ファイルイベント/マルウェアイベントとネットワークファイルトラジェクトリ

次のトピックでは、ファイル/マルウェアイベント、ローカルマルウェア分析、動的分析、キャプチャされたファイル、およびネットワークファイルトラジェクトリの概要を示します。

ファイルイベント/マルウェアイベントとネットワークファイルトラジェクトリについて

ファイルポリシーは、一致したトラフィックのファイルイベントおよびマルウェアイベントを自動的に生成し、キャプチャされたファイル情報をログに記録します。また、ファイルポリシーでファイルイベントまたはマルウェアイベントが生成されるか、ファイルがキャプチャされると、システムは関連する接続の終了を Secure Firewall Management Center データベースに自動的に記録します。このデータを分析して、悪影響への対処および将来の攻撃のブロックをすることができます。

ファイル分析結果に基づいて、キャプチャされたファイル、生成されたマルウェアとファイルイベントを、[分析（Analysis）] > [ファイル（Files）] メニューで使用可能なページの表を使用して確認することができます。使用可能な場合は、ファイルの構成、性質、脅威スコア、動的分析のサマリーレポートを調べ、マルウェア分析をさらに詳細に把握できます。

分析のターゲットをさらに絞り込むために、マルウェアファイルの [ネットワークファイルトラジェクトリ（network file trajectory）]（さまざまなファイルプロパティに加え、ファイルがどのようにネットワークを通過し、ホスト間で渡されてきたかを示すマップ）を使用して、ホスト間での個々の脅威の広がりを時系列で追跡できます。これにより、最も効果的なアウトブレイク制御と防止対策に集中できます。

ファイルルールでローカルマルウェア分析または動的分析を設定すると、システムによってルールに一致するファイルが事前分類され、ファイル構成レポートが生成されます。

組織で Cisco Secure Endpoint が展開されていて、その展開が Secure Firewall Management Center と統合されている場合は、その製品により、スキャン、マルウェア検出、および検疫のレコードと侵害の兆候（IOC）をインポートすることもできます。このデータは、ネットワーク上のマルウェアの全体像をより完全に把握するために、Firepower によって収集されたイベントデータとともに表示されます。

コンテキストエクスプローラ、およびレポート機能を使用すると、検出/キャプチャ/ブロックされたファイルとマルウェアについてより詳しく理解できます。また、イベントを使用して相関ポリシー違反をトリガーしたり、電子メール、SMTP、または syslog によるアラートを発行したりすることもできます。

（注）

マルウェアを検出し、ファイルおよびマルウェアイベントを生成するようにシステムを設定するには、Cisco Secure Firewall Management Center デバイス構成ガイドの「Network Malware Protection and File Policies」を参照してください。

ファイルおよびマルウェアイベント

Secure Firewall Management Center は、さまざまなタイプのファイルおよびマルウェアイベントをログに記録できます。個々のイベントに関する情報は、イベントの生成方法と生成理由に応じて異なります。

ファイルイベントとは、システム（マルウェア防御）によって検出されたマルウェアを含むファイルを意味します。ファイルイベントには、Cisco Secure Endpoint 関連のフィールドは含まれません。
マルウェアイベントとは、マルウェア防御または Cisco Secure Endpoint によって検出されたマルウェアを意味します。また、マルウェアイベントは、スキャンや検疫など、Cisco Secure Endpoint 展開からの脅威以外のデータも記録できます。
レトロスペクティブマルウェアイベントとは、性質（ファイルがマルウェアかどうか）が変更された、マルウェア防御によって検出されたファイルを意味します。

（注）

マルウェア防御によってマルウェアとして識別されたファイルは、ファイルイベントとマルウェアイベントの両方を生成します。Cisco Secure Endpoint によって生成されたマルウェアイベントは、対応するファイルイベントを持っていません。
NetBIOS-ssn（SMB）トラフィックのインスペクションによって生成されるファイルイベントは、即座には接続イベントを生成しません。これは、クライアントとサーバーが持続的接続を確立するためです。システムはクライアントまたはサーバーがセッションを終了した後に接続イベントを生成します。
システムでは、Unicode（UTF-8）文字を使用するファイル名の表示および入力がサポートされます。ただし、Unicode のファイル名は PDF レポートに変換された形式で表示されます。また、SMB プロトコルによって、ファイル名の印刷不能な文字がピリオドに置き換えられます。

ファイルイベントおよびマルウェアイベントの種類

ファイルイベント

システムは、現在展開されているファイルポリシーのルールに従って、管理対象デバイスがネットワークトラフィック内のファイルを検出またはブロックしたときに生成されたファイルイベントを記録します。

システムがファイルイベントを生成する際に、呼び出しを行うアクセスコントロールルールのログ設定に関係なく、システムは Secure Firewall Management Center データベースへの関連する接続の終わりも記録します。

マルウェアイベント（Malware Events）

システム（特にマルウェア防御の機能）は、全体的なアクセスコントロール設定の一部としてネットワークトラフィック内のマルウェアを検出すると、マルウェアイベントを生成します。マルウェアイベントには、結果として生じたイベントの性質や、いつどこでどのようにしてマルウェアが検出されたかに関するコンテキストデータが含まれます。

表 1. でのマルウェアイベントの生成シナリオ
システムがファイルを検出し、次の状態になった場合	性質
AMP クラウドにファイルの性質についてクエリを行い（マルウェアクラウドルックアップを実行）、クエリに成功した場合	マルウェア、クリーン、または不明
AMP クライドにクエリを行ったものの、接続を確立できないか、他の理由でクライドが利用可能でない場合	応対不可この性質を持つイベントはごくわずかである可能性があります。これは予期された動作です。
ファイルに関連付けられている脅威スコアが、ファイルを検出したファイルポリシーで定義されたマルウェアしきい値の脅威スコアを超えた場合、またはローカルマルウェア分析でマルウェアが識別された場合	マルウェア
ファイルがカスタム検出リストに設定されている場合（手動でマルウェアとしてマークされている場合）	カスタム検出
ファイルがクリーンリストに設定されている場合（手動でクリーンとしてマークされている場合）	正常（Clean）

ファイルの性質とマルウェアイベントにおけるファイルアクション

各ファイルルールには、ルールの条件に一致するトラフィックがシステムによってどのように処理されるかを決定する 1 つのアクションが関連付けられます。ファイルルールアクションとして [マルウェアブロック（Block Malware）] または [マルウェアクラウドルックアップ（Malware Cloud Lookup）] を選択すると、システムは、AMP クラウドに問い合わせて、ネットワークを通過するファイルにマルウェアが含まれているかどうかを判断し、脅威を示しているファイルをブロックします。クラウドルックアップを使用すると、SHA-256 ハッシュ値に基づいてファイルの性質を取得してログに記録できます。

次の表では、AMP クラウドによって返されるファイルの性質に関連付けられたファイルアクションについて説明します。

表 2. ファイルの性質とマルウェアイベントにおけるファイルアクション

選択されたファイルルールアクション

ファイルの性質

マルウェアイベントにおけるファイルアクション

マルウェアブロック（Block Malware）
マルウェアクラウドルックアップ（Malware Cloud Lookup）

マルウェア

ブロック（Block）

クリーン
不明
使用不可
NA

クラウドルックアップ

（注）

ファイルポリシーエディタの [詳細設定（Advanced Settings）] で、[AMPクラウドの判定結果が不明な場合は、脅威スコアに基づいて判定結果をオーバーライドする（If AMP Cloud disposition is Unknown, override disposition based upon threat score）] オプションのしきい値脅威スコアを設定できます。脅威スコアのしきい値を設定すると、動的分析スコアがしきい値以下である場合、AMP クラウドの判定が [不明（Unknown）] のファイルはマルウェアと見なされます。

レトロスペクティブマルウェアイベント

ネットワークトラフィックで検出されたマルウェアの場合、性質が変わることがあります。たとえば、AMP クラウドによる判定の結果、以前はクリーンであると考えられていたファイルが今はマルウェアとして識別されるようになったり、その逆、つまりマルウェアと識別されたファイルが実際にはクリーンであったりする可能性があります。先週クエリしたファイルの性質が変わると、AMP クラウドがシステムに通知します。その場合、以下の 2 つが行われます。

Secure Firewall Management Center が新しいレトロスペクティブマルウェアイベントを生成します。

この新しいレトロスペクティブマルウェアイベントは、前の週に検出され、同じ SHA-256 ハッシュ値を持つ同じすべてのファイルの性質変更を表します。そのため、これらのイベントには限られた情報（Secure Firewall Management Center に性質変更が通知された日時、新しい性質、ファイルの SHA-256 ハッシュ値、および脅威名）が含まれます。IP アドレスや他のコンテキスト情報は含まれません。

Secure Firewall Management Center はレトロスペクティブイベントの関連する SHA-256 ハッシュ値を持つすでに検出済みのファイルのファイル性質を変更します。

ファイルの性質が Malware に変更されると、Secure Firewall Management Center は新しいマルウェアイベントをデータベースに記録します。新しい性質を除き、この新しいマルウェアイベントの情報は、ファイルが最初に検出されたときに生成されたファイルイベントのものと同じです。

ファイルの性質が [クリーン（Clean）] に変更された場合、Secure Firewall Management Center はそのマルウェアイベントを削除しません。代わりに、イベントに性質の変更が反映されます。つまり、マルウェアテーブルには性質が [クリーン（Clean）] のファイルが含められることがありますが、それはそのファイルが最初マルウェアと識別されていた場合だけです。マルウェアとして識別されたことのないファイルは、ファイルのテーブルにのみ含められます。

Cisco Secure Endpoint によって生成されたマルウェアイベント

所属部門が Cisco Secure Endpoint を使用している場合、個々のユーザーはエンドポイント（つまり、コンピュータやモバイルデバイス）に軽量コネクタをインストールします。コネクタでは、アップロード、ダウンロード、実行、オープン、コピー、移動などのときにファイルを検査できます。検査対象のファイルにマルウェアが含まれるかどうかを判断するために、これらのコネクタは AMP クラウドと通信します。

ファイルがマルウェアとして識別された場合、AMP クラウドは脅威の特定情報を Secure Firewall Management Center に送ります。さらに AMP クラウドは、スキャン、検疫、実行のブロッキング、クラウドリコールなど、他の種類のデータを Secure Firewall Management Center に送ることもできます。Secure Firewall Management Center はこれらの情報をマルウェアイベントとしてログに記録します。

（注）

Cisco Secure Endpoint によって生成されたマルウェアイベントで報告される IP アドレスは、ネットワークマップに（および監視対象ネットワークにも）含まれない場合もあります。展開、コンプライアンスのレベル、およびその他の要因によっては、Cisco Secure Endpoint によってモニターされる組織内のエンドポイントが、マルウェア防御によってモニターされているものと同じホストではない可能性があります。

Secure Endpoint を使用したマルウェアイベント分析

Cisco Secure Endpoint を導入している組織は、次のことができます。

Secure Endpoint によって検出されたマルウェアイベントを、マルウェア防御によって検出されたイベントとともに Management Center のイベントページに表示するようにシステムを設定できます。
AMP パブリッククラウドを使用している場合は、Secure Endpoint の特定の SHA に関するファイルトラジェクトリやその他の情報を表示できます。

前述の機能を設定するには、Cisco Secure Firewall Management Center デバイス構成ガイドの「Integrate Firepower and Secure Endpoint」を参照してください。

Secure Endpoint からのイベントデータ

組織でマルウェア防御のために Secure Endpoint を展開している場合は、Secure Endpoint からのファイルおよびマルウェアデータを使用した作業を Management Center 上でできるようにシステムを設定できます。

ただし、Secure Endpoint からのファイルおよびマルウェアデータとシステムのマルウェア防御機能からのファイルおよびマルウェアデータの相違点に注意する必要があります。

管理対象デバイスはネットワークトラフィックのマルウェアを検出しますが、Secure Endpoint のマルウェア検出はダウンロード時または実行時にエンドポイントで行われるため、この 2 種類のマルウェアイベントの情報は異なります。たとえば、Secure Endpoint によって検出されたマルウェアイベント（「エンドポイントベースのマルウェア」）には、ファイルパス、呼び出し元クライアントアプリケーションなどの情報が含まれるのに対して、ネットワークトラフィックでのマルウェア検出には、ファイル伝送に使われた接続のポート、アプリケーションプロトコル、発信元 IP アドレス情報が含まれます。

その他にも、マルウェア防御によって検出されたマルウェアイベント（「ネットワークベースのマルウェアイベント」）の場合、ユーザー情報は、ネットワーク検出で判別された、マルウェアの送信先であるホストに最後にログインしたユーザーを示すことが挙げられます。一方、Secure Endpoint で報告されるユーザーは、マルウェアが検出されたエンドポイントに現在ログインしているユーザーを示します。

（注）

展開に応じて、Secure Endpoint によってモニタされるエンドポイントはマルウェア防御でモニタされるものと同じホストにならない場合があります。このため、Secure Endpoint によって生成されたマルウェアイベントはネットワークマップにホストを追加しません。ただし、システムは IP アドレスおよび MAC アドレスのデータを使用して、Secure Endpoint の展開から取得した侵害の兆候をモニタ対象のホストにタグ付けします。異なるマルウェアソリューションによってモニタされる 2 つの異なるホストが同じ IP アドレスと MAC アドレスを持っている場合、システムは Secure Endpoint の IOC をモニタ対象のホストに誤ってタグ付けする場合があります。

次の表に、マルウェア防御ライセンスを使用する場合に Firepower によって生成されるイベントデータと、Secure Endpoint によって生成されるイベントデータの違いを要約します。

表 3. AMP 製品間のデータの相違点の要約
機能	マルウェア防御	Secure Endpoint
生成されるイベント	ファイルイベント、キャプチャされたファイル、マルウェアイベント、およびレトロスペクティブマルウェアイベント	マルウェアイベント
マルウェアイベントに含まれる情報	基本的なマルウェアイベント情報、および接続データ（IP アドレス、ポート、アプリケーションプロトコル）	詳細なマルウェアイベント情報（接続データなし）
ネットワークファイルトラジェクトリ	Management Center ベース	Management Center と Secure Endpoint の管理コンソールには、それぞれネットワークファイルトラジェクトリがあります。いずれも使用可能です。

ファイルおよびマルウェアイベントのワークフローの使用

次の手順を使用して、テーブル内のファイルおよびマルウェアイベントを表示し、分析に関連する情報に基づいてイベントビューを操作します。イベントにアクセスしたときに表示されるページは、ワークフローによって異なります。ワークフローは、大まかなビューから詳細なビューに移動してイベントを評価するために使用できる、一連のページです。また、特定のニーズを満たす情報だけを表示するカスタムワークフローを作成することもできます。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

このタスクを実行するには、管理者ユーザーまたはセキュリティアナリストユーザーである必要があります。

手順

次のいずれかを実行します。

[分析（Analysis）] > [ファイル（Files）] > [ファイルイベント（File Events）]
[分析（Analysis）] > [ファイル（Files）] > [マルウェアイベント（Malware Events）]

ヒント

イベントのテーブルビューでは、一部のフィールドがデフォルトで非表示にされています。イベントビューに非表示フィールドを表示するには、検索制約を展開し、[無効にされたカラム（Disabled Columns）] の下のフィールド名をクリックします。

ヒント

特定のファイルが検出された接続をすぐに表示するには、テーブルでチェックボックスを使用してファイルを選択してから、[ジャンプ（Jump to）] ドロップダウンリストで [接続イベント（Connections Events）] を選択します。

ヒント

オプションを表示するには、テーブル内の項目を右クリックします（オプションが表示されない列もあります）。

ファイルおよびマルウェアイベントフィールド

ワークフローを使用して表示および検索できるマルウェアイベントには、このセクションにリストするフィールドがあります。個別のイベントで利用可能な情報は、いつ、どのように生成されたかによって異なることに注意してください。

（注）

マルウェア防御によってマルウェアとして識別されたファイルは、ファイルイベントとマルウェアイベントの両方を生成します。Secure Endpoint によって生成されたマルウェアイベントには、対応するファイルイベントはありません。また、ファイルイベントには Secure Endpoint 関連のフィールドはありません。

syslog メッセージにはメッセージに初期値が入力され、たとえば、レトロスペクティブな判定などで Management Center Web インターフェイスの同等なフィールドが更新されたとしても更新されません。

[アクション（Action）]（syslog：FileAction）

ファイルを検出したファイルポリシールールに関連したアクション、および関連するファイルアクションオプション。

AMP クラウド（AMP Cloud）

AMP for Endpoints イベントが発信された AMP クラウドの名前。

アプリケーションファイル名（Application File Name）

AMP for Endpoints 検出が行われたときに、マルウェアファイルにアクセスしていたクライアントアプリケーション。これらのアプリケーションはネットワーク検出またはアプリケーション制御とは関係ありません。

アプリケーションファイル SHA256（Application File SHA256）

検出が行われたときに、AMP for Endpoints で検出された、または隔離されたファイルにアクセスした親ファイルの SHA-256 のハッシュ値。

統合イベントビューアでは、このフィールドはアプリケーションファイル SHA-256 として表示されます。

[アプリケーションプロトコル（Application Protocol）]（syslog：ApplicationProtocol）

管理対象デバイスがファイルを検出したトラフィックで使用されるアプリケーションプロトコル。

アプリケーションプロトコルカテゴリまたはタグ（Application Protocol Category or Tag）

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

アプリケーションのリスク（Application Risk）

接続で検出されたアプリケーショントラフィックに関連するリスク：Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するリスクがあります。このフィールドでは、それらのうち最も高いものが表示されます。

[アーカイブの深さ（Archive Depth）]（syslog：ArchiveDepth）

アーカイブファイル内でファイルがネストされたレベル（存在する場合）。

[アーカイブ名（Archive Name）]（syslog：ArchiveFileName）

マルウェアファイルが含まれていたアーカイブファイル（ある場合）の名前。

アーカイブファイルの内容を表示するには、[分析（Analysis）] > [ファイル（Files）] にある、アーカイブファイルの一覧が表示されるいずれかのテーブルに移動し、アーカイブファイルのテーブルの行を右クリックしてコンテキストメニューを開いてから、[アーカイブの内容の表示（View Archive Contents）] をクリックします。

[SHA256のアーカイブ（Archive SHA256）]（syslog：ArchiveSHA256）

マルウェアファイルを含むアーカイブファイル（ある場合）の SHA-256 ハッシュ値。

ArchiveFileStatus（syslog のみ）

調査中のアーカイブのステータス。次のいずれかの値になります。

[保留中（Pending）]：アーカイブは調査中です
[取得済み（Extracted）]：調査が問題なく正常に実行されました
[失敗（Failed）]：システムのリソース不足のため調査に失敗しました。
[深度の超過（Depth Exceeded）]：調査は正常に実行されましたが、アーカイブがネストされた調査の深度を超過しました
[暗号化（Encrypted）]：部分的に正常に実行されましたが、アーカイブが暗号化されているか、暗号化されたアーカイブが含まれています
[調査できませんでした（Not Inspectable）]：部分的に正常に実行されましたが、ファイルは形式が不正であるか破損しています

ビジネスとの関連性（Business Relevance）

接続で検出されたアプリケーショントラフィックに関連するビジネス関連性：Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するビジネスとの関連性があります。このフィールドでは、それらのうち最も低いもの（関連が最も低い）が表示されます。

カテゴリ（Category）/ファイルタイプカテゴリ（File Type Category）

ファイルタイプの一般的なカテゴリ（Office ドキュメント、アーカイブ、マルチメディア、実行可能ファイル、PDF ファイル、エンコードファイル、グラフィック、システムファイルなど）。

[クライアント（Client）]（syslog：Client）

1 つのホストで実行され、ファイルを送信するためにサーバーに依存するクライアントアプリケーション。

クライアントカテゴリまたはタグ（Client Category or Tag）

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

Connection Counter （Syslog のみ）

ある接続と別の同時接続を区別するカウンタ。このフィールドは、それ自体には意味がありません。

[DeviceUUID]、[最初のパケット時間（First Packet Time）]、[接続インスタンスID（Connection Instance ID）]、および [接続数カウンタ（Connection Counter）] フィールドの情報を総合すると、特定のファイルまたはマルウェアイベントに関連付けられた接続イベントを一意に識別できます。

Connection Instance ID （Syslog のみ）

接続イベントを処理した Snort インスタンス。このフィールドは、それ自体には意味がありません。

カウント（Count）

複数の同じ行を作成する制約を適用した後の、各行の情報に一致するイベントの数。

検出名（Detection Name）

検出されたマルウェアの名前。

ディテクタ（Detector）

マルウェアを識別した AMP for Endpoints ディテクタ（ClamAV、Spero、SHA など）。

デバイス

ファイルイベントおよび Firepower デバイスによって生成されたマルウェアイベントの場合は、ファイルを検出したデバイスの名前。

エンドポイント向け AMP によって生成されたマルウェアイベントと AMP クラウドによって生成されたレトロスペクティブマルウェアイベントの場合は、Management Center の名前。

DeviceUUID （Syslog のみ）

イベントを生成した Firepower デバイスの一意の識別子。

[後処理/ファイルの後処理（Disposition / File Disposition）]（syslog：SHA_Disposition）

ファイルの性質：

マルウェア: AMP クラウドでそのファイルがマルウェアとして分類された、ローカルマルウェア分析でマルウェアとして識別された、またはファイルポリシーで定義されたマルウェアしきい値をファイルの脅威スコアが超えたことを示します。
クリーン: AMP クラウドでそのファイルがクリーンとして分類されているか、ユーザがファイルをクリーンリストに追加したことを示します。クリーンのファイルがマルウェアテーブルに含められるのは、そのファイルがクリーンに変更された場合だけです。
Unknown: システムが AMP クラウドに問い合わせましたが、ファイルの性質が割り当てられていませんでした。言い換えると、AMP クラウドがファイルを正しく分類していませんでした。
Custom Detection: ユーザがカスタム検出リストにファイルを追加したことを示します。
Unavailable: システムがAMPクラウドに問い合わせできなかったことを示します。この性質に関するイベントが、わずかながら存在する可能性があります。これは予期された動作です。
[該当なし（N/A）]: [ファイル検出（Detect Files）] または [ファイルブロック（Block Files）] ルールがファイルを処理し、Secure Firewall Management Center が AMP クラウドに問い合わせなかったことを示します。

ファイルの後処理は、システムが AMP クラウドにクエリを実行したファイルについてのみ表示されます。

syslog フィールドには最初の後処理のみが反映されます。レトロスペクティブな判定を反映するようには更新されません。

ドメイン

ファイルイベントおよび Firepower デバイスによって生成されたマルウェアイベントの場合は、ファイルを検出したデバイスのドメイン。エンドポイント向け AMP によって生成されたマルウェアイベントおよび AMP クラウドによって生成される遡及的マルウェアイベントの場合、イベントを報告した AMP クラウド接続に関連付けられたドメイン。

このフィールドは、マルチテナンシーのために Management Center を設定したことがある場合に表示されます。

DstIP（syslog のみ）

接続に応答したホストの IP アドレス。これは、FileDirection フィールドの値によってファイルの送信者または受信者の IP アドレスとなる場合があります。

FileDirection が Upload の場合、これはファイル受信者の IP アドレスです。

FileDirection が Download の場合、これはファイル送信者の IP アドレスです。

SrcIP も参照してください。

イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。

DstPort（syslog のみ）

DstIP で説明されている接続で使用されるポート。

[出力仮想ルータ（Egress Virtual Router）]

仮想ルーティングを使用するネットワークでは、トラフィックがネットワークから出るときに通過する仮想ルータの名前。

イベントサブタイプ（Event Subtype）

マルウェア検出につながった AMP for Endpoints アクション（[作成（Create）]、[実行（Execute）]、[移動（Move）]、[スキャン（Scan）] など）。

イベントタイプ

マルウェアイベントのサブタイプ。

[ファイル名（File Name）]（syslog：FileName）

ファイルの名前。

ファイルパス（File Path）

AMP for Endpoints によって検出されたマルウェアファイルのファイルパス（ファイル名を含まない）。

[ファイルポリシー（File Policy）]（syslog：FilePolicy）

ファイルを検出したファイルポリシー。

[ファイルストレージ/保存済み（File Storage / Stored）]（syslog：FileStorageStatus）

イベントに関連付けられたファイルのストレージステータス：

Stored: 関連するファイルが現在保存されているすべてのイベントを返します。
Stored in connection: 関連するファイルが現在保存されているかどうかに関係なく、関連するファイルをシステムがキャプチャおよび保存したすべてのイベントを返します。
Failed: 関連するファイルをシステムが保存できなかったすべてのイベントを返します。

syslog フィールドには、初期のステータスのみが含まれています。これらのステータスは変更後のステータスを反映するようには更新されません。

ファイルのタイムスタンプ（File Timestamp）

AMP for Endpoints が検出したマルウェアファイルが作成された日時。

FileDirection（syslog のみ）

接続中にファイルがダウンロードされたか、またはアップロードされたか。値は次のとおりです。

Download：ファイルは DstIP から SrcIP に転送されました。
Upload：ファイルは SrcIP から DstIP に転送されました。

FileSandboxStatus（syslog のみ）

ファイルが動的分析のために送信されたかとその場合のステータスを示します。

First Packet Time （Syslog のみ）

システムが最初のパケットを検出した時間。

FirstPacketSecond（syslog のみ）

ファイルのダウンロードフローまたはアップロードフローが開始された時刻。

イベントが発生した時刻がメッセージヘッダーのタイムスタンプにキャプチャされます。

HTTP 応答コード（HTTP Response Code）

ファイルの転送時にクライアントの HTTP 要求に応じて送信される HTTP ステータスコード。

[入力仮想ルータ（Ingress Virtual Router）]

仮想ルーティングを使用するネットワークでは、トラフィックがネットワークに入るときに通過する仮想ルータの名前。

IOC

マルウェアイベントが、接続に関与したホストに対する侵入の痕跡（IOC）をトリガーしたかどうか。AMP for Endpoints データが IOC ルールをトリガーした場合、タイプ AMP IOC で、完全なマルウェアイベントが生成されます。

メッセージ（Message）

マルウェアイベントに関連付けられる追加情報。ファイルイベントおよび Firepower デバイスによって生成されたマルウェアイベントでは、このフィールドは、後処理が変更された、つまり関連付けられたレトロスペクティブイベントがあるファイルに対してのみ入力されます。

MITRE

クリックしてモーダルを起動できる技術の数。これは、その階層内にある MITRE の戦術と技術の全リストを示します。

Protocol（syslog のみ）

接続に使用されたプロトコル（TCP や UDP など）。

受信側の大陸（Receiving Continent）

ファイルを受信するホストの大陸。

受信側の国（Receiving Country）

ファイルを受信するホストの国。

受信側 IP（Receiving IP）

Management Center の Web インターフェイスでは、ファイルイベントおよび Firepower デバイスによって生成されたマルウェアイベントの場合、ファイルを受信するホストの IP アドレス。イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。

エンドポイント向け AMP によって生成されたマルウェアのイベントの場合、コネクタがイベントを報告したエンドポイントの IP アドレス。

syslog の同等のイベント（Firepower デバイスで生成されたイベントのみ）については、DstIP および SrcIP を参照してください。

受信側のポート（Receiving Port）

Management Center の Web インターフェイスでは、ファイルが検出されたトラフィックによって使用される宛先ポート。

Syslog と同等なものについては、DstIP および SrcIP と DstPort および SrcPort を参照してください。

[セキュリティコンテキスト（Security Context）]（syslog：Context）

トラフィックが通過した仮想ファイアウォールグループを識別するメタデータ。複数のコンテキストモードで実行している 1 台以上の ASA FirePOWER デバイスを管理する場合、システムはこのフィールドのみを表示します。

送信側の大陸（Sending Continent）

ファイルを送信するホストの大陸。

送信側の国（Sending Country）

ファイルを送信するホストの国。

送信側 IP（Sending IP）

Management Center の Web インターフェイスでは、ファイルを送信するホストの IP アドレス。イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。

同等な syslog については、 DstIP と SrcIP を参照してください。

送信側のポート（Sending Port）

Management Center の Web インターフェイスでは、ファイルが検出されたトラフィックによって使用される送信元ポート。

同等な syslog については、DstIP および SrcIP と DstPort および SrcPort を参照してください。

[SHA256/ファイルSHA256/（SHA256/File SHA256）]（syslog：FileSHA256）

ファイルの SHA-256 ハッシュ値。

SHA256 値を得るには、ファイルが次のいずれかによって処理されている必要があります。

[ファイルの保存（Store files）] が有効になっているファイル検出ファイルルール。
[ファイルの保存（Store files）] が有効になっているファイルブロックファイルルール。
マルウェアクラウドルックアップファイルルール
マルウェアブロックファイルルール
AMP for Endpoints

また、この列には最後に検出されたファイルイベントおよびファイルの後処理を表し、ネットワークファイルトラジェクトリにリンクするネットワークファイルトラジェクトリアイコンも表示されます。

[サイズ（KB）/ファイルサイズ（KB）（Size (KB) / File Size (KB)）]（syslog：FileSize）

Management Center の Web インターフェイスでは、ファイルのサイズ（KB 単位）。

In syslog messages: The size of the file, in bytes.

ファイルが完全に受信される前にシステムがファイルのタイプを特定した場合は、ファイルサイズが計算されない場合があります。この状況では、このフィールドは空白です。

SperoDisposition(Syslog のみ)

SPERO 署名がファイル分析で使用されたかどうかを示します。有効な値：

ファイルで実行された Spero の検出
ファイルで実行されなかった Spero の検出

SrcIP（syslog のみ）

接続を開始したホストの IP アドレス。これは、FileDirection フィールドの値によってファイルの送信者または受信者の IP アドレスとなる場合があります。

FileDirection が Upload の場合、これはファイル送信者の IP アドレスです。

FileDirection が Download の場合、これはファイル受信者の IP アドレスです。

DstIP も参照してください。

イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。

SrcPort（syslog のみ）

SrcIP で説明されている接続で使用されるポート。

SSL Actual Action (Syslog: SSLActualAction)

システムが暗号化されたトラフィックに適用したアクション。

Block または Block with reset: ブロックされた暗号化接続を表します。
[復号（再署名）（Decrypt (Resign)）]: 再署名サーバ証明書を使用して復号された発信接続を表します。
[復号（キーの交換）（Decrypt (Replace Key)）]: 置き換えられた公開キーと自己署名サーバ証明書を使用して復号化された発信接続を表します。
[復号（既知のキー）（Decrypt (Known Key)）]: 既知の秘密キーを使用して復号化された着信接続を表します。
[デフォルトアクション（Default Action）]: 接続がデフォルトアクションによって処理されたことを示します。
[復号しない（Do not Decrypt）]: システムが復号化しなかった接続を表します。

フィールド値は、検索ワークフローページの [SSL ステータス（SSL Status）] フィールドに表示されます。

[SSL 証明書情報（SSL Certificate Information）]

トラフィックを暗号化するための公開キー証明書に保存される次の情報：

サブジェクト/発行元共通名（Subject/Issuer Common Name）
サブジェクト/発行元組織（Subject/Issuer Organization）
サブジェクト/発行元組織単位（Subject/Issuer Organization Unit）
有効期間の開始/終了（Not Valid Before/After）
シリアル番号（Serial Number）、証明書フィンガープリント（Certificate Fingerprint）
公開キーフィンガープリント（Public Key Fingerprint）

syslog の場合は、SSLCertificate を参照してください。

[SSL失敗の理由（SSL Failure Reason）]（syslog：SSLFlowStatus）

システムが暗号化されたトラフィックの復号化に失敗した理由。

不明
不一致（No Match）
Success
キャッシュされていないセッション（Uncached Session）
不明な暗号スイート（Unknown Cipher Suite）
サポートされていない暗号スイート（Unsupported Cipher Suite）
サポートされていない SSL バージョン（Unsupported SSL Version）
使用された SSL 圧縮（SSL Compression Used）
パッシブモードで復号化できないセッション（Session Undecryptable in Passive Mode）
ハンドシェイクエラー（Handshake Error）
復号エラー（Decryption Error）
保留中のサーバー名カテゴリの検索（Pending Server Name Category Lookup）
保留中の共通名カテゴリの検索（Pending Common Name Category Lookup）
内部エラー（Internal Error）
使用不可能なネットワークパラメータ（Network Parameters Unavailable）
無効なサーバー証明書の処理（Invalid Server Certificate Handle）
使用不可能なサーバー証明書フィンガープリント（Server Certificate Fingerprint Unavailable）
サブジェクト DN をキャッシュできない（Cannot Cache Subject DN）
発行元 DN をキャッシュできない（Cannot Cache Issuer DN）
不明な SSL バージョン（Unknown SSL Version）
使用不可能な外部証明書リスト（External Certificate List Unavailable）
使用不可能な外部証明書フィンガープリント（External Certificate Fingerprint Unavailable）
無効な内部証明書リスト（Internal Certificate List Invalid）
使用不可能な内部証明書リスト（Internal Certificate List Unavailable）
使用不可能な内部証明書（Internal Certificate Unavailable）
使用不可能な内部証明書フィンガープリント（Internal Certificate Fingerprint Unavailable）
使用不可能なサーバー証明書の検証（Server Certificate Validation Unavailable）
サーバー証明書の検証エラー（Server Certificate Validation Failure）
無効なアクション（Invalid Action）

フィールド値は、検索ワークフローページの [SSL ステータス（SSL Status）] フィールドに表示されます。

SSL ステータス（SSL Status）

暗号化された接続を記録した、[SSLの実際の動作（SSL Actual Action）]（復号ルール、デフォルトアクション、または復号できないトラフィックアクション）に関連したアクション。[ロック（Lock）] アイコン（）は、TLS/SSL 証明書の詳細にリンクしています。証明書を利用できない場合（たとえば、TLS/SSL ハンドシェイクエラーにより接続がブロックされる場合）、ロックアイコンはグレー表示になります。

システムが暗号化された接続の復号化に失敗した場合、実行された [SSL の実際のアクション（SSL Actual Action）]（復号化できないトラフィックアクション）と [SSL 障害の理由（SSL Failure Reason）] が表示されます。たとえば、不明な暗号スイートによって暗号化されたトラフィックをシステムが検出し、それ以上のインスペクションをせずにこれを許可した場合、このフィールドには [復号しない（不明な暗号スイート）（Do Not Decrypt (Unknown Cipher Suite)）] が表示されます。

このフィールドを検索する場合は、[SSL の実際の動作（SSL Actual Action）] と [SSL 失敗理由（SSL Failure Reason）] の 1 つ以上の値を入力し、システムが処理した、または復号に失敗した暗号化トラフィックを表示します。

[SSLサブジェクト/発行元国（SSL Subject/Issuer Country）]

暗号化証明書に関連付けられた件名または発行元国の 2 文字の ISO 3166-1 alpha-2 国番号。

SSLCertificate（syslog のみ）

TLS/SSL サーバーの証明書のフィンガープリント。

[脅威の名前（Threat Name）]（syslog：ThreatName）

検出されたマルウェアの名前。

[脅威スコア（Threat Score）]（syslog：ThreatScore）

このファイルに関連付けられている最新の脅威スコア。これは、動的分析中に観察された悪意がある可能性がある動作に基づいた 0 ～ 100 の値です。

脅威スコアアイコンは、[動的分析要約（Dynamic Analysis Summary）] レポートにリンクされています。

Time

イベントが生成された日時。このフィールドは検索できません。

syslog メッセージでは、 FirstPacketSecond を参照してください。

[タイプ/ファイルタイプ（Type/File Type）]（syslog：FileType）

ファイルのタイプ（HTML や MSEXE など）。

[URI/ファイルURI（URI/File URI）]（syslog：URI）

ファイルトランザクションに関連付けられている接続の URI。たとえば、ユーザーがファイルをダウンロードした URL など。

[ユーザー（User）]（syslog：User）

接続を開始した IP アドレスに関連付けられているユーザー名。この IP アドレスがネットワークの外部にある場合、関連付けられているユーザー名は通常不明です。

該当する場合、ユーザー名の前には <realm>\ が付いています。

ファイルイベントおよび Firepower デバイスによって生成されたマルウェアイベントの場合、このフィールドには、ID ポリシーまたは権限のあるログインによって決定されたユーザー名が表示されます。ID ポリシーがない場合、認証は必要ありませんと表示されます。

エンドポイント向け AMP によって生成されたマルウェアイベントの場合、エンドポイント向け AMP がユーザー名を判別します。これらのユーザーをユーザー検出または制御に関連付けることはできません。それらは [ユーザー（Users）] テーブルに含まれず、それらのユーザーの詳細を表示することもできません。

Webアプリケーション (Syslog: WebApplication)

接続で検出された HTTP トラフィックについて、内容を表すまたは URL を要求したアプリケーション。

Web アプリケーションのカテゴリまたはタグ（Web Application Category or Tag）

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

マルウェアイベントのサブタイプ

次の表に、マルウェアイベントのサブタイプ、マルウェア防御（「ネットワークベースのマルウェアイベント」）か Cisco Secure Endpoint（「エンドポイントベースのマルウェアイベント」）のどちらでそのサブタイプを指定できるかどうかと、そのサブタイプを使用してネットワークファイルトラジェクトリが構築されるかどうかを一覧で示します。

表 4. マルウェアイベントのタイプ
マルウェアイベントのサブタイプ/検索値	マルウェア防御	Secure Endpoint	ファイルトラジェクトリ
ネットワークファイル転送時に検出された脅威（Threat Detected in Network File Transfer）	はい	いいえ	はい
ネットワークファイル転送時に検出された脅威（遡及的）（Threat Detected in Network File Transfer (retrospective)）	はい	いいえ	はい
検出された脅威（Threat Detected）	いいえ	はい	はい
除外項目内で検出された脅威（Threat Detected in Exclusion）	いいえ	はい	はい
検疫された脅威（Threat Quarantined）	いいえ	はい	はい
AMP IOC（侵害の兆候）（AMP IOC (Indications of compromise)）	いいえ	はい	いいえ
ブロックされた実行（Blocked Execution）	いいえ	はい	いいえ
隔離のクラウドリコール（Cloud Recall Quarantine）	いいえ	はい	いいえ
隔離のクラウドリコールの試行に失敗（Cloud Recall Quarantine Attempt Failed）	いいえ	はい	いいえ
隔離のクラウドリコールの開始（Cloud Recall Quarantine Started）	いいえ	はい	いいえ
隔離からのクラウドリコールの復元（Cloud Recall Restore from Quarantine）	いいえ	はい	いいえ
隔離からのクラウドリコールの復元に失敗（Cloud Recall Restore from Quarantine Failed）	いいえ	はい	いいえ
隔離からのクラウドリコールの復元の開始（Cloud Recall Restore from Quarantine Started）	いいえ	はい	いいえ
隔離エラー（Quarantine Failure）	いいえ	はい	いいえ
隔離されたアイテムの復元（Quarantined Item Restored）	いいえ	はい	いいえ
隔離の復元に失敗（Quarantine Restore Failed）	いいえ	はい	いいえ
隔離の復元の開始（Quarantine Restore Started）	いいえ	はい	いいえ
スキャン完了、検出なし（Scan Completed, No Detections）	いいえ	はい	いいえ
スキャンが検出ありで完了（Scan Completed With Detections）	いいえ	はい	いいえ
スキャンに失敗（Scan Failed）	いいえ	はい	いいえ
スキャン開始（Scan Started）	いいえ	はい	いいえ

ファイルおよびマルウェアイベントフィールドで利用可能な情報

次の表に、システムが各ファイルおよびマルウェアイベントフィールドの情報を表示するかどうかを示します。

組織で Cisco Secure Endpoint が導入されていて、その製品を Firepower 展開と統合している場合は、次のようになります。

Cisco Secure Endpoint の展開からインポートされたマルウェアイベントと侵害の兆候（IOC）には、コンテキスト接続情報は含まれていませんが、ダウンロード時または実行時に取得された情報（ファイルパス、呼び出し元クライアントアプリケーションなど）が含まれています。
ファイルイベントテーブルビューには、Cisco Secure Endpoint 関連のフィールドは表示されません。

表 5. ファイルおよびマルウェアイベントフィールドで利用可能な情報
フィールド	ファイルイベント	システムによって検出されたマルウェアイベント	システムによって検出されたレトロスペクティブイベント	Cisco Secure Endpoint によって生成されたマルウェアイベント
操作（Action）	はい	はい	はい	いいえ
AMP クラウド（AMP Cloud）	いいえ	いいえ	いいえ	はい
アプリケーションファイル名（Application File Name）	いいえ	いいえ	いいえ	はい
アプリケーションファイル SHA256（Application File SHA256）	いいえ	いいえ	いいえ	はい
アプリケーションプロトコル	はい	はい	いいえ	いいえ
アプリケーションプロトコルカテゴリまたはタグ（Application Protocol Category or Tag）	はい	はい	はい	いいえ
アプリケーションのリスク（Application Risk）	はい	はい	はい	いいえ
アーカイブ深度（Archive Depth）	はい	はい	いいえ	はい
アーカイブ名（Archive Name）	はい	はい	いいえ	はい
アーカイブ SHA256（Archive SHA256）	はい	はい	いいえ	はい
ビジネスとの関連性（Business Relevance）	はい	はい	はい	いいえ
カテゴリ/ファイルタイプカテゴリ（Category / File Type Category）	はい	はい	いいえ	はい
クライアント（Client）	はい	はい	はい	いいえ
クライアントカテゴリまたはタグ（Client Category or Tag）	はい	はい	はい	いいえ
カウント（Count）	はい	はい	はい	はい
検出名（Detection Name）	いいえ	はい	いいえ	いいえ
ディテクタ（Detector）	いいえ	いいえ	いいえ	はい
デバイス	はい	はい	はい	はい
性質/ファイル性質（Disposition / File Disposition）	はい	はい	はい	いいえ
ドメイン（Domain）	はい	はい	はい	はい
イベントサブタイプ（Event Subtype）	いいえ	いいえ	いいえ	はい
イベントタイプ	いいえ	はい	はい	はい
ファイル名（File Name）	はい	はい	いいえ	はい
ファイルパス（File Path）	いいえ	いいえ	いいえ	はい
ファイルポリシー（File Policy）	はい	いいえ	いいえ	いいえ
ファイルのタイムスタンプ（File Timestamp）	いいえ	いいえ	いいえ	はい
HTTP 応答コード（HTTP Response Code）	はい	はい	いいえ	いいえ
IOC（侵害の兆候）（IOC (Indication of Compromise)）	いいえ	はい	はい	はい
メッセージ（Message）	はい	はい	いいえ	はい
受信側の大陸（Receiving Continent）	はい	はい	はい	いいえ
受信側の国（Receiving Country）	はい	はい	いいえ	いいえ
受信側 IP（Receiving IP）	はい	はい	いいえ	はい
受信側のポート（Receiving Port）	はい	はい	いいえ	いいえ
セキュリティコンテキスト（Security Context）	はい	はい	はい	はい
送信側の大陸（Sending Continent）	はい	はい	はい	いいえ
送信側の国（Sending Country）	はい	はい	いいえ	いいえ
送信側 IP（Sending IP）	はい	はい	いいえ	いいえ
送信側のポート（Sending Port）	はい	はい	いいえ	いいえ
SHA256/ファイル SHA256（SHA256 / File SHA256）	はい	はい	はい	はい
サイズ（KB）/ファイルサイズ（KB）（Size (KB) / File Size (KB)）	はい	はい	いいえ	はい
SSL の実際のアクション（SSL Actual Action）（検索のみ）	はい	はい	いいえ	いいえ
SSL 証明書情報（SSL Certificate Information）（検索のみ）	はい	はい	いいえ	いいえ
SSL 障害の理由（SSL Failure Reason）（検索のみ）	はい	はい	いいえ	いいえ
SSL ステータス（SSL Status）	はい	はい	いいえ	いいえ
SSL 件名/発行者の国（SSL Subject/Issuer Country）（検索のみ）	はい	はい	いいえ	いいえ
ファイルストレージ/保存済み（File Storage / Stored）（検索のみ）	はい	はい	いいえ	いいえ
脅威名（Threat Name）	いいえ	はい	はい	はい
脅威スコア（Threat Score）	はい	はい	いいえ	いいえ
Time	はい	はい	はい	はい
タイプ/ファイルタイプ（Type / File Type）	はい	はい	いいえ	はい
URI/ファイル URI（URI / File URI）	はい	はい	いいえ	いいえ
ユーザ（User）	はい	はい	いいえ	はい
Web アプリケーション	はい	はい	はい	いいえ
Web アプリケーションカテゴリまたはタグ（Web Application Category or Tag）	はい	はい	はい	いいえ

分析されたファイルに関する詳細の表示

ヒント

追加のオプションを表示するには、イベントページのテーブルでファイル SHA を右クリックします。詳細については、Web ベースのリソースを使用したイベントの調査を参照してください。

ファイル構成レポート

ローカルマルウェアの分析または動的分析を設定すると、ファイルの分析後にファイル構成レポートが生成されます。このレポートを使用して、ファイルをさらに分析し、ファイルにマルウェアが組み込まれているかどうかを判断することができます。

ファイル構成レポートでは、ファイルのプロパティ、ファイルに組み込まれているオブジェクト、および検出されたウイルスが示されます。また、ファイル構成レポートでは、そのファイルタイプに固有の追加情報が示される場合があります。保存されているファイルのプルーニング時に、関連ファイル構成レポートもプルーニングされます。

ファイル構成の情報を表示するには、ネットワークファイルトラジェクトリの使用を参照してください。

AMP プライベートクラウドでのファイルの詳細の表示

AMP プライベートクラウドを導入している場合は、プライベートクラウドで分析されたファイルに関する追加の詳細を表示できます。

詳細については、お使いのプライベートクラウドのマニュアルを参照してください。

手順

AMP プライベートクラウドのコンソールに直接サインインします。

脅威スコアと動的分析のサマリレポート

脅威スコア

表 6. 脅威スコアレーティング
脅威スコア	数値スコア	アイコン
`Low`	0 ～ 24	低
`Medium`	25 ～ 69	中規模
`High`	70 ～ 94	高（High）
`Very High`	95 ～ 100	非常に高い

Secure Firewall Management Center は、ファイルの性質と同じ期間だけ、ファイルの脅威スコアをキャッシュに入れます。これらのファイルが後で検出されると、Secure Malware Analytics Cloud または Secure Malware Analytics アプライアンスにもう一度クエリが実行される代わりに、キャッシュされた脅威スコアが表示されます。ファイルの脅威スコアが、定義済みのマルウェアしきい値の脅威スコアを超える場合は、そのファイルにマルウェアの性質を自動的に割り当てることができます。

動的分析のサマリ

動的分析のサマリが生成可能な場合、脅威スコアアイコンをクリックすると、サマリが表示されます。複数のレポートが存在する場合、このサマリは、脅威スコアと完全に一致する最新のレポートに基づいて生成されます。完全に一致する脅威スコアがない場合、最も高い脅威スコアに関するレポートが表示されます。複数のレポートがある場合は、脅威スコアを選択して、それぞれのレポートを表示することができます。

サマリには、脅威スコアを構成する各コンポーネントの脅威がリストされます。各コンポーネントの脅威を展開すると、そのコンポーネントの脅威に関連するプロセスだけでなく、AMP クラウドの調査結果もリストされます。

プロセスツリーには、Secure Malware Analytics Cloud がファイルの実行を試みたときに開始されたプロセスが示されています。これは、マルウェアを含むファイルが、想定外のプロセスやシステムリソースへアクセスしようとしているかどうか（たとえば、Word ドキュメントを実行すると、Microsoft Word が開き、次に Internet Explorer が起動し、さらに Java Runtime Environment が実行されるなど）を識別するのに役立ちます。

リストされる各プロセスには、実際のプロセスを検査するのに使用できるプロセス ID が含まれます。プロセスツリー内の子ノードは、親プロセスの結果として開始されたプロセスを表します。

動的分析のサマリから [完全なレポートを表示（View Full Report）] をクリックすることにより、AMP クラウドの完全な分析を詳述する完全版分析レポートを表示できます。レポートには、ファイルの一般情報、検出されたすべてのプロセスの詳細な説明、ファイル分析の概要、およびその他の関連情報が含まれます。

Cisco Secure Malware Analytics Cloud の動的分析結果の表示

Secure Malware Analytics では、分析されたファイルに関して、Management Center で使用できるレポートよりもさらに詳細なレポートが提供されます。組織に Secure Malware Analytics Cloud アカウントがある場合、Secure Malware Analytics ポータルに直接アクセスして、管理対象デバイスから分析のために送信されたファイルに関する追加の詳細を表示できます。

始める前に

Management Center を Secure Malware Analytics Cloud アカウントに関連付けます。Cisco Secure Firewall Management Center デバイス構成ガイドの「Enabling Access to Dynamic Analysis Results in the Public Cloud」を参照してください。
ライセンス要件：マルウェア
このタスクでは、グローバルドメインに属している必要があります。
次のいずれかのユーザーロールが必要です：管理者、アクセス管理者、ネットワーク管理者

手順

ステップ 1

Secure Malware Analytics のマニュアルに記載されているアドレスで、Secure Malware Analytics Cloud のポータルにアクセスします。

ステップ 2

このタスクへの前提条件で関連付けを作成するために使用したアカウントの資格情報を使用してログインします。

ステップ 3

組織によって送信されたファイルを表示するか、SHA を使用して特定のファイルを検索します。

不明な点がある場合は、Secure Malware Analytics のマニュアルを参照してください。

キャプチャされたファイルワークフローの使用

管理対象デバイスは、ネットワークトラフィックで検出されたファイルをキャプチャすると、イベントをログに記録します。

（注）

デバイスがマルウェアを含むファイルをキャプチャすると、デバイスは、ファイルを検出した場合はファイルイベント、マルウェアを識別した場合はマルウェアイベントの 2 種類のイベントを生成します。

次の手順を使用して、テーブル内のキャプチャファイルの一覧を表示し、分析に関連する情報に基づいてイベントビューを操作します。キャプチャファイルにアクセスしたときに表示されるページは、ワークフローによって異なります。ワークフローは、大まかなビューから詳細なビューに移動してイベントを評価するために使用できる、一連のページです。また、特定のニーズを満たす情報だけを表示するカスタムワークフローを作成することもできます。

ファイルポリシーの更新など設定を変更した後に、システムがファイルを再キャプチャする場合、そのファイルの既存の情報が更新されます。

たとえば、[マルウェアクラウドルックアップ（Malware Cloud Lookup）] アクションを使用してファイルをキャプチャするようにファイルポリシーを設定した場合、システムはそのファイルと一緒にファイル処理と脅威スコアを保存します。その後、ファイルポリシーを更新し、新しい [ファイルの検出（Detect Files）] アクションのためにシステムが同じファイルを再キャプチャすると、システムはファイルの [最終変更時刻（Last Changed）] の値を更新します。ただし、別のマルウェアクラウドルックアップを実行しなかったとしても、システムは既存の処理や脅威スコアを削除しません。

始める前に

このタスクを実行するには、管理者ユーザーまたはセキュリティアナリストユーザーである必要があります。

手順

[分析（Analysis）] > [ファイル（Files）] > [キャプチャファイル（Captured Files）]を選択します。

ヒント

キャプチャされたファイルのフィールド

キャプチャされたファイルのテーブルビューは、定義済みファイルイベントのワークフローの最後のページであり、カスタムワークフローに追加できます。このテーブルビューには、ファイルテーブルの各フィールドの列が含まれます。

このテーブルを検索する場合、検索結果は、検索対象のイベントで使用可能なデータによって決まることに留意してください。使用可能なデータによって、検索の制約が適用されないことがあります。たとえば、ダイナミック分析のためにファイルが送信されていない場合は、関連する脅威スコアがない可能性があります。

表 7. キャプチャされたファイルのフィールド
フィールド	説明
アーカイブ検査ステータス（Archive Inspection Status）	アーカイブファイルのアーカイブ検査ステータスであり、次のいずれかになります。 [保留中（Pending）] は、システムがアーカイブファイルとその内容をまだ検査していることを示します。ファイルが再びシステムを通過すると、完全な情報が使用可能になります。 [抽出済み（Extracted）] は、アーカイブの内容を抽出し、検査できたことを示します。 [失敗（Failed）] は、まれなケースですが、システムが抽出を処理できない場合に発生します。 [深さ超過（Depth Exceeded）] は、許可されている最大深さを超えるネストされたアーカイブファイルがアーカイブに含まれていることを示します。 [暗号化（Encrypted）] は、アーカイブファイルの内容が暗号化されていて、検査できなかったことを示します。 [検査不可（Not Inspectable）] は、システムがアーカイブの内容を抽出して検査しなかったことを示しています。このステータスの主な理由としては、ポリシールールアクション、ポリシー設定、破損ファイルの 3 つがあります。アーカイブファイルの内容を表示するには、表で該当の行を右クリックしてコンテキストメニューを開いてから、[アーカイブの内容の表示（View Archive Contents）] を選択します。
カテゴリ	ファイルタイプの一般的なカテゴリ（Office ドキュメント、アーカイブ、マルチメディア、実行可能ファイル、PDF ファイル、エンコードファイル、グラフィック、システムファイルなど）。
検出名（Detection Name）	検出されたマルウェアの名前。
傾向（Disposition）	ファイルのマルウェア防御での性質： [マルウェア（Malware）] は、ファイルがローカルのマルウェア分析でマルウェアとして認識され、クラウドでマルウェアとして分類されていること、または、ファイルの脅威スコアが、ファイルポリシーで定義されたマルウェアしきい値を超えていることを示します。 [クリーン（Clean）] は、ファイルが AMP クラウドでクリーンとして分類されていること、または、ファイルをユーザがクリーンリストに追加したことを示します。 [不明（Unknown）] は、システムが AMP クラウドに問い合わせましたが、ファイルの傾向が割り当てられていないこと、つまり、ファイルが AMP クラウドで正しく分類されていないことを示します。 [カスタム検出（Custom Detection）] は、ファイルをユーザがカスタム検出リストに追加したことを示します。 [使用不可（Unavailable）] は、システムが AMP クラウドに問い合わせできなかったことを示します。この性質を持つイベントはごくわずかである可能性があります。これは予期された動作です。 [N/A] は、[ファイルを検出する（Detect Files）] または [ファイルをブロックする（Block Files）] ルールによってファイルが処理され、Secure Firewall Management Center が AMP クラウドに問い合わせなかったことを示します。
ドメイン（Domain）	キャプチャされたファイルが検出されたドメイン。このフィールドは、マルチテナンシーのために Management Center を設定したことがある場合に表示されます。
動的分析ステータス（Dynamic Analysis Status）	ファイルが動的分析のために送信されたかどうかを示すものであり、次の値のうちの 1 つ以上が表示されます。 [分析完了（Analysis Complete）]：ファイルがダイナミック分析のために送信され、脅威スコアおよびダイナミック分析のサマリーレポートを受け取りました。 [処理予定の容量（Capacity Handled）]：送信できなかったため、ファイルが保存されました。 [処理予定の容量（ネットワークの問題）（Capacity Handled (Network Issue)）]：ネットワーク接続の問題が原因で送信できなかったため、ファイルが保存されました。 [処理予定の容量（レート制限）（Capacity Handled (Rate Limit)）]：最大数に達したことが原因で送信できなかったため、ファイルが保存されました。 [非アクティブなデバイス（Device Not Activated）]：デバイスがオンプレミスの Secure Malware Analytics アプライアンスでアクティブになっていないため、ファイルが送信されません。このステータスが表示された場合は、サポート担当に連絡してください。 [失敗（分析タイムアウト）（Failure (Analysis Timeout)）]：ファイルが送信されましたが、まだ AMP から結果が返されていません。 [失敗（ファイル実行不可）（Failure (Cannot Run File)）]：ファイルが送信されましたが、AMP クラウドがテスト環境でファイルを実行できませんでした。 [失敗（ネットワークの問題）（Failure (Network Issue)）]：ネットワーク接続の問題のため、ファイルが送信されませんでした。 [分析のための送信なし（Not Sent for Analysis）]：ファイルが送信されませんでした。 [疑わしくないファイル（分析のための送信なし）（Not Suspicious (Not Sent For Analysis)）]：ファイルがマルウェアではないものとして事前に分類されています。 [以前に分析済み（Previously Analyzed）]：ファイルにキャッシュされた脅威スコアがあり、以前に送信されたことを示します。 [分析のために拒否（Rejected for Analysis）]：静的分析に基づいて、たとえば動的要素が含まれていないため、ファイルがリスクをもたらす可能性はほとんどありません。 [分析のために送信（Sent for Analysis）]：ファイルがマルウェアとして事前に分類されており、ダイナミック分析のためにキューに入れられました。
ダイナミック分析ステータスの変更（Dynamic Analysis Status Changed）	前回、ファイルのダイナミック分析のステータスが変更された日時。
ファイル名	ファイルの SHA-256 ハッシュ値に関連付けられているものとして最後に検出されたファイル名。
前回の変更（Last Changed）	このファイルに関連する情報が最後に更新された時刻。
最終送信日時（Last Sent）	ファイルが動的分析のために AMP クラウドに最後に送信された時刻。
ローカルマルウェア分析ステータス（Local Malware Analysis Status）	ローカルマルウェア分析が実行されたかどうかを示すものであり、次のいずれかになります。 [分析完了（Analysis Complete）]：ローカルマルウェア分析を使用してファイルが検査され、事前に分類されました。 [分析失敗（Analysis Failed）]：ローカルマルウェア分析を使用してファイルを検査しようとし、失敗しました。 [手動による要求の送信（Manual Request Submitted）]：ユーザがローカルマルウェア分析のためにファイルを送信しました。 [分析なし（Not Analyzed）]：システムでローカルマルウェア分析を使用してファイルが検査されませんでした。
SHA256	ファイルの SHA-256 ハッシュ値と、最後に検出されたファイルイベントおよびファイルの性質を表すネットワークファイルトラジェクトリアイコン。ネットワークファイルトラジェクトリを表示するには、トラジェクトリアイコンをクリックします。
ストレージステータス（Storage Status）	ファイルが管理対象デバイスに保存されているかどうかを示し、次のいずれかになります。ファイル保存済み（File Stored）保存なし（性質分析の保留）（Not Stored (Disposition Was Pending)）
脅威スコア（Threat Score）	このファイルに関連付けられている最新の脅威スコア。ダイナミック分析のサマリーレポートを表示するには、脅威スコアアイコンをクリックします。
タイプ	ファイルのタイプ（HTML や MSEXE など）。

保存されているファイルのダウンロード

デバイスによって保存されたファイルは、Secure Firewall Management Center がそのデバイスと通信可能であり、ファイルが削除されていない限り、長期間保存し分析するためにローカルホストにダウンロードし、手動でファイルを分析できます。関連ファイルイベント、マルウェアイベント、キャプチャファイルビュー、またはファイルのトラジェクトリからファイルをダウンロードできます。

マルウェアによる被害を防ぐため、デフォルトでは、ファイルのダウンロードのたびに確認を行う必要があります。ただし、この確認は [ユーザ設定（User Preferences）] で無効にすることもできます。

性質が使用不可のファイルにはマルウェアが含まれている可能性があるため、ファイルをダウンロードすると、システムはまずそのファイルを .zip パッケージにアーカイブします。.zip ファイル名には、ファイルの性質とファイルタイプ（存在する場合）さらに SHA-256 ハッシュ値が含まれます。誤って解凍してしまわないように、.zip ファイルをパスワードで保護できます。.zip ファイルのデフォルトパスワードは、[ユーザ設定（User Preferences）] で編集または削除できます。

注意	有害な結果が発生することがあるため、マルウェアをダウンロードしないように強くお勧めします。ファイルをダウンロードする際は、マルウェアが含まれている可能性があるので注意してください。ファイルをダウンロードする前に、ダウンロード先を保護するために必要な予防措置を行っていることを確認します。

分析用ファイルの手動での送信

分析用ファイルを手動で送信すると、システムはローカル分析を実行してから、それらのファイルをダイナミック分析対象としてクラウドに送信します。ただし、ローカル分析がファイルポリシーで有効になっておらず、分析用のファイルを手動で送信する場合は、ファイルが動的分析用としてしか送信されません。

実行可能ファイルの他に、自動送信に適格ではないファイルタイプ（.swf、.jar など）も送信できます。これにより、ファイルの性質に関わらず、さまざまなファイルをより迅速に分析し、問題の正確な原因を突き止めることができます。

（注）

動的分析に適格なファイルタイプのリストと送信可能な最小および最大のファイルサイズに関して更新がないか、システムは AMP クラウドを検査します（この検査は、一日に 1 回だけ行われます）。

分析用ファイルを送信する方法は、状況により、次の 2 種類があります。

始める前に

分析用にキャプチャしたファイルを手動で送信するには、ファイルを保存するように 1 つまたは複数のファイルルールを設定する必要があります。詳細については、Cisco Secure Firewall Management Center デバイス構成ガイドの「Network Malware Protection and File Policies」の章を参照してください。

手順

ステップ 1

1 つの分析用ファイルを送信する場合：

次のいずれかを選択します。
- [分析（Analysis）] > [ファイル（Files）] > [ファイルイベント（File Events）]
- [分析（Analysis）] > [ファイル（Files）] > [マルウェアイベント（Malware Events）]
- [分析（Analysis）] > [ファイル（Files）] > [キャプチャファイル（Captured Files）]
[イベントタイプまたはファイル（Event type or files）] の [テーブルビュー（Table View）] をクリックします。
テーブル内のファイルを右クリックし、[ファイルの分析（Analyze file）] を選択します。

ステップ 2

複数のキャプチャした分析用ファイル（一度に最大 25 ファイル）を送信しる場合：

[分析（Analysis）] > [ファイル（Files）] > [キャプチャファイル（Captured Files）] を選択します。
分析する各ファイルの横にあるチェックボックスをオンにします。
[Analyze（分析）] をクリックします。

ネットワークファイルトラジェクトリ

ネットワークファイルのトラジェクトリ機能は、ネットワーク全体でホストがどのようにファイル（マルウェアファイルを含む）を転送したかをマッピングします。トラジェクトリは、ファイル転送データ、ファイルの性質、ファイル転送がブロックされたかどうか、ファイルが隔離されたかどうかをグラフに示します。これにより、マルウェアを転送したおそれのあるホストおよびユーザやリスクがあるホストがどれであるかを判定したり、ファイル転送の傾向を観測したりできます。

AMP クラウドで性質が割り当てられているファイルであれば、どのファイルの送信でも追跡できます。システムは、マルウェア防御と Cisco Secure Endpoint の両方によるマルウェアの検出およびブロック情報を使用して、トラジェクトリを作成します。

最近検出されたマルウェアおよび分析済みトラジェクトリ

[ネットワークファイルトラジェクトリリスト（Network File Trajectory List）] ページには、ネットワークで最近検出されたマルウェアと最後に表示したトラジェクトリマップのファイルが表示されます。これらのリストから、ネットワークで各ファイルが最後に発見されたのはいつか、ファイルの SHA-256 のハッシュ値、名前、タイプ、現在のファイルの性質、内容（アーカイブファイルの場合）、ファイルに関連付けられたイベント数を確認できます。

また、このページに含まれる検索ボックスを使用して、SHA-256 ハッシュ値またはファイル名を基準に、あるいはファイルを送信または受信するホストの IP アドレスによってファイルを見つけることができます。ファイルを見つけた後、[ファイル SHA256（File SHA256）] 値をクリックすると詳細なトラジェクトリマップが表示されます。

ネットワークファイルトラジェクトリの詳細ビュー

詳細なネットワークファイルトラジェクトリを表示して、ネットワーク全体でファイルを追跡できます。ファイルの SHA 256 値を検索するか、[ネットワークファイルトラジェクトリ（Network File Trajectory）] リスト内の [ファイルの SHA 256（File SHA 256）] リンクをクリックして、そのファイルに関する詳細を表示します。

ネットワークファイルトラジェクトリの詳細ページには、3 つの部分があります。

サマリー情報：ファイルのトラジェクトリページには、ファイルに関するサマリー情報（ファイル識別情報、ネットワーク上でファイルが最初に表示された時間および最後に表示された時間と表示したユーザ、ファイルに関連したイベントおよびホストの数、ファイルの現在の性質など）が表示されます。このセクションから、管理対象デバイスがファイルを保存した場合に、そのファイルをローカルにダウンロードしたり、ファイルを動的分析用に送信したり、ファイルをファイルリストに追加したりできます。
トラジェクトリーマップ：ファイルのトラジェクトリマップは、ネットワークで最初に検出された時点から直近までファイルを視覚的に追跡します。このマップは、ホストがファイルを転送または受信した時点、ファイルを転送した頻度、ファイルがブロックまたは隔離された時点を示します。データポイント間の縦線は、ホスト間のファイル転送を表します。データポイントをつなぐ横棒は、時間の経過に応じたホストのファイルアクティビティを示します。

また、そのファイルでファイルイベントが発生した頻度や、システムがファイルに性質または遡及的性質を割り当てた時点についても示します。マップでデータポイントを選択し、ホストがそのファイルを転送した最初のインスタンスに遡るパスを強調表示できます。また、このパスは、ファイルの送信側または受信側としてホストが関与する各オカレンスと交差します。このパスにより、関与するユーザが識別されます。
関連イベント：[イベント（Events）] テーブルに、マップ内の各データポイントに関するイベント情報がリストされます。テーブルおよびマップを使用して、特定のファイルイベント、このファイルを転送または受信したネットワーク上のホストとユーザー、マップ内の関連するイベント、選択した値で制限されたテーブル内の他の関連するイベントを特定することができます。

ネットワークファイルトラジェクトリのサマリー情報

次の概要情報は、ネットワークファイルトラジェクトリのリストに表示されるファイルの詳細ページの上部に表示されます。

ヒント

関連するファイルイベントを表示するには、フィールド値のリンクをクリックします。ファイルイベントのデフォルトのワークフローの最初のページが新しいウィンドウで開き、選択した値を含むすべてのファイルイベントも表示されます。

表 8. ネットワークファイルトラジェクトリのサマリー情報フィールド
名前	説明
コンテンツのアーカイブ（Archive Contents）	検査されたアーカイブファイルで、アーカイブに含まれているファイルの数。
現在の性質（Current Disposition）	次のいずれかのマルウェア防御ファイルの性質です。 `マルウェア（Malware）`：ファイルが AMP クラウドでマルウェアと分類されていること、ローカルマルウェア分析でマルウェアとして識別されたこと、またはファイルの脅威スコアがファイルポリシーに定義されたマルウェアのしきい値を超えたこと示します。 [クリーン（Clean）]：AMP クラウドでそのファイルがクリーンとして分類されているか、ユーザがファイルをクリーンリストに追加したことを示します。 `不明（Unknown）`：システムは AMP クラウドでファイルの性質をクエリしましたが、ファイルには性質が割り当てられていませんでした。言い換えると、AMP クラウドがファイルを分類できませんでした。 `カスタム検出（Custom Detection）`：ユーザがカスタム検出リストにファイルを追加したことを示します。 `利用不可（Unavailable）`：システムが AMP クラウドでクエリを行えなかったことを示します。この性質を持つイベントはごくわずかである可能性があります。これは予期された動作です。 [該当なし（N/A）]：[ファイル検出（Detect Files）] または [ファイルブロック（Block Files）] ルールがファイルを処理し、Secure Firewall Management Center が AMP クラウドに問い合わせなかったことを示します。
検出名（Detection Name）	ローカルマルウェア分析によって検出されたマルウェアの名前。
イベントカウント（Event Count）	ファイルに関連付けられたネットワークで発見されたイベントの数、検出されたイベントの数が 250 を超える場合は、マップに表示されるイベントの数。
ファイルカテゴリ（File Category）	ファイルタイプの一般的なカテゴリ（`Office Documents` や `System Files` など）。
ファイル名（File Names）	ネットワーク上で発見された、イベントに関連したファイルの名前。複数のファイル名が SHA-256 ハッシュ値に関連付けられている場合、最後に検出されたファイル名がリストされます。[詳細（more）] をクリックすると、これが展開されて、残りのファイル名が表示されます。
[ファイルSHA256（File SHA256）]	ファイルの SHA-256 ハッシュ値。デフォルトで、ハッシュは簡略化された形式で表示されます。完全なハッシュ値を表示するには、その上にポインタを移動させます。複数の SHA-256 ハッシュ値がファイル名に関連付けられている場合、リンクの上にポインタを移動されると、すべてのハッシュ値が表示されます。
[ファイルサイズ（File Size）（KB）]	ファイルのサイズ（KB 単位）。
ファイルタイプ（File Type）	ファイルのタイプ（`HTML` や `MSEXE` など）。
最初の確認日時（First Seen）	マルウェア防御または Cisco Secure Endpoint による初めてのファイル検出に加えて、ファイルを初めてアップロードしたホストの IP アドレス、および関与するユーザーの識別情報。
Last Seen	マルウェア防御または Cisco Secure Endpoint による最新のファイル検出に加えて、ファイルを最後にダウンロードしたホストの IP アドレス、および関与するユーザーの識別情報。
親アプリケーション（Parent Application）	Cisco Secure Endpoint による検出が行われたときに、マルウェアファイルにアクセスしていたクライアントアプリケーション。これらのアプリケーションはネットワーク検出またはアプリケーション制御とは関係ありません。
表示日（Seen On）	ファイルを送信または受信したホストの数。1 つのホストが 1 つのファイルのアップロードおよびダウンロードを時を異にして行う場合があるため、ホストの合計数が、[送受信ホスト数の内訳（Seen On Breakdown）] フィールドの送信側の総数と受信側の総数の合計と一致しないことがあります。
分析（Seen On Breakdown）	ファイルを送信したホストの数とファイルを受信したホストの数。
脅威名（Threat Name）	エンドポイント向け AMP によって検出されたマルウェアに関連付けられている脅威の名前。
脅威スコア（Threat Score）	ファイルの脅威スコア。

ネットワークファイルトラジェクトリマップと関連イベントリスト

ファイルトラジェクトリマップの Y 軸には、ファイルと対話したすべてのホストの IP アドレスがリストされます。IP アドレスは、システムがそのホストでファイルを最初に検出した時点に基づいて降順でリストされます。各行には、その IP アドレスに関連付けられたすべてのイベント（単一のファイルイベント、ファイル転送、レトロスペクティブイベント）が含まれます。X 軸には、システムが各イベントを検出した日時が含まれます。タイムスタンプは時間順にリストされます。複数のイベントが 1 分以内に発生する場合、すべてが同じ列内にリストされます。マップを左右および上下にスクロールして、イベントおよび IP アドレスをさらに表示できます。

マップには、ファイルの SHA-256 ハッシュに関連した最大 250 のイベントが表示されます。イベントが 250 を超える場合、マップには最初の 10 個が表示され、余分のイベントは省略されて矢印が示されます。その後ろに、マップは残りの 240 個のイベントを表示します。

デフォルトの [File Events（ファイルイベント）] ワークフローの最初のページが新しいウィンドウで開き、ファイルタイプに基づいて制限されて、すべての余分のイベントが表示されます。Cisco Secure Endpoint によって生成されたマルウェアイベントが表示されない場合、[マルウェアイベント（Malware Events）] テーブルに切り替えてそれらを表示する必要があります。

各データポイントは、イベントの他にファイル性質を表しています。マップの下の凡例を参照してください。たとえば、[マルウェアブロック（Malware Block）] イベントアイコンは、[悪意のある性質（Malicious Disposition）] アイコンと [ブロックイベント（Block Event）] アイコンを結合したものです。

Cisco Secure Endpoint によって生成されたマルウェアイベント（「エンドポイントベースのマルウェアイベント」）には 1 つのアイコンが含まれています。レトロスペクティブイベントでは、ファイルで検出された各ホストのコラムにアイコンが表示されます。ファイル転送イベントでは、縦線でつながれた 2 つのアイコン（ファイル送信アイコンとファイル受信アイコン）が常に含まれます。矢印は、送信側から受信側へのファイル転送方向を示します。

ネットワークを介したファイルの進行状況を追跡するために、データポイントをクリックして、選択したデータポイントに関連するすべてのデータポイントを含むパスを強調表示できます。これには、次のタイプのイベントに関連付けられたデータポイントが含まれます。

関連付けられている IP アドレスが送信側または受信側だったファイル転送
関連付られた IP アドレスを含めて、Cisco Secure Endpoint によって生成されたマルウェアイベント（「エンドポイントベースのマルウェアイベント」）
別の IP アドレスが関係する場合、その関連する IP アドレスが送信側または受信側であったすべてのファイル転送
別の IP アドレスが関係していた場合、その他方の IP アドレスが関係する Cisco Secure Endpoint によって生成されたマルウェアイベント（「エンドポイントベースのマルウェアイベント」）

強調表示されたデータポイントに関連付けられたすべての IP アドレスとタイムスタンプも強調表示されます。[イベント（Events）] テーブルの対応するイベントも強調表示されます。省略されたイベントがパスに含まれている場合、そのパス自体が点線で強調表示されます。省略されたイベントがパスを交差している場合がありますが、マップに表示されません。

ネットワークファイルトラジェクトリの使用

ヒント

組織で Secure Endpoint を展開している場合、その製品にはネットワークファイルトラジェクトリ機能もあります。Management Center から Secure Endpoint にピボットするには、Secure Endpoint コンソールでのイベントデータの使用を参照してください。Secure Endpoint のファイルトラジェクトリ機能の詳細については、Secure Endpoint のマニュアルを参照してください。

始める前に

マルウェア防御を使用している場合は、マルウェア防御ライセンスが必要です。

このタスクを実行するには、管理者ユーザーまたはセキュリティアナリストユーザーである必要があります。

手順

ステップ 1

[分析（Analysis）] > [ファイル（Files）] > [ネットワークファイルトラジェクトリ（Network File Trajectory）]を選択します。

ヒント

また、ファイル情報を使用して、コンテキストエクスプローラ、ダッシュボード、またはイベントビューからファイルのトラジェクトリにアクセスできます。

ステップ 2

リストの [ファイル SHA 256（File SHA 256）] リンクをクリックします。

ステップ 3

オプションで、追跡するファイルの完全な SHA-256 ハッシュ値、ホスト IP アドレス、またはファイル名を検索フィールドに入力して、Enter を押します。

ヒント

1 つの結果だけが一致する場合、そのファイルの [ネットワークファイルトラジェクトリ（Network File Trajectory）] ページが表示されます。

ステップ 4

[サマリー情報（Summary Information）] セクションでは、以下を実行できます。

ファイルリストにファイルを追加する：クリーンリストまたはカスタム検出リストにファイルを追加したり、ファイルを削除したりするには、[編集（Edit）] （）をクリックします。
ファイルをダウンロードする：ファイルをダウンロードするには、[ダウンロード（Download）]（アイコン）をクリックし、プロンプトが表示されたら、ファイルをダウンロードすることを確認します。ファイルをダウンロードできない場合、このダウンロードファイルは淡色表示されます。
レポートする：脅威スコアをクリックすると、動的分析サマリーレポートが表示されます。
動的分析のために送信する：AMP クラウドをクリックすると、動的分析のためにファイルを送信できます。ファイルを送信できない場合、または AMP クラウドに接続できない場合は、この AMP クラウドは淡色表示されます。
アーカイブの内容を表示する：アーカイブファイルの内容に関する情報を表示するには、[表示（View）]（）をクリックします。
ファイル構成を表示する：ファイルの構成を表示するには、ファイルリストをクリックします。システムがファイル構成レポートを生成していなければ、このファイルリストは淡色表示されます。
同じ脅威スコアでキャプチャされたファイルを表示する：脅威スコアリンクをクリックすると、その脅威スコアでキャプチャされたすべてのファイルが表示されます。

（注）

有害な結果が発生することがあるため、マルウェアをダウンロードしないように強くお勧めします。ファイルをダウンロードする際は、マルウェアが含まれている可能性があるので注意してください。ファイルをダウンロードする前に、ダウンロード先を保護するために必要な予防措置を行っていることを確認します。

ステップ 5

トラジェクトリマップでは、以下を実行できます。

最初のインスタンスを見つける：IP アドレスをクリックして、IP アドレスが含まれる、最初に発生したファイルイベントを見つけます。これにより、そのデータポイントへのパスが強調表示され、その最初のファイルイベントに関連した仲介ファイルイベントと IP アドレスがあればそれも強調表示されます。[イベント（Events）] テーブルの対応するイベントも強調表示されます。そのデータポイントが現在表示されていない場合、表示されるまでマップがスクロールされます。
追跡する：データポイントをクリックすると、選択したデータポイントに関連するすべてのデータポイントが含まれるパスが強調表示されます。これにより、ネットワークを介してファイルの進捗を追跡できます。
非表示のイベントを表示する：矢印をクリックすると、[ファイルサマリー（File Summary）] イベントビューに表示されていないすべてのイベントが表示されます。
ファイルの一致イベントを表示する：ファイルの一致イベントの上にポインタを合わせると、イベントのサマリー情報が表示されます。いずれかのイベントサマリー情報リンクをクリックすると、デフォルトの [ファイルイベント（File Events）] ワークフローの最初のページが新しいウィンドウで開き、そのファイルタイプのすべての余分のイベントが表示されます。[ファイルサマリー（File Summary）] イベントビューが新しいウィンドウで表示され、クリックした条件値に一致するすべてのファイルイベントが表示されます。

ステップ 6

[イベント（Events）] テーブルでは、以下を実行できます。

強調表示：テーブル行を選択すると、マップ上のデータポイントが強調表示されます。選択したファイルイベントが現在表示されていない場合、表示されるまでマップがスクロールされます。
ソート：カラム見出しをクリックすると、昇順または降順で情報をソートできます。

Secure Endpoint コンソールでのイベントデータの使用

組織で Secure Endpoint を導入している場合は、Secure Endpoint コンソールでのマルウェアイベントデータを表示して、当該アプリケーションのグローバルネットワークファイルトラジェクトリツールを使用することができます。

ヒント

Secure Endpoint とそのコンソールの使用については、コンソールのオンラインヘルプや、https://www.cisco.com/c/en/us/support/security/fireamp-endpoints/tsd-products-support-series-home.html で入手可能なその他のドキュメンテーションを参照してください。

Secure Firewall Management Center から Secure Endpoint コンソールにアクセスするには、次のいずれかを実行します。

始める前に

Secure Endpoint への接続が設定され（『Cisco Secure Firewall Management Center デバイス構成ガイド』の「Integrate Firepower and Secure Endpoint」を参照してください）、Secure Firewall Management Center が AMP クラウドに接続可能になっている必要があります。
Secure Endpoint の資格情報が必要です。
このタスクを実行するには、管理者ユーザーである必要があります。
Management Center のマルウェアイベントからピボットする場合は、Secure Endpoint のコンテキストクロス起動オプションが適切に有効になっていることを確認します。Web ベースのリソースを使用したイベントの調査の各トピックを参照してください。

手順

ステップ 1

方法 1：

[統合（Integration）] > [AMP] > [AMP管理（AMP Management）]を選択します。
テーブルでクラウド名をクリックします。

ステップ 2

方法 2：

[Analysis（分析）] > [ファイル（Files）] にあるテーブルで、マルウェアイベントに移動します。
ファイル SHA を右クリックし、Secure Endpoint オプションを選択します。

ファイルおよびマルウェアイベントとネットワークファイルトラジェクトリの履歴


機能	最小 Management Center	最小 Threat Defense	詳細
ファイルおよびマルウェアイベントに含まれる MITRE 情報。	7.4	7.4	ファイルおよびマルウェアイベントに MITRE 情報（ローカルマルウェア分析結果）が含まれるようになりました。MITRE 情報は、クラシックイベントビューと統合イベントビューの両方で表示できます。MITRE 列は、両方のイベントビューでデフォルトで非表示になっていることに注意してください。
動的分析のためのファイルの事前分類の改善。	6.7	任意（Any）	追加の評価により、動的分析のためにファイルを不必要に送信することが回避されます。この評価に基づいてクラウドに送信されなかったファイルの新しい動的分析ステータスは、[分析のために拒否（Rejected for Analysis）] です。新規/変更された画面：[分析（Analysis）] > [キャプチャされたファイル（Captured Files）] > [キャプチャされたファイルのテーブルビュー（Table View of Captured Files）]
Syslog の接続イベントの固有識別子。	6.4.0.4	任意（Any）	syslog の [DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを一意に識別できます。これらのフィールドは、ファイルおよびマルウェアイベントの syslog に含まれます。
Syslog を介してファイルイベントおよびマルウェアイベントを送信します。	6.4	任意（Any）	この章のフィールドの説明は、syslog メッセージに含まれるフィールドを指しています。設定情報については、ファイルとマルウェアイベントの syslog の設定場所を参照してください。

Cisco Secure Firewall Management Center 7.4 管理ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： ファイル イベント/マルウェア イベントとネットワーク ファイル トラジェクトリ

ファイル イベント/マルウェア イベントとネットワーク ファイル トラジェクトリ