FireSIGHT System バージョン 5.4.1 ユーザ ガイド

アクセス コントロール ポリシー（Access Control Policy）

侵入イベントを生成した侵入ポリシーを使用するアクセス コントロール ポリシーを 1 つ以上選択します。

アクセス コントロール ルール名（Access Control Rule Name）

侵入イベントを生成した侵入ポリシーを使用するアクセス コントロール ルールの名前全体またはその一部を入力します。

アプリケーション プロトコル（Application Protocol）

侵入イベントに関連付けられたアプリケーション プロトコルを 1 つ以上選択します。

アプリケーション プロトコル カテゴリ（Application Protocol Category）

アプリケーション プロトコルのカテゴリを 1 つ以上選択します。

分類（Classification）

1 つ以上の分類を選択します。

クライアント（Client）

侵入イベントに関連付けられたクライアントを 1 つ以上選択します。

クライアント カテゴリ（Client Category）

クライアントのカテゴリを 1 つ以上選択します。

宛先国（Destination Country） または送信元国（Source Country）

侵入イベントの送信元または宛先 IP アドレスに関連付けられた国を 1 つ以上選択します。

宛先 IP（Destination Ip）、送信元 IP（Source IP）、または
送信元/宛先 IP（Source/Destination IP）

単一の IP アドレスまたはアドレス ブロックを指定します。FireSIGHT システムで使用する IP アドレス表記およびプレフィックス長については、IP アドレスの表記規則を参照してください。

宛先ポート/ICMP コード（Destination Port/ICMP Code）または送信元ポート/ICMP タイプ（Source Port/ICMP Type）

送信元トラフィックのポート番号または ICMP タイプ、あるいは宛先トラフィックのポート番号または ICMP タイプを入力します。

Device

イベントを生成した可能性があるデバイスを 1 つ以上選択します。

出力インターフェイス（Egress Interface）または
入力インターフェイス（Ingress Interface）

1 つ以上のインターフェイスを選択します。

出力セキュリティ ゾーン（Egress Security Zone）または入力セキュリティゾーン（Ingress Security Zone）

セキュリティ ゾーンを 1 つ以上選択します。

ジェネレータ ID（Generator ID）

プリプロセッサを 1 つ以上選択します。使用可能なプリプロセッサの詳細については、ネットワーク分析ポリシーでのプリプロセッサの設定を参照してください。

影響フラグ（Impact Flag）

侵入イベントに割り当てられる影響レベルを選択します。 is 、 is not 、 is greater than などを指定する演算子と一緒に、以下のいずれかを選択します。

• 0：グレー（不明）
• 1：レッド（脆弱）
• 2：オレンジ（脆弱の可能性あり）
• 3：イエロー（現在は脆弱でない）
• 4：ブルー（不明なターゲット）

（注） NetFlow データに基づいてネットワーク マップに追加されたホストに関して使用可能なオペレーティング システム情報はありません。そのため、ホスト入力機能を使って手動でホスト オペレーティング システム アイデンティティを設定しない限り、防御センター は、これらのホストが関与する侵入イベントに「脆弱」（レベル 1：レッド）影響レベルを割り当てることができません。

詳細については、影響レベルを使用してイベントを評価するを参照してください。

インライン結果（Inline Result）

次のいずれかを選択します。

• dropped は、インライン型、スイッチ型、またはルーティング型展開でパケットがドロップされたかどうかを示します。
• would have dropped は仮定を表します。インライン型、スイッチ型、またはルーティング型展開でパケットをドロップするよう侵入ポリシーが設定されていると仮定した場合、パケットがドロップされるかどうかを示します。

侵入ポリシーのドロップ動作やルール状態とは無関係に、パッシブ展開（インライン セットがタップ モードである場合を含む）ではシステムがパケットをドロップしないことに注意してください。

侵入ポリシー（Intrusion Policy）

侵入イベントを生成した侵入ポリシーを 1 つ以上選択します。

IOC タグ（IOC Tag）

侵入イベントの結果として IOC タグが設定されているか（ is ）、または設定されていないか（ is not ）を選択します。

[プライオリティ（Priority）]

ルールのプライオリティとして、 low 、 medium または high のいずれかを選択します。

ルール ベースの侵入イベントの場合、プライオリティは priority キーワードまたは classtype キーワードのいずれかの値に対応します。その他の侵入イベントの場合、プライオリティはデコーダまたはプリプロセッサによって決定されます。

プロトコル

トランスポート プロトコルの名前または番号を入力します。プロトコル番号は、
Http://www.iana.org/assignments/protocol-numbers にあります。

ルール メッセージ（Rule Message）

ルール メッセージ全体またはその一部を入力します。

ルール SID（Rule SID）

単一の Snort ID 番号（SID）またはカンマで区切った複数の SID を入力します。

（注） 演算子として [is in] または [is not in] を選択する場合、複数選択ポップアップ ウィンドウを使用することはできません。複数 SID のカンマ区切りリストを入力する必要があります。

ルール タイプ（Rule Type）

ルールがローカルか、ローカルでないかを指定します。ローカル ルールには、カスタマイズされた標準テキスト侵入ルール、ユーザが変更した標準テキスト ルール、見出し情報を変更してルールを保存したときに作成される共有オブジェクトのルールの新規インスタンスが含まれます。詳細については、既存のルールの変更を参照してください。

実際の SSL アクション（SSL Actual Action）

システムが暗号化された接続をどのように処理したかを示す SSL ルール アクションを選択します。

SSL 証明書のフィンガープリント（SSL Certificate Fingerprint）

トラフィックの暗号化に使用された証明書のフィンガープリントを入力するか、フィンガープリントに関連付けられたサブジェクトの共通名を選択します。

SSL 証明書サブジェクトの共通名 (CN)（SSL Certificate Subject Common Name (CN)）

セッションの暗号化に使用された証明書のサブジェクト共通名またはその一部を入力します。

SSL 証明書サブジェクトの国 (C)（SSL Certificate Subject Country (C)）

セッションの暗号化に使用された証明書のサブジェクト国別コードを 1 つ以上選択します。

SSL 証明書サブジェクトの組織 (O)（SSL Certificate Subject Organization (O)）

セッションの暗号化に使用された証明書のサブジェクト組織名またはその一部を入力します。

SSL 証明書サブジェクトの組織単位 (OU)（SSL Certificate Subject Organizational Unit (OU)）

セッションの暗号化に使用された証明書のサブジェクト組織単位名またはその一部を入力します。

SSL フロー ステータス（SSL Flow Status）

システムによるトラフィック復号化試行の結果に基づく 1 つ以上のステータスを選択します。

[ユーザ名（Username）]

侵入イベントで送信元ホストにログインしたユーザを示すユーザ名を入力します。

VLAN ID（Admin. VLAN ID）

侵入イベントをトリガーとして使用したパケットに関連付けられた最も内側の VLAN ID を入力します。

Web アプリケーション（Web Application）

侵入イベントに関連付けられた Web アプリケーションを 1 つ以上選択します。

Web アプリケーション カテゴリ（Web Application Category）

Web アプリケーションのカテゴリを 1 つ以上選択します。

アプリケーション プロトコル（Application Protocol）

マルウェア イベントに関連付けられたアプリケーション プロトコルを 1 つ以上選択します。

アプリケーション プロトコル カテゴリ（Application Protocol Category）

アプリケーション プロトコルのカテゴリを 1 つ以上選択します。

クライアント（Client）

マルウェア イベントに関連付けられたクライアントを 1 つ以上選択します。

クライアント カテゴリ（Client Category）

クライアントのカテゴリを 1 つ以上選択します。

宛先国（Destination Country） または送信元国（Source Country）

マルウェア イベントの送信元または宛先 IP アドレスに関連付けられた国を 1 つ以上選択します。

宛先 IP（Destination IP）、ホスト IP（Host IP）、または送信元 IP（Source IP）

単一の IP アドレスまたはアドレス ブロックを指定します。FireSIGHT システムで使用する IP アドレス表記については、IP アドレスの表記規則を参照してください。

宛先ポート/ICMP コード（Destination Port/ICMP Code）

宛先トラフィックのポート番号または ICMP コードを入力します。

傾向（Disposition）

Malware または Custom Detection 、あるいはその両方を選択します。

イベント タイプ（Event Type）

マルウェア イベントに関連付けられたエンドポイント ベースのイベント タイプを 1 つ以上選択します。詳細については、マルウェア イベントのタイプを参照してください。

ファイル名（File Name）

ファイルの名前を入力します。

ファイル タイプ（File Type）

ファイルのタイプを選択します（たとえば PDF 、 MSEXE など）。

ファイル タイプ カテゴリ（File Type Category）

ファイル タイプのカテゴリを 1 つ以上選択します（たとえば Office Documents 、 Executables など）。

IOC タグ（IOC Tag）

マルウェア イベントの結果として IOC タブが設定されているか（ is ）、または設定されていないか（ is not ）を選択します。

SHA-256

ファイルの SHA-256 ハッシュ値を入力するか、貼り付けます。

実際の SSL アクション（SSL Actual Action）

システムが暗号化された接続をどのように処理したかを示す SSL ルール アクションを選択します。

SSL 証明書のフィンガープリント（SSL Certificate Fingerprint）

トラフィックの暗号化に使用された証明書のフィンガープリントを入力するか、フィンガープリントに関連付けられたサブジェクトの共通名を選択します。

SSL 証明書サブジェクトの共通名 (CN)（SSL Certificate Subject Common Name (CN)）

セッションの暗号化に使用された証明書のサブジェクト共通名またはその一部を入力します。

SSL 証明書サブジェクトの国 (C)（SSL Certificate Subject Country (C)）

セッションの暗号化に使用された証明書のサブジェクト国別コードを 1 つ以上選択します。

SSL 証明書サブジェクトの組織 (O)（SSL Certificate Subject Organization (O)）

セッションの暗号化に使用された証明書のサブジェクト組織名またはその一部を入力します。

SSL 証明書サブジェクトの組織単位 (OU)（SSL Certificate Subject Organizational Unit (OU)）

セッションの暗号化に使用された証明書のサブジェクト組織単位名またはその一部を入力します。

SSL フロー ステータス（SSL Flow Status）

システムによるトラフィック復号化試行の結果に基づく 1 つ以上のステータスを選択します。

送信元ポート/ICMP タイプ（Source Port/ICMP Type）

送信元トラフィックのポート番号または ICMP タイプを入力します。

Web アプリケーション（Web Application）

マルウェア イベントに関連付けられた Web アプリケーションを 1 つ以上選択します。

Web アプリケーション カテゴリ（Web Application Category）

Web アプリケーションのカテゴリを 1 つ以上選択します。

クライアントが変更された（a client has changed）

クライアント更新

a client timed out（クライアントがタイムアウトになった）

クライアント タイムアウト

a host IP address is reused（ホスト IP アドレスが再使用された）

DHCP：IP アドレスの再割り当て

a host is deleted because the host limit was reached（ホスト制限に達したためホストが削除される）

ホスト削除：ホスト制限に到達

a host is identified as a network device（ホストがネットワーク デバイスとして定義されている）

ネットワーク デバイスへのホスト タイプの変更

a host timed out（ホストがタイムアウトになった）

ホスト タイムアウト

a host’s IP address has changed（ホストの IP アドレスが変更された）

DHCP：IP アドレスの変更

a NETBIOS name change is detected（NETBIOS 名の変更が検出された）

NetBIOS 名の変更

a new client is detected（新しいクライアントが検出された）

新しいクライアント

a new IP host is detected（新しい IP ホストが検出された）

新しいホスト

a new MAC address is detected（新しい MAC アドレスが検出された）

ホストの追加 MAC の検出

a new MAC host is detected（新しい MAC ホストが検出された）

新しいホスト

a new network protocol is detected（新しいネットワーク プロトコルが検出された）

新しいネットワーク プロトコル

a new transport protocol is detected（新しいトランスポート プロトコルが検出された）

新しいトランスポート プロトコル

a TCP port closed（TCP ポートが閉じられた）

TCP ポート クローズ

a TCP port timed out（TCP ポートがタイムアウトになった）

TCP ポート タイムアウト

a UDP port closed（UDP ポートが閉じられた）

UDP ポート クローズ

a UDP port timed out（UDP ポートがタイムアウトになった）

UDP ポート タイムアウト

a VLAN tag was updated（VLAN タグがアップデートされた）

VLAN タグ情報の更新

an IOC was set（IOC が設定された）

侵害の痕跡（兆候）

an open TCP port is detected（開いた TCP ポートが検出された）

新しい TCP ポート

an open UDP port is detected（開いた UDP ポートが検出された）

新しい UDP ポート

the OS information for a host has changed（ホストの OS 情報が変更された）

新しい OS

the OS or server identity for a host has a conflict（OS またはホストのサーバ ID でコンフリクトが発生）

アイデンティティ競合

the OS or server identity for a host has timed out（OS またはホストのサーバ ID がタイムアウトになった）

アイデンティティ タイムアウト

there is any kind of event（任意のタイプのイベント発生時）

（任意のイベント タイプ）

there is new information about a MAC address（MAC アドレスに関する新しい情報がある）

MAC 情報の変更

there is new information about a TCP server（TCP サーバについて新情報がある）

TCP サーバ情報の更新

there is new information about a UDP server（UDP サーバについて新情報がある）

UDP サーバ情報の更新

アプリケーション プロトコル（Application Protocol）

アプリケーション プロトコルを 1 つ以上選択します。

アプリケーション プロトコル カテゴリ（Application Protocol Category）

アプリケーション プロトコルのカテゴリを 1 つ以上選択します。

アプリケーション ポート（Application Port）

アプリケーション プロトコルのポート番号を入力します。

クライアント（Client）

クライアントを 1 つ以上選択します。

クライアント カテゴリ（Client Category）

クライアントのカテゴリを 1 つ以上選択します。

クライアント バージョン（Client Version）

クライアントのバージョン番号を入力します。

Device

ディスカバリ イベントを生成した可能性があるデバイスを 1 つ以上選択します。

ハードウェア（Hardware）

モバイル デバイスのハードウェア モデルを入力します。たとえば、すべての Apple iPhone に一致させるには iPhone と入力します。

ホスト タイプ（Host Type）

ドロップダウン リストから 1 つ以上のホスト タイプを選択します。ホスト、またはいずれかのタイプのネットワーク デバイスを選択できます。

IP アドレス（IP Address）または
新しい IP アドレス（New IP Address）

単一の IP アドレスまたはアドレス ブロックを入力します。FireSIGHT システム で使用する IP アドレス表記については、IP アドレスの表記規則を参照してください。

ジェイルブレイク（Jailbroken）

イベントのホストがジェイルブレイクされたモバイル デバイスであることを示すには [はい（Yes）] を、そうでない場合は [いいえ（No）] を選択します。

MAC アドレス（MAC Address）

ホストの MAC アドレス全体またはその一部を入力します。

たとえば、特定のハードウェア製造元のデバイスの MAC アドレスが 0A:12:34 で始まることがわかっている場合、演算子として [次で始まる（begins with）] を選択し、値として 0A:12:34 を入力できます。

MAC タイプ（MAC Type）

MAC アドレスが ARP/DHCP で検出されたかどうかを選択します。

つまり、MAC アドレスがホストに属していることをシステムが識別したのか（ is ARP/DHCP Detected ）、または、管理対象デバイスとホストの間にルータがあるなどの理由で、その MAC アドレスを持つ多数のホストをシステムが認識しているのか（ is not ARP/DHCP Detected ）を選択します。

MAC ベンダー（MAC Vendor）

ディスカバリ イベントをトリガーとして使用したネットワーク トラフィックで使われている NIC の MAC ハードウェア ベンダーの名前またはその一部を入力します。

Mobile

イベントのホストがモバイル デバイスであることを示すには [はい（Yes）] を、そうでない場合は [いいえ（No）] を選択します。

[NETBIOS 名（NETBIOS Name）]

ホストの NetBIOS 名を入力します。

ネットワーク プロトコル

http://www.iana.org/assignments/ethernet-numbers にリストされているネットワーク プロトコル番号を入力します。

[OS 名（OS Name）]

オペレーティング システムの名前を 1 つ以上選択します。

OS ベンダー（OS Vendor）

オペレーティング システムのベンダーを 1 つ以上選択します。

OS のバージョン（OS Version）

オペレーティング システムのバージョンを 1 つ以上選択します。

プロトコル（Protocol）または
トランスポート プロトコル（Transport Protocol）

トランスポート プロトコルの名前または番号を入力します。プロトコル番号は、
Http://www.iana.org/assignments/protocol-numbers にあります。

ソース（Source）

ホスト入力データのソースを選択します（オペレーティング システムとサーバのアイデンティティ変更およびタイムアウトの場合）。

ソース タイプ（Source Type）

ホスト入力データのソースのタイプを選択します（オペレーティング システムとサーバのアイデンティティ変更およびタイムアウトの場合）。

VLAN ID（Admin. VLAN ID）

イベントに関連しているホストの VLAN ID を入力します。

Web アプリケーション（Web Application）

Web アプリケーションを選択します。

Device

ユーザ アクティビティを検出した可能性のあるデバイスを 1 つ以上選択します。

[IP アドレス（IP Address）]

単一の IP アドレスまたはアドレス ブロックを入力します。FireSIGHT システム で使用する IP アドレス表記については、IP アドレスの表記規則を参照してください。

[ユーザ名（Username）]

ユーザ名を入力します。

クライアントが追加されました（a client is added）

クライアントの追加

クライアントが削除されました（a client is deleted）

クライアントの削除

ホストが追加されました（a host is added）

ホストの追加

プロトコルが追加されました（a protocol is added）

プロトコルの追加

プロトコルが削除されました（a protocol is deleted）

プロトコルの削除

スキャン結果が追加されました（a scan result is added）

スキャン結果の追加

サーバ定義が設定されました（a server definition is set）

サーバ定義の設定

サーバが追加されました（a server is added）

ポートの追加

サーバが削除されました（a server is deleted）

ポートの削除

脆弱性が無効とマークされています（a vulnerability is marked invalid）

脆弱性を無効に設定

脆弱性が有効とマークされています（a vulnerability is marked valid）

脆弱性を有効に設定

アドレスが削除されました（an address is deleted）

ホスト/ネットワークの削除

属性値が削除されました（an attribute value is deleted）

ホスト属性値の削除

属性値が設定されました（an attribute value is set）

ホスト属性値の設定

OS 定義が設定されました（an OS definition is set）

オペレーティング システム定義の設定

ホスト重要度が設定されました（host criticality is set）

ホスト重要度の設定

[IP アドレス（IP Address）]

単一の IP アドレスまたはアドレス ブロックを入力します。FireSIGHT システム で使用する IP アドレス表記については、IP アドレスの表記規則を参照してください。

ソース（Source）

ホスト入力データのソースを選択します。

[ソース タイプ（Source Type）]

ホスト入力データのソースのタイプを選択します。

アクセス コントロール ポリシー（Access Control Policy）

接続をログに記録したアクセス コントロール ポリシーを 1 つ以上選択します。

アクセス コントロール ルールのアクション（Access Control Rule Action）

接続をログに記録したアクセス コントロール ルールに関連付けられたアクションを 1 つ以上選択します。

（注） あとで接続を処理するルール/デフォルト アクションとは無関係に、ネットワーク トラフィックがいずれかのモニタ ルールの条件に一致した場合に相関イベントをトリガーとして使用するには、[モニタする（Monitor）] を選択します。

アクセス コントロール ルール名（Access Control Rule Name）

接続をログに記録したアクセス コントロール ルールの名前またはその一部を入力します。

（注） あとで接続を処理したルール/デフォルト アクションとは無関係に、接続と一致した条件を持つモニタ ルールの名前を入力できます。

アプリケーション プロトコル（Application Protocol）

接続に関連付けられたアプリケーション プロトコルを 1 つ以上選択します。

アプリケーション プロトコル カテゴリ（Application Protocol Category）

アプリケーション プロトコルのカテゴリを 1 つ以上選択します。

クライアント（Client）

クライアントを 1 つ以上選択します。

クライアント カテゴリ（Client Category）

クライアントのカテゴリを 1 つ以上選択します。

クライアント バージョン（Client Version）

クライアントのバージョン番号を入力します。

接続期間（Connection Duration）

接続イベントの期間（秒数）を入力します。

接続タイプ（Connection Type）

Ciscoの管理対象デバイスによって接続が検出されたかどうか基づいて相関ルールをトリガーとして使用するのか（ FireSIGHT ）、それとも NetFlow 対応デバイスによって接続がエクスポートされたかどうかに基づいて相関ルールをトリガーとして使用するのか（ NetFlow ）を選択します。

宛先国（Destination Country）または送信元国（Source Country）

接続イベントの送信元または宛先 IP アドレスに関連付けられた国を 1 つ以上選択します。

Device

接続を検出したデバイスを 1 つ以上選択します。または（NetFlow 対応デバイスによってエクスポートされた接続データの場合）接続を処理したデバイスを 1 つ以上選択します。

出力インターフェイス（Egress Interface）または
入力インターフェイス（Ingress Interface）

1 つ以上のインターフェイスを選択します。

出力セキュリティ ゾーン（Egress Security Zone）または
入力セキュリティ ゾーン（Ingress Security Zone）

セキュリティ ゾーンを 1 つ以上選択します。

イニシエータ バイト数（Initiator Bytes）、
レスポンダ バイト数（Responder Bytes）、または
Total Bytes

以下のいずれかを入力します。

• 送信されたバイト数（[イニシエータ バイト数（Initiator Bytes）]）
• 受信されたバイト数（[レスポンダ バイト数（Responder Bytes）]）
• 送受信されたバイト数（[合計バイト数（Total Bytes）]）

イニシエータ IP（Initiator IP）、
レスポンダ IP（Responder IP）、または
イニシエータ/レスポンダ IP（Initiator/Responder IP）

単一の IP アドレスまたはアドレス ブロックを指定します。FireSIGHT システムで使用する IP アドレス表記およびプレフィックス長については、IP アドレスの表記規則を参照してください。

イニシエータ パケット（Initiator Packets）、
レスポンダ パケット（Responder Packets）、または
Total Packets

以下のいずれかを入力します。

• 送信されたパケット数（[イニシエータ パケット（Initiator Packets）]）
• 受信されたパケット数（[レスポンダ パケット （Responder Packets）]）
• 送受信されたパケット数（[合計パケット数（Total Packets）]）

イニシエータ ポート/ICMP タイプ（Initiator Port/ICMP Type）またはレスポンダ ポート/ICMP コード（Responder Port/ICMP Code）

イニシエータ トラフィックのポート番号または ICMP タイプ、あるいはレスポンダ トラフィックのポート番号または ICMP コードを入力します。

IOC タグ（IOC Tag）

接続イベントの結果として IOC タグが設定されているか（ is ）、または設定されていないか（ is not ）を選択します。

NETBIOS 名（NETBIOS Name）

接続におけるモニタ対象ホストの NetBIOS 名を入力します。

NetFlow デバイス（NetFlow Device）

相関ルールをトリガーとして使用するために使用される接続データをエクスポートした NetFlow 対応デバイスの IP アドレスを選択します。展開環境に NetFlow 対応デバイスをまだ追加していない場合、[NeFlow デバイス（NetFlow Device）] ドロップダウンリストは空白になります。

理由（Reason）

接続イベントに関連付けられた理由を 1 つ以上選択します。

セキュリティ インテリジェンスのカテゴリ（Security Intelligence Category）

接続イベントに関連付けられたセキュリティ インテリジェンスのカテゴリを 1 つ以上選択します。

（注） 接続終了イベントの条件としてセキュリティ インテリジェンス カテゴリを使用するには、アクセス コントロール ポリシーの [セキュリティ インテリジェンス（Security Intelligence）] セクションで、その条件を [ブロック（Block）] ではなく [モニタ（Monitor）] に設定する必要があります。詳細については、セキュリティ インテリジェンスのホワイトリストおよびブラックリストの作成を参照してください。

実際の SSL アクション（SSL Actual Action）

システムが暗号化された接続をどのように処理したかを示す SSL ルール アクションを選択します。

SSL 証明書のフィンガープリント（SSL Certificate Fingerprint）

トラフィックの暗号化に使用された証明書のフィンガープリントを入力するか、フィンガープリントに関連付けられたサブジェクトの共通名を選択します。

SSL 証明書ステータス（SSL Certificate Status）

セッションの暗号化に使用された証明書に関連付けられたステータスを 1 つ以上選択します。

SSL 証明書サブジェクトの共通名 (CN)（SSL Certificate Subject Common Name (CN)）

セッションの暗号化に使用された証明書のサブジェクト共通名またはその一部を入力します。

SSL 証明書サブジェクトの国 (C)（SSL Certificate Subject Country (C)）

セッションの暗号化に使用された証明書のサブジェクト国別コードを 1 つ以上選択します。

SSL 証明書サブジェクトの組織 (O)（SSL Certificate Subject Organization (O)）

セッションの暗号化に使用された証明書のサブジェクト組織名またはその一部を入力します。

SSL 証明書サブジェクトの組織単位 (OU)（SSL Certificate Subject Organizational Unit (OU)）

セッションの暗号化に使用された証明書のサブジェクト組織単位名またはその一部を入力します。

SSL 暗号スイート（SSL Cipher Suite）

セッションの暗号化に使用された暗号スイートを 1 つ以上選択します。

SSL 暗号化セッション（SSL Encrypted Session）

[復号が成功（Successfully Decrypted）] を選択します。

SSL フロー ステータス（SSL Flow Status）

システムによるトラフィック復号化試行の結果に基づく 1 つ以上のステータスを選択します。

SSL ポリシー（SSL Policy）

暗号化接続をログに記録した SSL ポリシーを 1 つ以上選択します。

SSL ルール名（SSL Rule Name）

暗号化接続をログに記録した SSL ルールの名前またはその一部を入力します。

SSL サーバ名（SSL Server Name）

クライアントが暗号化接続を確立した相手のサーバの名前、またはその一部を入力します。

SSL URL カテゴリ（SSL URL Category）

暗号化接続でアクセスされた URL のカテゴリを 1 つ以上選択します。

SSL バージョン（SSL Version）

セッションの暗号化に使用された SSL または TLS のバージョンを 1 つ以上選択します。

TCP フラグ（TCP Flags）

相関ルールをトリガーとして使用するために接続イベントに含まれていなければならない TCP フラグを選択します。

（注） TCP フラグが含まれるのは、NetFlow 対応デバイスによってエクスポートされた接続データのみです。

トランスポート プロトコル（Transport Protocol）

接続で使用されたトランスポート プロトコル（ TCP または UDP ）を入力します。

URL

接続でアクセスされた URL 全体、またはその一部を入力します。

URL カテゴリ（URL Category）

接続でアクセスされた URL のカテゴリを 1 つ以上選択します。

URLレピュテーション（URL Reputation）

接続でアクセスされた URL のレピュテーション値を 1 つ以上選択します。

[ユーザ名（Username）]

この接続でいずれかのホストにログインしたユーザを示すユーザ名を入力します。

Web アプリケーション（Web Application）

接続に関連付けられた Web アプリケーションを 1 つ以上選択します。

Web アプリケーション カテゴリ（Web Application Category）

Web アプリケーションのカテゴリを 1 つ以上選択します。

接続数（Number of Connections）

検出された接続の合計数

または

平均より上または下の標準偏差の数（検出された接続数がこれを超えるとルールがトリガーとして使用されます）

接続

standard deviation(s)：標準偏差の数

合計バイト数（Total Bytes）、
イニシエータ バイト数（Initiator Bytes）、または
レスポンダ バイト数（Responder Bytes）

次のいずれかを入力します。

• 送信された合計バイト数（[合計バイト数（Total Bytes）]）
• 送信されたバイト数（[イニシエータ バイト数 （Initiator Bytes）]）
• 受信されたバイト数（[レスポンダ バイト数 （Responder Bytes） ]）

または

平均より上または下の標準偏差の数（上記のいずれかの基準がこれを超えるとルールがトリガーとして使用されます）

bytes: バイト数

standard deviation(s)：標準偏差の数

合計パケット数（Total Packets）、
イニシエータ パケット（Initiator Packets）、または
レスポンダ パケット（Responder Packets）

次のいずれかを入力します。

• 送信された合計パケット数（[合計パケット数（Total Packets）]）
• 送信されたパケット数（[イニシエータ パケット（Initiator Packets）]）
• 受信されたパケット数（[レスポンダ パケット（Responder Packets） ]）

または

平均より上または下の標準偏差の数（上記のいずれかの基準がこれを超えると、ルールがトリガーとして使用されます）

packets: パケット数

standard deviation(s)：標準偏差の数

ユニークなイニシエータ（Unique Initiators）

セッションを開始した個別のホストの数

または

平均より上または下の標準偏差の数（検出されたユニーク イニシエータ数がこれを超えるとルールがトリガーとして使用されます）

initiators：イニシエータ数

standard deviation(s)：標準偏差の数

ユニークなレスポンダ（Unique Responders）

セッションに応答した個別のホストの数

または

平均より上または下の標準偏差の数（検出されたユニーク レスポンダ数がこれを超えるとルールがトリガーとして使用されます）

responders：レスポンダ数

standard deviation(s)：標準偏差の数

[ホスト タイプ（Host Type）]

ホスト タイプを 1 つ以上選択します。ホスト、またはいずれかのタイプのネットワーク デバイスを選択できます。

[NETBIOS 名（NETBIOS Name）]

ホストの NetBIOS 名を入力します。

[オペレーティング システム（Operating System）] > [OS 名（OS Name）]

オペレーティング システムの名前を 1 つ以上選択します。

[オペレーティング システム（Operating System）] > [OS ベンダー（OS Vendor）]

オペレーティング システムのベンダー名を 1 つ以上選択します。

[オペレーティング システム（Operating System）] > [OS バージョン（OS Version）]

オペレーティング システムのバージョンを 1 つ以上選択します。

[ハードウェア（Hardware）]

モバイル デバイスのハードウェア モデルを入力します。たとえば、すべての Apple iPhone に一致させるには iPhone と入力します。

[IOC タグ（IOC Tag）]

IOC タグを 1 つ以上選択します。IOC タグ タイプの詳細については、侵害の兆候タイプについてを参照してください。

ジェイルブレイク（Jailbroken）

イベントのホストがジェイルブレイクされたモバイル デバイスであることを示すには [はい（Yes）] を、そうでない場合は [いいえ（No）] を選択します。

Mobile

イベントのホストがモバイル デバイスであることを示すには [はい（Yes）] を、そうでない場合は [いいえ（No）] を選択します。

ネットワーク プロトコル

http://www.iana.org/assignments/ethernet-numbers にリストされているネットワーク プロトコル番号を入力します。

[トランスポート プロトコル（Transport Protocol）]

トランスポート プロトコルの名前、または http://www.iana.org/assignments/protocol-numbers にリストされている番号を入力します。

[ホストの重要度（Host Criticality）]

ホストの重要度（ None 、 Low 、 Medium 、または High ）を選択します。ホスト重要度の詳細については、事前定義のホスト属性の使用を参照してください。

VLAN ID（Admin. VLAN ID）

ホストに関連付けられた VLAN ID を入力します。

[アプリケーション プロトコル（Application Protocol）] > [アプリケーション プロトコル（Application Protocol）]

アプリケーション プロトコルを 1 つ以上選択します。

[アプリケーション プロトコル（Application Protocol）] >
[アプリケーション ポート（Application Port）]

アプリケーション プロトコルのポート番号を入力します。

侵入イベントを使って相関ルールをトリガーとして使用する場合、ホスト プロファイル限定で選択したホストに応じて、イベントのポートがこのフィールドに事前入力されます（[宛先ホスト（Destination Host）] の場合は dst_port 、[送信元ホスト（Source Host）] の場合は src_port ）。

[アプリケーション プロトコル（Application Protocol）] >
プロトコル

プロトコルを 1 つ以上選択します。

[アプリケーション プロトコル カテゴリ（Application Protocol Category）]

カテゴリを 1 つ選択します。

[クライアント（Client）] > [クライアント（Client）]

クライアントを 1 つ以上選択します。

[クライアント（Client）] > [クライアント バージョン（Client Version）]

クライアントのバージョンを入力します。

[クライアント カテゴリ（Client Category）]

カテゴリを 1 つ選択します。

[Web アプリケーション（Web Application）]

Web アプリケーションを選択します。

[Web アプリケーション カテゴリ（Web Application Category）]

カテゴリを 1 つ選択します。

[MAC アドレス（MAC Address）] > [MAC アドレス（MAC Address）]

ホストの MAC アドレス全体またはその一部を入力します。

たとえば、特定のハードウェア デバイスの MAC アドレスが 0A:12:34 で始まることがわかっている場合、演算子として [次で始まる（begins with）] を選択し、値として 0A:12:34 を入力できます。

[MAC アドレス（MAC Address）] > [MAC タイプ（MAC Type）]

MAC タイプが ARP/DHCP で検出されたかどうかを選択します。

つまり、MAC アドレスがホストに属していることをシステムが識別したのか（ is ARP/DHCP Detected ）、管理対象デバイスとホストの間にルータがあるなどの理由で、その MAC アドレスを持つ多数のホストをシステムが認識しているのか（ is not ARP/DHCP Detected ）、または MAC タイプが無関係であるのか（ is any ）を選択します。

[MAC ベンダー（MAC Vendor）] >
[MAC ベンダー（MAC Vendor）]

ホストの MAC ハードウェア ベンダーの名前またはその一部を入力します。

使用可能な任意のホスト属性（デフォルト コンプライアンス ホワイトリスト ホスト属性を含む）

選択するホスト属性のタイプに応じて、適切な値を次のように指定します。

• ホスト属性タイプが Integer の場合、その属性で定義されている範囲内の整数値を入力します。
• ホスト属性タイプが Text の場合、テキスト値を入力します。
• ホスト属性タイプが List の場合、有効なリスト文字列を選択します。
• ホスト属性タイプが URL の場合、URL 値を入力します。

ホスト属性の詳細については、ユーザ定義のホスト属性の使用を参照してください。

アクセス コントロール ポリシー（Access Control Policy）

追跡対象の接続をログに記録したアクセス コントロール ポリシーを 1 つ以上選択します。

アクセス コントロール ルールのアクション（Access Control Rule Action）

追跡対象の接続をログに記録したアクセス コントロール ルールに関連付けられたアクセス コントロール ルール アクションを 1 つ以上選択します。

（注） あとで接続を処理するルール/デフォルト アクションとは無関係に、任意のモニタ ルールの条件に一致する接続を追跡するには、[モニタする（Monitor）] を選択します。

アクセス コントロール ルール名（Access Control Rule Name）

追跡対象の接続をログに記録したアクセス コントロール ルールの名前またはその一部を入力します。

（注） モニタ ルールに一致する接続を追跡するには、モニタ ルールの名前を入力します。あとで接続を処理するルール/デフォルト アクションとは無関係に、システムは該当する接続を追跡します。

アプリケーション プロトコル（Application Protocol）

アプリケーション プロトコルを 1 つ以上選択します。

アプリケーション プロトコル カテゴリ（Application Protocol Category）

アプリケーション プロトコルのカテゴリを 1 つ以上選択します。

クライアント（Client）

クライアントを 1 つ以上選択します。

クライアント カテゴリ（Client Category）

クライアントのカテゴリを 1 つ以上選択します。

クライアント バージョン（Client Version）

クライアントのバージョンを入力します。

接続期間（Connection Duration）

接続期間（秒数）を入力します。

接続タイプ（Connection Type）

Cisco の管理対象デバイスによって検出された接続を追跡するのか（ FireSIGHT ）、または NetFlow 対応デバイスによってエクスポートされた接続を追跡するのか（ NetFlow ）を選択します。

[宛先国（Destination Country）] または [送信元国（Source Country）]

1 つ以上の国を選択します。

Device

追跡対象の接続が検出されるデバイスを 1 つ以上選択します。NetFlow 接続を追跡する場合は、NetFlow 対応デバイスによってエクスポートされた接続データを処理するデバイスを選択します。

入力インターフェイス（Ingress Interface）または
出力インターフェイス（Egress Interface）

1 つ以上のインターフェイスを選択します。

入力セキュリティ ゾーン（Ingress Security Zone）または
出力セキュリティ ゾーン（Egress Security Zone）

セキュリティ ゾーンを 1 つ以上選択します。

イニシエータ IP（Initiator IP）、
レスポンダ IP（Responder IP）、または
イニシエータ/レスポンダ IP（Initiator/Responder IP）

単一の IP アドレスまたはアドレス ブロックを入力します。FireSIGHT システム で使用する IP アドレス表記については、IP アドレスの表記規則を参照してください。

イニシエータ バイト数（Initiator Bytes）、
レスポンダ バイト数（Responder Bytes）、または
Total Bytes

以下のいずれかを入力します。

• 送信されたバイト数（[Initiator Bytes]）
• 受信されたバイト数（[Responder Bytes]）
• 送受信されたバイト数（[Total Bytes]）

イニシエータ パケット（Initiator Packets）、
レスポンダ パケット（Responder Packets）、または
Total Packets

以下のいずれかを入力します。

• 送信されたパケット数（[イニシエータ パケット （Initiator Packets）]）
• 受信されたパケット数（[レスポンダ パケット （Responder Packets）]）
• 送受信されたパケット数（[合計パケット数（Total Pakets）]）

イニシエータ ポート/ICMP タイプ（Initiator Port/ICMP Type）またはレスポンダ ポート/ICMP コード（Responder Port/ICMP Code）

イニシエータ トラフィックのポート番号または ICMP タイプ、あるいはレスポンダ トラフィックのポート番号または ICMP コードを入力します。

IOC タグ（IOC Tag）

IOC タグが設定されているか（ is ）、設定されていないか（ is not ）を選択します。

NETBIOS 名（NETBIOS Name）

接続におけるモニタ対象ホストの NetBIOS 名を入力します。

NetFlow デバイス（NetFlow Device）

追跡対象の接続をエクスポートした NetFlow 対応デバイスの IP アドレスを選択します。展開環境に NetFlow 対応デバイスをまだ追加していない場合、[NeFlow デバイス（NetFlow Device）] ドロップダウンリストは空白になります。

理由（Reason）

追跡対象の接続に関連付けられた理由を 1 つ以上選択します。

セキュリティ インテリジェンスのカテゴリ（Security Intelligence Category）

追跡対象の接続に関連付けられたセキュリティ インテリジェンスのカテゴリを 1 つ以上選択します。

TCP フラグ（TCP Flags）

接続を追跡するために接続に含まれている必要のある TCP フラグを選択します。

（注） NetFlow 対応デバイスによってエクスポートされた接続にのみ、TCP フラグ データが含まれます。

トランスポート プロトコル（Transport Protocol）

接続で使用されたトランスポート プロトコル（ TCP または UDP ）を入力します。

URL

追跡対象の接続でアクセスされた URL 全体、またはその一部を入力します。

URL カテゴリ（URL Category）

追跡対象の接続でアクセスされた URL のカテゴリを 1 つ以上選択します。

URL レピュテーション（URL Reputation）

追跡対象の接続でアクセスされた URL のレピュテーション値を 1 つ以上選択します。

[ユーザ名（Username）]

追跡対象の接続でいずれかのホストにログインしたユーザを示すユーザ名を入力します。

Web アプリケーション（Web Application）

Web アプリケーションを 1 つ以上選択します。

Web アプリケーション カテゴリ（Web Application Category）

Web アプリケーションのカテゴリを 1 つ以上選択します。

接続数（Number of Connections）

検出された接続の合計数を入力します。

SSL 暗号化セッションの数（Number of SSL Encrypted Sessions）

検出された SSL または TLS 暗号化セッションの合計数を入力します。

合計バイト数（Total Bytes）、イニシエータ バイト数（Initiator Bytes）、またはレスポンダ バイト数（Responder Bytes）

以下のいずれかを入力します。

• 送信された合計バイト数（[合計バイト数（Total Bytes）]）
• 送信されたバイト数（[イニシエータ バイト数 （Initiator Bytes）]）
• 受信されたバイト数（[レスポンダ バイト数 （Responder Bytes）]）

合計パケット数（Total Packets）、イニシエータ パケット（Initiator Packets）、またはレスポンダ パケット（Responder Packets）

以下のいずれかを入力します。

• 送信された合計パケット数（[合計パケット数（Total Packets）]）
• 送信されたパケット数（[イニシエータ パケット（Initiator Packets）]）
• 受信されたパケット数（[レスポンダ パケット（Responder Packets） ]）

ユニークなイニシエータ（Unique Initiators）または
ユニークなレスポンダ（Unique Responders）

以下のいずれかを入力します。

• 検出されたセッションを開始した個別のホストの数（[ユニークなイニシエータ（Unique Initiators）]）
• 検出された接続に応答した個別のホストの数（[ユニークなレスポンダ（Unique Responders）]）

[ユーザ名（Username）]

相関ルールを制約するために使用するユーザを示すユーザ名を入力します。

認証プロトコル（Authentication Protocol）

認証プロトコル（またはユーザ タイプ プロトコル）を選択します。これは、ユーザの検出に使用されたプロトコルです。

名

相関ルールを制約するために使用するユーザの名前（ファースト ネーム）を入力します。

姓

相関ルールを制約するために使用するユーザの姓を入力します。

部署名（Department）

相関ルールを制約するために使用するユーザの部門/部署を入力します。

電話

相関ルールを制約するために使用するユーザの電話番号を入力します。

E メール

相関ルールを制約するために使用するユーザの電子メール アドレスを入力します。

A

アプリケーション プロトコルが SSH である

B

アプリケーション ポートが 22 ではない

C

IP アドレスが 10.4.0.0/8 に含まれる

D

IP アドレスが 196.168.0.0/16 に含まれる

IP アドレスのホスト プロファイルを表示する

IP アドレスの横に表示されるホスト プロファイル アイコンをクリックします。

ユーザ プロファイル情報を表示する

ユーザ ID の隣に表示されているユーザ アイコン（ ）をクリックします。詳細については、ユーザの詳細とホストの履歴についてを参照してください。

現在のワークフロー ページでイベントをソートおよび制約する

ドリルダウン ワークフロー ページのソートで詳細を参照してください。

現在のワークフロー ページ内で移動する

ワークフロー内の他のページへのナビゲートで詳細を参照してください。

現在の制限を維持して、現在のワークフロー内のページ間を移動する

ワークフロー ページの左上で、該当するページ リンクをクリックします。詳細については、ワークフローのページの使用を参照してください。

表示された列の詳細を表示する

相関イベント テーブルについてで詳細を参照してください。

表示されたイベントの時刻と日付の範囲を変更する

イベント時間の制約の設定で詳細を参照してください。

イベント ビューを時間によって制約している場合は、（グローバルかイベントに特有かに関係なく）アプライアンスに設定されている時間枠の範囲外に生成されたイベントがイベント ビューに表示されることがあることに注意してください。アプライアンスに対してスライドする時間枠を設定した場合でも、この状況が発生することがあります。

特定の値に制限して、ワークフロー内の次のページにドリルダウンする

次のいずれかの方法を使用します。

• カスタム ワークフローで作成したドリルダウン ページで、行内の値をクリックします。テーブル ビューの行内の値をクリックすると、テーブル ビューが制限され、次のページに ドリルダウンされない ことに注意してください。
• 一部のユーザに制限して次のワークフロー ページにドリルダウンするには、次のワークフロー ページに表示するユーザの横にあるチェック ボックスをオンにしてから、[表示（View）] をクリックします。
• 現在の制限を維持して次のワークフロー ページにドリルダウンするには、[すべてを表示（View All）] をクリックします。

詳細については、イベントの制約を参照してください。

システムから相関イベントを削除する

次のいずれかの方法を使用します。

• 特定のイベントを削除するには、削除するイベントの横にあるチェック ボックスをオンにしてから、[削除（Delete）] をクリックします。
• 現在の制限ビュー内のすべてのイベントを削除するには、[すべて削除（Delete All）] をクリックしてから、すべてのイベントを削除することを確認します。

他のイベント ビューに移動して関連イベントを表示する

ワークフロー間のナビゲートで詳細を参照してください。

時刻（Time）

相関イベントが生成された日時。

影響（Impact）

侵入データ、ディスカバリ データ、および脆弱性情報の間の相関に基づいて相関イベントに割り当てられた影響レベル。詳細については、影響レベルを使用してイベントを評価するを参照してください。

インライン結果（Inline Result）

次のいずれかになります。

• 黒の下矢印：侵入ルールをトリガーとして使用したパケットがシステムによってドロップされたことを示します
• グレーの下矢印：侵入ポリシー オプション [インライン時にドロップ（Drop when Inline）] を有効にした場合、インライン型、スイッチ型、またはルーティング型展開でパケットがシステムによってドロップされたと想定されることを示します
• 空白：トリガーとして使用された侵入ルールが [ドロップしてイベントを生成する（Drop and Generate Events）] に設定されていなかったことを示すます

侵入ポリシーのドロップ動作やルール状態とは無関係に、パッシブ展開（インライン セットがタップ モードである場合を含む）ではシステムがパケットをドロップしないことに注意してください。

送信元 IP（Source IP）または
宛先 IP（Destination IP）

ポリシー違反をトリガーとして使用したイベントの送信元または宛先ホストの IP アドレス。

送信元国（Source Country）または宛先国（Destination Country）

ポリシー違反をトリガーとして使用したイベントの送信元または宛先 IP アドレスに関連付けられた国。

セキュリティ インテリジェンスのカテゴリ（Security Intelligence Category）

ブラックリスト化されたオブジェクトの名前。これは、ポリシー違反をトリガーとして使用したイベントでブラックリスト化された IP アドレスを示す（またはその IP アドレスを含む）オブジェクトです。

送信元ユーザ（Source User）または
宛先ユーザ（Destination User）

ポリシー違反をトリガーとして使用したイベントの送信元または宛先ホストにログインしたユーザの名前。

送信元ポート/ICMP タイプ（Source Port/ICMP Type）または宛先ポート/ICMP コード（Destination Port/ICMP Code）

ポリシー違反をトリガーとして使用したイベントに関連付けられた、送信元トラフィックの送信元ポート/ICMP タイプまたは宛先トラフィックの宛先ポート/ICMP コード。

説明

相関イベントについての説明。説明に示される情報は、ルールがどのようにトリガーとして使用されたかによって異なります。

たとえば、オペレーティング システム情報の更新イベントによってルールがトリガーとして使用された場合、新しいオペレーティング システムの名前と信頼度レベルが表示されます。

ポリシー

違反が発生したポリシーの名前。

ルール（Rule）

ポリシー違反をトリガーとして使用したルールの名前。

[プライオリティ（Priority）]

ポリシー違反をトリガーとして使用したポリシーまたはルールで指定されたプライオリティ。

送信元ホスト重要度（Source Host Criticality）または宛先ホスト重要度（Destination Host Criticality）

相関イベントに関連する送信元または宛先ホストにユーザが割り当てたホスト重要度。 None 、 Low 、 Medium 、または High のいずれかです。

ディスカバリ イベント、ホスト入力イベント、または接続イベントに基づくルールによって生成された相関イベントにのみ、送信元ホスト重要度が含まれることに注意してください。ホスト重要度の詳細については、事前定義のホスト属性の使用を参照してください。

入力セキュリティ ゾーン（Ingress Security Zone）または出力セキュリティ ゾーン（Egress Security Zone）

ポリシー違反をトリガーとして使用した侵入イベントまたは接続イベントの入力または出力セキュリティ ゾーン。

Device

ポリシー違反をトリガーとして使用したイベントを生成したデバイスの名前。

入力インターフェイス（Ingress Interface）または
出力インターフェイス（Egress Interface）

ポリシー違反をトリガーとして使用した侵入イベントまたは接続イベントの入力または出力インターフェイス。

メンバー数（Count）

各行に表示された情報と一致するイベントの数。[カウント（Count）] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。

ポリシー

検索する相関ポリシーの名前を入力します。

ルール（Rule）

検索する相関ルールの名前を入力します。

説明

相関イベントの説明またはその一部を入力します。説明に含まれる情報は、ルールをトリガーとして使用させたイベントによって異なります。

[プライオリティ（Priority）]

相関イベントのプライオリティを指定します（これは、トリガーとして使用されたルールのプライオリティまたは違反が発生した相関ポリシーのプライオリティによって決まります）。プライオリティなしを指定するには、「 none 」と入力します。相関ルールとポリシーの優先度の設定方法については、ポリシーの基本情報の指定とルールおよびホワイト リストのプライオリティの設定を参照してください。

送信元国（Source Country）、宛先国（Destination Country）、または送信元/宛先の国（Source/Destination Country）

ポリシー違反をトリガーとして使用したイベントの送信元 IP アドレス、宛先 IP アドレス、または送信元/宛先 IP アドレスに関連付けられた国を指定します。

送信元の大陸（Source Continent）、宛先の大陸（Destination Continent）、または送信元/宛先の大陸（Source/Destination Continent）

ポリシー違反をトリガーとして使用したイベントの送信元 IP アドレス、宛先 IP アドレス、または送信元/宛先 IP アドレスに関連付けられた大陸を指定します。

セキュリティ インテリジェンスのカテゴリ（Security Intelligence Category）

ポリシー違反をトリガーとして使用した相関イベントに関連付けられたセキュリティ インテリジェンスのカテゴリを指定します。セキュリティ インテリジェンスのカテゴリとして、セキュリティ インテリジェンス オブジェクト、グローバル ブラックリスト、カスタム セキュリティ インテリジェンス リストまたはフィード、あるいはインテリジェンス フィードに含まれるいずれかのカテゴリを指定できます。詳細については、セキュリティ インテリジェンスの IP アドレス レピュテーションを使用したブラックリスト登録を参照してください。

送信元 IP（Source IP）、宛先 IP（Destination IP）、または送信元/宛先 IP（Source/ Destination IP）

ポリシー違反をトリガーとして使用したイベントの送信元ホスト、宛先ホスト、または送信元/宛先ホストの IP アドレスを指定します。単一の IP アドレスまたはアドレス ブロック、あるいはこれらのいずれかまたは両方をカンマで区切ったリストを指定できます。また、否定を使用することもできます。詳細については、検索での IP アドレスの指定を参照してください。

送信元ユーザ（Source User）または宛先ユーザ（Destination User）

ポリシー違反をトリガーとして使用したイベントの送信元または宛先ホストにログインしたユーザを指定します。

送信元ポート/ICMP タイプ（Source Port/ICMP Type）または宛先ポート/ICMP コード（Destination Port/ICMP Code）

ポリシー違反をトリガーとして使用したイベントに関連付けられた、送信元トラフィックの送信元ポート/ICMP タイプまたは宛先トラフィックの宛先ポート/ICMP コードを指定します。

影響（Impact）

相関イベントに割り当てられた影響を指定します。大文字と小文字を区別しない有効な値は、 Impact 0 、 Impact Level 0 、 Impact 1 、 Impact Level 1 、 Impact 2 、 Impact Level 2 、 Impact 3 、 Impact Level 3 、 Impact 4 、および Impact Level 4 です。影響アイコンの色または部分文字列は使用しないでください（たとえば、 blue 、 level 1 、または 0 を使用しないでください）。詳細については、影響レベルを使用してイベントを評価するを参照してください。

インライン結果（Inline Result）

侵入イベントによってトリガーとして使用されたポリシー違反の場合、以下のいずれかを入力します。

• dropped は、インライン型、スイッチ型、またはルーティング型展開でパケットがドロップされたかどうかを示します。
• would have dropped は仮定を表します。インライン型、スイッチ型、またはルーティング型展開でパケットをドロップするよう侵入ポリシーが設定されていると仮定した場合、パケットがドロップされるかどうかを示します。

侵入ポリシーのドロップ動作やルール状態とは無関係に、パッシブ展開（インライン セットがタップ モードである場合を含む）ではシステムがパケットをドロップしないことに注意してください。

送信元ホスト重要度（Source Host Criticality）または
宛先ホスト重要度（Destination Host Criticality）

ポリシー違反に関連する送信元または宛先ホストの重要度として、 None 、 Low 、 Medium 、または High のいずれかを指定します。ディスカバリ イベント、ホスト入力イベント、または接続イベントに基づくルールによって生成された相関イベントにのみ、送信元ホスト重要度が含まれることに注意してください。ホスト重要度の詳細については、事前定義のホスト属性の使用を参照してください。

入力セキュリティ ゾーン（Ingress Security Zone）
出力セキュリティ ゾーン（Egress Security Zone）、または入力/出力セキュリティ ゾーン（Ingress/Egress Security Zone）

ポリシー違反をトリガーとして使用した侵入イベントまたは接続イベントの入力、出力、または入力/出力セキュリティ ゾーンを指定します。

Device

ポリシー違反をトリガーしたイベントを生成した特定のデバイスに検索を制限するには、デバイス名または IP アドレス、またはデバイス グループ、スタック、またはクラスタ名を入力します。検索での FireSIGHT システムによるデバイス フィールドの処理方法については、検索でのデバイスの指定を参照してください。

入力インターフェイス（Ingress Interface）または
出力インターフェイス（Egress Interface）

ポリシー違反をトリガーとして使用した侵入イベントまたは接続イベントの入力または出力インターフェイスを指定します。