分析のサマリー レポートを 防御センター に返します。適格なファイルをクラウドに送信して、Spero 分析を行うこともできます。これは、マルウェア識別を補うために、ファイルの構造を調べます。
動的分析のためのクラウドへのファイル送信は、キャプチャされたファイルのタイプと、アクセス コントロール ポリシーで設定された可能な最小および最大のファイル サイズによって異なります。以下を行うことができます。
- ファイル ルールによって実行可能ファイルに対するマルウェア クラウド ルックアップが行われ、ファイル性質が不明の場合、動的分析用に自動的にファイルを送信できます。
- 保存済みで、サポートされているファイル タイプ(PDF や Microsoft Office ドキュメントなど)の場合、最大で 25 個のファイルを手動で一度に送信できます。
送信されたファイルはクラウドでの分析のためにキューに入れられます。キャプチャ ファイルおよびファイルのトラジェクトリを表示して、ファイルが動的分析のために送信されているかどうかを判別できます。注意すべき点として、動的分析のためにファイルを送信するたびに、最初の分析で結果が生成されていても、クラウドはそのファイルを分析します。
詳細については、ファイル ルールの操作および動的分析のためのファイルの送信を参照してください。
(注) 動的分析に適格なファイル タイプのリストおよび送信可能な最小/最大ファイル サイズに関する更新がないか、システムはクラウドを検査します(一日に 2 回以上行われることはありません)。
クラウドは、サンドボックス環境でファイルを実行することにより、動的な分析を実行します。以下が返されます。
ファイル ポリシーの設定に基づき、定義されているしきい値を脅威スコアが超えているファイルを自動的にブロックできます。また、動的分析のサマリー レポートを確認して、マルウェアの識別を向上させたり、検出機能を調整したりできます。
動的分析を補うために、ファイル ルールによって実行可能ファイルにマルウェア クラウド ルックアップが行われる場合に、自動的にファイルを送信して Spero 分析を行うことができます。クラウドは実行可能ファイルの構造(メタデータや見出しの情報を含む)を調べて、ファイルがマルウェアかどうかを識別できます。詳細については、マルウェア防御とファイル制御についてを参照してください。
注意すべき点として、DC500 で Malware ライセンスは使用できず、シリーズ 2 デバイスや Blue Coat X-Series 向け Cisco NGIPS で Malware ライセンスを有効にすることもできないため、それらのアプライアンスを使用して、動的分析または Spero 分析のためにファイルを送信することはできません。
(注) HTTP プロキシ経由で シスコ クラウドにファイルを送信するように、管理対象デバイスを設定できます。物理アプライアンスを設定するには、管理インターフェイスの構成を参照してください。仮想アプライアンスを設定するには、http-proxyを参照してください。Blue Coat X-Series 向け Cisco NGIPS では、プロキシ設定はサポートされていません。
Spero 分析について
サポートされるデバイス: シリーズ 2 と X-シリーズ を除くすべて
Spero 分析は SHA256 ハッシュの分析を補うもので、実行可能ファイル内のマルウェアをより正確に識別できます。Spero 分析では、デバイスがファイル構造の特性(メタデータや見出し情報など)を調べます。この情報に基づいて Spero シグニチャを生成した後、デバイスはそれをシスコ クラウド内の Spero ヒューリスティック エンジンに送信します。Spero シグニチャに基づいて、そのファイルがマルウェアかどうかを Spero エンジンが返します。マルウェアの場合、現時点の性質が不明であれば、システムはマルウェアの性質をファイルに割り当てます。ファイル性質の詳細については、マルウェア防御とファイル制御についてを参照してください。
Spero 分析のために実行可能ファイルを送信できるのは、検出時だけなので注意してください。後から手動で送信することはできません。動的分析のためにファイルを送信しなくても、Spero 解析のためにファイルを送信できます。詳細については、ファイル ルールの操作を参照してください。
動的分析のためのファイルの送信
サポートされるデバイス: シリーズ 2 と X-シリーズ を除くすべて
イベント ビューアのコンテキスト メニューまたはネットワーク ファイルのトラジェクトリから、動的分析のためにファイルを手動で送信できます。実行可能ファイルの他に、自動送信に適格ではないファイル タイプ(たとえば、PDF や Microsoft Office ドキュメントなど)も送信できます。詳細については、コンテキスト メニューの使用とサマリー情報を参照してください。
問題が生じた後で複数のファイルを分析するために、キャプチャ ファイル ビューから一度に最大で 25 個の(特定のタイプの)ファイルをファイル性質に関係なく手動で送信できます。これにより、さまざまなファイルをより迅速に分析し、問題の正確な原因を突き止めることができます。詳細については、キャプチャ ファイルの操作およびワークフロー ページの行の選択を参照してください。
脅威スコアおよび動的解析のサマリーの確認
サポートされるデバイス: シリーズ 2 と X-シリーズ を除くすべて
動的分析のためにファイルを送信すると、シスコ クラウドはファイルのシグニチャを分析し、脅威スコアと動的分析のサマリーの両方を返します。これらは、潜在的なマルウェア脅威をより詳しく分析し、検出戦略を調整するのに役立ちます。
ファイルは、マルウェアである可能性に応じて、脅威スコア レーティングのいずれかに分類されます。
|
|
|
|
|---|---|---|
防御センター は、ファイルの性質と同じ期間、ファイルの脅威スコアをローカルのキャッシュに入れます。これ以降、これらのファイルを検出すると、システムはシスコ クラウドに再度クエリを行う代わりに、キャッシュに入れられた脅威スコアを表示します。ファイル ポリシーの設定に基づき、ファイルの脅威スコアが、定義済みのマルウェアしきい値の脅威スコアを超える場合、そのファイルにマルウェアの性質を自動的に割り当てることができます。詳細については、ファイル ポリシーの作成を参照してください。
動的分析のサマリーを使用できる場合、脅威スコアのアイコンをクリックすると、それが表示されます。動的分析のサマリーでは、脆弱性調査チーム(VRT)のファイル分析による全体的な脅威スコアの構成するレーティングと、クラウドがそのファイルを実行しようとしたときに開始された他のプロセスについて説明されています。
複数のレポートが存在する場合、このサマリーは、脅威スコアと完全に一致する最新のレポートに基づきます。完全に一致する脅威スコアがない場合、脅威スコアが最も高いレポートが表示されます。複数のレポートがある場合は、脅威スコアを選択して、それぞれのレポートを表示できます。
サマリーには、脅威スコアを構成する各コンポーネントの脅威がリストされています。各コンポーネントの脅威は、そのコンポーネントの脅威に関連するプロセスだけでなく、VRT の調査結果のリストまで展開できます。
プロセス ツリーには、クラウドがファイルを実行しようとしたときに開始されたプロセスが示されています。これは、マルウェアを含むファイルが、想定外のプロセスやシステム リソースへアクセスしようとしているかどうか(たとえば、Word ドキュメントを実行すると、Microsoft Word が開き、次にエクスプローラが起動し、さらに Java が起動するなど)を識別するのに役立ちます。
リストされている各プロセスには、実際のプロセスを検査するのに使用できるプロセス ID と md5 チェックサムが含まれています。プロセス ツリーには、親プロセスの結果として開始されたプロセスが子ノードとして表示されます。
動的分析のサマリーから [詳細レポートの表示(View Full Report)] をクリックすることにより、VRT の完全な分析を詳述する VRT の分析レポートを表示できます。これには、ファイルの一般情報、検出されたすべてのプロセスのより綿密な説明、ファイル分析の概要、および他の関連情報が含まれています。
ファイル イベントの操作
システムは、現在適用されているファイル ポリシーのルールに従って、管理対象デバイスがネットワーク トラフィック内のファイルを検出またはブロックしたときに生成されたファイル イベントを記録します。注意すべき点として、システムがファイル イベントを生成する際に、呼び出しを行うアクセス制御ルールのログ設定に関係なく、システムは 防御センター データベースへの関連する接続の終わりも記録します。詳細については、ファイル ポリシーの概要と作成を参照してください。
(注) ネットワーク トラフィックで検出され、FireSIGHT システムによってマルウェアとして識別されたファイルは、ファイル イベントとマルウェア イベントの両方を生成します。これは、システムがファイル内のマルウェアを検出するために、まずそのファイル自体を検出する必要があるためです。エンドポイントベースのマルウェア イベントには、対応するファイル イベントはありません。詳細については、マルウェア イベントの操作およびキャプチャ ファイルの操作を参照してください。
防御センター のイベント ビューアを使用して、ファイル イベントの表示、検索、削除を行えます。さらに、Files Dashboard では、ネットワークで検出されたファイル(マルウェア ファイルを含む)に関する詳細情報を、図やグラフを使って一目で知ることができます。ネットワーク ファイル トラジェクトリでは、個々のファイルの情報とそれらが時間の経過に伴ってネットワークでどのように推移してきたかに関する情報のサマリーが提供されるので、それらのファイルに関してより綿密に知ることができます。ファイルの識別データを使用して、相関ルールをトリガーしたり、レポートを作成したりできます。後者では、定義済みの Files Report テンプレートまたはカスタム レポート テンプレートを使用します。
ファイル イベントの表示
FireSIGHT システムのイベント ビューアでは、分析に関連した情報に応じてイベント ビューを操作するほかに、ファイル イベントをテーブルの形で表示できます。また、個々のファイル イベントに使用可能な情報は、ライセンスなどのさまざまな要因によって異なることに注意してください。詳細については、サービス サブスクリプションを参照してください。
ファイル イベントにアクセスしたときに表示されるページは、ワークフローによって異なります。ワークフローは、大まかなビューから詳細なビューに移動してイベントを評価するために使用できる、一連のページです。システムには、ファイル イベント用の以下の定義済みのワークフローが付属しています。
- [ファイル サマリー(File Summary)] (デフォルト):さまざまなファイル イベントのカテゴリとタイプ、および関連するマルウェア ファイル性質の概要を提供します。
- [ファイルを受信したホスト(Hosts Receiving Files)] および [ファイルを送信したホスト(Hosts Sending Files)]:ファイルを送受信したホストのリストを、それらのファイルの関連するマルウェア性質でグループ化した形で提供します。
(注) ファイル性質は、システムがマルウェア クラウド ルックアップを実行したファイルに関してのみ表示されます。ファイル ルール アクションと評価順序を参照してください。
また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。カスタム ワークフローを含む、さまざまなデフォルト ワークフローの指定の詳細については、イベント ビュー設定の設定を参照してください。
FireSIGHT システムは、Unicode(UTF8)文字を使用するファイル名の表示および入力を Web インターフェイスのすべてのエリア(イベント ビューア、イベント検索、ダッシュボード、Context Explorer など)でサポートしています。ただし、PDF 形式で生成したレポートでは Unicode がサポートされないので注意してください。PDF レポートでは、Unicode ファイル名は翻字形式で表示されます。詳細については、レポートの生成と表示を参照してください。また、SMB プロトコルは Unicode ファイル名を印刷可能な文字に変換することにも注意してください。SMB を通して検出した Unicode ファイル名を持つファイルは、印刷不可能な文字の代わりにピリオド(. )とともに表示されます。
- イベントの検索、ソート、および制限と、表示されるイベントの時間範囲の変更
- 表示される列の指定(テーブル ビューのみ)
- IP アドレスに関連付けられたホスト プロファイル、またはユーザ ID に関連付けられたユーザの詳細およびホスト履歴の表示
- 特定のファイルが検出された接続の表示
- 同じワークフロー内のさまざまなワークフロー ページを使用したイベントの表示
- 別のワークフローを使用したイベントの表示
- 特定の値で制限されるワークフロー内のページからページへのドリルダウン
- 後で同じデータに戻る(存在している場合)ための、現在のページおよび制約のブックマーク
- ファイルに関連付けられたルーティング可能な IP アドレスの送受信の国および大陸の表示
- ファイルのトラジェクトリの表示
- ファイル リストへのファイルの追加、ファイルのダウンロード、動的分析のためのファイルの送信、ファイルの SHA-256 値のフルテキストの表示
- ファイルの動的分析のサマリー レポート(使用可能な場合)の表示
- アーカイブ ファイル内のネストされたファイルの表示
- 現在の制約を使用してレポート テンプレートを作成する
- データベースからのイベントの削除
- IP アドレスのコンテキスト メニューを使用した、ホワイトリストまたはブラックリストへの追加、あるいはファイル イベントに関連付けられたホストまたは IP アドレスに関する他の使用可能な情報の取得
カスタム ワークフローの作成など、イベント ビューアの使用の詳細については、ワークフローの概要と使用を参照してください。
特定のファイルが検出された接続をすぐに表示するには、イベント ビューアでチェック ボックスを使用してファイルを選択してから、[ジャンプ先(Jump to)] ドロップダウン リストで [接続イベント(Connections Events)] を選択します。詳細については、ワークフロー間のナビゲートを参照してください。
アクセス: Admin/Any Security Analyst
手順 1 [分析(Analysis)] > [ファイル(Files)] > [ファイル イベント(Files Events)] を選択します。
デフォルトのファイル イベントのワークフローの最初のページが表示されます。表示される列の詳細については、ファイル イベント テーブルについてを参照してください。
ファイル イベント テーブルについて
防御センター は、適用されているファイル ポリシーの設定に従って、監視対象ネットワーク トラフィックで送信されるファイルを管理対象デバイスが検出またはブロックしたときに、ファイル イベントを記録します。
ファイル イベントのテーブル ビューは、定義済みファイル イベントのワークフローの最後のページであり、カスタム ワークフローに追加できます。このテーブル ビューには、ファイル テーブルの各フィールドの列が含まれます。デフォルトでは、ファイル イベントのテーブル ビューにいくつかのフィールドが表示されます。セッション中にフィールドを有効にするには、展開矢印(
)をクリックして、検索制約を拡張してから、[無効列(Disabled Columns)] の下の列名をクリックします。
個々のファイル イベントに使用可能な情報は、ライセンスなどのさまざまな要因によって異なることに留意してください。たとえば、ファイル制御を行えるのは Protection ライセンスだけですが、Malware ライセンスを使用して、特定のファイル タイプの高度なマルウェア対策を実行したり、ネットワークで転送されたファイルを追跡したりできます。
以下の表は、ファイル イベント フィールドについて説明しています。
|
|
|
|---|---|
SSL ルールに関連したアクション、デフォルトのアクション、または暗号化接続をログに記録した復号できないトラフィック アクション。
システムが暗号化接続を復号できなかった場合は、実行された復号不能のトラフィック アクションと障害の理由が表示されます。たとえば、システムが不明な暗号スイートで暗号化されたトラフィックを検出し、さらにインスペクションを行わずにそのトラフィックを許可した場合、このフィールドには 証明書の詳細を表示するにはロック アイコン( |
|
ファイルの宛先のホスト([受信側 IP(Receiving IP)])にログインしたユーザ。 ユーザが宛先ホストに関連付けられているため、ユーザがファイルをアップロードしたファイル イベントに、ユーザが関連付けられないことに注意してください。 |
|
|
|
ファイルの SHA-256 ハッシュ値と、最後に検出されたファイル イベントおよびファイル性質を表すネットワーク ファイル トラジェクトリ アイコン(このファイルが以下の結果として検出された場合)。
ネットワーク ファイル トラジェクトリを表示するには、トラジェクトリ アイコンをクリックします。詳細については、ネットワーク ファイル トラジェクトリの分析を参照してください。 |
|
ファイル タイプの一般的なカテゴリ( |
|
ファイルのサイズ(KB 単位)。ファイルが完全に受信される前にシステムがファイルのタイプを判別すると、ファイル サイズが計算されずに、このフィールがブランクになる場合があるので注意してください。 |
|
ファイルが関連付けられているアーカイブ ファイル(存在する場合)の名前( |
|
アプリケーション プロトコル、クライアント、または Web アプリケーション カテゴリまたはタグ(Application Protocol, Client, or Web Application Category or Tag) |
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。表 45-2を参照してください。 |
HTTP を使用してファイルが送信された場合、接続で検出され、ファイルの送信に使用された Web アプリケーション(コンテンツまたは要求された URL)。 |
|
接続で検出されたアプリケーション トラフィックに関連するリスク: |
|
接続で検出されたアプリケーション トラフィックに関連するビジネス関連性: |
|
マルウェア性質が変更されたファイル(つまり、レトロスペクティブ マルウェア イベントに関連したファイル)で、性質がいつ、どのように変更されたかに関する情報。 |
|
トラフィックが通過した仮想ファイアウォール グループを識別するメタデータ。システムがこのフィールドにデータを設定するのは、マルチ コンテキスト モードの ASA FirePOWER デバイスだけです。 |
|
)をクリックします。詳細については、
)
)
)
)
ファイル イベントの検索
防御センター の [検索(Search)] ページを使用して、特定のファイル イベントを検索し、その結果をイベント ビューアで表示できます。また、後で再利用するために検索条件を保存できます。カスタム分析のダッシュボード ウィジェット、レポート テンプレート、カスタム ユーザ ロールでも、保存した検索を使用できます。
覚えておくべき点として、検索結果は、検索するイベントの使用可能なデータに依存します。つまり、使用可能なデータによっては、検索の制約が適用されないことがあります。たとえば、[傾向(Disposition)] および [SHA256] フィールドにデータが入れられるのは、防御センターがマルウェア クラウド ルックアップを実行したファイルに限られます。
システムは、各検索フィールドの横に有効な構文の例を示します。検索条件を入力する場合、次の点に留意してください。
- すべてのフィールドで否定(
!)を使用できます。 - すべてのフィールドで検索値のカンマ区切りリストを使用できます。指定したフィールドにリストされた値のいずれかを含むレコードは、その検索条件に一致します。
- すべてのフィールドで、引用符で囲んだカンマ区切りリストを検索値として使用できます。
– 値を 1 つのみ含むことができるフィールドの場合、検索条件に一致するのは、指定したフィールドに引用符内の文字列と同じ文字列が含まれるレコードです。たとえば、 A, B, "C, D, E" を検索すると、指定したフィールドに「 A 」または「 B 」または「 C, D, E 」を含むレコードが一致します。これにより、使用できる値にカンマを含むフィールドでの一致が可能です。
– 同時に複数の値を含むことができるフィールドの場合、引用符で囲んだカンマ区切りリスト内のすべての値が指定したフィールドに含まれるレコードが検索条件に一致します。
– 同時に複数の値を含むことができるフィールドについては、引用符で囲んだカンマ区切りリストだけでなく、単一の値も検索条件に使用することができます。たとえば、 A, B, "C, D, E" をこれらの文字の 1 つまたは複数を含むことができるフィールドで検索すると、指定したフィールドに A または B 、または C 、 D 、 E のすべてを含むレコードが一致します。
- 検索により、すべてのフィールドに対して指定した検索条件と一致するレコードのみが返されます。
- 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク(
*)を受け入れます。 - フィールドでその情報を利用できないイベントを示すには、そのフィールドで
n/aを指定します。フィールドに情報が入力されているイベントを示すには!n/aを使用します。 - 特定のデバイス、およびグループ、スタック、またはクラスタ内のデバイスを検索するには、デバイス フィールドを使用します。検索での FireSIGHT システムによるデバイス フィールドの処理方法については、検索でのデバイスの指定を参照してください。
- 検索条件としてオブジェクトを使用するには、検索フィールドの横に表示されるオブジェクトの追加アイコン(
)をクリックします。
検索でのオブジェクトの使用など、検索構文の詳細については、イベントの検索を参照してください。
前述の一般的な検索構文を補うために、以下のリストでは、ファイル イベントの特別な検索構文について説明しています。
送信側/受信側の大陸(Sending/Receiving Continent)
システムは Sending Continent または Receiving Continent が指定した大陸と一致するすべてのイベントを返します。
送信側/受信側の国(Sending/Receiving Country)
システムは Sending Country または Receiving Country が指定した国と一致するすべてのイベントを返します。
送信側/受信側の IP(Sending/Receiving IP)
システムは Sending IP または Receiving IP が指定した IP アドレスと一致するすべてのイベントを返します。
システムは部分一致を実行します。つまり、アスタリスクを使用せずに、フィールドの内容の全部または一部を検索できます。
– 保存済み(Stored) は、関連するファイルが現在保存されているすべてのイベントを返します。
– 接続で保存済み(Stored in connection) は、関連するファイルが現在保存されているかどうかに関係なく、関連するファイルをシステムがキャプチャおよび保存したすべてのイベントを返します。
– 失敗(Failed) は、関連するファイルをシステムが保存できなかったすべてのイベントを返します。
実行された実際の SSL アクション(The SSL Actual Action taken)
システムが指定したアクションを適用した暗号化されたトラフィックのファイル イベントを表示するには、次のキーワードのいずれかを入力します。
– [復号しない(Do not Decrypt)] は、システムが復号しなかった接続を表します。
– [ブロック(Block)] および [リセットしてブロック(Block with Reset)] は、ブロックされた暗号化接続を表します。
– [復号(既知のキー)(Decrypt (Known Key))] は、既知の秘密キーを使用して復号された着信接続を表します。
– [復号(キーの置き換え)(Decrypt (Replace Key))] は、置き換えられた公開キーと自己署名サーバ証明書を使用して復号された発信接続を表します。
– [復号(再署名)(Decrypt (Resign))] 再署名サーバ証明書を使用して復号された発信接続を表します。
このカラムは、ファイル イベントのテーブル ビューに表示されません。
SSL 障害の理由(The SSL Failure Reason)
システムが指定された理由で復号化に失敗した暗号化されたトラフィックのファイル イベントを表示するには、次のキーワードのいずれかを入力します。
– キャッシュされないセッション(Uncached Session)
– 不明な暗号スイート(Unknown Cipher Suite)
– サポートされていない暗号スイート(Unsupported Cipher Suite)
– サポートされていない SSL バージョン(Unsupported SSL Version)
– SSL 圧縮の使用(SSL Compression Used)
– パッシブ モードで復号できないセッション(Session Undecryptable in Passive Mode)
– ハンドシェイク エラー(Handshake Error)
– 保留サーバ名カテゴリ ルックアップ(Pending Server Name Category Lookup)
– 保留共通名カテゴリ ルックアップ(Pending Common Name Category Lookup)
– ネットワーク パラメータを使用できません(Network Parameters Unavailable)
– 無効なサーバ証明書の処理(Invalid Server Certificate Handle)
– サーバ証明書フィンガープリントを使用できません(Server Certificate Fingerprint Unavailable)
– サブジェクト DN をキャッシュできません(Cannot Cache Subject DN)
– 発行元 DN をキャッシュできません(Cannot Cache Issuer DN)
– 不明の SSL バージョン(Unknown SSL Version)
– 外部証明書リストを使用できません(External Certificate List Unavailable)
– 外部証明書フィンガープリントを使用できません(External Certificate Fingerprint Unavailable)
– 内部証明書リストが無効です(Internal Certificate List Invalid)
– 内部証明書リストを使用できません(Internal Certificate List Unavailable)
– 内部証明書を使用できません(Internal Certificate Unavailable)
– 内部証明書フィンガープリントを使用できません(Internal Certificate Fingerprint Unavailable)
– サーバ証明書検証を使用できません(Server Certificate Fingerprint Unavailable)
– サーバ証明書検証エラー(Server Certificate Validation Failure)
このカラムは、ファイル イベントのテーブル ビューに表示されません。
SSL 対象国(The SSL Subject Country)
証明書の対象の国に関連付けられている暗号化されたトラフィックのファイル イベントを表示するには、2 文字の ISO 3166-1 アルファ 2 国番号を入力します。
このカラムは、ファイル イベントのテーブル ビューに表示されません。
SSL 発行国(The SSL Issuer Country)
証明書発行者の国に関連付けられている暗号化されたトラフィックのファイル イベントを表示するには、2 文字の ISO 3166-1 アルファ 2 国番号を入力します。
このカラムは、ファイル イベントのテーブル ビューに表示されません。
SSL 証明書のフィンガープリント(SSL Certificate Fingerprint)
その証明書に関連付けられているトラフィックのファイル イベントを表示するには、その証明書の認証に使用される SHA ハッシュ値を入力するか、または貼り付けます。
このカラムは、ファイル イベントのテーブル ビューに表示されません。
SSL 公開キーのフィンガープリント(SSL Public Key Fingerprint)
その証明書に関連付けられているトラフィックのファイル イベントを表示するには、その証明書に含まれている公開キーの認証に使用される SHA ハッシュ値を入力するか、または貼り付けます。
このカラムは、ファイル イベントのテーブル ビューに表示されません。
アクセス: Admin/Any Security Analyst
手順 1 [分析(Analysis)] > [検索(Search)] を選択します。
手順 2 テーブル ドロップダウン リストから [ファイル イベント(File Events)] を選択します。
手順 3 次の項に記載されているように、該当するフィールドに検索基準を入力します。
- ファイル イベント テーブルのフィールドの詳細については、 ファイル イベント フィールド の表を参照してください。
- ファイル イベントの特別な検索構文については、ファイル イベントの特別な検索構文を参照してください。
- 公開キー証明書に関連するフィールドについては、暗号化接続に関連付けられた証明書の表示を参照してください。
手順 4 必要に応じて検索を保存する場合は、[プライベート(Private)] チェックボックスをオンにしてプライベートとして検索を保存すると、本人だけがアクセスできるようになります。本人のみではなくすべてのユーザを対象にする場合は、このチェックボックスをオフのままにして検索を保存します。
ヒント カスタム ユーザ ロールのデータの制限として検索を使用する場合は、必ずプライベート検索として保存する必要があります。
手順 5 必要に応じて、後で再度使用する検索を保存できます。次の選択肢があります。
新しい検索の場合、ダイアログボックスに検索の名前を要求するプロンプトが表示されます。一意の検索名を入力して [保存(Save)] をクリックします。保存済みの既存の検索で新しい条件を保存する場合、プロンプトは表示されません。検索が保存され([プライベート(Private)] を選択した場合は本人のアカウントでのみ閲覧可能)、後で実行できます。
ダイアログボックスに検索の名前を要求するプロンプトが表示されます。一意の検索名を入力して [保存(Save)] をクリックします。検索が保存され([プライベート(Private)] を選択した場合は本人のアカウントでのみ閲覧可能)、後で実行できます。
手順 6 検索を開始するには、[検索(Search)] ボタンをクリックします。
検索結果は、現在の時刻範囲によって制限されるデフォルトのファイル イベントのワークフローに表示されます。
マルウェア イベントの操作
システムは以下のタイミングでマルウェア イベントを 防御センター データベースに記録します。
- 管理対象デバイスがネットワーク トラフィックでファイルを検出し、そのファイルがマルウェア クラウド ルックアップでマルウェアとして識別された。
- 管理対象デバイスがネットワーク トラフィックでカスタム検出リストに含まれているファイルを検出した。
- ファイルのマルウェア性質が変更されたことをシステムが認識した。これらは、レトロスペクティブ マルウェア イベントと呼ばれます。
- 組織のエンドポイントにインストールされた FireAMP コネクタが脅威を検出し、その脅威を シスコ クラウドに伝えた。
FireAMP マルウェア検出がダウンロード時または実行時にエンドポイントで行われるのに対し、管理対象デバイスはネットワーク トラフィックでファイルを検出するため、これらのマルウェア イベントの情報は異なります。レトロスペクティブ マルウェア イベントには、他のネットワークベースのマルウェア イベントとも、エンドポイントベースのマルウェア イベントとも若干異なるデータが含まれます。
以降の項では、さまざまな種類のマルウェア イベントについて簡単に説明します。マルウェア検出の全体的なプロセスの詳細については、マルウェア防御とファイル制御についてを参照してください。
エンドポイントベース(FireAMP)のマルウェア イベント
組織が FireAMP サブスクリプションを持っている場合、各ユーザは自分のコンピュータやモバイル デバイスに FireAMP コネクタをインストールします。これらの軽量のエージェントは シスコ クラウドと通信し、それは防御センターと通信します。FireAMP 用のクラウド接続の操作を参照してください。クラウドは脅威の通知や他の種類の情報(スキャン、隔離、ブロックされた実行、クラウドのリコールのデータなど)を送信できます。防御センター はこの情報をマルウェア イベントとしてデータベースに記録します。
(注) エンドポイントベースのマルウェア イベントで報告される IP アドレスは、ネットワーク マップに(そして、監視対象ネットワークにも)含まれない場合もあります。展開、コンプライアンスのレベル、およびその他の要因によっては、FireAMP コネクタがインストールされている組織内のエンドポイントが、管理対象デバイスによって監視されているものと同じホストではない可能性があります。
サポートされるデバイス: シリーズ 2 と X-シリーズ を除くすべて
Malware ライセンスを使用すると、管理対象デバイスは全体的なアクセス制御設定の一部として、ネットワーク トラフィック内のマルウェアを検出できます。ファイル ポリシーの概要と作成を参照してください。
以下のシナリオでは、マルウェア イベントが生成される可能性があります。
- 管理対象デバイスが一連の特定のファイル タイプのいずれかを検出すると、防御センター はマルウェア クラウド ルックアップを実行します。これにより、ファイル性質として
Malware、Clean、またはUnknownが 防御センター に返されます。 - 防御センター がクラウドとの接続を確立できない場合や、それ以外でクラウドが使用できない場合、ファイル性質は
Unavailableになります。この性質に関するイベントが、わずかながら存在する可能性があります。これは予期された動作です。 - ファイルに関連付けられている脅威スコアが、ファイルを検出したファイル ポリシーで定義されたマルウェアしきい値の脅威スコアを超えた場合、防御センター はファイル性質として
Malwareをそのファイルに割り当てます。 - SHA-256 値がカスタム検出リストに保存されているファイルを管理対象デバイスが検出した場合、防御センター はファイル性質として
カスタムム検出(Custom Detection)をそのファイルに割り当てます。 - クリーン リストに含まれているファイルを管理対象デバイスが検出した場合、防御センター はファイル性質として
Cleanをそのファイルに割り当てます。
防御センター は他のコンテキスト データとともに、ファイルの検出と性質のレコードをマルウェア イベントとして記録します。
(注) ネットワーク トラフィックで検出され、FireSIGHT システムによってマルウェアとして識別されたファイルは、ファイル イベントとマルウェア イベントの両方を生成します。これは、ファイル内のマルウェアを検出するために、システムはまずそのファイル自体を検出する必要があるためです。詳細については、ファイル イベントの操作およびキャプチャ ファイルの操作を参照してください。
ネットワーク トラフィックで検出されたマルウェア ファイルの場合、ファイル性質が変わることがあります。たとえば、シスコ クラウドがあるファイルを以前はクリーンであると識別したものの、今はマルウェアとして判断したり、その逆にマルウェアとして識別したファイルが実際にはクリーンだったと判断する場合があります。
前の週にマルウェア ルックアップを実行したファイルのファイル性質が変更された場合、クラウドは 防御センター に通知します。その場合、以下の 2 つが行われます。
この新しいレトロスペクティブ マルウェア イベントは、前の週に検出され、同じ SHA-256 ハッシュ値を持つ同じすべてのファイルの性質変更を表します。そのため、これらのイベントには限られた情報(防御センター に性質変更が通知された日時、新しい性質、ファイルの SHA-256 ハッシュ値、および脅威名)が含まれます。IP アドレスや他のコンテキスト情報は含まれません。
ファイルの性質が Malware に変更されると、防御センター は新しいマルウェア イベントをデータベースに記録します。新しい性質を除いて、この新しいマルウェア イベントの情報は、ファイルが最初に検出されたときに生成されたファイル イベントのものと同じです。
ファイルの性質が Clean に変更された場合に、防御センター がそのマルウェア イベントをマルウェア テーブルから削除することはありません。そうする代わりに、イベントは単に性質の変更を反映します。つまり、性質が Clean のファイルがマルウェア テーブルに含められる場合があり、それはそのファイルが最初マルウェアと識別されていた場合だけです。マルウェアとして識別されたことのないファイルは、ファイルのテーブルにのみ含められます。
いずれの場合でも、マルウェア イベントの Message に、性質がいつ、どのように変更されたかが示されます。以下に例を示します。
防御センター のイベント ビューアを使用して、マルウェア イベントの表示、検索、削除を行えます。さらに、Files Dashboard および Context Explorer では、ネットワークで検出されたファイル(マルウェア ファイルを含む)に関する詳細情報を、図やグラフを使って一目で知ることができます。ネットワーク ファイル トラジェクトリでは、個々のマルウェア ファイルの情報とそれらが時間の経過に伴ってネットワーク内をどのように移動してきたかに関する情報のサマリーが提供されるので、それらのファイルに関してより綿密に知ることができます。マルウェア検出データを使用して、相関ルールをトリガーしたり、レポートを作成したりできます。後者では、定義済みのマルウェア レポート テンプレートかカスタム レポート テンプレートを使用します。
マルウェア イベントの表示
FireSIGHT システムのイベント ビューアでは、マルウェア イベントをテーブルの形で表示でき、分析に関連した情報に応じてイベント ビューを操作することもできます。また、個々のマルウェア イベントに使用可能な情報は、ライセンスなどのさまざまな要因によって異なることに注意してください。詳細については、サービス サブスクリプションを参照してください。
マルウェア イベントにアクセスしたときに表示されるページは、ワークフローによって異なります。ワークフローは、大まかなビューから詳細なビューに移動してイベントを評価するために使用できる、一連のページです。システムには、マルウェア イベント用の以下の定義済みのワークフローが付属しています。
- マルウェアの概要(Malware Summary) (デフォルト):個々の脅威でグループ化された、検出マルウェアのリストを提供します。
- マルウェア イベントの概要(Malware Event Summary) :さまざまなマルウェア イベントのタイプとサブタイプの概要を提供します。
- マルウェアを受信したホスト(Hosts Receiving Malware) および マルウェアを送信したホスト(Hosts Sending Malware) :マルウェアを送受信したホストのリストを、それらのファイルの関連するマルウェア性質でグループ化した形で提供します。性質はマルウェア クラウド ルックアップまたはマルウェア ブロック ファイル ルールの結果として検出されたファイルに関してのみ表示されるので注意してください。
- マルウェアを取り込んだアプリケーション(Applications Introducing Malware) :組織のエンドポイントで検出されたマルウェアにアクセスしたか、そのマルウェアを実行したクライアント アプリケーションのリストを提供します。このリストから、それぞれの親クライアントによってアクセスされる個々のマルウェア ファイルにドリルダウンできます。
また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。カスタム ワークフローを含む、さまざまなデフォルト ワークフローの指定の詳細については、イベント ビュー設定の設定を参照してください。
FireSIGHT システムは、Unicode(UTF8)ファイル名の表示および入力を Web インターフェイスのすべてのエリア(イベント ビューア、イベント検索、ダッシュボード、Context Explorer など)でサポートしています。ただし、PDF 形式で生成したレポートでは Unicode がサポートされないので注意してください。PDF レポートでは、Unicode ファイル名は翻字形式で表示されます。詳細については、レポートの生成と表示を参照してください。
- イベントの検索、ソート、および制限と、表示されるイベントの時間範囲の変更
- 表示される列の指定(テーブル ビューのみ)
- IP アドレスに関連付けられたホスト プロファイル、またはユーザ ID に関連付けられたユーザの詳細およびホスト履歴の表示
- 特定のマルウェアが検出された接続の表示(ネットワークベースのマルウェア イベントのみ)
- 同じワークフロー内のさまざまなワークフロー ページを使用したイベントの表示
- 別のワークフローを使用したイベントの表示
- 特定の値で制限されるワークフロー内のページからページへのドリルダウン
- 後で同じデータに戻る(存在している場合)ための、現在のページおよび制約のブックマーク
- ファイルに関連付けられたルーティング可能 IP アドレスの位置情報の表示
- ファイルのトラジェクトリの表示
- アーカイブ ファイル内のネストされたファイルの表示
- 現在の制約を使用してレポート テンプレートを作成する
- データベースからのイベントの削除
- ファイル リストへのファイルの追加、ファイルのダウンロード、動的分析のためのファイルの送信、ファイルの SHA-256 値のフルテキストの表示
- ファイルの動的分析のサマリー レポート(使用可能な場合)の表示
- IP アドレスのコンテキスト メニューを使用した、ホワイトリストまたはブラックリストへの追加、あるいはマルウェア イベントに関連付けられたホストまたは IP アドレスに関する他の使用可能な情報の取得
シリーズ 2 デバイス、Blue Coat X-Series 向け Cisco NGIPS、および DC500 防御センター は、ネットワークベースのマルウェア防御およびアーカイブ ファイル インスペクションをサポートしていません。これは、表示されるデータに影響を及ぼす場合があるので注意してください。たとえば、シリーズ 2 デバイスだけを管理するシリーズ 3 防御センター は、エンドポイントベースのマルウェア イベントだけを表示できます。
カスタム ワークフローの作成など、イベント ビューアの使用の詳細については、ワークフローの概要と使用を参照してください。
アクセス: Admin/Any Security Analyst
手順 1 [分析(Analysis)] > [ファイル(Files)] > [マルウェア イベント(Malware Events)] を選択します。
デフォルトのマルウェア イベントのワークフローの最初のページが表示されます。表示される列の詳細については、マルウェア イベント テーブルについてを参照してください。
マルウェア イベント テーブルについて
組織内のエンドポイントにインストールされた FireAMP コネクタが脅威を検出した場合、または管理対象デバイスがネットワーク トラフィックでファイルを検出し、そのファイルがマルウェア クラウド ルックアップでマルウェアとして識別された場合、システムはマルウェア イベントを防御センター データベースに記録します。また、ファイルのマルウェア性質が変更されたことをシステムが認識した場合、システムはレトロスペクティブ マルウェア イベントを記録します。シリーズ 2 デバイス、Blue Coat X-Series 向け Cisco NGIPS、および DC500 防御センター は、ネットワークベースのマルウェア防御をサポートしていません。これは、表示されるデータに影響を及ぼす場合があるので注意してください。たとえば、シリーズ 2 デバイスだけを管理するシリーズ 3 防御センター は、エンドポイントベースのマルウェア イベントだけを表示できます。詳細については、マルウェア防御とファイル制御についておよびマルウェア イベントの操作を参照してください。
マルウェア イベントのテーブル ビューは、定義済みファイル イベントのワークフローの最後のページであり、カスタム ワークフローに追加できます。このテーブル ビューには、ファイル テーブルの各フィールドの列が含まれます。マルウェア イベントのテーブル ビューのいくつかのフィールドは、デフォルトで表示されます。セッション中にフィールドを有効にするには、展開矢印( )をクリックして、検索制約を拡張してから、[無効列(Disabled Columns)] の下の列名をクリックします。
すべてのイベントで、すべてのフィールドにデータが入っている訳ではないことに留意してください。マルウェア イベントのタイプが異なれば、含まれる情報も異なる可能性があります。たとえば、FireAMP マルウェア検出はダウンロード時または実行時にエンドポイントで行われるため、エンドポイントベースのマルウェア イベントには、ファイル パスや呼び出し元のクライアント アプリケーションに関する情報などが含まれます。対照的に、管理対象デバイスはネットワーク トラフィックでマルウェア ファイルを検出するため、それらに関連したマルウェア イベントには、ファイルを送信するのに使用される接続に関する、ポート、アプリケーション プロトコル、および送信元 IP アドレスの情報が含まれます。
次の表では各マルウェア イベント フィールドがリストされており、マルウェア イベントのタイプに応じて、システムがそのフィールドに情報を表示するかどうかを示しています。DC500 防御センター は、送受信の大陸または国の位置情報をサポートしていないので注意してください。
|
|
|
|
|
|
|---|---|---|---|---|
ファイルが一致したルールのルール アクションに関連付けられているファイル ルール アクションと、関連するファイル ルール アクションのオプション。 |
||||
ネットワークベースのマルウェア イベントの場合、検出されたマルウェアを受信するホストの IP アドレス。 エンドポイントベースのマルウェア イベントの場合、FireAMP コネクタがインストールされていて、マルウェア イベントが発生したエンドポイントの IP アドレス。 |
||||
SSL ルールに関連したアクション、デフォルトのアクション、または暗号化接続をログに記録した復号できないトラフィック アクション。
システムが暗号化接続を復号できなかった場合は、実行された復号不能のトラフィック アクションと障害の理由が表示されます。たとえば、システムが不明な暗号スイートで暗号化されたトラフィックを検出し、さらにインスペクションを行わずにそのトラフィックを許可した場合、このフィールドには 証明書の詳細を表示するにはロック アイコン( |
||||
マルウェア イベントが発生したホスト( 受信側 IP )のユーザ ネットワークベースのマルウェア イベントの場合、このユーザはネットワーク検出によって判別されます。ユーザが宛先ホストに関連付けられているため、ユーザがマルウェア ファイルをアップロードしたマルウェア イベントに、ユーザは関連付けられていません。 エンドポイントベースのマルウェア イベントの場合、FireAMP コネクタがユーザ名を判別します。FireAMP ユーザをユーザ検出または制御に関連付けることは できません 。それらは [ユーザ(Users)] テーブルに含まれず、それらのユーザの詳細を表示することもできません。 |
||||
マルウェア イベントのタイプ。イベント タイプの完全なリストについては、マルウェア イベントのタイプを参照してください。 |
||||
マルウェア検出につながった FireAMP アクション( |
||||
Clean のファイルがマルウェア テーブルに含められるのは、そのファイルが Clean に変更された場合だけです。レトロスペクティブ マルウェア イベントを参照してください。 |
||||
ファイルの SHA-256 ハッシュ値と、最後に検出されたファイル イベントおよびファイル性質を表すネットワーク ファイル トラジェクトリ アイコン。 ネットワーク ファイル トラジェクトリを表示するには、トラジェクトリ アイコンをクリックします。詳細については、ネットワーク ファイル トラジェクトリの分析を参照してください。 |
||||
ファイル タイプの一般的なカテゴリ( |
||||
マルウェア ファイルが関連付けられているアーカイブ ファイル(存在する場合)の SHA256 ハッシュ値。アーカイブ ファイルの内容を表示するには、そのアーカイブ ファイルのイベント ビューア行を右クリックしてコンテキスト メニューを開いてから、[アーカイブ コンテンツの表示(View Archive Contents)] をクリックします。詳細については、アーカイブ ファイルの内容の表示を参照してください。 |
||||
検出が行われたときに、マルウェア ファイルにアクセスしていたクライアント アプリケーション。これらのアプリケーションはネットワーク検出またはアプリケーション制御とは関係 ありません 。 |
||||
検出が行われたときに、FireAMP で検出された、または隔離されたファイルにアクセスした親ファイルの SHA-256 のハッシュ値。 |
||||
アプリケーション プロトコル、クライアント、または Web アプリケーション カテゴリまたはタグ(Application Protocol, Client, or Web Application Category or Tag) |
アプリケーションの機能を理解するうえで役立つ、アプリケーションの特性を示す基準。表 45-2 を参照してください。 |
|||
マルウェア イベントが、接続に関与したホストに対する侵害の痕跡(IOC)をトリガーしたかどうか。エンドポイントベースのマルウェア検出が IOC ルールをトリガーした場合、タイプ FireAMP |
||||
接続で検出されたアプリケーション トラフィックに関連するリスク: |
||||
接続で検出されたアプリケーション トラフィックに関連するビジネス関連性: |
||||
| ネットワークベースのマルウェア イベントの場合、このフィールドにデータが入れられるのは、性質が変更されたファイルだけです。レトロスペクティブ マルウェア イベントを参照してください。 |
||||
ネットワークベースのマルウェア イベントの場合、マルウェア ファイルを検出したデバイスの名前。 エンドポイントベースのマルウェア イベントおよびクラウドによって生成されるレトロスペクティブ マルウェア イベントの場合、防御センター の名前。 |
||||
トラフィックが通過した仮想ファイアウォール グループを識別するメタデータ。システムがこのフィールドにデータを設定するのは、マルチ コンテキスト モードの ASA FirePOWER デバイスだけです。 |
||||
)
)
)
)
マルウェア イベントのタイプ
ネットワークベースのマルウェア イベントの場合、イベントのタイプは以下のいずれかになります。
- ファイル転送中に検出された脅威(Threat Detected in Network File Transfer)
- ファイル転送中に検出された脅威(レトロスペクティブ)(Threat Detected in Network File Transfer (retrospective))
エンドポイントベースのマルウェア イベントは、以下のタイプのいずれかになります。
- ブロックされた実行(Blocked Execution)
- 隔離のクラウド リコール(Cloud Recall Quarantine)
- 隔離のクラウド リコールの試みに失敗(Cloud Recall Quarantine Attempt Failed)
- 隔離のクラウド リコールの開始(Cloud Recall Quarantine Started)
- クラウド リコールを隔離から復元(Cloud Recall Restore from Quarantine)
- クラウド リコールの隔離からの復元に失敗(Cloud Recall Restore from Quarantine Failed)
- クラウド リコールの隔離からの復元が開始(Cloud Recall Restore from Quarantine Started)
- FireAMP IOC
- 隔離エラー(Quarantine Failure)
- 隔離されたアイテムが復元された(Quarantined Item Restored)
- 隔離の復元に失敗(Quarantine Restore Failed)
- 隔離の復元が開始(Quarantine Restore Started)
- スキャン完了、検出なし(Scan Completed, No Detections)
- スキャン完了、検出あり(Scan Completed With Detections)
- スキャンに失敗(Scan Failed)
- スキャンが開始(Scan Started)
- Threat Detected
- 検出された脅威が実行中(Threat Detected in Exclusion)
- 検疫された脅威(Threat Quarantined)
ファイルのトラジェクトリ マップにマルウェア イベントが含まれている場合、イベントのタイプは、ファイル転送中に検出された脅威(Threat Detected in Network File Transfer)、ファイル転送中に検出された脅威(レトロスペクティブ)(Threat Detected in Network File Transfer (retrospective))、検出された脅威(Threat Detected)、検出された脅威が実行中(Threat Detected in Exclusion)、検疫された脅威(Threat Quarantined)のいずれかになります。詳細については、ネットワーク ファイル トラジェクトリの操作を参照してください。
シリーズ 2 デバイス、Blue Coat X-Series 向け Cisco NGIPS、および DC500 防御センター は、ネットワークベースのマルウェア防御をサポートしていません。これは、表示されるデータに影響を及ぼす場合があるので注意してください。たとえば、シリーズ 2 デバイスだけを管理するシリーズ 3 防御センターは、エンドポイントベースのマルウェア イベントだけを表示できます。
マルウェア イベントの検索
防御センター の [検索(Search)] ページを使用して、特定のマルウェア イベントを検索し、その結果をイベント ビューアで表示できます。また、後で再利用するために検索条件を保存できます。カスタム分析のダッシュボード ウィジェット、レポート テンプレート、カスタム ユーザ ロールでも、保存した検索を使用できます。
サンプルとしてシステムに付属している検索には、[保存済み検索(Saved Searches)] リストで ( シスコ ) というラベルが付いています。
覚えておくべき点として、検索結果は、検索するイベントの使用可能なデータに依存します。つまり、使用可能なデータによっては、検索の制約が適用されないことがあります。たとえば、エンドポイントベースのマルウェア イベントは、ネットワーク トラフィックを検査する管理対象デバイスの結果として生成されないため、接続情報(ポート、アプリケーション プロトコルなど)は含まれません。
システムは、各検索フィールドの横に有効な構文の例を示します。検索条件を入力する場合、次の点に留意してください。
- すべてのフィールドで否定(
!)を使用できます。 - すべてのフィールドで検索値のカンマ区切りリストを使用できます。指定したフィールドにリストされた値のいずれかを含むレコードは、その検索条件に一致します。
- すべてのフィールドで、引用符で囲んだカンマ区切りリストを検索値として使用できます。
– 値を 1 つのみ含むことができるフィールドの場合、検索条件に一致するのは、指定したフィールドに引用符内の文字列と同じ文字列が含まれるレコードです。たとえば、 A, B, "C, D, E" を検索すると、指定したフィールドに「 A 」または「 B 」または「 C, D, E 」を含むレコードが一致します。これにより、使用できる値にカンマを含むフィールドでの一致が可能です。
– 同時に複数の値を含むことができるフィールドの場合、引用符で囲んだカンマ区切りリスト内のすべての値が指定したフィールドに含まれるレコードが検索条件に一致します。
– 同時に複数の値を含むことができるフィールドについては、引用符で囲んだカンマ区切りリストだけでなく、単一の値も検索条件に使用することができます。たとえば、 A, B, "C, D, E" をこれらの文字の 1 つまたは複数を含むことができるフィールドで検索すると、指定したフィールドに A または B 、または C 、 D 、 E のすべてを含むレコードが一致します。
- 検索により、すべてのフィールドに対して指定した検索条件と一致するレコードのみが返されます。
- 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク(
*)を受け入れます。 - フィールドでその情報を利用できないイベントを示すには、そのフィールドで
n/aを指定します。フィールドに情報が入力されているイベントを示すには!n/aを使用します。 - 特定のデバイス、およびグループ、スタック、またはクラスタ内のデバイスを検索するには、デバイス フィールドを使用します。検索での FireSIGHT システムによるデバイス フィールドの処理方法については、検索でのデバイスの指定を参照してください。
- 検索条件としてオブジェクトを使用するには、検索フィールドの横に表示されるオブジェクトの追加アイコン(
)をクリックします。
検索でのオブジェクトの使用など、検索構文の詳細については、イベントの検索を参照してください。
前述の一般的な検索構文を補うために、以下のリストでは、マルウェア イベントの特別な検索構文について説明しています。
送信側/受信側の IP(Sending/Receiving IP)
システムは Sending IP または Receiving IP が指定した IP アドレスと一致するすべてのイベントを返します。
特定のマルウェア イベント タイプのイベントを検索する場合(マルウェア イベントのタイプを参照)、イベント タイプを引用符で囲みます( "Scan Completed With Detection" など)。そうしないと、システムは部分一致を実行します。つまり、同じストリングで引用符を使用しない場合、システムは次のタイプのイベントを返します。
– スキャン完了、検出なし(Scan Completed, No Detections)
– スキャン完了、検出あり(Scan Completed With Detection)
イニシエータ/レスポンダの大陸(Initiator/Responder Continent)
システムは Initiator Continent または Responder Continent が指定した大陸と一致するすべてのイベントを返します。
イニシエータ/レスポンダの国(Initiator/Responder Country)
システムは、 Initiator Country または Responder Country が、指定した国に一致するすべてのイベントを返します。
システムは部分一致を実行します。つまり、アスタリスクを使用せずに、フィールドの内容の全部または一部を検索できます。
実行された実際の SSL アクション(The SSL Actual Action taken)
システムが指定したアクションを適用した暗号化されたトラフィックのマルウェア イベントを表示するには、次のキーワードのいずれかを入力します。
– [復号しない(Do not Decrypt)] は、システムが復号しなかった接続を表します。
– [ブロック(Block)] および [リセットしてブロック(Block with Reset)] は、ブロックされた暗号化接続を表します。
– [復号(既知のキー)(Decrypt (Known Key))] は、既知の秘密キーを使用して復号された着信接続を表します。
– [復号(キーの置き換え)(Decrypt (Replace Key))] は、置き換えられた公開キーと自己署名サーバ証明書を使用して復号された発信接続を表します。
– [復号(再署名)(Decrypt (Resign))] 再署名サーバ証明書を使用して復号された発信接続を表します。
このカラムは、マルウェア イベントのテーブル ビューに表示されません。
SSL 障害の理由(The SSL Failure Reason)
システムが指定された理由で復号化に失敗した暗号化トラフィックのマルウェア イベントを表示するには、次のキーワードのいずれかを入力します。
– キャッシュされないセッション(Uncached Session)
– 不明な暗号スイート(Unknown Cipher Suite)
– サポートされていない暗号スイート(Unsupported Cipher Suite)
– サポートされていない SSL バージョン(Unsupported SSL Version)
– SSL 圧縮の使用(SSL Compression Used)
– パッシブ モードで復号できないセッション(Session Undecryptable in Passive Mode)
– ハンドシェイク エラー(Handshake Error)
– 保留サーバ名カテゴリ ルックアップ(Pending Server Name Category Lookup)
– 保留共通名カテゴリ ルックアップ(Pending Common Name Category Lookup)
– ネットワーク パラメータを使用できません(Network Parameters Unavailable)
– 無効なサーバ証明書の処理(Invalid Server Certificate Handle)
– サーバ証明書フィンガープリントを使用できません(Server Certificate Fingerprint Unavailable)
– サブジェクト DN をキャッシュできません(Cannot Cache Subject DN)
– 発行元 DN をキャッシュできません(Cannot Cache Issuer DN)
– 不明の SSL バージョン(Unknown SSL Version)
– 外部証明書リストを使用できません(External Certificate List Unavailable)
– 外部証明書フィンガープリントを使用できません(External Certificate Fingerprint Unavailable)
– 内部証明書リストが無効です(Internal Certificate List Invalid)
– 内部証明書リストを使用できません(Internal Certificate List Unavailable)
– 内部証明書を使用できません(Internal Certificate Unavailable)
– 内部証明書フィンガープリントを使用できません(Internal Certificate Fingerprint Unavailable)
– サーバ証明書検証を使用できません(Server Certificate Fingerprint Unavailable)
– サーバ証明書検証エラー(Server Certificate Validation Failure)
このカラムは、マルウェア イベントのテーブル ビューに表示されません。
SSL 対象国(The SSL Subject Country)
証明書サブジェクトの国に関連付けられている暗号化されたトラフィックのマルウェア イベントを表示するには、2 文字の ISO 3166-1 アルファ 2 国番号を入力します。
このカラムは、マルウェア イベントのテーブル ビューに表示されません。
SSL 発行国(The SSL Issuer Country)
証明書発行者の国に関連付けられている暗号化されたトラフィックを表示するには、2 文字の ISO 3166-1 アルファ 2 国番号を入力します。
このカラムは、マルウェア イベントのテーブル ビューに表示されません。
SSL 証明書のフィンガープリント(SSL Certificate Fingerprint)
証明書に関連付けられているトラフィックを表示するには、その証明書の認証に使用される SHA ハッシュ値を入力するか、または貼り付けます。
このカラムは、マルウェア イベントのテーブル ビューに表示されません。
SSL 公開キーのフィンガープリント(SSL Public Key Fingerprint)
証明書に関連付けられているトラフィックを表示するには、その証明書に含まれている公開キーの認証に使用される SHA ハッシュ値を入力するか、または貼り付けます。
このカラムは、マルウェア イベントのテーブル ビューに表示されません。
アクセス: Admin/Any Security Analyst
手順 1 [分析(Analysis)] > [検索(Search)] を選択します。
手順 2 テーブル ドロップダウン リストから [マルウェア イベント(Malware Events)] を選択します。
手順 3 次の項に記載されているように、該当するフィールドに検索基準を入力します。
- マルウェア イベント テーブルのフィールドの詳細については、 マルウェア イベント フィールド の表を参照してください。
- マルウェア イベントの特別な検索構文については、マルウェア イベントの特別な検索構文を参照してください。
- 公開キー証明書に関連するフィールドについては、暗号化接続に関連付けられた証明書の表示を参照してください。
手順 4 必要に応じて検索を保存する場合は、[プライベート(Private)] チェックボックスをオンにしてプライベートとして検索を保存すると、本人だけがアクセスできるようになります。または、すべてのユーザに対し検索を保存するにはこのチェックボックスをオフのままにします。
ヒント カスタム ユーザ ロールのデータの制限として検索を使用する場合は、必ずプライベート検索として保存する必要があります。
手順 5 必要に応じて、後で再度使用する検索を保存できます。次の選択肢があります。
新しい検索の場合、ダイアログボックスに検索の名前を要求するプロンプトが表示されます。一意の検索名を入力して [保存(Save)] をクリックします。保存済みの既存の検索で新しい条件を保存する場合、プロンプトは表示されません。検索が保存され([プライベート(Private)] を選択した場合は本人のアカウントでのみ閲覧可能)、後で実行できます。
ダイアログボックスに検索の名前を要求するプロンプトが表示されます。一意の検索名を入力して [保存(Save)] をクリックします。検索が保存され([プライベート(Private)] を選択した場合は本人のアカウントでのみ閲覧可能)、後で実行できます。
手順 6 検索を開始するには、[検索(Search)] ボタンをクリックします。
検索結果は、現在の時刻範囲によって制限されるデフォルトのマルウェア イベントのワークフローに表示されます。
キャプチャ ファイルの操作
サポートされるデバイス: シリーズ 2 と X-シリーズ を除くすべて
システムは、現在適用されているファイル ポリシーのルールに従って、管理対象デバイスがネットワーク トラフィック内のファイルをキャプチャしたときに記録を行います。イベント ビューアから、キャプチャ ファイルに関連した情報(SHA-256 値に関連した最新のファイル名、ファイルの性質および脅威スコア、ファイル ストレージのステータス、アーカイブ インスペクションのステータス、ファイルが動的分析のために手動で送信されたかなど)を表示できます。
(注) マルウェアはキャプチャされる前に検出される必要があるため、マルウェアを含むデバイスでキャプチャされたファイルは、ファイル イベントとマルウェア イベントの両方を生成します。詳細については、ファイル イベントの操作およびマルウェア イベントの操作を参照してください。
防御センター のイベント ビューアを使用して、キャプチャされたファイルの表示および検索を行ったり、キャプチャされたファイルを動的分析のために送信したりできます。さらに、Files Dashboard では、ネットワークで検出されたファイル(マルウェア ファイルを含む)に関する詳細情報を、図やグラフを使って一目で知ることができます。
キャプチャ ファイルの表示
FireSIGHT システム のイベント ビューアでは、キャプチャ イベントをテーブルの形で表示したり、分析に関連した情報に応じてイベント ビューを操作したりすることができます。
キャプチャ ファイルにアクセスしたときに表示されるページは、ワークフローによって異なります。ワークフローは、大まかなビューから詳細なビューに移動してイベントを評価するために使用できる、一連のページです。システムには、キャプチャ ファイル用の以下の定義済みのワークフローが付属しています。
- キャプチャ ファイルの概要(Captured File Summary) (デフォルト):タイプ、カテゴリ、および脅威スコアに基づく、キャプチャ ファイルの概要を提供します。
- 動的解析のステータス(Dynamic Analysis Status) :動的分析のために送信したかどうかに基づいて、キャプチャ ファイルのカウントを提供します。
また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。カスタム ワークフローを含む、さまざまなデフォルト ワークフローの指定の詳細については、イベント ビュー設定の設定を参照してください。
FireSIGHT システムは、Unicode(UTF8)ファイル名の表示および入力を Web インターフェイスのすべてのエリア(イベント ビューア、イベント検索、ダッシュボード、Context Explorer など)でサポートしています。ただし、PDF 形式で生成したレポートでは Unicode がサポートされないので注意してください。PDF レポートでは、Unicode ファイル名は翻字形式で表示されます。詳細については、レポートの生成と表示を参照してください。
- イベントの検索、ソート、および制限と、表示されるイベントの時間範囲の変更
- 表示される列の指定(テーブル ビューのみ)
- 同じワークフロー内のさまざまなワークフロー ページを使用したイベントの表示
- 別のワークフローを使用したイベントの表示
- 特定の値で制限されるワークフロー内のページからページへのドリルダウン
- 後で同じデータに戻る(存在している場合)ための、現在のページおよび制約のブックマーク
- ファイルのトラジェクトリの表示
- アーカイブ ファイルの内容とインスペクションのステータスの表示
- ファイル リストへのファイルの追加、ファイルのダウンロード、動的分析のためのファイルの送信、ファイルの SHA-256 値のフルテキストの表示
- ファイルの動的分析のサマリー レポート(使用可能な場合)の表示
- 動的分析のための最大 25 個のファイルの送信
- 現在の制約を使用してレポート テンプレートを作成する
シリーズ 2 デバイス、Blue Coat X-Series 向け Cisco NGIPS、および DC500 防御センター は、ネットワークベースのマルウェア防御およびアーカイブ ファイル インスペクションをサポートしていません。これは、表示されるデータに影響を及ぼす場合があるので注意してください。たとえば、シリーズ 2 デバイスだけを管理するシリーズ 3 防御センター は、キャプチャ ファイルを表示できません。
カスタム ワークフローの作成など、イベント ビューアの使用の詳細については、ワークフローの概要と使用を参照してください。
アクセス: Admin/Any Security Analyst
手順 1 [分析(Analysis)] > [ファイル(Files)] > [キャプチャ済みファイル(Captured Files)] を選択します。
デフォルトのファイル イベントのワークフローの最初のページが表示されます。表示される列の詳細については、キャプチャ ファイル テーブルについてを参照してください。
キャプチャ ファイル テーブルについて
防御センター は、適用されているファイル ポリシーの設定に従って、監視されているネットワーク トラフィックで送信されるファイルを管理対象デバイスがキャプチャしたときに記録を行います。
キャプチャされたファイルのテーブル ビューは、定義済みファイル イベントのワークフローの最後のページであり、カスタム ワークフローに追加できます。このテーブル ビューには、ファイル テーブルの各フィールドの列が含まれます。キャプチャ ファイルのテーブル ビューのいくつかのフィールドは、デフォルトで表示されます。セッション中にフィールドを有効にするには、展開矢印( )をクリックして、検索制約を拡張してから、[無効列(Disabled Columns)] の下の列名をクリックします。以下の表は、キャプチャ ファイル フィールドについて説明しています。
|
|
|
|---|---|
|
|
ファイルの SHA-256 ハッシュ値と、最後に検出されたファイル イベントおよびファイル性質を表すネットワーク ファイル トラジェクトリ アイコン。 ネットワーク ファイル トラジェクトリを表示するには、トラジェクトリ アイコンをクリックします。詳細については、ネットワーク ファイル トラジェクトリの分析を参照してください。 |
|
ファイル タイプの一般的なカテゴリ( |
|
アーカイブ ファイルでの、アーカイブ インスペクションのステータス:
アーカイブ ファイルの内容を表示するには、そのイベント ビューア行を右クリックしてコンテキスト メニューを開いてから、[アーカイブ コンテンツの表示(View Archive Contents)] を選択します。詳細については、アーカイブ ファイルのインスペクション オプションの設定を参照してください。 |
|
)
)
)
)
キャプチャ ファイルの検索
防御センター の [検索(Search)] ページを使用して、特定のキャプチャ ファイルを検索し、その結果をイベント ビューアで表示できます。また、後で再利用するために検索条件を保存できます。カスタム分析のダッシュボード ウィジェット、レポート テンプレート、カスタム ユーザ ロールでも、保存した検索を使用できます。
覚えておくべき点として、検索結果は、検索するイベントの使用可能なデータに依存します。つまり、使用可能なデータによっては、検索の制約が適用されないことがあります。たとえば、ファイルが動的分析のために送信されていない場合は、関連する脅威スコアがない場合があります。
システムは、各検索フィールドの横に有効な構文の例を示します。検索条件を入力する場合、次の点に留意してください。
- すべてのフィールドで否定(
!)を使用できます。 - すべてのフィールドで検索値のカンマ区切りリストを使用できます。指定したフィールドにリストされた値のいずれかを含むレコードは、その検索条件に一致します。
- すべてのフィールドで、引用符で囲んだカンマ区切りリストを検索値として使用できます。
– 値を 1 つのみ含むことができるフィールドの場合、検索条件に一致するのは、指定したフィールドに引用符内の文字列と同じ文字列が含まれるレコードです。たとえば、 A, B, "C, D, E" を検索すると、指定したフィールドに「 A 」または「 B 」または「 C, D, E 」を含むレコードが一致します。これにより、使用できる値にカンマを含むフィールドでの一致が可能です。
– 同時に複数の値を含むことができるフィールドの場合、引用符で囲んだカンマ区切りリスト内のすべての値が指定したフィールドに含まれるレコードが検索条件に一致します。
– 同時に複数の値を含むことができるフィールドについては、引用符で囲んだカンマ区切りリストだけでなく、単一の値も検索条件に使用することができます。たとえば、 A, B, "C, D, E" をこれらの文字の 1 つまたは複数を含むことができるフィールドで検索すると、指定したフィールドに A または B 、または C 、 D 、 E のすべてを含むレコードが一致します。
- 検索により、すべてのフィールドに対して指定した検索条件と一致するレコードのみが返されます。
- 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク(
*)を受け入れます。 - フィールドでその情報を利用できないイベントを示すには、そのフィールドで
n/aを指定します。フィールドに情報が入力されているイベントを示すには!n/aを使用します。 - 検索条件としてオブジェクトを使用するには、検索フィールドの横に表示されるオブジェクトの追加アイコン(
)をクリックします。
検索でのオブジェクトの使用など、検索構文の詳細については、イベントの検索を参照してください。
前述の一般的な検索構文を補うために、以下の表では、キャプチャ ファイルの特別な検索構文について説明しています。
アクセス: Admin/Any Security Analyst
手順 1 [分析(Analysis)] > [検索(Search)] を選択します。
手順 2 テーブル ドロップダウン リストから [キャプチャ済みファイル(Captured Files)] を選択します。
キャプチャ ファイル テーブルのフィールドの詳細については、 キャプチャ ファイル フィールド の表を参照してください。
手順 4 必要に応じて検索を保存する場合は、[プライベート(Private)] チェックボックスをオンにしてプライベートとして検索を保存すると、本人だけがアクセスできるようになります。本人のみではなくすべてのユーザを対象にする場合は、このチェックボックスをオフのままにして検索を保存します。
ヒント カスタム ユーザ ロールのデータの制限として検索を使用する場合は、必ずプライベート検索として保存する必要があります。
手順 5 必要に応じて、後で再度使用する検索を保存できます。次の選択肢があります。
新しい検索の場合、ダイアログボックスに検索の名前を要求するプロンプトが表示されます。一意の検索名を入力して [保存(Save)] をクリックします。保存済みの既存の検索で新しい条件を保存する場合、プロンプトは表示されません。検索が保存され([プライベート(Private)] を選択した場合は本人のアカウントでのみ閲覧可能)、後で実行できます。
ダイアログボックスに検索の名前を要求するプロンプトが表示されます。一意の検索名を入力して [保存(Save)] をクリックします。検索が保存され([プライベート(Private)] を選択した場合は本人のアカウントでのみ閲覧可能)、後で実行できます。
手順 6 検索を開始するには、[検索(Search)] ボタンをクリックします。
検索結果は、現在の時刻範囲によって制限されるデフォルトのキャプチャ イベントのワークフローに表示されます。
ネットワーク ファイル トラジェクトリの操作
ネットワーク ファイルのトラジェクトリ機能は、ネットワーク全体でホストがどのようにファイル(マルウェア ファイルを含む)を転送したかをマッピングします。このマップを使用して、どのホストがマルウェアを転送した可能性があるか、またどのホストにリスクがあるかを判別したり、ファイル転送の傾向を観察したりできます。
トラジェクトリ マップは、ファイル転送データ、ファイルの性質、ファイル転送がブロックされたかどうか、ファイルが隔離されたかどうかを示します。マップの作成に使用されるデータは、ネットワークベースのマルウェア イベント(システムがマルウェア クラウド ルックアップを実行してマルウェア性質を返したファイル イベント)から取得される場合も、マルウェアの検出およびブロックに関連した特定のエンドポイントベースのマルウェア イベント(Threat Detected または Threat Quarantined イベント タイプ)から取得される場合もあります。データ ポイント間の縦線は、ホスト間のファイル転送を表します。データ ポイントをつなぐ横棒は、時間の経過に応じたホストのファイル アクティビティを示します。
システムがマルウェア クラウド ルックアップを実行できるファイル タイプの伝送を追跡できます。ファイルのトラジェクトリに直接アクセスするには、[ネットワーク ファイル トラジェクトリ リスト(Network File Trajectory List)] ページ([分析(Analysis)] > [ファイル(Files)] > [ネットワーク ファイル トラジェクトリ(Network File Trajectory)] ) を使用して、特定のファイルを見つけることができます。さらに、侵入を分析して、関連するファイルのトラジェクトリを確認する場合、接続、ファイル、マルウェア イベントの Context Explorer、ダッシュボード、イベント ビューからファイルのトラジェクトリにアクセスできます。
単一のトランジェクトリ マップが表示するデータは、アプライアンスに適用されるライセンスによって異なります。次の表は、さまざまな種類のファイル トランジェクトリを追跡するのに必要なライセンスをリストしています。
|
|
|
|---|---|
詳細については、マルウェア防御とファイル制御についてを参照してください。
注意すべき点として、DC500 で Malware ライセンスは使用できず、シリーズ 2 デバイスや Blue Coat X-Series 向け Cisco NGIPS で Malware ライセンスを有効にすることもできないため、それらのアプライアンスを使用して、個々のファイルのキャプチャ/保存/ブロック、動的分析のためのファイルの送信、アーカイブ ファイルの内容の表示、マルウェア クラウド ルックアップを行うファイルのファイル トラジェクトリの表示を行うことはできません。ただし、エンドポイントベースの脅威および隔離の追跡のためにファイル トラジェクトリを表示することは可能です。
ネットワーク ファイル トラジェクトリの確認
キャプチャされたファイル、イベント イベント、およびマルウェア イベントを確認する際に、Context Explorer、適切に設定されたダッシュボード ウィジェット、さまざまなイベント ビューからファイルのトラジェクトリ マップを表示できます。また、最後に表示されたネットワーク ファイル トラジェクトリおよび最後に検出されたマルウェアを [ネットワーク ファイル トラジェクトリ リスト(Network File Trajectory List)] ページから確認することもできます。
ネットワーク ファイル トラジェクトリへのアクセス
[ネットワーク ファイル トラジェクトリ リスト(Network File Trajectory List)] ページを使用して、最新の検出されたマルウェアを分析するため、または特定の脅威を追跡するために、ある SHA256 ハッシュ値を持つファイルを見つけることができます。
このページには、ネットワークで最後に検出されたマルウェアと最後に表示したトラジェクトリ マップのファイルが表示されます。これらのリストから、ネットワークでファイルが最後に発見されたのはいつか、ファイルの SHA-256 のハッシュ値、名前、タイプ、現在のファイル性質、内容(アーカイブ ファイルの場合)、ファイルに関連付けられたイベント数を表示できます。フィールドの詳細については、ファイル イベント テーブルについてを参照してください。
また、このページに含まれる検索ボックスを使用して、SHA256 ハッシュ値またはファイル名に基づくか、ファイルを送信または受信するホストの IP アドレスで、ファイルを見つけることができます。ファイルを見つけたら、[ファイル SHA256(File SHA256)] 値をクリックして詳細なトラジェクトリ マップを表示できます。詳細については、ネットワーク ファイル トラジェクトリの分析を参照してください。
FireSIGHT システムは、Unicode(UTF8)ファイル名の表示および入力を Web インターフェイスのすべてのエリア(イベント ビューア、イベント検索、ダッシュボード、Context Explorer など)でサポートしています。ただし、PDF 形式で生成したレポートでは Unicode がサポートされないので注意してください。PDF レポートでは、Unicode ファイル名は翻字形式で表示されます。詳細については、レポートの生成と表示を参照してください。
注意すべき点として、DC500 で Malware ライセンスは使用できず、シリーズ 2 デバイスや Blue Coat X-Series 向け Cisco NGIPS で Malware ライセンスを有効にすることもできないため、それらのアプライアンスを使用して、マルウェア クラウド ルックアップを行うファイルのファイル トラジェクトリを表示することはできません。
[ネットワーク ファイル トラジェクトリ リスト(Network File Trajectory List)] ページからファイルを見つけるには、以下を行います。
手順 1 [分析(Analysis)] > [ファイル(Files)] > [ネットワーク ファイル トラジェクトリ(Network File Trajectory)] を選択します。
[ネットワーク ファイル トラジェクトリ リスト(Network File Trajectory List)] ページが表示され、最近表示したファイルと最近のマルウェアのリストが示されます。
手順 2 オプションで、追跡するファイルの完全な SHA256 ハッシュ値、ホスト IP アドレス、ファイル名を検索フィールドに入力して、Enter を押すこともできます。
[クエリ結果(Query Results)] ページが表示され、検索に一致するすべてのファイルがリストされます。1 つの結果だけが一致する場合、そのファイルの [ネットワーク ファイル トラジェクトリ(Network File Trajectory)] ページが表示されます。
ネットワーク ファイル トラジェクトリの分析
詳細なネットワーク ファイル トラジェクトリを表示して、ネットワークを介してファイルを追跡できます。ファイルのトラジェクトリは、ファイルに関するサマリー情報を提供し、時間の経過に伴うデータ ポイントをグラフにしたマップを表示します。また、データ ポイントに関係したイベント データをテーブルにリストします。テーブルおよびマップを使用して、特定のファイル イベント、このファイルを転送または受信したネットワーク上のホスト、マップ内の関連するイベント、選択した値で制限されたテーブル内の他の関連するイベントを特定することができます。
注意すべき点として、DC500 で Malware ライセンスは使用できず、シリーズ 2 デバイスや Blue Coat X-Series 向け Cisco NGIPS で Malware ライセンスを有効にすることもできないため、それらのアプライアンスを使用して、マルウェア クラウド ルックアップを行うファイルのファイル トラジェクトリを表示することはできません。
サマリー情報
ファイルのトラジェクトリ ページには、ファイルに関する基本的な情報(ファイル識別情報、ネットワーク上でファイルが最初に発見された時間および最後に発見された時間、ファイルに関連したイベントおよびホストの数、ファイルの現在の性質など)が表示されます。このセクションから、管理対象デバイスがファイルを保存した場合に、そのファイルをローカルにダウンロードしたり、ファイルを動的分析用に送信したり、ファイルをファイル リストに追加したりできます。
ヒント 関連するファイル イベントを表示するには、フィールド値のリンクをクリックします。ファイル イベントのデフォルトのワークフローの最初のページが新しいウィンドウで開き、選択した値を含むすべてのファイル イベントも表示されます。
次の表では、サマリー情報フィールドについて説明されています。
|
|
|
|---|---|
| デフォルトで、ハッシュは簡略化された形式で表示されます。完全なハッシュ値を表示するには、その上にポインタを移動させます。複数の SHA256 ハッシュ値がファイル名に関連付けられている場合、リンクの上にポインタを移動されると、すべてのハッシュ値が表示されます。 ファイルのダウンロード アイコン(
|
|
ネットワーク上で発見された、イベントに関連したファイルの名前。 複数のファイル名が SHA256 ハッシュ値に関連付けられている場合、最後に検出されたファイル名がリストされます。[詳細(more)] |
|
検出が行われたときに、マルウェア ファイルにアクセスしていたクライアント アプリケーション。これらのアプリケーションはネットワーク検出またはアプリケーション制御とは関係 ありません 。 |
|
管理対象デバイスまたは FireAMP コネクタがファイルを最初に検出した時刻と、そのファイルを最初にアップロードしたホストの IP アドレス。 |
|
管理対象デバイスまたは FireAMP コネクタがファイルを最後に検出した時刻と、そのファイルを最後にアップロードしたホストの IP アドレス。 |
|
ファイルに関連付けられたネットワークで発見されたイベントの数、検出されたイベントの数が 250 を超える場合は、マップに表示されるイベントの数。 |
|
ファイルを送信または受信したホストの数。1 つのホストが 1 つのファイルのアップロードおよびダウンロードを時を異にして行う場合があるため、ホストの合計数が、[送受信ホスト数の内訳(Seen On Breakdown)] |
|
|
|
検査されたアーカイブ ファイルで、アーカイブに含まれているファイルの数。[アーカイブ コンテンツ(Archive Contents)] ウィンドウでコンテンツ ファイルの情報を表示するには、表示アイコン ( アーカイブ ファイルのインスペクションの詳細については、アーカイブ ファイルのインスペクション オプションの設定を参照してください。 |
|
|
動的分析のサマリー レポートを表示するには脅威スコア アイコンをクリックします。 その脅威スコアのすべてのキャプチャ ファイルを表示するには、脅威スコア リンクをクリックします。 動的分析のためにクラウドにファイルを送信するには、クラウド アイコン( |
)をクリックすると、ファイルがローカル コンピュータにダウンロードされます。プロンプトが出力されたら、ファイルをダウンロードすることを確認します。ファイルを保存するには、ブラウザのプロンプトに従います。ファイルをダウンロードできない場合、このアイコンはグレー表示されます。
)をクリックします。
)をクリックします。
)
)
)
)
)をクリックします。ファイルを送信できない場合、またはクラウドに接続できない場合は、このアイコンはグレーで表示されます。トラジェクトリ マップ
ファイルのトラジェクトリ マップは、ネットワークで最初に検出された時点から直近までファイルを視覚的に追跡します。このマップは、ホストがファイルを転送または受信した時点、ファイルを転送した頻度、ファイルがブロックまたは隔離された時点を示します。また、そのファイルでファイル イベントが発生した頻度や、システムがファイルに性質またはレトロスペクティブ性質を割り当てた時点についても示します。マップでデータ ポイントを選択し、ホストがそのファイルを転送した最初のインスタンスに遡るパスを強調表示できます。また、このパスは、ファイルの送信側または受信側としてホストが関与する各オカレンスと交差します。次の図は、トラジェクトリ マップの例を示しています。
マップの Y 軸には、ファイルと対話したすべてのホストの IP アドレスがリストされます。IP アドレスは、システムがそのホストでファイルを最初に検出した時点に基づいて降順でリストされます。各行には、その IP アドレスに関連付けられたすべてのイベント(単一のファイル イベント、ファイル転送、レトロスペクティブ イベント)が含まれます。X 軸には、システムが各イベントを検出した日時が含まれます。タイムスタンプは時間順にリストされます。複数のイベントが 1 分以内に発生する場合、すべてが同じ列内にリストされます。マップを左右および上下にスクロールして、イベントおよび IP アドレスをさらに表示できます。
マップには、ファイルの SHA256 ハッシュに関連した最大 250 のイベントが表示されます。イベントが 250 を超える場合、マップには最初の 10 個が表示され、余分のイベントは省略されて矢印アイコン(
)が示されます。その後ろに、マップは残りの 240 個のイベントを表示します。次の図では、イベントが省略され、矢印アイコンが示されています。
矢印アイコン( )をクリックすると、[ファイル サマリー(File Summary)] イベント ビューで示されているすべてのイベントが表示されます。デフォルトの [ファイル イベント(File Events)] ワークフローの最初のページが新しいウィンドウで開き、ファイル タイプに基づいて制限されて、すべての余分のイベントが表示されます。エンドポイントベースのマルウェア イベントが表示されない場合、[マルウェア イベント(Malware Events)] テーブルに切り替えて、それらを表示する必要があります。
各データ ポイントは、イベントの他にファイル性質を表しています。マップの下の凡例を参照してください。たとえば、[マルウェア ブロック(Malware Block)] イベント アイコンは、[悪意のある性質(Malicious Disposition)] アイコンと [ブロック イベント(Block Event)] アイコンを結合したものです。
エンドポイントベースのマルウェア イベントには 1 つアイコンが含まれます。レトロスペクティブ イベントでは、ファイルで検出された各ホストのコラムにアイコンが表示されます。ファイル転送イベントでは、縦線でつながれた 2 つのアイコン(ファイル送信アイコンとファイル受信アイコン)が常に含まれます。矢印は、送信側から受信側へのファイル転送方向を示します。
イベント アイコン(
)上にポインタを移動させると、イベント アイコンのサマリー情報を表示できます。表示されるサマリー情報は、[イベント(Events)] テーブルに表示される情報と一致しています。次の図は、イベント アイコンのサマリー情報を示しています。
イベントのサマリー情報のリンクをクリックすると、ファイル イベントのデフォルトのワークフローの最初のページが新しいウィンドウで開き、ファイル タイプに基づいて制限されて、すべての余分のイベントが表示されます。[ファイル サマリー(File Summary)] イベント ビューが新しいウィンドウで開きクリックした基準値と一致するすべてのファイル イベントが表示されます。
IP アドレスが関係するファイル イベントが最初に発生した時点を見つけるには、そのアドレスをクリックします。これにより、そのデータ ポイントへのパスが強調表示され、その最初のファイル イベントに関連した仲介ファイル イベントと IP アドレスがあればそれも強調表示されます。[イベント(Events)] テーブルの対応するイベントも強調表示されます。そのデータ ポイントが現在表示されていない場合、表示されるまでマップがスクロールされます。次の図は、IP アドレスをクリックした後にパスが強調表示されている様子を示しています。
ネットワークを介したファイルの進行状況を追跡するために、データ ポイントをクリックして、選択したデータ ポイントに関連するすべてのデータ ポイントを含むパスを強調表示できます。これには、次のタイプのイベントに関連付けられたデータ ポイントが含まれます。
- 関連付けられている IP アドレスが送信側または受信側だったファイル転送
- 関連付けられている IP アドレスが関係するエンドポイントベースのマルウェア イベント
- 別の IP アドレスが関係する場合、その関連する IP アドレスが送信側または受信側であったすべてのファイル転送
- 別の IP アドレスが関係する場合、その他方の IP アドレスが関係するエンドポイントベースのマルウェア イベント
次の図は、イベント アイコンをクリックした後でパスが強調表示されている様子を示しています。
強調表示されたデータ ポイントに関連付けられたすべての IP アドレスとタイムスタンプも強調表示されます。[イベント(Events)] テーブルの対応するイベントも強調表示されます。省略されたイベントがパスに含まれている場合、そのパス自体が点線で強調表示されます。省略されたイベントがパスを交差している場合がありますが、マップに表示されません。
[イベント(Events)] テーブル
[イベント(Events)] テーブルには、マップ内の各データ ポイントに関するイベント情報がリストされます。列見出しをクリックすると、イベントを昇順または降順でソートできます。テーブル行を選択して、マップ内のデータ ポイントを強調表示できます。選択したファイル イベントが現在表示されていない場合、表示されるまでマップがスクロールされます。フィールドの詳細については、ファイル イベント テーブルについてを参照してください。
フィードバック