侵入イベント

以下のトピックでは、侵入イベントを操作する方法について説明します。

侵入イベントについて

システムは、ホストとそのデータの可用性、整合性、および機密性に影響する可能性のあるトラフィックがないかどうか、ネットワークをモニターするのに役立ちます。主要なネットワークセグメントに管理対象デバイスを配置すると、悪意のあるアクティビティを目的としてネットワークを通過するパケットを検査できます。このシステムには、攻撃者が開発したさまざまなエクスプロイトを検索するのに使用できるいくつかのメカニズムがあります。

システムは、潜在的な侵入を特定すると侵入イベント（古い用語で「IPS イベント」と呼ばれることもあります）を生成します。これは、エクスプロイトの日付、時間、タイプ、および攻撃元とそのターゲットに関するコンテキスト情報のデータです。パケットベースのイベントの場合、イベントをトリガーとして使用したパケットのコピーも記録されます。管理対象デバイスは、Secure Firewall Management Center にイベントを送信します。ここで、集約データを確認し、ネットワークアセットに対する攻撃を的確に把握できます。

管理対象デバイスをインライン、スイッチド、またはルーテッドの侵入システムとして展開することもできます。これにより、危険だと認識したパケットをドロップまたは置換するようデバイスを設定できます。

侵入イベントを確認および評価するためのツール

侵入イベントを検討し、それらがネットワーク環境やセキュリティポリシーの観点から重要かどうかを評価するために、次のツールを使用できます。

管理対象デバイスでの現在のアクティビティの概要について説明するイベント要約ページ
選択した任意の期間に生成できるテキストベースおよびグラフィカルなレポート。独自のレポートを設計し、スケジュールされた間隔で実行されるよう設定することもできます
攻撃に関連したイベントデータの収集に使用できるインシデント処理ツール。調査や応答のトラッキングに役立つ注記を追加することもできます
SNMP、電子メール、および syslog で設定できる自動アラート
特定の侵入イベントに対する応答や修復に使用できる自動化された相関ポリシー
データをドリルダウンして、さらに調査したいイベントを特定するのに使用できる定義済みカスタムワークフロー
データを管理および分析するための外部ツール。syslog、eStreamer を使用して、これらのツールにデータを送信できます。詳細については、外部ツールを使用したイベントの分析を参照してください。

また、[分析（Analysis）] > [詳細（Advanced）] > [状況に応じた相互起動（Contextual Cross-Launch）] ページで、事前定義されたリソースなどの公開情報を使用して、悪意のあるエンティティについて詳しく知ることができます。

特定のメッセージ文字列を検索し、イベントを生成したルールのドキュメントを取得するには、https://www.snort.org/rule_docs/ を参照してください。

侵入イベントのライセンス要件

Threat Defense ライセンス

IPS

従来のライセンス

保護

侵入イベントの要件と前提条件

モデルのサポート

任意

サポートされるドメイン

任意

ユーザの役割

管理者
侵入管理者

侵入イベントの表示

侵入イベントは、ネットワークセキュリティに対する脅威があるかどうかを判断するために表示します。

初期の侵入イベントビューは、ページにアクセスするために使用するワークフローによって異なります。1 つ以上のドリルダウンページ、侵入イベントのテーブルビュー、および終了パケットビューを含む、定義済みワークフローの 1 つを使用するか、独自のワークフローを作成できます。カスタムテーブルに基づいてワークフローを表示することもできます。これには、侵入イベントを含めることができます。

大量の IP アドレスが含まれている状態で、[IP アドレスの解決（Resolve IP Addresses）] イベントビュー設定が有効になっていると、イベントビューの表示が遅くなる場合があります。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

手順

ステップ 1

[分析（Analysis）] > [侵入（Intrusions）] > [イベント（Events）]を選択します。

ステップ 2

次の選択肢があります。

時間範囲の調整：時間枠の変更の説明に従って、イベントビューの時間範囲を調整します。
ワークフローの変更：侵入イベントのテーブルビューが含まれないカスタムワークフローを使用している場合、ワークフローのタイトルの横にある [(ワークフローの切り替え)（(switch workflow)）] をクリックして、システム提供のワークフローのいずれかを選択します。
制約：表示する対象を分析において重要な侵入イベントに狭めるには、侵入イベントワークフローの使用を参照してください。
イベントの削除：データベースからイベントを削除するには、[削除（Delete）] をクリックして表示しているパケットのイベントを削除するか、[すべて削除（Delete All）] をクリックして以前に選択したパケットのすべてのイベントを削除します。
確認済みのマークを付ける：侵入イベントに確認済みのマークを付けるには、侵入イベントを確認済みとしてマークを参照してください。
接続データの表示：侵入イベントに関連付けられた接続データを表示するには、侵入イベントに関連付けられた接続データの表示を参照してください。
内容の表示：侵入イベントフィールドの説明に従ってテーブルのカラムの内容を表示します。

侵入イベントのフィールドについて

システムは、潜在的な侵入を特定すると侵入イベントを生成します。これは、エクスプロイトの日付、時間、タイプ、および攻撃元とそのターゲットに関するコンテキスト情報のデータです。パケットベースのイベントの場合、イベントをトリガーとして使用したパケットのコピーも記録されます。

侵入イベントデータは [分析（Analysis）] ト> [侵入（Intrusions）] > [イベント（Events）] で Secure Firewall Management Center Web インターフェイスでに表示できます。または外部ツールを使用して使用状況の syslog メッセージの特定のフィールドからデータをエミットします。Syslog のフィールドは下のリストに示されます。同等の syslog がリストされていないフィールドは、syslog メッセージでは使用可能できません。

侵入イベントを検索するときは、個別のイベントで利用可能な情報は、システムがいつ、なぜ、どのようにしてイベントを記録したかによって異なることに注意してください。たとえば、復号化されたトラフィックでトリガーされた侵入イベントだけが TLS/SSL 情報を含んでいます。

（注）

Secure Firewall Management Center の Web インターフェイスの侵入イベントのテーブルビューの一部のフィールドはデフォルトで無効になっています。セッション中にフィールドを有効にするには、検索制約を拡張してから、[無効の列（Disabled Columns）] の下の列名をクリックします。

侵入イベントフィールド

[アクセスコントロールポリシー（Access Control Policy）]（syslog：ACPolicy）

イベントを生成した侵入ルール、プリプロセッサルール、またはデコーダルールが有効になっている侵入ポリシーに関連付けられているアクセスコントロールポリシー。

アクセスコントロールルール（Syslog：AccessControlRuleName）

イベントを生成した侵入ルールを呼び出したアクセスコントロールルール。[デフォルトアクション（Default Action）] は、ルールが有効化されている侵入ポリシーが特定のアクセスコントロールルールに関連付けられておらず、代わりに、アクセスコントロールポリシーのデフォルトアクションとして設定されていることを示しています。

次の場合、このフィールドは空になります（または、syslog メッセージの場合は省略されます）。

関連ルール/デフォルトアクションなし：侵入インスペクションは、アクセス制御ルールにもデフォルトアクションにも関連付けられていません。たとえば、システムが適用するルールを決定する前に通過する必要があるパケットを処理するために指定された侵入ポリシーによってパケットが検査された場合が該当します。(このポリシーは、アクセス制御ポリシーの [詳細（Advanced）] タブで指定されます。)
[関連付けられている接続イベントなし（No associated connection event）]：セッションに記録された接続イベントがデータベースから消去されている場合。たとえば、接続イベントに侵入イベントよりも高いターンオーバーがある場合などです。

[アプリケーションプロトコル（Application Protocol）]（syslog：ApplicationProtocol）

（使用可能な場合）侵入イベントをトリガーとして使用したトラフィックで検出されたホスト間の通信を表す、アプリケーションプロトコル。

アプリケーションプロトコルカテゴリおよびタグ（Application Protocol Category and Tag）

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

アプリケーションのリスク（Application Risk）

侵入イベントをトリガーしたトラフィックで検出されたアプリケーションに関連付けられているリスク。[非常に高い（Very High）]、[高（High）]、[中（Medium）]、[低（Low）]、および [非常に低い（Very Low）]。接続で検出されるアプリケーションのタイプごとに関連するリスクがあります。このフィールドは、それらのうち最も高いリスクを表示します。

ビジネスとの関連性（Business Relevance）

侵入イベントをトリガーしたトラフィックで検出されたアプリケーションに関連付けられているビジネスとの関連性。[非常に高い（Very High）]、[高（High）]、[中（Medium）]、[低（Low）]、および [非常に低い（Very Low）]。接続で検出されるアプリケーションのタイプごとに関連するビジネスとの関連性があります。このフィールドは、それらのうち最も低い（関連性が最も低い）ものを表示します。

[分類（Classification）]（syslog：Classification）

イベントを生成したルールが属する分類。

侵入イベント詳細で使用可能な分類値のリストを参照してください。

このフィールドを検索するときは、表示するイベントを生成したルールの分類番号を入力するか、分類名または説明のすべてまたは一部を入力します。また、番号、名前、または説明のコンマ区切りリストを入力することもできます。最後に、カスタム分類を追加した場合、その名前または説明のすべてまたは一部を使用して検索することもできます。

[クライアント（Client）]（syslog：Client）

（使用可能な場合）侵入イベントをトリガーとして使用したトラフィックで検出されたモニター対象のホストで実行されているソフトウェアを表す、クライアントアプリケーション。

クライアントカテゴリおよびタグ（Client Category and Tag）

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

Connection Counter （Syslog のみ）

ある接続と別の同時接続を区別するカウンタ。このフィールドは、それ自体には意味がありません。

[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、特定の侵入イベントに関連付けられた接続イベントを識別できます。

Connection Instance ID （Syslog のみ）

接続イベントを処理した Snort インスタンス。このフィールドは、それ自体には意味がありません。

カウント（Count）

各行に表示される情報と一致するイベントの数。[カウント（Count）] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。このフィールドは検索できません。

CVE ID

このフィールドは検索フィールド専用です。

MITRE の Common Vulnerabilities and Exposures（CVE）データベース（https://cve.mitre.org/）の脆弱性に関連付けられた識別番号による検索。

送信先の大陸（Destination Continent）

侵入イベントに関連する受信ホストの大陸。

送信先の国（Destination Country）

侵入イベントに関連する受信ホストの国。

宛先ホスト重要度（Destination Host Criticality）

イベントが生成されたときの宛先ホスト重要度（対応するホストのホスト重要度属性の値）。

ホストの重要度が変更されても、このフィールドは更新されないことに注意してください。ただし、新しいイベントは新しい重要度の値になります。

[宛先 IP（Destination IP）]（syslog：DstIP）

侵入イベントに関連する受信ホストが使用する IP アドレス。

イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。

[宛先ポート/ICMP コード（Destination Port / ICMP Code）]（syslog：DstPort、ICMPCode）

トラフィックを受信するホストのポート番号。ICMP トラフィックの場合は、ポート番号がないため、このフィールドには ICMP コードが表示されます。

宛先ユーザー（Destination User）

接続イベントのレスポンダー IP に関連付けられたユーザー名。このホストは、エクスプロイトを受信するホストである場合とそうでない場合があります。この値は、通常、ネットワーク上のユーザーだけに知らされます。

。

イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。

デバイス

アクセスコントロールポリシーが展開された管理対象デバイス。

DeviceUUID （Syslog のみ）

イベントを生成した Firepower デバイスの一意の識別子。

ドメイン（Domain）

侵入を検出したデバイスのドメイン。このフィールドは、マルチテナンシーのために Management Center を設定したことがある場合に表示されます。

[出力インターフェイス（Egress Interface）]（syslog：EgressInterface）

イベントをトリガーとして使用したパケットの出力インターフェイス。パッシブインターフェイスの場合、このインターフェイスの列には入力されません。

[出力セキュリティゾーン（Egress Security Zone）]：（syslog：EgressZone）

イベントをトリガーとして使用したパケットの出力セキュリティゾーン。パッシブ展開環境では、このセキュリティゾーンのフィールドには入力されません。

[出力仮想ルータ（Egress Virtual Router）]

仮想ルーティングを使用するネットワークでは、トラフィックがネットワークから出るときに通過する仮想ルータの名前。

電子メールの添付ファイル（Email Attachments）

[MIME コンテンツ - 傾向（MIME Content-Disposition）] 見出しから取得された MIME 添付ファイル名。添付ファイルの名前を表示するには、SMTP プリプロセッサの [MIME 添付ファイル名のログ（Log MIME Attachment Names）] オプションを有効にする必要があります。複数の添付ファイル名がサポートされます。

電子メールのヘッダー（Email Headers）

このフィールドは検索フィールド専用です。

電子メールのヘッダーから取得したデータ。

電子メールのヘッダーを SMTP トラフィックの侵入イベントと関連付けるには、SMTP プリプロセッサの [ヘッダーのログ（Log Headers）] オプションを有効にする必要があります。

メール受信者（Email Recipient）

SMTP RCPT TO コマンドから取得された電子メール受信者のアドレス。このフィールドの値を表示するには、SMTP プリプロセッサの [受信者アドレスのログ（Log To Addresses）] オプションを有効にする必要があります。複数の受信者アドレスがサポートされます。

メール送信者（Email Sender）

SMTP MAIL FROM コマンドから取得された電子メール送信者のアドレス。このフィールドの値を表示するには、SMTP プリプロセッサの [送信者アドレスのログ（Log From Address）] オプションを有効にする必要があります。複数の送信者アドレスがサポートされます。

First Packet Time （Syslog のみ）

システムが最初のパケットを検出した時間。

ジェネレータ（Generator）

イベントを生成したコンポーネント。

次の侵入イベントフィールドに関する情報も参照してください。[GID]、[メッセージ（Message）]、および [Snort ID]

GID（syslog のみ）

ジェネレータ ID。イベントを生成したコンポーネントの ID。

次の侵入イベントフィールドに関する情報も参照してください。[ジェネレータ（Generator）]、[メッセージ（Message）]、および [Snort ID]

HTTP ホスト名（HTTP Hostname）

HTTP 要求のホスト見出しから取得されたホスト名（存在する場合）。要求パケットにホスト名が常に含まれているわけではないことに注意してください。

ホスト名を HTTP クライアントトラフィックの侵入イベントと関連付けるには、HTTP 検査プリプロセッサの [ホスト名のログ（Log Headers）] オプションを有効にする必要があります。

テーブルビューで、この列には、取得されたホスト名の最初の 50 文字が表示されます。ホストの省略名の表示部分にポインタを合わせると、最大 256 バイトまでの完全な名前を表示することができます。また、最大 256 バイトまでの完全なホスト名をパケットビューに表示することもできます。

[HTTP 応答コード（HTTP Response Code）]（syslog：HTTPResponse）

イベントをトリガーした接続を介してクライアントの HTTP 要求に応答して送信される HTTP ステータスコード。

HTTP URI

（存在する場合）侵入イベントをトリガーとして使用した HTTP 要求パケットに関連付けられた raw URI。要求パケットに URI が常に含まれているわけではないことに注意してください。

URI を HTTP クライアントトラフィックの侵入イベントと関連付けるには、HTTP 検査プリプロセッサの [URI のログ（Log URI）] オプションを有効にする必要があります。

HTTP 応答によってトリガーとして使用された侵入イベントの関連 HTTP URI を参照するには、[両方のポートでのストリーム再構成の実行（Perform Stream Reassembly on Both Ports）] オプションに HTTP サーバのポートを設定する必要があります。ただし、これにより、トラフィックのリアセンブル用のリソース要求が増加することに注意してください。

この列には、取得された URI の最初の 50 文字が表示されます。省略 URI の表示部分にポインタを合わせると、最大 2048 バイトまでの完全な URI を表示することができます。また、最大 2048 バイトまでの完全な URI をパケットビューに表示することもできます。

影響（Impact）

このフィールドの影響レベルは、侵入データ、ネットワーク検出データ、脆弱性情報との関係を示します。

このフィールドを検索するときは、影響アイコンの色または一部の文字列を指定しないでください。たとえば、blue、level 1、または 0 を使用しないでください。有効な大文字と小文字を区別しない値は次のとおりです。

Impact 0、Impact Level 0
Impact 1、Impact Level 1
Impact 2、Impact Level 2
Impact 3、Impact Level 3
Impact 4、Impact Level 4

NetFlow データからネットワークマップに追加されたホストに使用可能なオペレーティングシステムの情報はないので、システムは、それらのホストに作用する侵入イベントに対し脆弱な（インパクトレベル 1：赤）インパクトレベルを割り当てることができません。このような場合は、ホスト入力機能を使用して、ホストのオペレーティングシステム ID を手動で設定します。

入力インターフェイス (Syslog：IngressInterface)

イベントをトリガーとして使用したパケットの入力インターフェイス。パッシブインターフェイスの場合、このインターフェイスの列だけに入力されます。

[入力セキュリティゾーン（Ingress Security Zone）]：（syslog：IngressZone）

イベントをトリガーとして使用したパケットの入力セキュリティゾーンまたはトンネルゾーン。パッシブ展開環境では、このセキュリティゾーンフィールドだけに入力されます。

[入力仮想ルータ（Ingress Virtual Router）]

仮想ルーティングを使用するネットワークでは、トラフィックがネットワークに入るときに通過する仮想ルータの名前。

[インライン結果（Inline Result）]（syslog：InlineResult）

ワークフローとテーブルビューでは、このフィールドには次のいずれかが表示されます。

表 1. ワークフロービュートテーブルビューの [インライン結果（Inline Result）] フィールドの内容
アイコン	意味
	ルールをトリガーしたパケットをシステムがドロップしました。
	[インライン時にドロップ（Drop when Inline）] 侵入ポリシーオプション（インライン展開環境）を有効にした場合、またはシステムがプルーニングしている間に [ドロップしてイベントを生成する（Drop and Generate）] ルールがイベントを生成した場合、IPS がパケットをドロップしたことを示します。
	IPS はパケットを宛先に送信または配信した可能性がありますが、このパケットを含む接続は現在ブロックされています。
アイコンなし（空白）	トリガーされたルールは [ドロップしてイベントを生成する（Drop and Generate Events）] に設定されていませんでした

次の表に、インライン結果の考えられる理由の一覧を示します（「would have dropped」および「partially dropped」）。


インライン結果	理由	詳細な理由
would have dropped	パッシブモードまたはタップモードのインターフェイス	インラインのタップモードまたはパッシブモードでインターフェイスを構成しています。
	「検出」検査モードの侵入ポリシー	侵入ポリシーの検査モードを検出に設定しています。
	接続のタイムアウト	TCP/IP 接続がタイムアウトしたため、Snort 検査エンジンは検査を一時停止しました。
partially dropped	接続が終了しました（0x01）	新しいフローの作成中に、割り当てられたフローが許可されたフロー数を超える場合、Snort 検査エンジンは、最も使用頻度の低いフローをプルーニングします。
	接続が終了しました（0x02）	Snort 検査エンジンを再読み込みすると、メモリが調整され、エンジンは最も使用頻度の低いフローをプルーニングします。
	接続が終了しました（0x04）	Snort 検査エンジンが正常にシャットダウンすると、エンジンはすべてのアクティブなフローをパージします。

パッシブ展開では、侵入ポリシーのルールの状態やインラインドロップ動作に関係なく、インラインインターフェイスがタップモードの場合を含めて、システムはパケットをドロップしません。

このフィールドを検索するときは、次のいずれかを入力します。

dropped：インライン展開環境でパケットをドロップするかどうかを指定します。
would have dropped：インライン展開環境でパケットをドロップするように侵入ポリシーが設定されている場合に、パケットをドロップするかどうかを指定します。
partially dropped：パケットが宛先に送信または配信されるかどうかを指定します。ただし、このパケットを含む接続は現在ブロックされています。

侵入ポリシー (Syslog: IntrusionPolicy)

イベントを生成した侵入ルール、プリプロセッサルール、またはデコーダルールが有効にされた侵入ポリシー。アクセスコントロールポリシーのデフォルトアクションとして侵入ポリシーを選択するか、アクセスコントロールルールと侵入ポリシーを関連付けることができます。

IOC（syslog：NumIOC）

侵入イベントをトリガーとして使用したトラフィックが、接続に関係するホストに対する侵入の痕跡（IOC）もトリガーとして使用したかどうか。

このフィールドを検索するときは、triggered または n/a を指定します。

[メッセージ（Message）]（syslog：メッセージ）

イベントを説明するテキスト。ルールベースの侵入イベントの場合、イベントメッセージはルールから取得されます。デコーダベースおよびプリプロセッサベースのイベントの場合は、イベントメッセージはハードコーディングされています。

ジェネレータおよび Snort ID（GID と SID）と SID バージョン（改訂）はカッコで囲んだコロン区切りの数字形式で各メッセージの末尾に付加されます（GID:SID:version）。例：(1:36330:2)。

MITRE

クリックしてモーダルを起動できる技術の数。これは、その階層内にある MITRE の戦術と技術の全リストを示します。

[MPLS ラベル（MPLS Label）]（syslog：MPLS_Label）

侵入イベントをトリガーしたパケットと関連付けられているマルチプロトコルラベルスイッチングラベル。

[ネットワーク分析ポリシー（Network Analysis Policy）]（syslog：NAPPolicy）

イベントの生成に関連付けられているネットワーク分析ポリシー（ある場合）。

このフィールドには、取得された URI の最初の 50 文字が表示されます。省略 URI の表示部分にポインタを合わせると、最大 2048 バイトまでの完全な URI を表示することができます。また、最大 2048 バイトまでの完全な URI をパケットビューに表示することもできます。

クライアントのオリジナル IP（Original Client IP）

X-Forwarded-For（XFF）、True-Client-IP、またはカスタム定義の HTTP ヘッダーから取得された、元のクライアント IP アドレス。

このフィールドの値を表示するには、ネットワーク解析ポリシーで HTTP プリプロセッサ [元のクライアント IP アドレスの抽出（Extract Original Client IP Address）] オプションを有効にする必要があります。オプションで、ネットワーク解析ポリシーの同じエリアで、最大 6 つのカスタムクライアント IP 見出しを指定し、システムが [クライアントのオリジナル IP（Original Client IP）] イベントフィールドの値を選択する優先順位を設定します。

[優先度（Priority）]（syslog：Priority）

Talos インテリジェンスグループで指定されたイベントの優先度。優先度は、priority キーワードの値または classtype キーワードの値に対応します。その他の侵入イベントの場合、プライオリティはデコーダまたはプリプロセッサによって決定されます。有効な値は、[高（high）]、[中（medium）]、および [低（low）] です。

[プロトコル（Protocol）]（syslog：Protocol）

Secure Firewall Management Center の Web インターフェイスでは、このフィールドは検索フィールド専用です。

http://www.iana.org/assignments/protocol-numbers に一覧表示されている、接続で使用するトランスポートプロトコルの名前または番号。これは、送信元および宛先ポート/ICMP の列と関連付けられたプロトコルです。

確認者（Reviewed By）

イベントを確認したユーザの名前。このフィールドを検索するときは、unreviewed と入力すると、まだ確認されていないイベントを検索できます。

Revision（syslog のみ）

イベントの生成に使用された署名のバージョン。

次の侵入イベントフィールドに関する情報も参照してください。[ジェネレータ（Generator）]、[GID]、[メッセージ（Message）]、[SID]、および [Snort ID]

ルールグループ

クリックしてモーダルを起動できる非 MITRE ルールグループの数。これは、ルールグループの全リストを示します。

[セキュリティコンテキスト（Security Context）]（syslog：Context）

トラフィックが通過した仮想ファイアウォールグループを識別するメタデータ。システムがこのフィールドにデータを設定するのは、マルチコンテキストモードの ASA FirePOWER だけです。

SID（syslog のみ）

イベントを生成したルールの署名 ID（Snort ID ともいう）

次の侵入イベントフィールドに関する情報も参照してください。[ジェネレータ（Generator）]、[GID]、[メッセージ（Message）]、[改訂（Revision）]、および [Snort ID]

Snort ID

このフィールドは検索フィールド専用です。

（syslog フィールドについては、SID を参照してください。）

検索を実行する場合：イベントを生成したルールの（[Snort ID]SID）を指定するか、オプションで、ルールの複合ジェネレータ ID（GID）および SID を指定します。ここで、GID および SID はコロン（:）で区切られ、GID:SID の形式になります。次の表の任意の値を指定できます。

表 2. [Snort ID] 検索値
値	例
単一の SID	10000
SID の範囲	10000-11000
SID より大きい	>10000
SID 以上	>=10000
SID 未満	<10000
SID 以下	<=10000
SID のカンマ区切りリスト	10000,11000,12000
単一の GID:SID の組み合わせ	1:10000
GID:SID の組み合わせのカンマ区切りリスト	1:10000,1:11000,1:12000
SID および GID:SID の組み合わせのカンマ区切りリスト	10000,1:11000,12000

表示しているイベントの SID が [メッセージ（Message）] 列に表示されます。詳細については、この項の [メッセージ（Message）] フィールドについての説明を参照してください。

ソースの大陸（Source Continent）

侵入イベントに関連する送信ホストのある大陸。

ソースの国（Source Country）

侵入イベントに関連する送信ホストのある国。

送信元ホスト重要度（Source Host Criticality）

イベントが生成されたときの送信元ホスト重要度（対応するホストのホスト重要度属性の値）。

[送信元 IP（Source IP）]（syslog：SrcIP）

侵入イベントに関連する送信ホストが使用する IP アドレス。

イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。

[送信元ポート/ICMP タイプ（Source Port/ICMP Type）]（syslog：SrcPort、ICMPType）

送信元ホストのポート番号。ICMP トラフィックの場合は、ポート番号がないため、このフィールドには ICMP タイプが表示されます。

[送信元ユーザー（Source User）]（syslog：User）

接続を開始したホストの IP アドレスに関連付けられたユーザー名。エクスプロイトの送信元ホストである場合とそうでない場合があります。このユーザー値は、通常、ネットワーク上のユーザーだけに知らされます。

該当する場合、ユーザー名の前には <realm>\ が付いています。

SSL Actual Action (Syslog: SSLActualAction)

Secure Firewall Management Center の Web インターフェイスでは、このフィールドは検索フィールド専用です。

システムが暗号化されたトラフィックに適用したアクション。

ブロック/リセット付きブロック（Block/Block with reset）: ブロックされた暗号化接続を表します。
[復号（再署名）（Decrypt (Resign)）]: 再署名サーバ証明書を使用して復号された発信接続を表します。
[復号（キーの交換）（Decrypt (Replace Key)）]: 置き換えられた公開キーと自己署名サーバ証明書を使用して復号化された発信接続を表します。
[復号（既知のキー）（Decrypt (Known Key)）]: 既知の秘密キーを使用して復号化された着信接続を表します。
[デフォルトアクション（Default Action）]: 接続がデフォルトアクションによって処理されたことを示します。
[復号しない（Do not Decrypt）]: システムが復号化しなかった接続を表します。

フィールド値は、検索ワークフローページの [SSL ステータス（SSL Status）] フィールドに表示されます。

[SSL 証明書情報（SSL Certificate Information）]

このフィールドは検索フィールド専用です。

トラフィックを暗号化するための公開キー証明書に保存される次の情報：

サブジェクト/発行元共通名（Subject/Issuer Common Name）
サブジェクト/発行元組織（Subject/Issuer Organization）
サブジェクト/発行元組織単位（Subject/Issuer Organization Unit）
有効期間の開始/終了（Not Valid Before/After）
シリアル番号（Serial Number）
証明書フィンガープリント（Certificate Fingerprint）
公開キーフィンガープリント（Public Key Fingerprint）

SSL 失敗理由（SSL Failure Reason）

このフィールドは検索フィールド専用です。

システムが暗号化されたトラフィックの復号化に失敗した理由。

不明
不一致（No Match）
Success
キャッシュされていないセッション（Uncached Session）
不明な暗号スイート（Unknown Cipher Suite）
サポートされていない暗号スイート（Unsupported Cipher Suite）
サポートされていない SSL バージョン（Unsupported SSL Version）
使用された SSL 圧縮（SSL Compression Used）
パッシブモードで復号化できないセッション（Session Undecryptable in Passive Mode）
ハンドシェイクエラー（Handshake Error）
復号エラー（Decryption Error）
保留中のサーバー名カテゴリの検索（Pending Server Name Category Lookup）
保留中の共通名カテゴリの検索（Pending Common Name Category Lookup）
内部エラー（Internal Error）
使用不可能なネットワークパラメータ（Network Parameters Unavailable）
無効なサーバー証明書の処理（Invalid Server Certificate Handle）
使用不可能なサーバー証明書フィンガープリント（Server Certificate Fingerprint Unavailable）
サブジェクト DN をキャッシュできない（Cannot Cache Subject DN）
発行元 DN をキャッシュできない（Cannot Cache Issuer DN）
不明な SSL バージョン（Unknown SSL Version）
使用不可能な外部証明書リスト（External Certificate List Unavailable）
使用不可能な外部証明書フィンガープリント（External Certificate Fingerprint Unavailable）
無効な内部証明書リスト（Internal Certificate List Invalid）
使用不可能な内部証明書リスト（Internal Certificate List Unavailable）
使用不可能な内部証明書（Internal Certificate Unavailable）
使用不可能な内部証明書フィンガープリント（Internal Certificate Fingerprint Unavailable）
使用不可能なサーバー証明書の検証（Server Certificate Validation Unavailable）
サーバー証明書の検証エラー（Server Certificate Validation Failure）
無効なアクション（Invalid Action）

フィールド値は、検索ワークフローページの [SSL ステータス（SSL Status）] フィールドに表示されます。

SSL ステータス（SSL Status）

暗号化された接続を記録した、[SSLの実際の動作（SSL Actual Action）]（復号ルール、デフォルトアクション、または復号できないトラフィックアクション）に関連したアクション。

システムが暗号化された接続の復号化に失敗した場合、実行された [SSL の実際のアクション（SSL Actual Action）]（復号化できないトラフィックアクション）と [SSL 障害の理由（SSL Failure Reason）] が表示されます。たとえば、不明な暗号スイートによって暗号化されたトラフィックをシステムが検出し、それ以上のインスペクションをせずにこれを許可した場合、このフィールドには [復号しない（不明な暗号スイート）（Do Not Decrypt (Unknown Cipher Suite)）] が表示されます。

証明書の詳細を表示するには [ロック（Lock）] アイコン（）をクリックします。

このフィールドを検索するときは、[SSL の実際のアクション（SSL Actual Action）] および [SSL 障害の理由（SSL Failure Reason）] の値を 1 つ以上を入力して、システムが処理した暗号化されたトラフィック、または復号化に失敗したトラフィックを表示します。

[SSL サブジェクト/発行元国（SSL Subject/Issuer Country）]

このフィールドは検索フィールド専用です。

暗号化証明書に関連付けられている件名または発行者の国に関する 2 文字の ISO 3166-1 アルファ 2 国コード。

時刻（Time）

イベントの日付と時刻。このフィールドは検索できません。

[VLAN ID]（syslog：VLAN_ID）

侵入イベントをトリガーとして使用したパケットと関連付けられた最内部 VLAN ID。

[Web アプリケーション（Web Application）]（syslog：WebApplication）

侵入イベントをトリガーとして使用したトラフィックで検出された HTTP トラフィックの内容または要求された URL を表す、Web アプリケーション。

システムが HTTP のアプリケーションプロトコルを検出し、特定の Web アプリケーションを検出できなかった場合、システムは代わりに一般的な Web ブラウジング指定を提供します。

Web アプリケーションカテゴリおよびタグ（Web Application Category and Tag）

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

侵入イベント影響レベル

イベントがネットワークに与える影響を評価するために、Secure Firewall Management Center は侵入イベントのテーブルビューに影響レベルを表示します。イベントごとに、システムは影響レベルアイコンを追加し、侵入データ、ネットワーク検出データ、脆弱性情報との関係を色で示します。

（注）

次の表に、影響レベルで使用可能な値を示します。

表 3. 影響レベル
影響レベル	脆弱性	カラー	説明
[不明（Unknown）]（）	不明	グレー	送信元ホストと宛先ホストは両方ともネットワーク検出によってモニタされているネットワーク上に存在しません。
[脆弱（Vulnerable）]（）	脆弱	赤色	次のいずれかを行います。送信元ホストまたは宛先ホストはネットワークマップ内にあり、脆弱性はホストにマッピングされます送信元ホストまたは宛先ホストは、ウイルス、トロイの木馬、または他の悪意のあるソフトウェアによって侵害される可能性があります。
[潜在的に脆弱（Potentially Vulnerable）]（）	潜在的に脆弱	オレンジ	送信元ホストまたは宛先ホストはネットワークマップ内にあり、次のいずれかに当てはまります。ポート指向のトラフィックの場合、ポートはサーバアプリケーションプロトコルを実行していますポート指向ではないトラフィックの場合、ホストはプロトコルを使用します
[現在脆弱性のない（Currently Not Vulnerable）]（）	現在は脆弱ではない	黄色	送信元ホストまたは宛先ホストはネットワークマップ内にあり、次のいずれかに当てはまります。ポート指向のトラフィック（たとえば、TCP または UDP）の場合、ポートが開いていませんポート指向ではないトラフィック（たとえば、ICMP）の場合、ホストはプロトコルを使用しません
[不明なターゲット（Unknown Target）]（）	不明なターゲット	青	送信元ホストまたは宛先ホストがモニター対象のネットワークにありますが、ネットワークマップ内にそのホストのエントリがありません。

侵入イベントに関連付けられた接続データの表示

システムは、侵入イベントが検出された接続を記録できます。このロギングは、アクセスコントロールルールに関連付けられている侵入ポリシーに対して自動的に行われますが、デフォルトアクションに関連する接続データを参照するには、接続ロギングを手動で有効にする必要があります。

関連データの表示は、イベントのテーブルビュー間を移動する場合に非常に役立ちます。

手順

ステップ 1

[分析（Analysis）] > [侵入（Intrusions）] > [イベント（Events）]を選択します。

ステップ 2

テーブルのチェックボックスを使用して侵入イベントを選択してから、[ジャンプ（Jump to）] ドロップダウンリストから [接続（Connections）] を選択します。

ヒント

同じ方法で、特定の接続に関連した侵入イベントを表示できます。詳細については、ワークフロー間のナビゲーションを参照してください。

侵入イベントを確認済みとしてマーク

侵入イベントが悪意のあるものではないことがわかったら、そのイベントを確認済みとしてマークできます。

侵入イベントを調べて、そのイベントがネットワークセキュリティに対して脅威ではないことがわかったら（たとえば、ネットワーク上のどのホストも検出されたエクスプロイトに対して脆弱でないことがわかっているなど）、そのイベントを確認済みとしてマークできます。確認済みのイベントはイベントデータベースに保存され、イベント要約統計に含まれますが、デフォルトの侵入イベントページには表示されなくなります。自分の名前がレビューアとして表示されます。

マルチドメイン展開では、イベントに確認済みのマークを付けると、そのイベントを表示可能なすべてのドメインでシステムによってイベントに確認済みのマークが付けられます。

バックアップを実行してから確認済みの侵入イベントビューを削除した場合、バックアップを復元すると、削除された侵入イベントビューは復元されますが、確認済みのステータスは復元されません。こうして復元された侵入イベントは、[確認済みイベント（Reviewed Events）] の下ではなく [侵入イベント（Intrusion Events）] の下に表示されます。

手順

侵入イベントが表示されるページで、次の 2 つの方法を選択できます。

イベントのリストから 1 つまたは複数の侵入イベントにマークを付けるには、イベントの横にあるチェックボックスをオンにして、[レビュー（Review）] をクリックします。
イベントのリストからすべての侵入イベントにマークを付けるには、[すべて確認（Review All）] をクリックします。

以前に確認した侵入イベントの表示

手順

ステップ 1

[分析（Analysis）] > [侵入（Intrusions）] > [確認済みイベント（Reviewed Events）]を選択します。

ステップ 2

次の選択肢があります。

時間枠の変更の説明に従って、時間範囲を調整します。
侵入イベントのテーブルビューが含まれないカスタムワークフローを使用している場合、ワークフローのタイトルの横にある [(ワークフローの切り替え)（(switch workflow)）] をクリックして、システム提供のワークフローのいずれかを選択します。
表示されるイベントの詳細については、侵入イベントフィールドを参照してください。

確認済み侵入イベントに未確認のマークを付ける

イベントに未確認のマークを付けることで、確認済みイベントをデフォルトの侵入イベントビューに戻すことができます。

手順

確認済みイベントが表示されるページで、次の 2 つの方法を選択できます。

確認済みイベントリストから個別の侵入イベントを削除するには、特定のイベントの横にあるチェックボックスをオンにして、[未確認（Unreview）] をクリックします。
確認済みイベントリストからすべての侵入イベントを削除するには、[すべて未確認（Unreview All）] をクリックします。

プリプロセッサイベント

プリプロセッサが提供する機能は 2 つあります。1 つは、パケットに対して指定されたアクション（HTTP トラフィックを復号して正規化するなど）を実行する機能、もう 1 つは、パケットが特定のプリプロセッサオプションをトリガーしたときに関連するプリプロセッサルールが有効にされている場合は常にイベントを生成することで、指定のプリプロセッサオプションの実行を報告するという機能です。たとえば、プリプロセッサが IIS の二重にエンコードされたトラフィックを検出した場合にイベントが生成されるようにするには、HTTP Inspect の [二重エンコード（Double Encoding）] オプションと、HTTP Inspect Generator（GID）119 および [Snort ID]（SID）2 が設定された関連するプリプロセッサルールを有効にします。

プリプロセッサの実行を報告するイベントを生成すると、異常なプロトコルエクスプロイトを検出するのに役立ちます。たとえば、攻撃者は重複している IP フラグメントを作成して、ホスト上で DoS 攻撃を仕掛ける可能性があります。IP 最適化プリプロセッサはこのタイプの攻撃を検出し、それに関する侵入イベントを生成できます。

プリプロセッサイベントは、パケットディスプレイにイベントの詳細なルールの説明が表示されないという点で、ルールイベントとは異なります。代わりに、パケットディスプレイには、イベントメッセージ、GID、SID、パケットヘッダーデータおよびパケットペイロードが表示されます。これにより、パケットのヘッダー情報を分析し、そのヘッダーオプションが使用中であるかをどうか判断して、それがシステムをエクスプロイトする可能性がある場合は、パケットペイロードを検査できます。プリプロセッサによる各パケットの分析が完了すると、ルールエンジンは、その結果に応じて適切なルールを実行し（プリプロセッサが各パケットを最適化し、有効なセッションの一部として確立できた場合）、潜在的なコンテンツレベルの脅威についてさらに分析を行い、それらのパケットについて報告します。

プリプロセッサのジェネレータ ID

各プリプロセッサには、独自のジェネレータ ID 番号（GID）があり、これはパケットによってトリガーとして使用されたプリプロセッサを示します。一部のプリプロセッサは関連した SID もあり、これは潜在的攻撃を分類する ID 番号です。ルールの [Snort ID]（SID）が、ルールをトリガーとして使用するパケットのコンテキストを提供できる方法とほぼ同じで、この ID 番号によりイベントのタイプを分類することによって、イベントをより効率的に分析するのに役立ちます。侵入ポリシールールのページのプリプロセッサフィルターグループのプリプロセッサごとにプリプロセッサルールをリストできます。また、プリプロセッサのプリプロセッサルールとカテゴリフィルターグループのパケットデコーダサブグループをリストできます。

（注）

標準テキストルールによって生成されるイベントは、ジェネレータ ID が 1（グローバルドメインまたはレガシー GID）または 1000 ～ 2000（子孫ドメイン）です。共有オブジェクトルールの場合、イベントのジェネレータ ID は 3 です。どちらの場合も、トリガーした特定のルールがイベントの SID に示されます。

次の表では、各 GID を生成するイベントのタイプについて説明します。

表 4. ジェネレータ ID
ID	コンポーネント	説明
1	標準的なテキストルール	パケットが標準テキストルールをトリガーとして使用したときにイベントが生成されました（グローバルドメインまたはレガシー GID）。
2	タグ付きパケット	タグ付きセッションからパケットを生成するタグジェネレータによって、イベントが生成されました。これは、`tag` ルールオプションが使用される場合に発生します。
3	共有オブジェクトルール	パケットが共有オブジェクトルールをトリガーとして使用したときにイベントが生成されました。
102	HTTP デコーダ	デコーダエンジンが、パケット内の HTTP データを復号化しました。
105	Back Orifice ディテクタ	Back Orifice ディテクタが、パケットに関連付けられた Back Orifice 攻撃を特定しました。
106	RPC デコーダ	RPC デコーダがパケットを復号化しました。
116	パケットデコーダ	パケットデコーダによってイベントが生成されました。
119、120	HTTP Inspect プリプロセッサ	HTTP Inspect プリプロセッサによってイベントが生成されました。GID 120 ルールは、サーバ固有の HTTP トラフィックに関するルールです。
122	ポートスキャンディテクタ	ポートスキャンフローディテクタによってイベントが生成されました。
123	IP デフラグメンタ	断片化された IP データグラムを適切に再構成できなかったときに、イベントが生成されました。
124	SMTP デコーダ	SMTP プリプロセッサが SMTP バーブに対するエクスプロイトを検出したときに、イベントが生成されました。
125	FTP デコーダ	FTP/Telnet デコーダが FTP トラフィック内でエクスプロイトを検出したときに、イベントが生成されました。
126	Telnet デコーダ	FTP/Telnet デコーダが Telnet トラフィック内でエクスプロイトを検出したときに、イベントが生成されました。
128	SSH プリプロセッサ	SSH プリプロセッサが SSH トラフィック内でエクスプロイトを検出したときに、イベントが生成されました。
129	ストリームプリプロセッサ	ストリームプリプロセッサによるストリームの前処理中に、イベントが生成されました。
131	DNSプリプロセッサ	DNS プリプロセッサによってイベントが生成されました。
133	DCE/RPC　プリプロセッサ	このイベントは、DCE/RPC プリプロセッサにより生成されました。
134	ルール遅延パケット遅延	ルール遅延によって侵入ルールのグループが中断された（134:1）または再有効化された（134:2）とき、あるいはパケット遅延しきい値が超過したために、システムがパケットの検査を停止したとき（134:3）に、イベントが生成されました。
135	レートベースの攻撃ディテクタ	レートベースの攻撃ディテクタがネットワークのホストに対する過度の識別したときに、イベントが生成されました。
137	SSL プリプロセッサ	TLS/SSL プリプロセッサによってイベントが生成されました。
138、139	機密データプリプロセッサ	機密データプリプロセッサによってイベントが生成されました。
140	SIP プリプロセッサ	SIP プリプロセッサによってイベントが生成されました。
141	IMAP プリプロセッサ	IMAP プリプロセッサによってイベントが生成されました。
142	POP　プリプロセッサ	POP プリプロセッサによってイベントが生成されました。
143	GTP プリプロセッサ	GTP プリプロセッサによってイベントが生成されました。
144	Modbus プリプロセッサ	Modbus SCADA プリプロセッサによってイベントが生成されました。
145	DNP3 プリプロセッサ	DNP3 SCADA プリプロセッサによってイベントが生成されました。
148	CIP プリプロセッサ	CIP SCADA プリプロセッサによってイベントが生成されました。
149	S7Commplus プリプロセッサ	S7Commplus SCADA プリプロセッサによってイベントが生成されました。
1000～2000	標準的なテキストルール	パケットが標準テキストルールをトリガーとして使用したときにイベントが生成されました（子孫ドメイン）。

侵入イベントのワークフローページ

現在の侵入ポリシーで有効になっているプリプロセッサ、デコーダ、および侵入ルールは、モニタしているトラフィックがポリシーに違反するたびに、侵入イベントを生成します。

システムは、侵入イベントの表示および分析に使用できる、イベントデータが入力された定義済みワークフローのセットを提供します。これらのワークフローは、評価する侵入イベントの特定に役立つ一連のページを表示して手順を示します。

定義済みの侵入イベントのワークフローには、次の 3 種類のページまたはイベントビューがあります。

1 つ以上のドリルダウンページ
侵入イベントのテーブルビュー
パケットビュー

ドリルダウンページには通常、1 つの特定の種類の情報を表示できるように 1 つのテーブル（一部のドリルダウンビューでは複数のテーブル）に 2 つ以上の列が含まれます。

「ドリルダウン」して 1 つ以上の宛先ポートの詳細情報を検索すると、これらのイベントは自動的に選択され、ワークフローの次のページが表示されます。このように、ドリルダウンテーブルを使用すると、一度に分析するイベントの数を減らすことができます。

侵入イベントの最初のテーブルビューでは、各侵入イベントが独自の行にリストされます。テーブルの列には、時間、発信元 IP アドレスおよびポート、宛先 IP アドレスおよびポート、イベントの優先度、イベントメッセージなどの情報が示されます。

イベントを選択してワークフローの次のページを表示する代わりに、テーブルビューでイベントを選択した場合、イベントはいわゆる制約に追加されます。制約とは、分析するイベントの種類に加える制限のことです。

たとえば、任意の列で [閉じる（Close）]（ [閉じる（Close）] アイコン）をクリックして、ドロップダウンリストから [時間（Time）] をクリアすると、[時間（Time）] を列の 1 つとして削除できます。分析内でイベントのリストを絞り込むには、テーブルビューの行のいずれかの値のリンクをクリックします。たとえば、分析を送信元 IP アドレスの 1 つ（おそらく、潜在的な攻撃者）から生成されたイベントに制限するには、[送信元 IP アドレス（Source IP Address）] 列の IP アドレスをクリックします。

テーブルビューの 1 つまたは複数の行を選択し、[表示（View）] をクリックすると、パケットビューが表示されます。パケットビューは、ルールをトリガーとして使用したパケットまたはイベントを生成したプリプロセッサに関する情報を提供します。パケットビューの各セクションには、パケット内の特定の層についての情報が含まれます。折りたたまれたセクションを展開すると、より多くの情報を参照できます。

（注）

それぞれのポートスキャンイベントは複数のパケットによってトリガーとして使用されるため、ポートスキャンイベントは特別なバージョンのパケットビューを使用します。

事前定義済みのワークフローが特定のニーズに合致しない場合は、必要な情報だけを表示するカスタムワークフローを作成できます。カスタム侵入イベントのワークフローには、ドリルダウンページ、イベントのテーブルビュー、またはその両方を含めることができます。システムはパケットビューを最後のページとして自動的に組み込みます。イベントを調査する方法に応じて、定義済みワークフローと独自のカスタムワークフローを簡単に切り替えることができます。

侵入イベントワークフローの使用

イベントのドリルダウンビューとテーブルビューは、イベントのリストを絞り込み、関連するイベントのグループに分析を集中するために使用できる共通機能を共有します。

別のワークフローページで同じ侵入イベントを表示しないようにするため、ページの下部にあるリンクをクリックして別のページのイベントを表示すると時間範囲は一時停止し、クリックして後続のページでその他のアクションを実行すると再開します。

ヒント

プロセスの任意の時点で、制約を検索条件のセットとして保存できます。たとえば、ネットワークが数日にわたり単一の IP アドレスから攻撃者によって探られていることに気付いた場合、調査中に制約をいったん保存し、後で使用することができます。ただし、複合制約を検索条件のセットとして保存することはできません。

手順

ステップ 1

[分析（Analysis）] > [侵入（Intrusions）] > [イベント（Events）] を使用して侵入イベントワークフローにアクセスします。

ステップ 2

オプションで、侵入イベントドリルダウンページの制約または侵入イベントテーブルビューの制約の説明に従って、イベントビューに表示される侵入イベントの数を制限します。

ステップ 3

次の選択肢があります。

表示されるカラムの詳細については、侵入イベントフィールドを参照してください。
ホストのプロファイルを表示するには、ホスト IP アドレスの横に表示される [ホストプロファイル（Host Profile）] をクリックします。
地理位置情報の詳細を表示するには、[送信元の国（Source Country）] または [宛先の国（Destination Country）] 列に表示されるフラグをクリックします。
システムの外部にある利用可能なソース内のデータを表示するには、イベント値を右クリックします。表示されるオプションはデータタイプによって異なり、パブリックソースが含まれます。他のソースは設定したリソースによって異なります。詳細については、Web ベースのリソースを使用したイベントの調査を参照してください。
イベントに関する一般的なインテリジェンスを収集するには、テーブルでイベントの値を右クリックして、シスコまたはサードパーティのインテリジェンスソースを選択します。たとえば、不審な IP アドレスに関する詳細情報を Cisco Talos から入手できます。表示されるオプションは、データタイプやシステムに設定されている統合によって異なります。詳細については、Web ベースのリソースを使用したイベントの調査を参照してください。

表示されたイベントの時刻と日付の範囲を変更するには、時間枠の変更を参照してください。

ヒント

侵入イベントがイベントビューに表示されない場合、指定した時間範囲を調整すると、結果が返される場合があります。古い時間範囲を指定した場合、その時間範囲内のイベントが削除されることがあります。ルールのしきい値の設定を調整すると、イベントが生成される場合があります。

（注）

イベントビューを時間によって制約している場合は、（グローバルかイベント固有かに関係なく）アプライアンスに設定されている時間枠の外で生成されたイベントがイベントビューに表示されます。アプライアンスに対してスライドする時間枠を設定した場合でも、この状況が発生することがあります。

現在のワークフローページのイベントをソートする、または現在のワークフローページ内で移動するには、ワークフローの使用を参照してください。
現在の制約を維持しながら現在のワークフローのページ間で移動するには、ワークフローページの左上にある該当するページリンクをクリックします。
イベントデータベースからイベントを削除するには、削除するイベントの横にあるチェックボックスをオンにし、[削除（Delete）] または [すべて削除（Delete All）] をクリックします。
イベントに確認済みのマークを付けて、侵入イベントのページからそれらを削除し、イベントデータベースからは削除しないようにするには、侵入イベントを確認済みとしてマークを参照してください。
選択したイベントをトリガーしたパケットのローカルコピー（libpcap 形式のパケットキャプチャファイル）をダウンロードするには、ダウンロードするパケットによってトリガーされたイベントの横にあるチェックボックスをオンにして、[パケットのダウンロード（Download Packets）] または [すべてのパケットのダウンロード（Download All Packets）] をクリックします。キャプチャされたパケットは libpcap 形式で保存されます。この形式は、複数の一般的なプロトコルアナライザで使用されます。
他のイベントビューに移動して関連イベントを表示するには、ワークフロー間のナビゲーションを参照してください。
別のワークフローを一時的に使用するには、[(ワークフローの切り替え)（(switch workflow)）] をクリックします。
現在のページにすぐに戻れるようにページをブックマークするには、[このページをブックマーク（Bookmark This Page）] をクリックします。
[サマリーダッシュボード（Summary Dashboard）] の [侵入イベント（Intrusion Events）] セクションを表示するには、[ダッシュボード（Dashboards）] をクリックします。
ブックマークの管理ページに移動するには、[ブックマークの表示（View Bookmarks）] をクリックします。
現在のビューのデータに基づいてレポートを生成するには、イベントビューからのレポートテンプレートの作成を参照してください。

侵入イベントドリルダウンページの制約

次の表では、ドリルダウンページの使用方法について説明します。

表 5. ドリルダウンページでのイベントの制約
目的	操作
次のワークフローページのドリルダウンを特定の値に制約する	値をクリックします。たとえば、[宛先ポート（Destination Port）] ワークフローで、イベントを宛先がポート 80 であるものに制約するには、[DST ポート/ICMP コード（DST Port/ICMP Code）] 列で [80/tcp] をクリックします。ワークフローの次のページ [イベント（Events）] が表示され、ポート 80/tcp のイベントだけが含まれます。
次のワークフローページのドリルダウンを選択したイベントに制約する	次のワークフローページで表示するイベントの横にあるチェックボックスを選択し、[表示（View）] をクリックします。たとえば、[宛先ポート（Destination Port）] ワークフローで、イベントを宛先がポート 20/tcp および 21/tcp であるものに制約するには、それらのポートの行の横にあるチェックボックスを選択し、[表示（View）] をクリックします。ワークフローの次のページ [イベント（Events）] が表示され、ポート 20/tcp および 21/tcp のイベントだけが含まれます。複数の行を制約し、テーブルに複数の列が存在する場合（[数（Count）] 列を含まない）は、複合制約と呼ばれるものが作成されることに注意してください。複合制約により、必要以上のイベントを制約に含めないようにすることができます。たとえば、[イベント（Event）] と [宛先（Destination）] のワークフローを使用する場合は、最初のドリルダウンページで選択した各行により、複合制約が作成されます。宛先 IP アドレス 10.10.10.100 のイベント 1:100 を選択し、宛先 IP アドレス 192.168.10.100 のイベント 1:200 も選択した場合、複合制約により、イベントタイプとして 1:100 を含むイベントや宛先 IP アドレスとして 192.168.10.100 を含むイベント、またはイベントタイプとして 1:200 を含むイベントや宛先 IP アドレスとして 10.10.10.100 を含むイベントが選択されないようになります。
現在の制約を保持しながら、次のワークフローページをドリルダウンする	[すべて表示（View All）] をクリックします。

侵入イベントテーブルビューの制約

次の表では、テーブルビューの使用方法について説明します。

表 6. イベントのテーブルビューでのイベントの制約
目的	操作
1 つの属性を持つイベントにビューを制約する	属性をクリックします。たとえば、宛先がポート 80 であるイベントにビューを制約するには、[DST ポート/ICMP コード（DST Port/ICMP Code）] 列で [80/tcp] をクリックします。
テーブルから列を削除する	非表示にする列の見出しで、[閉じる（Close）]（）をクリックします。表示されるポップアップウィンドウで、[適用（Apply）] をクリックします。他のカラムを表示または非表示にするには、[適用（Apply）] をクリックする前に、該当するチェックボックスをオンまたはオフにします。無効にした列をビューに戻すには、展開の矢印をクリックして検索の制約を展開し、[無効な列（Disabled Columns）] の下の列名をクリックします。
1 つ以上のイベントに関連付けられたパケットを表示する	次のいずれかを行います。パケットを表示するイベントの横にある下矢印をクリックします。パケットを表示する 1 つ以上のイベントを選択し、ページの下部にある [表示（View）] をクリックします。ページの下部で、[すべて表示（View All）] をクリックして、現在の制約に一致するすべてのイベントのパケットを表示します。

侵入イベントパケットビューの使用

パケットビューは、侵入イベントを生成したルールをトリガーとして使用したパケットに関する情報を表示します。

ヒント

イベントを検出するデバイスで [パケットの転送（Transfer Packet）] オプションが無効になっている場合、Secure Firewall Management Center でのパケットビューにはパケット情報は含まれません。

パケットビューは、パケットがトリガーとして使用した侵入イベントに関する情報を提供することによって、イベントのタイムスタンプ、メッセージ、分類、優先度、イベントを生成したルール（イベントが標準テキストルールによって生成された場合）など、特定のパケットがキャプチャされた理由を示します。パケットビューは、パケットのサイズなど、パケットに関する一般情報も表示します。

さらに、パケットビューにはパケット内の各層（データリンク、ネットワーク、およびトランスポート）について説明したセクションと、パケットを構成するバイトについて説明したセクションがあります。システムがパケットを復号化した場合は、復号化されたバイトを表示できます。折りたたまれたセクションを展開すると、詳細情報を参照できます。

（注）

手順

ステップ 1

侵入イベントテーブルビューの制約の説明に従って、侵入イベントのテーブルビューで、表示するパケットを選択します。

ステップ 2

複数のイベントを選択した場合は、オプションで、ページの下部にあるページ番号を使用することによって、パケットビューでパケットのページを切り替えることができます。

ステップ 3

次のオプションもあります。

調整：パケットビューで日時範囲を変更するには、時間枠の変更を参照してください。
設定：イベントをトリガした侵入ルールを設定するには、[アクション（Actions）] の横にある矢印をクリックし、パケットビュー内での侵入ルールの設定の説明に従って操作を続けます。
削除：データベースからイベントを削除するには、[削除（Delete）] をクリックして表示しているパケットのイベントを削除するか、[すべて削除（Delete All）] をクリックして以前に選択したパケットのすべてのイベントを削除します。

ダウンロード：イベントをトリガーしたパケットのローカルコピー（libpcap 形式のパケットキャプチャファイル）をダウンロードするには、[パケットのダウンロード（Download Packet）] をクリックして表示しているイベントに関するキャプチャしたパケットのコピーを保存するか、[すべてのパケットをダウンロード（Download All Packets）] をクリックして以前に選択したパケットのすべてのイベントのキャプチャしたパケットのコピーを保存します。キャプチャされたパケットは libpcap 形式で保存されます。この形式は、複数の一般的なプロトコルアナライザで使用されます。

（注）

単一のポートスキャンイベントは複数のパケットに基づいているため、ポートスキャンパケットをダウンロードできません。ただし、ポートスキャンビューは使用可能なすべてのパケット情報を提供します。ダウンロードするには少なくとも 15 % の使用可能なディスク領域が必要です。

確認済みのマークを付ける：イベントデータベースからは削除せずに、イベントビューから削除するため確認済みのイベントにマークを付けるには、[確認（Review）] をクリックして表示しているパケットのイベントにマークを付けるか、[すべて確認（Review All）] をクリックして以前に選択したパケットのすべてのイベントにマーク付けます。詳細については、侵入イベントを確認済みとしてマークを参照してください。
追加情報の表示：ページセクションを展開したり、折りたたんだりするには、セクションの横にある矢印をクリックします。詳細については、イベント情報のフィールド、フレーム情報のフィールド、データリンク層情報フィールドを参照してください。
ネットワーク層の情報の表示：ネットワーク層情報の表示を参照してください。
パケットバイト情報の表示：パケットバイト情報の表示を参照してください。
トランスポート層の情報の表示：次を参照してください。トランスポート層情報の表示

イベント情報のフィールド

パケットビューで、[イベント情報（Event Information）] セクションのパケットに関する情報を表示できます。

イベント

イベントのメッセージ。ルールベースのイベントの場合、これはルールメッセージに対応します。他のイベントの場合、これはデコーダまたはプリプロセッサによって決まります。

イベントの ID は、(GID:SID:Rev) の形式でメッセージに付加されます。GID は、ルールエンジン、デコーダ、またはイベントを生成したプリプロセッサのジェネレータ ID です。SID は、ルール、デコーダメッセージ、またはプリプロセッサメッセージの ID です。Rev はルールのリビジョン番号です。

Timestamp

パケットがキャプチャされた時刻（UTC タイムゾーン）。

分類（Classification）

イベントの分類。ルールベースのイベントの場合、これはルールの分類に対応します。他のイベントの場合、これはデコーダまたはプリプロセッサによって決まります。

プライオリティ

イベントの優先度。ルールベースのイベントの場合、これは priority キーワードの値または classtype キーワードの値に対応します。他のイベントの場合、これはデコーダまたはプリプロセッサによって決まります。

入力セキュリティゾーン（Ingress Security Zone）

イベントをトリガーとして使用したパケットの入力セキュリティゾーン。パッシブ展開環境では、このセキュリティゾーンフィールドだけに入力されます。

出力セキュリティゾーン（Egress Security Zone）

イベントをトリガーとして使用したパケットの出力セキュリティゾーン。パッシブ展開では、このフィールドには入力されません。

ドメイン（Domain）

管理対象デバイスが属するドメイン。このフィールドは、マルチテナンシーのために Management Center を設定したことがある場合に表示されます。

デバイス

アクセスコントロールポリシーが展開された管理対象デバイス。

セキュリティコンテキスト（Security Context）

トラフィックが通過した仮想ファイアウォールグループを識別するメタデータ。マルチコンテキストモードの ASA FirePOWER の場合に、システムがこのフィールドにデータを設定することに注意してください。

入力インターフェイス（Ingress Interface）

出力インターフェイス（Egress Interface）

インラインセットの場合、イベントをトリガーとして使用したパケットの出力インターフェイス。

送信元/宛先 IP（Source/Destination IP）

イベントをトリガーとして使用したパケットの発生元（送信元）であるホスト IP アドレスまたはドメイン名、またはイベントをトリガーとして使用したトラフィックのターゲット（宛先）ホスト。

送信元ポート/ICMP タイプ（Source Port/ICMP Type）

イベントをトリガーとして使用したパケットの送信元ポート。ICMP トラフィックの場合は、ポート番号がないため、システムは ICMP タイプを表示します。

送信先ポート/ICMP コード（Destination Port/ICMP Code）

トラフィックを受信するホストのポート番号。ICMP トラフィックの場合は、ポート番号がないため、システムは ICMP コードを表示します。

電子メールのヘッダー（Email Headers）

電子メールのヘッダーから取得したデータ。電子メールのヘッダーは侵入イベントのテーブルビューには表示されませんが、電子メールヘッダーデータは検索条件として使用できることに注意してください。

電子メールのヘッダーを SMTP トラフィックの侵入イベントと関連付けるには、SMTP プリプロセッサの [ヘッダーのログ（Log Headers）] オプションを有効にする必要があります。ルールベースのイベントの場合、この行は電子メールデータが取得されたときに表示されます。

HTTP ホスト名（HTTP Hostname）

（存在する場合）HTTP 要求のホストヘッダーから取得されたホスト名。この行には、最大 256 バイトの完全なホスト名が表示されます。ホスト名が 1 行より長い場合は、完全なホスト名を展開できます。

ホスト名を表示するには、HTTP 検査プリプロセッサ [ホスト名のログ（Log Hostname）] オプションを有効にする必要があります。

HTTP 要求パケットにホスト名が常に含まれているわけではないことに注意してください。ルールベースのイベントの場合、この行はパケットに HTTP ホスト名または HTTP URI が含まれる場合に表示されます。

HTTP URI

（存在する場合）侵入イベントをトリガーとして使用した HTTP 要求パケットに関連付けられた raw URI。この行には、最大 2048 バイトの完全な URI が表示されます。URI が 1 行より長い場合は、完全な URI を展開できます。

URI を表示するには、HTTP 検査プリプロセッサ [URI のログ（Log URI）] オプションを有効にする必要があります。

HTTP 要求パケットに URI が常に含まれているわけではないことに注意してください。ルールベースのイベントの場合、この行はパケットに HTTP ホスト名または HTTP URI が含まれる場合に表示されます。

侵入ポリシー（Intrusion Policy）

（存在する場合）侵入イベントを生成した侵入、プリプロセッサ、デコーダのルールが有効にされた侵入ポリシー。アクセスコントロールポリシーのデフォルトアクションとして侵入ポリシーを選択するか、アクセスコントロールルールと侵入ポリシーを関連付けることができます。

アクセスコントロールポリシー（Access Control Policy）

イベントを生成した侵入ルール、プリプロセッサルール、またはデコーダルールが有効にされた侵入ポリシーが含まれるアクセスコントロールポリシー。

アクセスコントロールルール（Access Control Rule）

イベントを生成した侵入ルールと関連付けられたアクセスコントロールルール。[デフォルトアクション（Default Action）] は、ルールが有効にされた侵入ポリシーがアクセスコントロールルールに関連付けられていないことと、代わりにアクセスコントロールポリシーのデフォルトアクションとして設定されていることを示します。

ルール（Rule）

標準テキストルールイベントの場合、イベントを生成したルール。

イベントが、共有オブジェクトルール、デコーダ、またはプリプロセッサに基づいている場合は、ルールを使用できないことに注意してください。

ルールデータにはネットワークに関する機密情報が含まれるため、管理者はユーザがローカルルールの表示権限を使用してパケットビューでルール情報を表示できる機能を、ユーザロールエディタで切り替えることができます。

アクション（Actions）

標準テキストルールとカスタムルールのイベントの場合は、[アクション（Actions）] を展開して、イベントをトリガーとして使用したルールに次の操作のいずれかを実行します。

ルールを編集する
ルールのバージョンのドキュメントを表示します。標準的なテキストルールのみの場合、[アクション（Actions）] から [ドキュメントの表示（View Documentation）] をクリックした後、ドキュメントのポップアップウィンドウの [ルールドキュメント（Rule Documentation）] をクリックすると、より具体的なルールの詳細を表示することができます。
ルールにコメントを追加する
ルールの状態を変更する
ルールのしきい値を設定する
ルールを抑制する

イベントが、共有オブジェクトルール、デコーダ、またはプリプロセッサに基づいている場合は、ルールを使用できないことに注意してください。

パケットビュー内での侵入ルールの設定

侵入イベントのパケットビュー内で、イベントをトリガーとして使用したルールに対して複数のアクションを実行できます。イベントが、共有オブジェクトルール、デコーダ、またはプリプロセッサに基づいている場合は、ルールを使用できないことに注意してください。

手順

ステップ 1

侵入ルールによって生成された侵入イベントのパケットビュー内で、[イベント情報（Event Information）] セクションの [アクション（Actions）] を展開します。

ステップ 2

次の選択肢があります。

コメント：標準テキストルールイベントの場合、[ルールコメント（Rule Comment）] をクリックして、イベントを生成したルールにテキストコメントを追加します。これにより、ルールや、特定されたエクスプロイトまたはポリシー違反に関するコンテキストおよび情報を提供できます。さらに、侵入ルールエディタでルールのコメントの追加および表示を行うこともできます。

無効化：このルールを無効にするには、次のオプションのいずれかをクリックします。

現在のSnort 2ポリシー（<policy_name>）でこのルールを無効にします（Disable this rule in the current Snort 2 policy (<policy_name>)）
ローカルで作成されたすべてのSnort 2ポリシーでこのルールを無効にします（Disable this rule in all locally created Snort 2 policies）

このイベントが標準テキストルールによって生成された場合は、必要に応じてルールを無効にできます。ローカルで編集できるすべてのポリシーにルールを設定できます。または、現在のポリシーをローカルで編集できる場合は、現在のポリシー（つまり、イベントを生成したポリシー）のみにルールを設定することもできます。

現在のポリシーオプションは、現在のポリシーを編集できる場合にのみ表示されることに注意してください。たとえば、カスタムポリシーを編集できますが、システムが提供するデフォルトポリシーは編集できません。

（注）

パケットビューから共有オブジェクトルールを無効にしたり、デフォルトのポリシーでルールを無効にしたりすることはできません。

パケットのドロップとイベントの生成：トリガー元になったパケットをドロップしてイベントを生成するルールを設定するには、次のオプションのいずれかをクリックします。
- トリガーパケットをドロップし、現在のSnort 2ポリシー（<policy_name>）でイベントを生成するには、このルールを設定します（Set this rule to drop the triggering packet and generate an event in the current Snort 2 policy (<policy_name>)）
- トリガーパケットをドロップし、ローカルで作成されたすべてのSnort 2インラインポリシーでイベントを生成するには、このルールを設定します（Set this rule to drop the triggering packet and generate an event in all locally created Snort 2 inline policies）
管理対象デバイスがネットワーク上でインライン展開されている場合、イベントをトリガーとして使用したルールを設定して、ローカルで編集できるすべてのポリシーでルールをトリガーするパケットをドロップできます。または、現在のポリシーをローカルで編集できる場合は、現在のポリシー（つまり、イベントを生成したポリシー）のみにルールを設定することもできます。

現在のポリシーオプションは、現在のポリシーを編集できる場合にのみ表示されることに注意してください。たとえば、カスタムポリシーを編集できますが、システムが提供するデフォルトポリシーは編集できません。このオプションは [インラインの場合ドロップ（Drop when Inline）] が現在のポリシーで有効になっている場合のみ表示されることに注意してください。

編集：標準テキストルールイベントの場合、[編集（Edit）]（Snort 2 を編集する場合）または [Snort 3ルールの編集（Edit Snort 3 Rule）] をクリックして、イベントを生成したルールを編集します。イベントが、共有オブジェクトルール、デコーダ、またはプリプロセッサに基づいている場合は、ルールを使用できません。

（注）

システムによって提供された（カスタム標準テキストルールではない）ルールを編集する場合、実際には新規のローカルルールを作成していることになります。ローカルルールを設定して、イベントを生成し、現在の侵入ポリシーで元のルールを無効にしていることを確認してください。ただし、デフォルトのポリシーのローカルルールは有効にできないことに注意してください。

イベントの生成：[ローカルで作成されたすべてのSnort 2ポリシーでイベントを生成するには、このルールを設定します（Set this rule to generate events in all locally created Snort 2 policies）] をクリックして、イベントを生成するルールを設定します。

このイベントが標準テキストルールによって生成された場合は、ルールを設定して、ローカルで編集できるすべてのポリシーでイベントを生成できます。

（注）

共有オブジェクトルールでパケットビューからイベントを生成したり、デフォルトポリシーでルールを無効にしたりすることはできません。

抑制オプションの設定：パケットビュー内での抑制オプションの設定の説明に従って、[抑制オプションの設定（Set Suppression Options）] を展開し、続行します。
このオプションを使用して、ローカルで編集できるすべてのポリシーで、このイベントをトリガーとして使用したルールを抑制できます。または、現在のポリシーをローカルで編集できる場合は、現在のポリシー（つまり、イベントを生成したポリシー）のみでルールを制約することもできます。

現在のポリシーオプションは、現在のポリシーを編集できる場合にのみ表示されることに注意してください。たとえば、カスタムポリシーを編集できますが、シスコが提供するデフォルトポリシーは編集できません。
しきい値オプションの設定：パケットビュー内でのしきい値オプションの設定の説明に従って、[しきい値オプションの設定（Set Thresholding Options）] を展開し、続行します。
このオプションを使用して、ローカルで編集できるすべてのポリシーでも、これをトリガーとして使用したルールのしきい値を作成できます。または、現在のポリシーをローカルで編集できる場合は、現在のポリシー（つまり、イベントを生成したポリシー）でのみしきい値を作成することもできます。

現在のポリシーオプションは、現在のポリシーを編集できる場合にのみ表示されることに注意してください。たとえば、カスタムポリシーは編集できますが、システムが提供するデフォルトの侵入ポリシーは編集できません。
ドキュメントの表示：[ドキュメントの表示（View Documentation）] をクリックして、イベントを生成したルールの説明を確認します。次に、必要に応じて [ルールドキュメンテーション（Rule Documentation）] をクリックして、ルールの詳細を表示します。

パケットビュー内でのしきい値オプションの設定

侵入イベントのパケットビューでしきい値オプションを設定することによって、ルールごとに時間の経過とともに生成されるイベントの数を制御できます。ローカルで編集できるすべてのポリシーに、またはローカルで編集できる場合は現在のポリシー（つまり、イベントを生成したポリシー）のみに、しきい値オプションを設定できます。

手順

ステップ 1	侵入ルールによって生成された侵入イベントのパケットビュー内で、[イベント情報（Event Information）] セクションの [アクション（Actions）] を展開します。
ステップ 2	[しきい値オプションの設定（Set Thresholding Options）] を展開し、次の 2 つの有効なオプションから 1 つを選択します。現在のSnort 2ポリシー（<policy_name>）（in the current Snort 2 policy (<policy_name>)）ローカルで作成されたすべてのSnort 2ポリシー（in all locally created Snort 2 policies）
ステップ 3	設定するしきい値のタイプを選択します。通知を期間ごとに指定したイベントインスタンスの数に制限する場合は、[制限（limit）] をクリックします。期間ごとに指定したイベントインスタンス数に達するたびに通知を行う場合は、[しきい値（threshold）] をクリックします。指定されたイベントインスタンス数に達した後で、期間あたり 1 回ずつ通知を行う場合は、[両方（Both）] をクリックします。
ステップ 4	該当するしきい値をクリックして、イベントインスタンスを [送信元（Source）] IP アドレスと [宛先（Destination）] IP アドレスのどちらで追跡するかを指定します。
ステップ 5	[カウント（Count）] フィールドに、しきい値として使用するイベントインスタンスの数を入力します。
ステップ 6	[秒（Seconds）] フィールドに、イベントインスタンスを追跡する期間を指定する数（1 ～ 86400）を入力します。
ステップ 7	既存の侵入ポリシーでこのルールの現在のしきい値をオーバーライドする場合は、[このルールの既存の設定をオーバーライドする（Override any existing settings for this rule）] チェックボックスをオンにします。
ステップ 8	[しきい値の保存（Save Thresholding）] をクリックします。

パケットビュー内での抑制オプションの設定

抑制オプションを使用して、侵入イベントをまとめて、または送信元 IP アドレスまたは宛先 IP アドレスに基づいて抑制できます。ローカルで編集できるすべてのポリシーで抑制オプションを設定できます。または、現在のポリシーをローカルで編集できる場合は、現在のポリシー（つまり、イベントを生成したポリシー）のみに抑制オプションを設定することもできます。

手順

ステップ 1

ステップ 2

[抑制オプションの設定（Set Suppression Options）] を展開し、次の 2 つの有効なオプションから 1 つを選択します。

現在のSnort 2ポリシー（<policy_name>）（in the current Snort 2 policy (<policy_name>)）
ローカルで作成されたすべてのSnort 2ポリシー（in all locally created Snort 2 policies）

（注）

現在のポリシーオプションは、現在のポリシーを編集できる場合にのみ表示されます。たとえば、カスタムポリシーを編集できますが、シスコが提供するデフォルトポリシーは編集できません。

ステップ 3

次のいずれかの [追跡対象（Track By）] オプションを選択します。

指定した送信元 IP アドレスから送信されるパケットによって生成されるイベントを抑制する場合は、[送信元（Source）] をクリックします。
指定した宛先 IP アドレスに送信されるパケットによって生成されるイベントを抑制する場合は、[宛先（Destination）] をクリックします。
このイベントをトリガーしたルールのイベントを完全に抑制する場合は、[ルール（Rule）] をクリックします。

ステップ 4

[IP アドレス（IP address）] または [CIDR ブロック（CIDR block）] フィールドに、送信元または宛先 IP アドレスとして指定する IP アドレスまたは CIDR ブロック/プレフィクス長を入力します。

ステップ 5

[抑制の保存（Save Suppression）] をクリックします。

フレーム情報のフィールド

パケットビューで、[フレーム（Frame）] の横にある矢印をクリックして、キャプチャされたフレームに関する情報を表示します。パケットビューには単一フレームまたは複数フレームを表示できます。各フレームには、個々のネットワークのパケットに関する情報が表示されます。たとえば、タグ付きパケットまたは再構成された TCP ストリーム内のパケットの場合、複数のフレームが表示されます。

フレーム n（Frame n）

キャプチャされたフレーム。n は単一フレームパケットの場合は 1、複数フレームパケットの場合は差分フレーム番号です。フレーム内のキャプチャされたバイト数はフレーム番号に追加されます。

到着時間（Arrival Time）

フレームがキャプチャされた日時。

キャプチャ済みのフレームの時間デルタ（Time delta from previous captured frame）

複数フレームパケットの場合、前のフレームがキャプチャされてからの経過時間。

表示済みのフレームの時間デルタ（Time delta from previous displayed frame）

複数フレームパケットの場合、前のフレームが表示されてからの経過時間。

参照以降または先頭フレームからの時間（Time since reference or first frame）

複数フレームパケットの場合、最初のフレームがキャプチャされてからの経過時間。

フレーム番号（Frame Number）

差分フレーム番号。

フレーム長（Frame Length）

フレームの長さ（バイト単位）。

キャプチャ長（Capture Length）

キャプチャされたフレームの長さ（バイト単位）。

フレームはマーク済み（Frame is marked）

フレームがマークされているかどうか（true または false）。

フレーム内のプロトコル（Protocols in frame）

フレームに含まれるプロトコル。

データリンク層情報フィールド

パケットビューで、データリンク層プロトコル（たとえば、[イーサネット II（Ethernet II）] ）の横にある矢印をクリックして、パケットに関するデータリンク層情報を表示します。これには、送信元ホストおよび宛先ホストの 48 ビットの Media Access Control（MAC）アドレスが含まれます。ハードウェアプロトコルに応じて、パケットに関する他の情報も表示されることがあります。

（注）

この例では、イーサネットリンク層情報について説明していることに注意してください。他のプロトコルも表示されることがあります。

パケットビューはデータリンク層で使用されるプロトコルを反映します。次のリストでは、パケットビューでイーサネット II または IEEE 802.3 イーサネットパケットについて参照できる情報について説明します。

[接続先（Destination）]

宛先ホストの MAC アドレス。

（注）

イーサネットは、宛先アドレスとしてマルチキャストおよびブロードキャストアドレスを使用することもできます。

ソース（Source）

送信元ホストの MAC アドレス。

タイプ（Type）

イーサネット II パケットの場合、イーサネットフレームでカプセル化されるパケットの種類。たとえば、IPv6 または ARP データグラム。この項目はイーサネット II パケットの場合にのみ表示されることに注意してください。

長さ（Length）

IEEE 802.3 イーサネットパケットの場合、チェックサムを含まないパケットのトータル長（バイト単位）。この項目は IEEE 802.3 イーサネットパケットの場合にのみ表示されることに注意してください。

ネットワーク層情報の表示

手順

パケットビューで、パケットにネットワーク層プロトコル（たとえば、[インターネットプロトコル（Internet Protocol）]）の横にある矢印をクリックして、パケットに関連したネットワーク層の情報の詳細情報を表示します。

（注）

この例では、IP パケットについて説明していることに注意してください。他のプロトコルも表示されることがあります。

IPv4 ネットワーク層の情報フィールド

以下のリストは、IPv4 パケットで表示される可能性があるプロトコル固有の情報の説明です。

バージョン（Version）

インターネットプロトコルのバージョン番号。

ヘッダー長（Header Length）

すべての IP オプションを含む、見出しのバイト数。オプションのない IP 見出しの長さは 20 バイトです。

差別化サービスフィールド（Differentiated Services Field）

送信元ホストが明示的輻輳通知（ECN）サポートする方法を示す次の差別化サービスの値。

0x0：ECN-Capable Transport（ECT）をサポートしません
0x1 および 0x2：ECT をサポートします
0x3：Congestion Experienced（CE）

トータル長（Total Length）

IP 見出しを差し引いた IP パケットの長さ（バイト単位）。

ID

送信元ホストから送信される IP データグラムを一意的に識別する値。この値は同じデータグラムフラグメントをトレースするために使用されます。

フラグ（Flags）

IP フラグメンテーションを制御する値。

[最後のフラグメント（Last Fragment）] フラグの値は、データグラムに関連付けられた追加のフラグメントが存在するかどうかを次のように示します。

0：データグラムに関連付けられた追加のフラグメントは存在しない
1：データグラムに関連付けられた追加のフラグメントが存在する

[フラグメント禁止（Don’t Fragment）] フラグの値は、データグラムをフラグメント化できるかどうかを次のように制御します。

0：データグラムをフラグメント化できる
1：データグラムをフラグメント化してはならない

フラグメントオフセット（Fragment Offset）

データグラムの先頭からのフラグメントオフセットの値。

存続可能時間（ttl）（Time to Live (ttl)）

データグラムが期限切れになる前にデータグラムがルータ間で作成できるホップの数。

プロトコル

IP データグラムにカプセル化されるトランスポートプロトコル。たとえば、ICMP、IGMP、TCP、または UDP。

ヘッダーチェックサム（Header Checksum）

IP チェックサムが有効かどうかを示すインジケータ。チェックサムが無効な場合、データグラムが送信中に破損したか、侵入回避の試行において使用中である可能性があります。

送信元または送信先（Source/Destination）

送信元（または宛先）ホストの IP アドレスまたはドメイン名。

ドメイン名を表示するには、IP アドレス解決を有効にする必要があることに注意してください。

アドレスまたはドメイン名をクリックしてコンテキストメニューを表示してから、whois 検索を実行する場合は [Whois] を、ホスト情報を表示する場合は [ホストプロファイルの表示（View Host Profile）] を、アドレスをグローバルブロックリストまたはブロックしないリストに追加するオプションを選択します。

IPv6 ネットワーク層の情報フィールド

以下のリストは、IPv6 パケットで表示される可能性があるプロトコル固有の情報の説明です。

トラフィッククラス（Traffic Class）

IPv4 で提供される差別化サービス機能と同じように、IPv6 パケットクラスまたは優先度を特定する IPv6 見出し内の Experimental 8 ビットのフィールド。未使用の場合、このフィールドはゼロに設定されます。

フローラベル（Flow Label）

非デフォルトの QoS またはリアルタイムサービスなどの特別なフローを特定する、1 から FFFF までの、オプションの 20 ビットの IPv6 16 進数値。未使用の場合、このフィールドはゼロに設定されます。

ペイロード長（Payload Length）

IPv6 ペイロードのオクテットの数を特定する 16 ビットフィールド。これは、任意の拡張子見出しを含む、IPv6 見出しに続くすべてのパケットで構成されます。

次ヘッダー（Next Header）

IPv4 プロトコルフィールドと同じ値を使用して、IPv6 見出しのすぐ後に続く、見出しの種類を特定する 8 ビットのフィールド。

ホップリミット（Hop Limit）

パケットを転送するノードごとに 1 つずつデクリメントする 8 ビットの 10 進整数。デクリメントした値がゼロになると、パケットは破棄されます。

ソース（Source）

送信元ホストの 128 ビットの IPv6 アドレス。

[接続先（Destination）]

宛先ホストの 128 ビットの IPv6 アドレス。

トランスポート層情報の表示

手順

ステップ 1

パケットビューで、トランスポート層プロトコル（たとえば [TCP]、[UDP]、または [ICMP]）の横にある矢印をクリックします。

ステップ 2

オプションで、存在する場合、[データ（Data）] をクリックして、パケットビューの [パケット情報（Packet Information）] セクションで、プロトコルのすぐ上にあるペイロードの最初の 24 バイトを表示します。

ステップ 3

TCP パケットビューのフィールド、UDP パケットビューのフィールド、またはICMP パケットビューフィールドの説明に従って、TCP、UDP、ICMP プロトコルのトランスポート層の内容を表示します。

（注）

これらの例では、TCP、UDP、ICMP パケットについて説明していますが、他のプロトコルも表示されることがあることに注意してください。

TCP パケットビューのフィールド

ここでは、TCP パケットのプロトコル固有の情報について説明します。

ソースポート

発信元のアプリケーションプロトコルを識別する番号。

接続先ポート（Destination port）

受信側のアプリケーションプロトコルを識別する番号。

シーケンス番号（Sequence number）

TCP ストリームの初期シーケンス番号と連動する、現在の TCP セグメントの最初のバイトの値。

次のシーケンス番号（Next sequence number）

応答パケットにおける、送信する次のパケットのシーケンス番号。

確認応答番号（Acknowledgement number）

以前に受信されたデータのシーケンス番号に連動した TCP 確認応答。

ヘッダー長（Header Length）

ヘッダーのバイト数。

フラグ（Flags）

TCP セグメントの転送状態を示す 6 ビット。

U：緊急ポインタが有効
A：確認応答番号が有効
P：受信者はデータをプッシュする必要がある
R：接続をリセットする
S：シーケンス番号を同期して新しい接続を開始する
F：送信者はデータ送信を終了した

ウィンドウサイズ（Window size）

受信ホストが受け入れる、確認応答されていないデータの量（バイト単位）。

チェックサム（Checksum）

TCP チェックサムが有効かどうかを示すインジケータ。チェックサムが無効な場合、データグラムが送信中に破損したか、回避の試行において使用中である可能性があります。

緊急ポインタ（Urgent Pointer）

緊急データが終了する TCP セグメントの位置（存在する場合）。U フラグとともに使用します。

オプション（Options）

TCP オプションの値（存在する場合）。

UDP パケットビューのフィールド

ここでは、UDP パケットのプロトコル固有の情報について説明します。

ソースポート

発信元のアプリケーションプロトコルを識別する番号。

接続先ポート（Destination port）

受信側のアプリケーションプロトコルを識別する番号。

長さ（Length）

UDP 見出しとデータを組み合わせた長さ。

チェックサム（Checksum）

UDP チェックサムが有効かどうかを示すインジケータ。チェックサムが無効な場合、データグラムが送信中に破損した可能性があります。

ICMP パケットビューフィールド

ここでは、ICMP パケットのプロトコル固有の情報について説明します。

タイプ

ICMP メッセージのタイプ。

0：エコー応答
3：宛先到達不能
4：ソースクエンチ（始点抑制要求）
5：リダイレクト
8：エコー要求
9：ルータアドバタイズメント
10：ルータ送信要求
11：時間超過
12：パラメータの問題
13：タイムスタンプ要求
14：タイムスタンプ応答
15：情報要求（廃止）
16：情報応答（廃止）
17：アドレスマスク要求
18：アドレスマスク応答

コード

ICMP メッセージタイプに付随するコード。ICMP メッセージタイプ 3、5、11、および 12 には、RFC 792 で説明されている対応コードがあります。

チェックサム（Checksum）

ICMP チェックサムが有効かどうかを示すインジケータ。チェックサムが無効な場合、データグラムが送信中に破損した可能性があります。

パケットバイト情報の表示

手順

パケットビューで、[パケットバイト（Packet Bytes）] の横にある矢印をクリックして、パケットを構成するバイトの 16 進数および ASCII バージョンを表示します。システムがトラフィックを復号化した場合は、復号化されたパケットバイトを表示できます。

内部ソースからの侵入イベント

内部ソースからの侵入イベントは、ネットワーク上の侵害を受けたホストを示しています。ソース IP アドレスがネットワーク上にある場合は、そのホストを調査する必要があることを示しています。

侵入イベントの統計情報の表示

[侵入イベントの統計情報（Intrusion Event Statistics）] ページは、アプライアンスの現在の状態の概要と、ネットワークで生成されたすべての侵入イベントを表示します。

このページに表示される IP アドレス、ポート、プロトコル、イベントメッセージなどはそれぞれリンクになっています。関連イベントの情報を表示するには、任意のリンクをクリックします。たとえば、上位 10 個の宛先ポートのいずれかが 80（http）/tcp である場合、そのリンクをクリックすると、デフォルトの侵入イベントワークフローの最初のページが表示され、そのポートをターゲットとするイベントがリストされます。現在の時刻範囲で表示されるのはイベント（およびイベントを生成する管理対象デバイス）のみであることに注意してください。さらに、確認済みマークを付けた侵入イベントも統計に引き続き表示されます。たとえば、現在の時刻範囲が過去 1 時間であり、最初のイベントが 5 時間前に生成された場合、[最初のイベント（First Event）] リンクをクリックすると、そのイベントは時刻範囲を変更するまでイベントページには表示されません。

手順

ステップ 1

[概要（Overview）] > [概要（Summary）] > [侵入イベント統計（Intrusion Event Statistics）]を選択します。

ステップ 2

ページの上部にある 2 つの選択ボックスから、統計を表示するゾーンおよびデバイスを選択するか、[すべてのセキュリティゾーン（All Security Zones）] および [すべてのデバイス（All Devices）] を選択して、侵入イベントを収集するすべてのデバイスの統計を表示します。

ステップ 3

[統計の取得（Get Statistics）] をクリックします。

ヒント

カスタム時刻範囲からデータを表示するには、右上のページエリアのリンクをクリックし、時間枠の変更にある指示に従います。

ホスト統計情報

[侵入イベント統計情報（Intrusion Event Statistics）] ページの [ホスト統計情報（Host Statistics）] セクションは、アプライアンス自体に関する情報を提供します。Secure Firewall Management Center では、このセクションはすべての管理対象デバイスに関する情報も提供します。

この情報には、次の内容が含まれます。

時刻（Time）: アプライアンスの現在の時刻。
アップタイム（Uptime）: アプライアンス自体が再起動してから経過した日数、時間、および分数。Secure Firewall Management Center では、[アップタイム（Uptime）] に各管理対象デバイスの最終起動時刻、ログインしたユーザの数、および負荷平均も示されます。
ディスク使用率（Disk Usage）: 使用中のディスクの割合。
メモリ使用率（Memory Usage）: 使用中のシステムメモリの割合。
負荷平均（Load Average）: 直前の 1 分間、5 分間、15 分間の CPU キュー内の平均プロセス数。

イベントの概要

[侵入イベント統計（Intrusion Event Statistics）] ページの [イベントの概要（Event Overview）] セクションは、侵入イベントデータベースにある情報の概要を示します。

これらの統計には、次の情報が含まれています。

イベント: 侵入イベントデータベースのイベントの数。
時間範囲内のイベント（Events in Time Range）: 現在選択されている時間範囲と、時間範囲内に収まるデータベースのイベントの割合。
最初のイベント（First Event）: イベントデータベース内の最初のイベントのイベントメッセージ。
最後のイベント（Last Event）: イベントデータベース内の最後のイベントのイベントメッセージ。

（注）

Secure Firewall Management Center で侵入イベントデータを表示中に管理対象デバイスを選択した場合は、そのデバイスの [イベントの概要（Event Overview）] セクションが代わりに表示されます。

イベント統計

[侵入イベント統計（Intrusion Event Statistics）] ページの [イベント統計（Event Statistics）] セクションでは、侵入イベントデータベース内の情報に関する具体的な情報が表示されます。

この情報には、次に関する詳細が含まれます。

上位 10 個のイベントタイプ
上位 10 個の送信元 IP アドレス
上位 10 個の宛先 IP アドレス
上位 10 個の宛先ポート
イベント数が最大であるプロトコル、イングレスとイーグレスのセキュリティゾーン、およびデバイス

（注）

マルチドメイン展開では、システムは、各リーフドメインに個別のネットワークマップを作成します。その結果、リーフドメインには、ネットワーク内で一意である IP アドレスを含めることができますが、別のリーフドメイン内の IP アドレスと同じにすることができます。先祖ドメインでイベントの統計情報を表示すると、システムで、その IP アドレスの複数のインスタンスが繰り返し表示される場合があります。一見すると、エントリが重複しているように見えることがあります。ただし、各 IP アドレスのホストプロファイル情報までドリルダウンすると、それらが異なるリーフドメインに属していることがわかります。

侵入イベントのパフォーマンスグラフの表示

[侵入イベントのパフォーマンス（Intrusion Event Performance）] ページでは、Secure Firewall Management Center または管理対象デバイスの指定された期間の侵入イベントのパフォーマンス統計情報を示すグラフを生成できます。グラフを生成することにより、1 秒あたりの侵入イベントの数、1 秒あたりのメガビット数、1 パケットあたりの平均バイト数、Snort によって検査されていないパケットの割合、および TCP 正規化の結果としてブロックされたパケットの数を反映できます。これらのグラフは、過去 1 時間、前日、先週、または先月の操作の統計を表示できます。

（注）

新しいデータは 5 分ごとに統計グラフに蓄積されます。したがって、グラフをすばやくリロードしても、次の 5 分の差分更新が実行されるまでデータは変更されていない場合があります。各グラフには、選択した時間間隔（前月、週、日、または時間）に対応した間隔（日、時間、または 5 分）で平均値が表示されます。平均値が 1 未満の場合は、小数値で表示されます。

手順

ステップ 1	[概要（Overview）] > [概要（Summary）] > [侵入イベントパフォーマンス（Intrusion Event Performance）]を選択します。
ステップ 2	[デバイスの選択（Select Device）] リストから、データを表示するデバイスを選択します。
ステップ 3	侵入イベントのパフォーマンス統計情報グラフの種類で説明されているように、[グラフの選択（Select Graph(s)）] リストから、作成するグラフの種類を選択します。
ステップ 4	[時間範囲の選択（Select Time Range）] リストから、グラフに使用する時間範囲を選択します。
ステップ 5	[グラフ（Graph）] をクリックします。
ステップ 6	グラフを保存するには、グラフを右クリックし、ブラウザでイメージを保存する手順に従います。

侵入イベントのパフォーマンス統計情報グラフの種類

次の表に、表示可能なグラフの種類を示します。ネットワーク分析ポリシーの [インラインモード（Inline Mode）] 設定の影響を受けるデータを含むグラフタイプでは、表示が異なるので注意してください。[インラインモード（Inline Mode）] が無効になっている場合、Web インターフェイスでアスタリスク（*）が付いているグラフタイプ（下記の表では列に [はい（yes）] と記載）には、[インラインモード（Inline Mode）] が有効になっている場合に変更またはドロップされるトラフィックに関するデータが含まれています。

表 7. 侵入イベントのパフォーマンスグラフの種類
データの生成対象となるグラフ	実行する操作	説明	インラインモードによる影響
平均バイト/パケット（Avg Bytes/Packet）	適用対象外	各パケットに含まれる平均バイト数。	いいえ
TCP トラフィックまたはパケットで正規化された ECN フラグ（ECN Flags Normalized in TCP Traffic/Packet）	[明示的輻輳通知（Explicit Congestion Notification）] を有効にして、[パケット（Packet）] を選択します。	ネゴシエーションに関係なく、パケット単位で ECN フラグがクリアされたパケットの数。	Yes
TCP トラフィックまたはセッションで正規化された ECN フラグ（ECN Flags Normalized in TCP Traffic/Session）	[明示的輻輳通知（Explicit Congestion Notification）] を有効にして、[ストリーム（Stream）] を選択します。	ECN の使用がネゴシエートされなかった場合にストリーム単位で ECN フラグがクリアされた回数。	Yes
イベント/秒（Events/Sec）	適用対象外	デバイスで生成された 1 秒あたりのイベント数。	いいえ
ICMPv4 エコーの正規化（ICMPv4 Echo Normalizations）	[ICMPv4 の正規化（Normalize ICMPv4）] を有効にします。	エコー（要求）またはエコー応答メッセージの 8 ビットコードフィールドがクリアされた ICMPv4 パケットの数。	Yes
ICMPv6 エコーの正規化（ICMPv6 Echo Normalizations）	[ICMPv6 の正規化（Normalize ICMPv6）] を有効にします。	エコー（要求）またはエコー応答メッセージの 8 ビットコードフィールドがクリアされた ICMPv6 パケットの数。	Yes
IPv4 DF フラグの正規化	[IPv4 の正規化（Normalize IPv4）] と [DF ビットの正規化（Normalize Don’t Fragment Bit）] を有効にします。	[IPv4 フラグ（IPv4 Flags）] ヘッダーフィールドのシングルビット [フラグメント禁止（Don’t Fragment）] サブフィールドがクリアされた IPv4 パケットの数。	Yes
IPv4 オプションの正規化（IPv4 Options Normalizations）	[IPv4 の正規化（Normalize IPv4）] を有効にします。	オプションオクテットが「1」（操作なし（No Operation））に設定された IPv4 パケットの数。	はい
IPv4 予約済みフラグの正規化	[IPv4 の正規化（Normalize IPv4）] と [予約済みビットの正規化（Normalize Reserved Bit）] を有効にします。	[IPv4 フラグ（IPv4 Flags）] ヘッダーフィールドのシングルビット [予約済み（Reserved）] サブフィールドがクリアされた IPv4 パケットの数。	Yes
IPv4 サイズ変更の正規化（IPv4 Resize Normalizations）	[IPv4 の正規化（Normalize IPv4）] を有効にします。	超過ペイロードが IP ヘッダーで指定されたデータグラム長に切り詰められた IPv4 パケットの数。	Yes
IPv4 TOS の正規化	[IPv4 の正規化（Normalize IPv4）] と [TOS ビットの正規化（Normalize TOS Bit）] を有効にします。	1 バイトの [差別化サービス（DS）（Differentiated Services (DS)）] フィールド（旧 [タイプオブサービス（ToS）（Type of Service (TOS)）] フィールド）がクリアされた IPv4 パケットの数。	Yes
IPv4 TTL の正規化（IPv4 TTL Normalizations）	[IPv4 の正規化（Normalize IPv4）]、[最大 TTL（Maximum TTL）]、および [TTL のリセット（Reset TTL）] を有効にします。	IPv4 存続時間（TTL）正規化の数。	はい
IPv6 オプションの正規化（IPv6 Options Normalizations）	[IPv6 の正規化（Normalize IPv6）] を有効にします。	[ホップバイホップオプション（Hop-by-Hop Options）] または [宛先オプション（Destination Options）] 拡張ヘッダーの [オプションタイプ（Option Type）] フィールドが、`00`（スキップして処理を続行）に設定された IPv6 パケットの数。	Yes
IPv6 TTL の正規化（IPv6 TTL Normalizations）	[IPv6 の正規化（Normalize IPv6）]、[最小 TTL（Minimum TTL）]、および [TTL のリセット（Reset TTL）] を有効にします。	IPv6 ホップリミット（TTL）正規化の数。	はい
メガビット/秒（Mbits/Sec）	適用対象外	デバイスをパススルーするトラフィックの 1 秒あたりのメガビット数。	いいえ
MSS に合わせてサイズ変更されたパケットの正規化（Packet Resized to Fit MSS Normalizations）	[データを MSS にトリミング（Trim Data to MSS）] を有効にします。	ペイロードが TCP データフィールドよりも長かったため、ペイロードが最大セグメントサイズに切り詰められたパケットの数。	はい
TCP ウィンドウに合わせてサイズ変更されたパケットの正規化（Packet Resized to Fit TCP Window Normalizations）	[データをウィンドウにトリミング（Trim Data to Window）] を有効にします。	受信側ホストの TCP ウィンドウに合わせて TCP データフィールドが切り詰められたパケットの数。	はい
ドロップされたパケットの割合（Percent Packets Dropped）	適用対象外	選択されたすべてのデバイスにおける未検査のパケットの平均割合。たとえば、2 つのデバイスを選択した場合、平均が 50 % であるというのは、1 つのデバイスのドロップ率が 90 % であり、もう 1 つのデバイスのドロップ率が 10 % であることを示している可能性があります。また、両方のデバイスのドロップ率が 50% である可能性もあります。グラフは、1 つのデバイスを選択した場合にのみ合計ドロップ率を表します。	いいえ
データが除去された RST パケットの正規化（RST Packets With Data Stripped Normalizations）	[RST に関するデータを削除（Remove Data on RST）] を有効にします。	TCP リセット（RST）パケットからデータが削除されたパケットの数。	はい
データが除去された SYN パケットの正規化（SYN Packets With Data Stripped Normalizations）	[SYN に関するデータを削除（Remove Data on SYN）] を有効にします。	TCP オペレーティングシステムが Mac OS でない場合に、SYN パケットからデータが削除されたパケットの数。	はい
TCP ヘッダーパディングの正規化（TCP Header Padding Normalizations）	[オプションパディングバイトの正規化またはクリア（Normalize/Clear Option Padding Bytes）] を有効にします。	オプションの埋め込みバイトが 0 に設定された TCP パケットの数。	はい
TCP オプションなしの正規化（TCP No Option Normalizations）	[これらの TCP オプションを許可（Allow These TCP Options）] を有効にして、[任意（any）] 以外のオプションに設定します。	タイムスタンプオプションがストリップされたパケットの数。	はい
TCP NS フラグの正規化（TCP NS Flag Normalizations）	[明示的輻輳通知（Explicit Congestion Notification）] を有効にして、[パケット（Packet）] を選択します。	ECN Nonce Sum（NS）オプション正規化の数。	はい
TCP オプションの正規化（TCP Options Normalizations）	[これらの TCP オプションを許可（Allow These TCP Options）] を有効にして、[任意（any）] 以外のオプションに設定します。	オプションフィールドが [操作なし（No Operation）]（TCP オプション 1）に設定されているオプションの数（[MSS]、[ウィンドウスケール（Window Scale）]、[タイムスタンプ（Time Stamp）]、および明示的に許可されたオプションを除く）。	はい
正規化によってブロックされた TCP パケット（TCP Packets Blocked By Normalizations）	[TCP ペイロードの正規化（Normalize TCP Payload）] を有効にします（セグメントのリアセンブリは失敗します）。	TCP セグメントを正常にリアセンブルできなかったためにドロップされたパケットの数。	はい
TCP 予約済みフラグの正規化（TCP Reserved Flags Normalizations）	[予約済みビットの正規化またはクリア（Normalize/Clear Reserved Bits）] を有効にします。	予約済みビットがクリアされた TCP パケットの数。	はい
TCP セグメントリアセンブリの正規化（TCP Segment Reassembly Normalizations）	[TCP ペイロードの正規化（Normalize TCP Payload）] を有効にします（セグメントのリアセンブリは成功します）。	再送信データの一貫性を確保するために [TCP データ（TCP Data）] フィールドが正規化されたパケットの数。（正しくリアセンブルできないセグメントはすべてドロップされます）。	はい
TCP SYN オプションの正規化（TCP SYN Option Normalizations）	[これらの TCP オプションを許可（Allow These TCP Options）] を有効にして、[任意（any）] 以外のオプションに設定します。	SYN 制御ビットが設定されていないため、[最大セグメントサイズ（Maximum Segment Size）] または [ウィンドウスケール（Window Scale）] オプションが [操作なし（No Operation）]（TCP オプション 1）に設定されたオプションの数。	はい
TCP タイムスタンプ ECR の正規化（TCP Timestamp ECR Normalizations）	[これらの TCP オプションを許可（Allow These TCP Options）] を有効にして、[任意（any）] 以外のオプションに設定します。	確認応答（ACK）制御ビットが設定されていないため、[タイムスタンプエコー応答（TSecr）（Time Stamp Echo Reply (TSecr)）] オプションフィールドがクリアされたパケットの数。	はい
TCP 緊急ポインタの正規化（TCP Urgent Pointer Normalizations）	[緊急ポインタの正規化（Normalize Urgent Pointer）] を有効にします。	TCP ヘッダーの [緊急ポインタ（Urgent Pointer）] フィールド（2 バイト）がペイロード長を超えていたため、ペイロード長に合わせて設定されたパケットの数。	Yes
ブロックされたパケットの総数（Total Blocked Packets）	[インラインモード（Inline Mode）] または [インライン時にドロップ（Drop when Inline）] を設定します。	ルール、デコーダ、およびプリプロセッサのドロップを含めて、ドロップされたパケットの総数。	いいえ
インジェクションされたパケットの総数（Total Injected Packets）	[インラインモード（Inline Mode）] を設定します。	再送信前にサイズ変更されたパケットの数。	いいえ
TCP フィルタ適用パケットの総数（Total TCP Filtered Packets）	TCP ストリームの前処理を設定します。	TCP ポートフィルタリングのためにストリームによってスキップされたパケットの数。	いいえ
UDP フィルタ適用パケットの総数（Total UDP Filtered Packets）	UDP ストリームの前処理を設定します。	UDP ポートフィルタリングのためにストリームによってスキップされたパケットの数。	いいえ
緊急フラグクリア済みの正規化（Urgent Flag Cleared Normalizations）	[緊急ポインタが設定されていない場合 URG をクリア（Clear URG if Urgent Pointer is Not Set）] を有効にします。	緊急ポインタが設定されていなかったため、TCP ヘッダーの URG 制御ビットがクリアされたパケットの数。	はい
緊急ポインタおよび緊急フラグクリア済みの正規化（Urgent Pointer and Urgent Flag Cleared Normalizations）	[空のペイロードに設定された緊急ポインタまたは URG をクリア（Clear Urgent Pointer/URG on Empty Payload）] を有効にします。	ペイロードがなかったため、TCP ヘッダーの [緊急ポインタ（Urgent Pointer）] フィールドと URG 制御ビットがクリアされたパケットの数。	はい
緊急ポインタクリア済みの正規化（Urgent Pointer Cleared Normalizations）	[URG=0 の場合に緊急ポインタをクリア（Clear Urgent Pointer if URG=0）] を有効にします。	緊急（URG）制御ビットが設定されていなかったため、TCP ヘッダーの [緊急ポインタ（Urgent Pointer）] フィールド（16 ビット）がクリアされたパケットの数。	はい

侵入イベントグラフの表示

システムは、経時的な侵入イベントの傾向を示すグラフを表示します。1 つまたはすべての管理対象デバイスについて、過去 1 時間から先月までの範囲の経時的な侵入イベントグラフを生成できます。

手順

ステップ 1	[概要（Overview）] > [概要（Summary）] > [侵入イベントグラフ（Intrusion Event Graphs）]を選択します。
ステップ 2	[デバイスの選択（Select Device）] で、[すべて（all）] を選択してすべてのデバイスを含めるか、グラフに含める特定のデバイスを選択します。
ステップ 3	[グラフの選択（Select Graph(s)）] で、生成するグラフの種類を選択します。上位 10 個の宛先ポート上位 10 個の送信元 IP アドレス上位 10 個のイベントメッセージ
ステップ 4	[時間範囲の選択（Select Time Range）] で、グラフの時間範囲を選択します。直近の 1 時間（Last Hour）前日（Last Day）先週（Last Week）先月（Last Month）
ステップ 5	[グラフ（Graph）] をクリックします。

侵入イベントの履歴


機能	最小 Management Center	最小 Threat Defense	詳細
IPS イベントデータストアの交換	7.1	任意（Any）	侵入インシデント、侵入イベントクリップボード、およびデフォルトのカスタムテーブル（侵入イベント列（[送信元重要度を持つ侵入イベント（Intrusion Events with Source Criticality）] および [宛先重要度を持つ侵入イベント（Intrusion Events with Destination Criticality）]）を使用するテーブルは廃止されています。 [コピー（Copy）] ボタンと [すべてコピー（Copy All）] ボタンを使用してクリップボードにイベントを追加できなくなりました。廃止されたページ： [分析（Analysis）] > [侵入（Intrusions）] > [クリップボード（Clipboard）] [分析（Analysis）] > [侵入（Intrusions）] > [インシデント（Incidents）] メインの侵入イベントテーブルに、[送信元ホストの重要度（Source Host Criticality）] と [宛先ホストの重要度（Destination Host Criticality）] という新しい 2 つのフィールドが追加されました。サポートされているプラットフォーム： Secure Firewall Management Center
Syslog の接続イベントの固有識別子	6.4.0.4	任意（Any）	syslog の [DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを一意に識別できます。これらのフィールドは、侵入イベントの syslog に含まれます。
[IntrusionPolicy] フィールドが syslog に含まれるようになりました。	6.4	任意（Any）	侵入イベントの syslog が、イベントをトリガーした侵入ポリシーを指定するようになりました。
新しい侵入イベント検索フィールド：[CVE ID]	6.4	任意（Any）	MITRE の Common Vulnerabilities and Exposures 番号で検索できるようになりました。変更された画面：[分析（Analysis）] > [侵入（Intrusions）] > [イベント（Events）] > [検索の編集（Edit Search）] サポート対象プラットフォーム：すべて

Cisco Secure Firewall Management Center 7.4 管理ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： 侵入イベント

侵入イベント

侵入イベントについて

侵入イベントを確認および評価するためのツール

侵入イベントのライセンス要件

Threat Defense ライセンス

従来のライセンス

侵入イベントの要件と前提条件

モデルのサポート

サポートされるドメイン

ユーザの役割

侵入イベントの表示

手順

侵入イベントのフィールドについて

侵入イベント フィールド

[アクセス コントロール ポリシー（Access Control Policy）]（syslog：ACPolicy）

アクセス コントロール ルール（Syslog：AccessControlRuleName）

[アプリケーション プロトコル（Application Protocol）]（syslog：ApplicationProtocol）

アプリケーション プロトコル カテゴリおよびタグ（Application Protocol Category and Tag）

アプリケーションのリスク（Application Risk）

ビジネスとの関連性（Business Relevance）

[分類（Classification）]（syslog：Classification）

[クライアント（Client）]（syslog：Client）

クライアント カテゴリおよびタグ（Client Category and Tag）

Connection Counter （Syslog のみ）

Connection Instance ID （Syslog のみ）

カウント（Count）

CVE ID

送信先の大陸（Destination Continent）

送信先の国（Destination Country）

宛先ホスト重要度（Destination Host Criticality）

[宛先 IP（Destination IP）]（syslog：DstIP）

[宛先ポート/ICMP コード（Destination Port / ICMP Code）]（syslog：DstPort、ICMPCode）

宛先ユーザー（Destination User）

デバイス

DeviceUUID （Syslog のみ）

ドメイン（Domain）

[出力インターフェイス（Egress Interface）]（syslog：EgressInterface）

[出力セキュリティ ゾーン（Egress Security Zone）]：（syslog：EgressZone）

[出力仮想ルータ（Egress Virtual Router）]

電子メールの添付ファイル（Email Attachments）

電子メールのヘッダー（Email Headers）

メール受信者（Email Recipient）

メール送信者（Email Sender）

First Packet Time （Syslog のみ）

ジェネレータ（Generator）

GID（syslog のみ）

HTTP ホスト名（HTTP Hostname）

[HTTP 応答コード（HTTP Response Code）]（syslog：HTTPResponse）

HTTP URI

影響（Impact）

入力インターフェイス (Syslog：IngressInterface)

[入力セキュリティ ゾーン（Ingress Security Zone）]：（syslog：IngressZone）

[入力仮想ルータ（Ingress Virtual Router）]

[インライン結果（Inline Result）]（syslog：InlineResult）

侵入ポリシー (Syslog: IntrusionPolicy)

IOC（syslog：NumIOC）

[メッセージ（Message）]（syslog：メッセージ）

MITRE

[MPLS ラベル（MPLS Label）]（syslog：MPLS_Label）

[ネットワーク分析ポリシー（Network Analysis Policy）]（syslog：NAPPolicy）

クライアントのオリジナル IP（Original Client IP）

[優先度（Priority）]（syslog：Priority）

[プロトコル（Protocol）]（syslog：Protocol）

確認者（Reviewed By）

Revision（syslog のみ）

ルールグループ

[セキュリティ コンテキスト（Security Context）]（syslog：Context）

SID（syslog のみ）

Snort ID

ソースの大陸（Source Continent）

ソースの国（Source Country）

送信元ホスト重要度（Source Host Criticality）

[送信元 IP（Source IP）]（syslog：SrcIP）

[送信元ポート/ICMP タイプ（Source Port/ICMP Type）]（syslog：SrcPort、ICMPType）

[送信元ユーザー（Source User）]（syslog：User）

章のタイトル：侵入イベント

侵入イベントフィールド

[アクセスコントロールポリシー（Access Control Policy）]（syslog：ACPolicy）

アクセスコントロールルール（Syslog：AccessControlRuleName）

[アプリケーションプロトコル（Application Protocol）]（syslog：ApplicationProtocol）

アプリケーションプロトコルカテゴリおよびタグ（Application Protocol Category and Tag）

クライアントカテゴリおよびタグ（Client Category and Tag）

[出力セキュリティゾーン（Egress Security Zone）]：（syslog：EgressZone）

[入力セキュリティゾーン（Ingress Security Zone）]：（syslog：IngressZone）

[セキュリティコンテキスト（Security Context）]（syslog：Context）

Web アプリケーションカテゴリおよびタグ（Web Application Category and Tag）

プリプロセッサイベント

侵入イベントのワークフローページ

侵入イベントワークフローの使用

侵入イベントドリルダウンページの制約

侵入イベントテーブルビューの制約

侵入イベントパケットビューの使用

入力セキュリティゾーン（Ingress Security Zone）

出力セキュリティゾーン（Egress Security Zone）

セキュリティコンテキスト（Security Context）

アクセスコントロールポリシー（Access Control Policy）

アクセスコントロールルール（Access Control Rule）

パケットビュー内での侵入ルールの設定

パケットビュー内でのしきい値オプションの設定

パケットビュー内での抑制オプションの設定