Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド

Chapter Title

ワークフロー

検索結果

Updated:
2017年12月14日

章のタイトル: ワークフロー

ワークフロー

以下のトピックでは、ワークフローの使用方法について説明します。

概要:ワークフロー

ワークフローは Firepower Management Center Web インターフェイス上でユーザに合わせて作成された一連のデータ ページで、アナリストはワークフローを使用して、システムで生成されたイベントを評価することができます。

Firepower Management Center では、以下のタイプのワークフローを使用できます。

定義済みワークフロー

システムに付属のプリセット ワークフローです。定義済みのワークフローの編集や削除を行うことはできません。ただし、定義済みワークフローをコピーして、そのコピーをカスタム ワークフローの基礎として使用することができます。

保存済みのカスタム ワークフロー

Firepower Management Center に付属の保存済みカスタム テーブルに基づくカスタム ワークフロー。これらのワークフローは編集、削除、コピーすることができます。

カスタム ワークフロー

特定のニーズに対応するために作成してカスタマイズするワークフロー、またはカスタム テーブルを作成するとシステムによって自動的に生成されるワークフローです。これらのワークフローは編集、削除、コピーすることができます。

通常、ワークフローに表示されるデータは、管理対象デバイスのライセンスおよび展開状況や、データを提供する機能を設定しているかどうかによって異なります。

定義済みワークフロー

以下の項で説明する定義済みワークフローは、システムに付属しているものです。定義済みワークフローを編集または削除することはできません。ただし、定義済みワークフローをコピーして、そのコピーをカスタム ワークフローのベースとして使用することができます。

定義済み侵入イベントのワークフロー

次の表では、Firepower System に備わっている定義済み侵入イベントのワークフローについて説明します。

表 1 定義済み侵入イベントのワークフロー

ワークフロー名

説明

[接続先ポート(Destination Port)]

接続先ポートは、通常、アプリケーションに紐付けされているため、このワークフローにより、異常な大容量アラートを経験しているアプリケーションを検出できます。接続先ポート カラムにより、ネットワーク上に存在してはならないアプリケーションを特定できます。

イベント特定

このワークフローでは、2 つの有用な特徴を提供します。イベントが頻繁に発生する場合には、次のことを示します:

  • 誤検出

  • ワーム

  • 不正確な誤設定ネットワーク

発生頻度の低いイベントは、対象となる攻撃を最も確実に示す証拠であり、特別な注意を必要とします。

優先度および分類によるイベント

このワークフローでは、イベントとタイプのリストをそれぞれのイベントが発生した回数と共にイベントの優先度の順に示します。

接続先に対するイベント

このワークフローでは、攻撃されているホスト IP アドレスや攻撃の本質のハイレベル ビューを提示します。利用可能な場合、攻撃に関与する国に関する情報を確認することもできます。

IP 特定

このワークフローでは、最も多くのアラートを発生するホスト IP アドレスを示します。イベント数が最も多いホストは、対外に向けて、受信しているワーム タイプのトラフィック(調整を必要とする適切な場所を示す)であるか、またはアラートの原因を決定するために更に調査を必要とします。イベント数が最も少ないホストは、対象となる攻撃を受ける可能性があるため、調査の根拠となります。イベント数が少ない場合は、ホストがネットワークに属していないことを示す場合もあります。

影響度と優先度

このワークフローにより、すぐに再度発生している影響度の高いイベントを検索します。レポートによる影響レベルは、イベントが発生した時間数で示します。この情報を使用して、最も頻繁に再発する影響度の高いイベントを特定できます。これがネットワーク上での広範な攻撃の指標となります。

影響度と送信元

このワークフローにより、進行中の攻撃の送信元を特定できます。レポートされた影響レベルは、イベントに対する関連の送信元 IP アドレスにより示します。たとえば、影響レベルが 1 のイベントは、同じ送信元 IP アドレスから繰返し発生している場合、これらは特定された脆弱なシステムであり、送信元 IP アドレスを対象としている攻撃者を示すこともあります。

接続先への影響

このワークフローを使用して、脆弱なコンピュータ上で繰返し発生しているイベントを特定できます。このため、これらのシステムでの脆弱性を指定し、進行中の攻撃を停止できます。

送信元ポート

このワークフローは、最もアラートを発生しているサーバを示します。この情報を使用して、調整が必要なエリアを特定し、注意を要するサーバを決定できます。

送信元と接続先

このワークフローでは、高いレベルのアラートを共有するホスト IP アドレスを特定します。リストのトップのペアは誤検出の可能性もあり、調整が必要なエリアを特定することもあります。評価する必要のないリソースを評価するユーザまたはネットワークに属していないホストについては、対象となる攻撃リストの下部にあるペアを確認できます。

定義済みマルウェアのワークフロー

次の表では、Firepower Management Center に備えられた定義済みマルウェアのワークフローについて説明します。定義済みマルウェアのワークフローでは、必ずマルウェア イベントのテーブル ビューを使用します。

表 2 定義済みマルウェアのワークフロー

ワークフロー名

説明

マルウェア サマリ

このワークフローでは、ネットワーク トラフィック内で検出されたか、または AMP for Endpoints Connector によって検出されたマルウェアのリストを提供します。これらのリストは、それぞれの脅威ごとにグループ化されます。

マルウェア イベント サマリ

このワークフローでは、異なるマルウェア イベントのタイプやサブタイプの明細が迅速に表示されます。

ホスト受信マルウェア

このワークフローでは、マルウェアを受信したホスト IP アドレスのリストが表示されます。このリストは、マルウェア ファイル関連の処理ごとにグループ化されます。

ホスト送信マルウェア

このワークフローでは、マルウェアを送信したホスト IP アドレスのリストが表示されます。このリストは、マルウェア ファイル関連の処理ごとにグループ化されます。

アプリケーション導入マルウェア

このワークフローでは、ファイルを受信したホスト IP アドレスのリストが表示されます。このリストは、受信したファイルの関連したマルウェアの処理によってグループ化されます。

定義済みファイルのワークフロー

次の表では、Firepower Management Center に備えられる定義済みファイル イベントのワークフローについて説明しています。定義済みファイル イベントのワークフローでは、必ずファイル イベントのテーブル ビューを使用します。

表 3 定義済みファイルのワークフロー

ワークフロー名

説明

ファイル サマリ(File Summary)

このワークフローでは、関連するマルウェアの処理と共に、異なるファイル イベント カテゴリやタイプの明細を迅速に表示します。

ホスト受信ファイル(Hosts Receiving Files)

このワークフローでは、ファイルを受信したホスト IP アドレスのリストが表示されます。このリストは、受信したファイルの関連したマルウェアの処理によってグループ化されます。

ホスト送信ファイル(Hosts Sending Files)

このワークフローでは、ファイルを送信したホスト IP アドレスのリストを表示します。このリストは、これらのファイルの関連したマルウェアの処理によってグループ化されます。

定義済みキャプチャ ファイルのワークフロー

次の表では、Firepower Management Center での定義済みキャプチャ ファイルのワークフローについて説明しています。定義済みキャプチャ ファイルのワークフローは、必ずキャプチャ ファイルのテーブル ビューを使用します。

表 4 定義済みキャプチャ ファイルのワークフロー

ワークフロー名

説明

キャプチャ ファイル サマリ

このワークフローでは、タイプ、カテゴリ、脅威スコアに基づいてキャプチャ ファイルの詳細を提示します。

ダイナミック分析ステータス(Dynamic Analysis Status)

このワークフローでは、ダイナミック分析用に提示されたか否かに基づいて、キャプチャ ファイルの数を表示します。

定義済み接続データのワークフロー

次の表では、Firepower Management Center に備えられる定義済み接続データのワークフローについて説明しています。定義済み接続データ ワークフローでは、必ず接続データのテーブル ビューを使用します。

表 5 定義済み接続データのワークフロー

ワークフロー名

説明

接続イベント

このワークフローでは、ベーシックな接続に関する情報や検出されたアプリケーション情報のサマリー ビューを提示し、このサマリー ビューを使用して、イベントのテーブル ビューをドリルダウンできます。

アプリケーションごとの接続(Connections by Application)

このワークフローには、検出された接続情報の数に基づく監視対象のネットワーク セグメントでの 10 個の最もアクティブなアプリケーションのグラフを含みます。

イニシエータごとの接続(Connections by Initiator)

このワークフローには、ホストが接続トランザクションを開始した接続の数に基づく監視対象のネットワーク セグメントでの 10 個の最もアクティブなホスト IP アドレスのグラフが含まれています。

ポートごとの接続(Connections by Port)

このワークフローには、検出された接続の数に基づく監視対象のネットワーク セグメントでの 10 個の最もアクティブなポートのグラフが含まれています。

レスポンダごとの接続(Connections by Responder)

このワークフローには、ホスト IP が接続トランザクションでレスポンダである接続の数に基づく監視対象のネットワーク セグメントでの 10 個の最もアクティブなホスト IP アドレスのグラフが含まれています。

時間の経過ごとの接続(Connections over Time)

このワークフローには、監視対象のネットワーク セグメントでの時間の経過ごとの合計接続数のグラフが含まれています。

アプリケーションごとのトラフィック(Traffic by Application)

このワークフローには、送信されたキロバイト数に基づく監視対象のネットワーク セグメントでの 10 個の最もアクティブなアプリケーションのグラフが含まれています。

イニシエータごとのトラフィック(Traffic by Initiator)

このワークフローには、各アドレスから送信された合計キロバイト数に基づく監視対象のネットワーク セグメントでの 10 個の最もアクティブなホスト IP アドレスのグラフが含まれています。

ポートごとのトラフィック(Traffic by Port)

このワークフローには、送信されたキロバイト数に基づく監視対象のネットワーク セグメントでの 10 個の最もアクティブなポートのグラフが含まれています。

レスポンダごとのトラフィック(Traffic by Responder)

このワークフローには、各アドレスが受信した合計キロバイト数に基づく監視対象のネットワーク セグメントでの 10 個の最もアクティブなホスト IP アドレスのグラフが含まれています。

時間の経過ごとのトラフィック

このワークフローには、監視対象のネットワーク セグメントで送信される時間の経過ごとの合計キロバイト数のグラフが含まれています。

レスポンダごとの一意イニシエータ

このワークフローには、各アドレスでコンタクトした一意イニシエータの数に基づく監視対象のネットワーク セグメントでの 10 個の最もアクティブな応答ホスト IP アドレスのグラフが含まれています。

イニシエータごとの一意レスポンダ(Unique Responders by Initiator)

このワークフローには、アドレスにコンタクトする一意レスポンダの数に基づく、監視対象のネットワーク セグメントでの 10 個の最もアクティブな開始ホスト IP アドレスのグラフが含まれています。

定義済みセキュリティ インテリジェンスのワークフロー

次の表では、Firepower Management Center に備えられている定義済みセキュリティ インテリジェンスのワークフローについて説明しています。定義済みセキュリティ インテリジェンスのワークフローでは、必ずセキュリティ インテリジェンス イベントのテーブル ビューを使用します。

表 6 定義済みセキュリティ インテリジェンスのワークフロー

ワークフロー名

説明

セキュリティ インテリジェンス イベント

このワークフローでは、基礎的なセキュリティ インテリジェンスや検出されたアプリケーション情報のサマリ ビューを表示し、イベントのテーブル ビューをドリルダウンする際に使用できます。

セキュリティ インテリジェンス サマリ

このワークフローは、セキュリティ インテリジェンス イベントのワークフローと同じものですが、セキュリティ インテリジェンス サマリ ページから始まり、カテゴリや数ごとにセキュリティ インテリジェンス イベントのみのリストを表示します。

セキュリティ インテリジェンスと DNS 詳細

このワークフローは、セキュリティ インテリジェンス イベントのワークフローと同じものですが、DNS 詳細のあるセキュリティ インテリジェンス ページから始まり、カテゴリや DNS 関連特性ごとにセキュリティ インテリジェンス イベントのリストを表示します。

定義済みホストのワークフロー

次の表では、ホスト データと共に使用できる定義済みワークフローについて説明します。

表 7 定義済みホストのワークフロー

ワークフロー名

説明

Hosts

このワークフローには、ホストのテーブル ビューと、その後にホスト ビューが含まれます。ホスト テーブルに基づくワークフロー ビューでは、ホストに関連付けられているすべての IP アドレスのデータを容易に表示できます。

オペレーティング システム サマリ(Operating System Summary)

このワークフローを用いて、ネットワーク上で使用中のオペレーティング システムを分析できます。

定義済み侵害の兆候のワークフロー

次の表では、IOC(侵害の兆候)と共に使用できる定義済みワークフローについて説明します。

表 8 定義済み侵害の兆候のワークフロー

ワークフロー名

説明

の侵害の兆候

このワークフローは、数とカテゴリごとにグループ化した IOC データのサマリー ビューから始まり、さらにサマリ データをイベント タイプごとに分割した詳細ビューを表示します。

[分析(Analysis)] > [ホスト(Hosts)] メニューからこのワークフローにアクセスします。

ホストごとの侵害の兆候

このワークフローを使用して、最も侵害する可能性の高いネットワーク上のホストを判断できます(IOC データに基づく)。

[分析(Analysis)] > [ホスト(Hosts)] メニューからこのワークフローにアクセスします。

定義済みアプリケーション ワークフロー

次の表では、アプリケーション データと共に使用できる定義済みワークフローについて説明しています。

表 9 定義済みアプリケーション ワークフロー

ワークフロー名

説明

アプリケーションのビジネスとの関連性

このワークフローを使用して、ネットワーク上で実行中のそれぞれ予想されるビジネスとの関連性レベルのアプリケーションを分析できます。そのため、ネットワーク リソースが適切に使用されているかを監視できます。

アプリケーション カテゴリ

このワークフローを使用して、ネットワーク上で各カテゴリの実行中のアプリケーションを分析できます(電子メール、検索エンジン、ソーシャルネット ワーキングなど)。そのため、ネットワーク リソースが適切に使用されているかを監視できます。

アプリケーションのリスク

このワークフローを使用して、ネットワーク上でそれぞれ予想されるセキュリティ リスク レベルの実行中のアプリケーションを分析できます。このため、ユーザのアクティビティの考えられるリスクを予想し、適切なアクションを取ることできます。

アプリケーション サマリ

このワークフローを使用して、ネットワークのアプリケーションや関連するホストに関する詳細情報を取得できます。このため、ホストのアプリケーションのアクティビティを正確に調べることができます。

アプリケーション

このワークフローを使用して、ネットワーク上の実行中のアプリケーションを分析できます。このため、ネットワークの使用状況の概要を取得できます。

定義済みアプリケーション詳細ワークフロー

次の表では、アプリケーションの詳細とクライアント データと共に使用できる定義済みワークフローについて説明しています。

表 10 定義済みアプリケーション詳細ワークフロー

ワークフロー名

説明

アプリケーション詳細(Application Details)

このワークフローを用いて、ネットワーク上のクライアント アプリケーションをさらに詳しく分析することができます。また、このワークフローでは、クライアント アプリケーションのテーブル ビューを表示し、その後ホスト ビューを表示します。

Clients

このワークフローには、クライアント アプリケーションのテーブル ビューと、その後にホスト ビューが含まれます。

定義済みサーバのワークフロー

次の表では、サーバ データと共に使用できる定義済みワークフローについて説明します。

表 11 定義済みサーバのワークフロー

ワークフロー名

説明

数別ネットワーク アプリケーション

このワークフローを使用して、ネットワーク上で最も多く使用されるアプリケーションを分析できます。

ヒット別ネットワーク アプリケーション

このワークフローを使用して、ネットワーク上で最もアクティブなアプリケーションを分析できます。

サーバの詳細

このワークフローを使用して、ベンダや検出されたサーバ アプリケーション プロトコルのバージョンを詳細に分析できます。

サーバ

このワークフローには、アプリケーションのテーブル ビューと、その後にホスト ビューが含まれます。

定義済みホスト属性のワークフロー

次の表では、ホスト属性データと共に使用できる定義済みワークフローについて説明します。

表 12 定義済みホスト属性のワークフロー

ワークフロー名

説明

属性(Attributes)

このワークフローを使用して、ネットワーク上のホスト IP アドレスやホスト ステータスを監視できます。

定義済み検出イベントのワークフロー

次の表では、検出データとアイデンティティ データの表示に使用できる定義済みワークフローについて説明しています。

表 13 定義済み検出イベント ワークフロー

ワークフロー名

説明

検出イベント(Discovery Events)

このワークフルーでは、テーブル ビュー形式の検出イベント詳細リストが提示され、その次にホスト ビューが提示されます。

定義済みユーザ ワークフロー

次の表では、ユーザ検出データとユーザ アイデンティティ データの表示に使用できる定義済みワークフローを説明します。

表 14 定義済みユーザ ワークフロー

ワークフロー名

説明

Users

このワークフローでは、ユーザ ID ソースによって収集されるユーザ情報リストが表示されます。

定義済み脆弱性のワークフロー

次の表では、Firepower Management Center に備えられている定義済み脆弱性のワークフローについて説明します。

表 15 定義済み脆弱性のワークフロー

ワークフロー名

説明

脆弱性(Vulnerabilities)

このワークフローを使用して、ネットワーク上で検出されたホストに適用するこれらのアクティブな脆弱性のみのテーブル ビューなど、データベース内の脆弱性を検討できます。このワークフローにより脆弱性詳細ビューが提供され、これには制約に適合するそれぞれの脆弱性に関する詳細な説明が含まれています。

定義済みのサードパーティ脆弱性のワークフロー

次の表では、Firepower Management Center に備えられた定義済みのサードパーティ脆弱性のワークフローについて説明します。

表 16 定義済みのサードパーティ脆弱性のワークフロー

ワークフロー名

説明

IP アドレスごとの脆弱性

このワークフローを使用して、監視対象のネットワーク上のホスト IP アドレスごとに検出されたサードパーティの脆弱性の数をすぐに確認できます。

送信元ごとの脆弱性

このワークフローを使用して、QualysGuard Scanner などサードパーティの脆弱性の送信元ごとに検出されたサードパーティの脆弱性の数をすぐに確認できます。

定義済み相関ワークフロー、ホワイト リスト ワークフロー

相関データ、ホワイト リスト イベント、ホワイト リスト違反、修復ステータス イベントのそれぞれのタイプには、定義済みワークフローがあります。

表 17 定義済み相関ワークフロー

ワークフロー名

説明

相関イベント(Correlation Events)

このワークフローには、相関イベントのテーブル ビューが含まれています。

ホワイト リスト イベント(White List Events)

このワークフローには、ホワイト リスト イベントのテーブル ビューが含まれています。

ホスト違反数(Host Violation Count)

このワークフローには、少なくとも 1 つのホワイト リストに違反しているすべてのホスト IP アドレスのリストを示す一連のページが表示されます。

ホワイト リスト違反(White List Violations)

このワークフローには、すべての違反を列挙し、リストのトップに直前に検出された違反を示す、ホワイト リスト違反のテーブル ビューが含まれています。テーブル内の各列には、検出された違反が 1 つずつ表示されます。

ステータス(Status)

このワークフローには、修復ステータスのテーブル ビューを含み、違反したポリシー名、適用された修復名や修復状況が表示されています。

定義済みのシステムのワークフロー

Firepower System には、監査イベントやヘルスイベントなどのシステム イベントなど、いくつかの追加のワークフロー、ルール更新インポート、アクティブ スキャンの結果をリストにしたワークフローが提供されています。

表 18 追加の定義済みワークフロー

ワークフロー名

説明

監査ログ(Audit Log)

このワークフローでは、監査イベントをリストした監査ログのテーブル ビューを含みます。

ヘルス イベント(Health Events)

このワークフローでは、ヘルス監視ポリシーによりトリガーされるイベントを表示します。

ルール更新インポート ログ(Rule Update Import Log)

このワークフローは、成功したルールの更新インポートと失敗したルールの更新インポートに関する情報をリストしたテーブル ビューを含みます。

スキャン結果(Scan Results)

このワークフローには、それぞれ完了したスキャンをリストしたテーブル ビューを含みます。

カスタム テーブル ワークフロー

カスタム テーブルの機能を使用して、複数のイベント タイプのデータを使用するテーブルを作成することができます。これにより、たとえば、ユーザが侵入イベントのデータとディスカバリ データを関連付けるテーブルおよびワークフローを作成して、重要なシステムに影響を及ぼすイベントを簡単に検索できるようになるため、役立ちます。

カスタム テーブルを作成すると、システムは自動的にワークフローを作成します。このテーブルを使って関連するイベントを表示することができます。ワークフローの機能は、使用するテーブルのタイプによって異なります。たとえば、侵入イベント テーブルに基づいたカスタム テーブルのワークフローは、必ずパケット ビューで終了します。ただし、検出イベントに基づいたカスタム テーブルのワークフローは、必ずホスト ビューで終了します。

事前定義のイベント テーブルに基づいたワークフローとは異なり、カスタム テーブルに基づいたワークフローには、他のタイプのワークフローへのリンクがありません。

ワークフローの使用

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

任意(Any)

(ワークフローに応じて)Admin/Maint/Any Security Analyst
手順
    ステップ 1   ワークフローの選択に記載されているように、適切なメニュー パスとオプションを選択します。
    ステップ 2   現在のワークフロー内で移動します。

    • 選択したイベント データタイプで利用可能な列をすべて表示するには、テーブル ビュー ページを使用します。テーブル ビュー ページの使用を参照してください。

    • 選択したイベント データタイプで利用可能な列のサブセットを表示するには、ドリルダウン ページを使用します。ドリルダウン ページの使用を参照してください。

    • ワークフローの次のページの対応する行を表示するには、青い下矢印アイコン()をクリックします。

    • マルチページ ワークフローのページ間を移動するには、各ページの下部にあるツールを使用します。ワークフロー ページのトラバーサル ツールを参照してください。

    • 別のタイプのイベントに対してワークフロー内で適用された同じ制約を表示するには、[移動先(Jump to)] をクリックし、ドロップダウンリストからイベント ビューを選択します。

    ステップ 3   現在のワークフローの表示を変更します。

    • ページ上で 1 つ以上の行のチェックボックスにマークを付けて、処理を反映させる行を表示し、ページの下部にあるいずれかのボタン([表示(View)] ボタンなど)をクリックして、選択したすべての行に対してそのアクションを実行します。

    • 行の上部にあるチェックボックスにマークを付けて、ページ上のすべての行を選択し、ページの下部にあるいずれかのボタン([表示(View)] ボタンなど)をクリックして、ページ上のすべての行に対してそのアクションを実行します。

    • 非表示にする列ヘッダーの閉じるアイコン()をクリックして、表示する列を制約します。表示されるポップアップ ウィンドウで、[適用(Apply)] をクリックします。
      ヒント   

      他のカラムを表示または非表示にするには、[適用(Apply)] をクリックする前に、該当するチェック ボックスをオンまたはオフにします。無効にした列をビューに戻すには、展開の矢印をクリックして検索の制約を展開し、[無効な列(Disabled Columns)] の下の列名をクリックします。

    • 選択したフィールドに対して選択した値でデータ ビューを制約します。詳細については、イベント ビューの制約および複合イベント ビューの制約を参照してください。

    • イベント ビューの時間の制約を変更します。ページの右上隅に表示される日付の範囲は、ワークフローに含めるイベントの時間範囲を設定します。詳細については、イベント時間の制約を参照してください。
      (注)     

      イベント ビューを時間によって制約している場合は、(グローバルかイベントに特有かに関係なく)アプライアンスに設定されている時間枠の範囲外に生成されたイベントがイベント ビューに表示されることがあります。アプライアンスに対してスライドする時間枠を設定した場合でも、この状況が発生することがあります。

    • データを列でソートするには、列の名前をクリックします。ソート順序を反転させるには、もう一度列の名前をクリックします。矢印のアイコンは、データのソート基準になっている列、およびソートが昇順である()か、または降順である()かを表します。

    • ワークフロー ページのリンクをクリックして、アクティブな制約を使用しているページを表示します。ワークフロー ページのリンクは、事前定義されたワークフロー テーブル ビュー、およびドリルダウン ページの左上隅の、イベントの上で、ワークフロー名の下に示されます。

    ステップ 4   現在のワークフロー内の追加データを表示します。

    • ファイルのトラジェクトリ マップを新しいウィンドウで表示するには、ファイル名と SHA-256 ハッシュ値の列のネットワーク ファイル トラジェクトリ アイコンをクリックします。アイコンは、ファイル ステータスによって異なります。ファイル トラジェクトリ アイコンを参照してください。

    • IP アドレスに関連付けられたホスト プロファイルのポップアップ ウィンドウを表示するには、IP アドレスの列のホスト プロファイル アイコンをクリックします。アイコンは、ファイル ステータスによって異なります。ホスト プロファイルのアイコンを参照してください。

    • ファイルに関連付けられた最も高い脅威スコアの動的分析サマリー レポートを表示するには、いずれかの脅威スコア列の脅威スコア アイコンをクリックします。アイコンは、ファイルの最も高い脅威スコアによって異なります。脅威スコア アイコンを参照してください。

    • ユーザ プロファイル情報を表示するには、いずれかのユーザ ID 列でユーザ アイコン(、または侵害の兆候に関連付けられたユーザの場合は)をクリックします。ユーザ アイコンは、そのユーザがデータベースにない場合(つまり、AMP for Endpoints Connector ユーザの場合)は淡色表示されます。

    • サードパーティの脆弱性の脆弱性詳細を表示するには、いずれかのサードパーティの脆弱性の ID 列の脆弱性アイコン()をクリックします。

    • 集約データ ポイントを表示する場合は、ポインタをフラグ アイコンの上に合わせて国名を表示します。

    • 個々のデータ ポイントを表示する場合は、フラグ アイコンをクリックして、位置情報(GeoLocation)に記載されている地理位置情報詳細を表示します。

    ステップ 5   別のワークフローに移動します。

    別のワークフローを使用して同じイベント タイプを表示するには、ワークフローのタイトルの横にある(ワークフローの切り替え)をクリックして、使用するワークフローを選択します。スキャン結果には別のワークフローを使用できないことに注意してください。

    ユーザ ロールによるワークフローへのアクセス

    ワークフローへのアクセスはユーザのロールにより異なります。詳細については、次の表を参照してください。

    ユーザ ロール

    アクセス可能なワークフロー

    管理者(Administrator)

    すべてのワークフローにアクセスできます。また、Administrator は監査ログ、スキャン結果、およびルール更新のインポート ログにアクセスできる唯一のユーザです。

    メンテナンスユーザ

    ヘルス イベントにアクセスできます。

    セキュリティ アナリストとセキュリティ アナリスト(読み取り専用)

    侵入、マルウェア、ファイル、接続、検出、脆弱性、相関、ヘルスワークフローにアクセスできます。

    ワークフローの選択

    Firepower システムには、次の表に記載されているデータのタイプに対して、事前定義のワークフローが用意されています。

    表 19 ワークフローを使用する機能

    機能

    メニュー パス

    オプション

    侵入イベント

    [分析(Analysis)] > [侵入(Intrusions)]

    イベント

    確認済みイベント

    クリップボード

    [インシデント(Incidents)]

    マルウェア イベント

    [分析(Analysis)] > [ファイル(Files)]

    マルウェア イベント

    ファイル イベント

    [分析(Analysis)] > [ファイル(Files)]

    ファイル イベント

    キャプチャ ファイル

    [分析(Analysis)] > [ファイル(Files)]

    キャプチャ ファイル(Captured Files)

    接続イベント

    [分析(Analysis)] > [接続(Connections)]

    イベント

    セキュリティ インテリジェンス イベント

    [分析(Analysis)] > [接続(Connections)]

    セキュリティ インテリジェンス イベント

    ホスト イベント

    [分析(Analysis)] > [ホスト(Hosts)]

    ネットワーク マップ

    Hosts

    Indications of Compromise

    アプリケーション

    アプリケーション詳細(Application Details)

    サーバ

    ホスト属性(Host Attributes)

    検出イベント(Discovery Events)

    ユーザ イベント

    [分析(Analysis)] > [ユーザ(Users)]

    ユーザ アクティビティ

    Users

    脆弱性イベント

    [分析(Analysis)] > [脆弱性(Vulnerabilities)]

    脆弱性

    サードパーティの脆弱性

    相関イベント

    [分析(Analysis)] > [相関(Correlation)]

    相関イベント(Correlation Events)

    ホワイトリスト イベント(White List Events)

    ホワイトリスト違反(White List Violations)

    ステータス(Status)

    監査イベント

    [システム(System)] > [モニタリング(Monitoring)]

    監査(Audit)

    ヘルス イベント

    [ヘルス(Health)] > [イベント(Events)]

    適用対象外

    ルール更新インポート ログ

    [システム(System)] > [更新(Updates)]

    適用対象外

    スキャン結果

    [ポリシー(Policies)] > [アクション(Actions)] > [スキャナ(Scanners)]

    適用対象外

    上記の表に記載されているいずれかの種類のデータを表示する場合、そのデータのデフォルトのワークフローの最初のページにイベントが表示されます。イベント ビューの設定項目を設定することによって、別のデフォルト ワークフローを指定することができます。ワークフローへのアクセス権限は、ユーザの役割によって異なります。

    マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

    関連タスク
    イベント ビュー設定の設定

    ワークフローのページ

    ワークフローのタイプによってデータは異なりますが、すべてのワークフローで共通の機能セットを共有しています。ワークフローには、数種類のページを含めることができます。ユーザがワークフローのページ上で実行できるアクションは、ページのタイプによって異なります。

    ワークフローのドリル ダウンのページとテーブル ビューのページを使用すれば、データのビューをすばやく絞り込むことができるため、分析にとって重要なイベントに集中できます。テーブル ビューのページとドリルダウンのページの両方で、ユーザが表示するイベント セットに制約を適用したり、ワークフローをナビゲートしたりするために使用できる機能が多数サポートされています。ドリルダウン ページ、またはワークフロー内のテーブル ビューでデータを表示する場合、ソートに使用できる任意のカラムに基づいてデータを昇順または降順でソートできます。1 つのワークフローのページに表示できるイベント数よりも多くのイベントがデータベースに含まれている場合は、ページの下部にあるリンクをクリックして、さらにイベントを表示できます。これらのリンクの 1 つをクリックすると時間枠が自動的に一時停止されるため、同じイベントが 2 回表示されません。準備ができたら時間枠の一時停止を解除できます。

    マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

    テーブル ビュー

    ページがデフォルトで有効になっている場合、テーブル ビューには、ワークフローのベースとなるデータベースの各フィールドに対するカラムが含まれています。

    テーブル ビューでカラムを無効にし、それによって同じ行が複数生成される場合、Firepower システムによってイベント ビューに [カウント(Count)] カラムが追加されます。テーブル ビュー ページで 1 つの値をクリックすると、その値によって制約することができます。カスタム ワークフローを作成する場合は、[テーブル ビューの追加(Add Table View)] をクリックしてテーブル ビューを追加します。

    ドリルダウン ページ

    ドリルダウン ページは、通常テーブル ビューのページに移動する前に調査対象を絞り込むために使用する中間ページです。ドリルダウン ページには、データベースで使用できるカラムのサブセットが含まれています。

    たとえば、検出イベントのドリルダウン ページには、[IP アドレス(IP Address)]、[MAC アドレス(MAC Address)]、および [時刻(Time)] カラムだけが含まれています。また、侵入イベントのドリルダウン ページには、[優先順位(Priority)]、[影響フラグ(Impact Flag)]、[インラインの結果(Inline Result)]、および [メッセージ(Message)] カラムが含まれています。

    ドリルダウン ページを使用すれば、表示するイベントの範囲を絞り込んだり、ワークフローで先へ進んだりできます。ドリルダウン ページで 1 つの値をクリックすると(たとえば、その値で制約を加えて、ワークフローの次のページに進んだ場合)、選択した値に一致するイベントをさらに詳しく調べることができます。ドリルダウン ページで値をクリックした場合、次のページがテーブル ビューであっても、値が存在するカラムは無効になりません。事前定義のワークフローのドリルダウン ページには、必ず [カウント(Count)] カラムがあることに注意してください。カスタム ワークフローを作成する場合は、[ページの追加(Add Page)] をクリックしてドリルダウン ページを追加します。

    グラフ

    接続データに基づくワークフローには、グラフ ページ(接続グラフとも呼ばれる)を含めることができます。

    たとえば接続グラフには、一定期間にシステムで検出された接続の数を示す線グラフを表示することができます。一般的に接続グラフは、ドリルダウン ページと同様に、ユーザが調査対象を絞り込むために使用する中間ページです。

    最終ページ

    ワークフローの最終ページは、ワークフローがベースとするイベントのタイプによって異なります。

    • ホスト ビューとは、アプリケーション、アプリケーションの詳細、検出イベント、ホスト、侵害の兆候(IOC)、サーバ、ホワイトリスト違反、ホスト属性、またはサードパーティ製の脆弱性に基づいたワークフローの最終ページです。このページからホスト プロファイルを表示することにより、ユーザは、複数のアドレスを持つホストに関連付けられているすべての IP アドレス上のデータを簡単に表示することができます。

    • ユーザの詳細ビューとは、ユーザとユーザ アクティビティに基づいたワークフローの最終ページです。

    • 脆弱性の詳細ビューとは、Cisco の脆弱性に基づいたワークフローの最終ページです。

    • パケット ビューは、侵入イベントに基づいたワークフローの最終ページです。

    他の種類のイベント(監査ログ イベントやマルウェア イベントなど)に基づいたワークフローには、最終ページがありません。

    ワークフローの最終ページで詳細セクションを展開して、ワークフローの進行中に絞り込んだセットの各オブジェクトについて、具体的な情報を表示することができます。Web インターフェイスでは、ワークフローの最終ページに制約が表示されませんが、以前に設定した制約は保持されており、データのセットに適用されます。

    ワークフロー ページのナビゲーション ツール

    ワークフローのページには、ページ間の移動と、イベントの分析中に表示する情報の選択を容易にする視覚的なキューが用意されています。

    ワークフロー ページのトラバーサル ツール

    ワークフローに複数のデータ ページが含まれている場合は、各ページの下部にワークフロー内のページ数と、ページ間を移動するために使用できるツールが表示されます。これらのツールを次の表に示します。

    表 20 ワークフロー ページのトラバーサル ツール

    ページのトラバーサル ツール

    操作

    ページ番号

    (別のページを表示するには、表示する番号を入力して Enter キーを押します。)

    別のページを表示する

    >

    次のページを表示する

    <

    前のページを表示する

    > |

    最後のページに移動する

    |<

    最初のページに移動する

    ファイル トラジェクトリ アイコン

    ワークフロー ページで、新しいウィンドウにファイルのトラジェクトリ マップを表示する機会があるときは、ネットワーク トラジェクトリ アイコンが表示されます。このアイコンは、ファイルのステータスによって変わります。

    表 21 ファイル トラジェクトリ アイコン

    ファイル トラジェクトリ アイコン

    ファイル ステータス


    正常


    マルウェア


    カスタム検出


    不明


    応対不可(Unavailable)

    ホスト プロファイルのアイコン

    ワークフロー ページでは、IP アドレスに関連付けられたホスト プロファイルをポップアップ ウィンドウで表示することができ、ホスト プロファイル アイコンが表示されます。ホスト プロファイルのアイコンがグレー表示になっている場合は、ネットワーク マップ内にそのホストが存在することができないため、ホスト プロファイルを表示できません(0.0.0.0 など)。このアイコンは、ホストのステータスによって異なって表示されます。

    表 22 ホスト プロファイルのアイコン

    ホスト プロファイルのアイコン

    ホスト ステータス


    ホストは潜在的に危険にさらされているとタグ付けされていません。


    ホストは、トリガーされた侵害の兆候(IOC)ルールによって潜在的に危険にさらされているとタグ付けされています。


    ブラックリスト化されています(セキュリティ インテリジェンス データに基づいて、トラフィック フィルタリングを実行している場合にのみ表示されます)。


    ブラックリスト化され、モニタに設定されています(セキュリティ インテリジェンス データに基づいて、トラフィック フィルタリングを実行している場合にのみ表示されます)。

    脅威スコア アイコン

    ワークフロー ページで、ファイルに関連付けられているスコアが最も高い脅威に関する動的分析サマリ レポートを表示すると、脅威スコア アイコンが表示されます。このアイコンは、ファイルの最も高い脅威スコアに応じて異なります。

    表 23 脅威スコア アイコン

    脅威スコア アイコン

    脅威スコア レベル


    低(Low)


    中規模(Medium)


    高(High)


    非常に高い(Very high)

    ワークフロー ツールバー

    ワークフローの各ページには、関連する機能へすばやくアクセスするためのツールバーがあります。次の表で、ツールバー上の各リンクについて説明します。

    表 24 ワークフロー ツールバーのリンク

    機能

    説明

    このページをブックマーク

    後でそのページに戻れるように、現在のページをブックマークします。ブックマークすると、表示中のページに適用されている制約が取得され、データがまだ存在している場合は後で同じデータに戻ることができます。

    レポート作成者

    現在制約されているワークフローを選択基準として使用して、レポート デザイナを開きます。

    ダッシュボード

    現行のワークフローに関連するダッシュボードを開きます。たとえば、[接続イベント(Connection Events)] ワークフローは [接続サマリ(Connection Summary)] ダッシュボードと関連付けられています。

    ブックマークの表示

    ユーザが選択できる、保存したブックマークのリストを表示します。

    検索(Search)

    ワークフローのデータについて高度な検索を実行できる [検索(Search)] ページが表示されます。下向きの矢印アイコンをクリックし、保存済みの検索を選択して使用することもできます。
    関連コンセプト
    ブックマーク
    ダッシュボードについて
    イベントの検索
    関連タスク
    イベント ビューからのレポート テンプレートの作成

    ドリルダウン ページの使用

    スマート ライセンス

    従来のライセンス

    サポートされるデバイス

    サポートされるドメイン

    アクセス(Access)

    任意(Any)

    任意(Any)

    任意(Any)

    任意(Any)

    Admin/Maint/Any Security Analyst(ワークフローに応じて異なります)
    手順
      ステップ 1   ワークフローを使用する機能」の説明に従って、適切なメニュー パスとオプションを選択してワークフローにアクセスします。
      ステップ 2   すべてのワークフローで、次のオプションを選択できます。

      • 特定の値に制限して、次のワークフロー ページにドリルダウンするには、行内の値をクリックします。この処理はドリルダウン ページでのみ可能でることに注意してください。テーブルの行内の値をクリックしても、テーブル ビューが制約されるだけで、次のページにはドリル ダウンしません。

      • いくつかのイベントによって制約したまま次のワークフロー ページにドリルダウンするには、次のワークフロー ページに表示させるイベントの横のチェック ボックスを選択し、[表示(View)] をクリックします。

      • 現在の制限を維持して次のワークフロー ページにドリルダウンするには、[すべて表示(View All)] をクリックします。

      ヒント   

      テーブル ビューでは、必ずページ名に「Table View」が含まれます。

      テーブル ビュー ページの使用

      スマート ライセンス

      従来のライセンス

      サポートされるデバイス

      サポートされるドメイン

      アクセス(Access)

      任意(Any)

      任意(Any)

      任意(Any)

      任意(Any)

      Admin/Maint/Any Security Analyst(ワークフローに応じて異なります)

      テーブル ビュー ページには、ドリルダウン、ホスト ビュー、パケット ビュー、脆弱性の詳細ページでは利用できない機能が用意されています。これらの機能は次のように使用します。

      手順
        ステップ 1   ワークフローの選択の説明に従って、適切なメニュー パスとオプションを選択してワークフローにアクセスします。
        ステップ 2   ワークフローの名前の下に表示されるワークフロー パスからテーブル ビューを選択します。
        ステップ 3   必要に応じて、次に示す機能を使用してテーブル ビュー内に配置したり、移動したりします。

        • 無効なカラムのリストを表示するには、[検索制約(Search Constraints)] の展開矢印()をクリックします。

        • 無効なカラムのリストを非表示するには、[検索制約(Search Constraints)] の折りたたみ矢印()をクリックします。

        • 無効になったカラムをイベント ビューに戻すには、[検索制約(Search Constraints)] の展開アイコン()をクリックして検索制約を展開し、[無効カラム(Disabled Columns)] の下にあるカラム名をクリックします。

        • カラムを表示または非表示(無効)にするには、各カラム名の横にあるクリア アイコン()をクリックします。表示されるポップアップ ウィンドウで、該当するチェックボックスをオンまたはオフにして、どのカラムを表示するかを指定し、[適用(Apply)] をクリックします。

        位置情報(GeoLocation)

        地理位置情報機能によって、ルート可能な IP アドレスの地理的な送信元についてのデータ(国や大陸など)が提供されます。この情報は、イベント、資産のプロファイル、コンテキスト エクスプローラ、ダッシュボードやその他の分析ツールで使用できます。


        (注)  

        国間を移動するモバイル デバイスやその他のホストが検出された場合、システムは特定の国ではなく大陸名を報告する可能性があります。

        地理位置情報データを使用してネットワーク トラフィックをフィルタできます。たとえば、接続の発信元または終端が、組織と関連性のない国であるかどうかを判別できます。インライン展開では、これらの接続をブロックするか、またはを行うことができます。

        地理位置情報データはシステムの地理位置情報データベース(GeoDB)内に保存されます。シスコでは、GeoDB の定期的な更新を提供しています。[概要(About)] ページ([ヘルプ(Help)] > [概要(About)])に GeoDB の現在の更新バージョンが表示されています。

        GeoDB の更新を許可する場合、Firepower Management Center Web インターフェイスで小さな国旗のアイコンと ISO 国番号をクリックして特定の IP アドレスに関する地理位置情報の詳細を取得することができます。地理情報の詳細情報を参照してください。また、サードパーティのマップ ツールを使用して、検出された場所を特定することもできます。GeoDB を更新しない場合、これらの詳細情報は取得できません。

        [接続のサマリ(Connection Summary)] ダッシュボードなど、集約的な地理位置情報から詳細の地理位置情報を表示することはできません。

        関連コンセプト
        ネットワーク条件
        地理位置情報オブジェクト
        相関ポリシーとルールの概要
        トラフィック プロファイル条件
        地理位置情報データベースの更新

        地理情報の詳細情報

        可用性に応じて、[地理情報の詳細(Geolocation Details)] ページに多数のフィールドが表示される場合があります。次の表で、これらのフィールドの情報について示します。(情報がないフィールドは表示されません。)

        表 25 地理情報の詳細フィールド

        フィールド

        目次

        国(Country)

        ホスト IP アドレスに関連付けられている国が国旗とともに示されます。大陸はカッコ内に表示されます。例:United States (North America)Equatorial Guinea (Africa)

        地域

        ホストが存在する国の州、県、またはその他の小区域。例:VA35

        市区町村郡(City)

        ホストが存在する市。例:SeattleFukuoka

        [郵便番号(Postal Code)]

        ホストが存在する地域の郵便番号。例:36100090210

        緯度/経度(Latitude/Longitude)

        ホストの場所の正確な座標。例:40.0375, -76.105353.4050, -0.5484

        マップ

        外部のマッピング サイト(Google Maps、Yahoo Maps、Bing Maps、OpenStreetMap など)へのリンク。ホストのおよその位置のコンテキスト マップを表示するには、リンクをクリックします。

        タイムゾーン(Timezone)

        ホストの場所のタイム ゾーン(該当する場合には夏時間が示されます)。例:GMT+8:00GMT-4:00 (In DST)

        ASN

        ホスト IP アドレスに関連付けられている自律システム番号(ASN)、およびその ASN に関する追加情報。例:14618 (Amazon.com Inc.)4837 (Cncgroup China169 Backbone)

        ISP

        ホストの IP アドレスに関連付けられているインターネット サービス プロバイダー(ISP)。例:Atlantic BroadbandChina Unicom Ip Network

        自宅/会社(Home/Business)

        ホストの接続が自宅または会社のどちらの目的であるかを示します。

        Organization

        ホストの IP アドレスに関連付けられている組織。例:Amazon.comBank of America

        ドメイン名(Domain Name)

        ホストの IP アドレスに関連付けられているドメイン名。例:amazonaws.comxmcnc.net

        接続タイプ(Connection Type)

        ホストの IP アドレスに関連付けられている接続タイプ。例:BroadbandDSL

        プロキシ タイプ(Proxy Type)

        使用するプロキシのタイプ。例:AnonymousCorporate

        接続イベント グラフ

        システムは、テーブル形式のドリル ダウン ページを使ったワークフローや最終的なイベントのテーブル表示に加えて、5 分間隔で集計されたデータを使用して、特定の接続データをグラフィック表示することができます。グラフ表示できるのは、データを集約するのに使用する情報(送信元と宛先の IP アドレス(およびこれらのホストに関連するユーザ)、宛先ポート、トランスポート プロトコルとアプリケーション プロトコル)のみです。


        ヒント

        セキュリティ インテリジェンス イベントを関連する接続イベントとは別にグラフ表示することはできません。セキュリティ インテリジェンスのフィルタリング アクティビティの概要をグラフィック表示するには、ダッシュボードとコンテキスト エクスプローラを使用します。

        接続グラフは 3 種類あります。

        • 円グラフは、1 つのデータセットのデータをカテゴリ分けして表示します。

        • 棒グラフは、1 つあるいは複数のデータセットのデータをカテゴリ分けして表示します。

        • 折れ線グラフは、時間の経過に伴って 1 つあるいは複数のデータセットのデータをプロットします。標準ビューあるいは速度(変化のペース)ビューを使用します。


        (注)  

        システムは、トラフィック プロファイルを線グラフで表示します。他の接続グラフと同様に操作可能ですが、いくつか規制があります。トラフィック プロファイルを表示するには、管理者アクセス権が必須です。

        ワークフロー テーブルと同様に、ワークフロー グラフもドリル ダウンし、制約を加えることで分析の的を絞ることができます。

        棒グラフおよび折れ線グラフはどちらも複数のデータセットを表示できます。つまり、各 X 軸データ ポイントに対し、Y 軸に複数の値を表示できます。たとえば、一意のイニシエータとレスポンダの総数を表示することができます。円グラフでは、1 つのデータセットのみ表示できます。

        X 軸または Y 軸、もしくは両方を変更することによって、接続グラフにさまざまなデータやデータセットを表示できます。円グラフでは、X 軸を変更すると独立変数が変わり、Y 軸を変更すると従属変数を変わります。

        関連コンセプト
        接続の概要(グラフ用集約データ)

        接続イベント グラフの使用方法

        スマート ライセンス

        従来のライセンス

        サポートされるデバイス

        サポートされるドメイン

        アクセス(Access)

        任意(Any)

        任意(Any)

        任意(Any)

        任意(Any)

        (ワークフローに応じて)Admin/Maint/Any Security Analyst

        Firepower Management Center では、検索する情報に応じて、接続イベント グラフを表示したり操作したりできます。

        接続グラフにアクセスしたときに表示されるページは、使用するワークフローによって異なります。接続イベントのテーブル ビューで終了する、事前定義されたワークフローを使用できます。また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。

        マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

        手順
          ステップ 1   [分析(Analysis)] > [接続(Connections)] > [イベント(Events)]を選択します。
          (注)     

          接続イベント テーブルがグラフの代わりに表示される場合、または別のグラフを表示する場合は、ワークフロー タイトルの横にある(ワークフローの切り替え)をクリックし、グラフが含まれる事前定義されたワークフローまたはカスタム ワークフローを選択します。接続グラフを含むすべての事前定義された接続イベント ワークフローは、接続のテーブル ビューで終了します。

          ステップ 2   次の選択肢があります。

          • [時間範囲(Time Range)]:時間範囲を調整する場合は(グラフがブランクの場合に役立ちます)、時間枠の変更を参照してください。

          • [フィールド名(Field Name)]:ユーザが図示可能なデータの詳細については、接続およびセキュリティ インテリジェンス イベント フィールドを参照してください。

          • [ホスト プロファイル(Host Profiles)]:IP アドレスのホスト プロファイルを表示するには、発信側または応答側による接続データが表示されているグラフで、棒グラフの棒または円グラフの扇形をクリックし、[ホスト プロファイルの表示(View Host Profile)] を選択します。

          • [ユーザ プロファイル(User Profile)]:ユーザ プロファイル情報を表示するには、発信側ユーザによる接続データが表示されているグラフで、棒グラフの棒または円グラフの扇形をクリックし、[ユーザ プロファイルの表示(View User Profile)] を選択します。

          • [その他の情報(Other Information)]:図示されたデータに関する詳細については、折れ線グラフの点、棒グラフの棒、または円グラフの扇形の上にカーソルを置きます。

          • [固定(Constrain)]:ワークフローを次のページに進めずに接続グラフを X 軸(独立した変数)基準で固定するには、折れ線グラフの点、棒グラフの棒、または円グラフの扇形をクリックし、[表示方法(View by)] オプションを選択します。

          • [データ選択(Data Selection)]:グラフに表示されるデータを変更するには、[X 軸(X-Axis)] または [Y 軸(Y-Axis)] をクリックし、図示する新しいデータを選択します。X 軸を [時間(Time)] に変更、または [時間(Time)] から変更すると、グラフ タイプも変更されます。Y 軸を変更すると、表示されるデータセットに影響します。

          • [データセット(Datasets)]:グラフのデータセットを変更するには、[データセット(Datasets)] をクリックし、新しいデータセットを選択します。

          • [切り離し(Detach)]:デフォルトの時間範囲に影響を与えることなくさらに分析を実行できるように接続グラフを分離するには、[切り離し(Detach)] をクリックします。

            ヒント   

            コピーを作成するには、分離したグラフで [新規ウィンドウ] をクリックします。分離した各グラフ上で、別々の分析ができるようになります。トラフィック プロファイルは、分離したグラフです。

          • [詳細(Drill-Down)]:ワークフローで次のページにドリルダウンするには、折れ線グラフの点、棒グラフの線、または円グラフの扇形をクリックし、[詳細(Drill-Down)] を選択します。折れ線グラフで点をクリックすると、次のページの時間枠は、クリックした点を中心とする 10 分間に変更されます。棒グラフの棒または円グラフの扇形をクリックすると、その棒または扇形が表す基準に基づいて次のページが制約されます。

          • [エクスポート(Export)]:グラフの接続データを CSV(カンマ区切り値)ファイルとしてエクスポートするには、[データのエクスポート(Export Data)] を選択します。次に、[CSV ファイルのダウンロード(Download CSV File)] をクリックし、ファイルを保存します。

          • [グラフ タイプ(Graph Type)]:[折れ線(Line)]- 標準と速度(変化のペース)の折れ線グラフを切り替えるには、[速度(Velocity)] をクリックし、[標準(Standard)] または [速度(Velocity)] を選択します。

          • [グラフ タイプ(Graph Type)]:[棒と円(Bar and Pie)] - 棒グラフと円グラフを切り替えるには、[棒グラフに切り替え(Switch to Bar)] または [円グラフに切り替え(Switch to Pie)] をクリックします。円グラフには複数のデータセットを表示できないため、複数のデータセットを持つ棒グラフから円グラフに切り替えた場合、円グラフは自動的に選択された 1 つのデータセットだけを表示します。表示するデータセットを選択する際、Firepower Management Center は、発信側と応答側の統計情報よりも全体の統計情報を優先し、応答側の統計情報よりも発信側の統計情報を優先します。

          • [ページ間の移動(Navigate Between Pages)]:現在のワークフローで現在の制約を保持したままページ間を移動するには、ワークフロー ページの左上にある該当するページ リンクをクリックします。

          • [イベント ビュー間の移動(Navigate Between Event Views)]:他のイベント ビューに移動して関連するイベントを表示するには、[移動先(Jump to)] をクリックし、ドロップダウンリストからイベント ビューを選択します。

          • [再センタリング(Recenter)]:時間範囲の長さを変更せずにある時点を中心に折れ線グラフを再センタリングするには、その点をクリックし、[再センタリング(Recenter)] を選択します。

          • [ズーム(Zoom)]:ズームインまたはズームアウトしながらある時点を中心に折れ線グラフを再センタリングするには、その点をクリックし、[ズーム(Zoom)] を選択してから新しい時間枠を選択します。

          (注)     

          分離したグラフを使用している場合を除いて、制約、再センタリング、およびズームすると Firepower Management Center のデフォルトの時間範囲が変わります。

          例:接続グラフの制約

          ある期間の接続のグラフについて考えてみましょう。グラフ上の点をポートによって制約すると、検出された接続イベント数に基づいて、最もアクティブだった 10 のポートを示す棒グラフが表示されますが、クリックした点を中心とする 10 分間の時間枠によって制約されます。

          棒の 1 つをクリックし、[発信側 IP による表示(View by Initiator IP)] を選択してグラフをさらに制約すると、それまでと同じ 10 分間の時間枠だけでなく、クリックした棒が表すポートでも制約された新しい棒グラフが表示されます。

          ポートごとのキロバイト数を表示する円グラフについて考えてみましょう。この場合、X 軸は レスポンダ ポート、Y 軸は キロバイト です。この円グラフは、ある間隔に監視対象ネットワークで送信されたデータの合計キロバイト数を表します。円の中の扇形は、各ポートで検出されたデータの比率を表します。

          • グラフの X 軸を アプリケーション プロトコル に変更すると、引き続き円グラフは送信データの合計キロバイト数を表しますが、円の中の扇形は検出された各アプリケーション プロトコルの送信データの比率を表します。

          • グラフの Y 軸を パケット に変更すると、円グラフはある間隔に監視対象ネットワークで送信された合計パケット数を表し、円の中の扇形は各ポートで検出された合計パケット数の割合を表します。

          関連タスク
          ワークフローの使用
          イベント ビュー設定の設定
          接続グラフ データ オプション

          X 軸または Y 軸、もしくは両方を変更することによって、接続グラフにさまざまなデータを表示できます。円グラフでは、X 軸を変更すると独立変数が変わり、Y 軸を変更すると従属変数を変わります。

          表 26 X 軸オプション

          X 軸オプション

          グラフの種類

          次の基準でこのデータをグラフ化する

          アプリケーション プロトコル(Application Protocol)

          棒グラフまたは円グラフ

          最もアクティブな 10 個のアプリケーション プロトコルに基づいて

          Device

          棒グラフまたは円グラフ

          最もアクティブな 10 台の管理対象デバイスに基づいて

          イニシエータ IP(Initiator IP)

          棒グラフまたは円グラフ

          最もアクティブな 10 個のイニシエータ ホスト IP アドレスに基づいて

          イニシエータ ユーザ(Initiator User)

          棒グラフまたは円グラフ

          最もアクティブな 10 名のイニシエータ ユーザに基づいて

          レスポンダ IP(Responder IP)

          棒グラフまたは円グラフ

          最もアクティブな 10 個のレスポンダ ホスト IP アドレスに基づいて

          レスポンダ ポート(Responder Port)

          棒グラフまたは円グラフ

          最もアクティブな 10 個のレスポンダ ポートに基づいて

          送信元デバイス(Source Device)

          棒グラフまたは円グラフ

          最もアクティブな 10 個の NetFlow データ エクスポータと、Firepower システムの管理対象デバイスによって検出されたすべての接続の Firepower という名前の送信元デバイスに基づいて。

          時刻(Time)

          ライン

          時系列

          Y 軸と [時刻(Time)] を切り替えることでグラフの種類も変わり、データセットを変更できます。
          表 27 Y 軸オプション

          Y 軸オプション

          X 軸の基準を使用してこのデータをグラフ化する

          バイト(Bytes)

          送信バイト数

          接続(Connections)

          接続数

          KB(KBytes)

          送信キロバイト数

          KB/秒(KBytes Per Second)

          KB/秒

          パケット(Packets)

          送信パケット数

          固有のホスト(Unique Hosts)

          検出された固有のホスト数

          固有のアプリケーション プロトコル(Unique Application Protocols)

          固有のアプリケーション プロトコル数

          固有ユーザ(Unique Users)

          固有ユーザ数
          複数のデータセットの接続グラフ

          棒グラフおよび折れ線グラフはどちらも複数のデータセットを表示できます。つまり、各 X 軸データ ポイントに対し、Y 軸に複数の値を表示できます。たとえば、一意のイニシエータとレスポンダの総数を表示することができます。


          (注)  

          円グラフには複数のデータセットを表示できません。複数のデータセットを持つ棒グラフから円グラフに切り替えた場合、円グラフは自動的に選択された 1 つのデータセットだけを表示します。表示するデータセットを選択する際、Firepower Management Center は、イニシエータとレスポンダの統計情報よりも全体の統計情報を優先し、イニシエータの統計情報よりもレスポンダの統計情報を優先します。

          折れ線グラフでは、複数のデータセットは複数の線として、それぞれ異なる色で表示されます。たとえば次のグラフは、監視対象ネットワークにおいて 1 時間の間に検出された一意のイニシエータの合計数と一意のレスポンダの合計数を表示しています。

          棒グラフでは、複数のデータセットが X 軸データ ポイントごとに色分けされた棒として表示されます。たとえば次の棒グラフは、監視対象ネットワーク上で送信されたパケットの合計数と、イニシエータによって送信されたパケット数、レスポンダによって送信されたパケット数を表示しています。

          接続グラフ データセット オプション

          次の表では、接続グラフの x 軸に表示できるデータセットについて説明します。

          表 28 データセット オプション

          y 軸が表示されている場合は、

          データベースとして選択できます。

          接続(Connections)

          デフォルトのみです。監視対象のネットワークで検出された接続数([接続(Connections)])です。これは、トラフィック プロファイル グラフ用の唯一のオプションです。

          KB(KBytes)

          以下を組み合わせています。

          • 監視対象のネットワークで送信される合計キロバイト([合計キロバイト(Total KBytes)]

          • 監視対象のネットワークでホスト IP アドレスから送信されるキロバイト数([イニシエータのキロバイト(Initiator KBytes)]

          • 監視対象のネットワークでホスト IP アドレスによって受信されるキロバイト数([レスポンダのキロバイト(Responder KBytes)]

          KB/秒(KBytes Per Second)

          デフォルトのみです。監視対象ネットワーク上で送信される合計キロバイト/秒([合計キロバイト/秒(Total KBytes Per Second)])です。

          パケット

          以下を組み合わせています。

          • 監視対象ネットワークで送信される合計パケット([合計パケット(Total Packets)]

          • 監視対象ネットワークのホスト IP アドレスから送信されたパケット数([イニシエータ パケット(Initiator Packets)]

          • 監視対象ネットワークのホスト IP アドレスによって受信されたパケット数([レスポンダ パケット(Responder Packets)])です。

          固有のホスト(Unique Hosts)

          以下を組み合わせています。

          • 監視対象ネットワークの固有セッション イニシエータ数([固有イニシエータ(Unique Initiators)])です。

          • 監視対象ネットワークの固有セッション レスポンダ数([固有レスポンダ(Unique Responders)]

          固有のアプリケーション プロトコル(Unique Application Protocols)

          デフォルトのみです。監視対象ネットワークの固有のアプリケーション プロトコル数([固有アプリケーション プロトコル(Unique Application Protocols)])です。

          固有ユーザ(Unique Users)

          デフォルトのみです。監視対象のネットワークでのセッション イニシエータにログインした固有ユーザ数([固有イニシエータ ユーザ(Unique Initiator Users)])です。

          イベント時間の制約

          各イベントには、そのイベントがいつ発生したかを示すタイム スタンプがあります。時間枠(時間範囲とも呼ばれる)を設定することによって、いくつかのワークフローに表示される情報を制約することができます。

          時間によって制約できるイベントに基づいたワークフローには、ページの上部に時間範囲を表す行が含まれています。デフォルトでは、シスコ アプライアンス上のワークフローは、1 時間前が開始時間として設定された時間枠を使用します。たとえば、午前 11:30 にログインした場合、午前 10:30~11:30 の間に発生したイベントが表示されます。時間が経過するにしたがって、時間枠が拡張されます。午後 12:30 には、午前 10:30~午後 12:30 の間に発生したイベントが表示されます。

          イベント ビューの設定で独自のデフォルト時間枠を設定することによって、この動作を変更することができます。これにより、次の 3 つのプロパティが影響を受けます。

          • 時間枠のタイプ(静的、拡張、またはスライディング)

          • 時間枠の長さ

          • 時間枠の数(複数の時間枠、または単一のグローバル時間枠)

          ページの上部にある時間範囲をクリックして [日時(Date/Time)] ポップアップ ウィンドウを表示し、デフォルトの時間枠の設定に関係なく、イベントの分析中に時間枠を手動で変更することができます。設定した時間枠の数、および使用しているアプライアンスのタイプに応じて [日時(Date/Time)] ウィンドウを使用して、表示しているイベントのタイプに対するデフォルトの時間枠を変更することもできます。

          最後に、時間枠は一時停止することができるため、時間枠の変更と削除、または必要のないイベントを追加することなく、ワークフローで提供されたデータを調べることができます。ページの下部にあるリンクをクリックしてイベントの他のページを表示する場合は、異なるワークフロー ページで同じイベントを表示しないように、時間枠が自動的に一時停止することに注意してください。準備ができたら時間枠の一時停止を解除できます。

          関連タスク
          イベント ビュー設定の設定
          接続およびセキュリティ インテリジェンス イベント テーブルの使用

          イベントの時間枠のカスタマイズ

          デフォルトの時間枠に関係なく、イベントの分析中に時間枠を手動で変更することができます。


          (注)  

          手動による時間枠の設定は、現在のセッションについてのみ有効です。いったんログアウトしてからもう一度ログインすると、時間枠はデフォルトにリセットされます。

          ユーザが設定した時間枠の数によっては、1 つのワークフローの時間枠の変更が、アプライアンス上の他のワークフローに影響を与えることがあります。たとえば、単一のグローバル時間枠がある場合、1 つのワークフローの時間枠を変更すると、アプライアンス上の他のすべてのワークフローの時間枠が変更されます。一方、複数の時間枠を使用している場合は、監査ログまたはヘルス イベントのワークフローの時間枠を変更しても、他の時間枠には影響を与えませんが、他の種類のイベントの時間枠を変更すると、時間で制約できるすべてのイベント(監査イベントとヘルス イベントは除く)が影響を受けます。

          すべてのワークフローを時間によって制約できるわけではないため、時間枠の設定は、ホスト、ホスト属性、アプリケーション、アプリケーションの詳細、脆弱性、ユーザ、またはホワイトリスト違反に基づいたワークフローには影響を与えないことに注意してください。

          [日付/時刻(Date/Time)] ウィンドウの [時間枠(Time Window)] タブを使用して、時間枠を手動で設定します。デフォルトの時間枠設定で設定した時間枠の数によって、タブのタイトルは以下のいずれかになります。

          • [イベントの時間枠(Events Time Window)]:複数の時間枠を設定し、監査ログまたはヘルス イベントのワークフロー以外のワークフローに対して時間枠を設定している場合

          • [ヘルス モニタリングの時間枠(Health Monitoring Time Window)]:複数の時間枠を設定し、ヘルス イベントのワークフローに対して時間枠を設定している場合

          • [監査ログの時間枠(Audit Log Time Window)]:複数の時間枠を設定し、監査ログに対して時間枠を設定している場合

          • [グローバル時間枠(Global Time Window)]:単一の時間枠を設定している場合

          時間枠を設定する場合には、最初に、使用する時間枠のタイプを決定する必要があります。

          • 静的(static)の時間枠では、特定の開始時刻から特定の終了時刻までの間に生成されたすべてのイベントが表示されます。

          • 拡張(expanding)の時間枠では、特定の開始時刻から現在までの間に生成されたすべてのイベントが表示されます。そして、時間の経過とともに時間枠が拡張され、新しいイベントがイベント ビューに追加されます。

          • スライディング(sliding)の時間枠では、特定の開始時刻(たとえば、1 週間前)から現在までの間に生成されたすべてのイベントが表示されます。そして、時間の経過とともに時間枠が「スライド」するため、設定した範囲(この例では、過去 1 週間)のイベントのみが表示されます。

          選択したタイプによって、[日付/時刻(Date/Time)] ウィンドウが変化し、さまざまな設定オプションが提供されます。


          (注)  

          Firepower システムでは、タイム ゾーンの設定に指定された時間に基づいて、24 時間の時計を使用します。

          時間枠の設定

          次の表で、[時間枠(Time Window)] タブで設定できるさまざまな項目について説明します。

          表 29 時間枠の設定

          設定

          時間枠のタイプ

          説明

          [時間枠タイプ(time window type)] ドロップダウン リスト

          適用対象外

          使用する時間枠のタイプとして、[静的(static)]、[拡張(expanding)]、または [スライディング(sliding)] のいずれかを選択します。

          イベント ビューを時間で制約している場合は、(グローバルであるかイベントに特有であるかに関係なく)アプライアンスに設定されている時間枠の範囲外に生成されたイベントがイベント ビューに表示されることがあることに注意してください。アプライアンスに対してスライドする時間枠を設定した場合でも、この状況が発生することがあります。

          [開始時刻(Start Time)] カレンダー

          [静的(static)] および [拡張(expanding)]

          時間枠の開始日と時刻を指定します。すべての時間枠の最大時間範囲は、1970 年 1 月 1 日午前 0 時(UTC)~ 2038 年 1 月 19 日午前 3 時 14 分 7 秒です。

          カレンダーを使用する代わりに、下記で説明するプリセット オプションを使用することもできます。

          [終了時刻(End Time)] カレンダー

          静的

          時間枠の終了日と時刻を指定します。すべての時間枠の最大時間範囲は、1970 年 1 月 1 日午前 0 時(UTC)~ 2038 年 1 月 19 日午前 3 時 14 分 7 秒です。

          拡張時間枠を使用している場合は、[終了時刻(End Time)] カレンダーがグレー表示になり、終了時刻が「現在の時刻(Now)」と示されることに注意してください。

          カレンダーを使用する代わりに、下記で説明するプリセット オプションを使用することもできます。

          [最後を表示(Show the Last)] フィールドおよびドロップダウン リスト

          [スライディング(sliding)]

          スライディング時間枠の長さを設定します。

          [プリセット(Presets)]:[最後(Last)]

          すべて

          リスト内のいずれかの時間範囲をクリックし、アプライアンスのローカル時刻に基づいて時間枠を変更します。たとえば、[1 週間(1 week)] をクリックすると、最後の 1 週間を反映するように時間枠が変わります。プリセットをクリックすると、選択したプリセットを反映するようにカレンダーが変わります。

          [プリセット(Presets)]:[現在(Current)]

          [静的(static)] および [拡張(expanding)]

          リスト内のいずれかの時間範囲をクリックし、アプライアンスのローカル時刻と日付に基づいて時間枠を変更します。プリセットをクリックすると、選択したプリセットを反映するようにカレンダーが変わります。

          次の点に注意してください。

          • 現在の日付は午前 0 時から始まる

          • 現在の週は日曜日の午前 0 時から始まる

          • 現在の月は、月の最初の日の午前 0 時から始まる

          [プリセット(Presets)]:[同期先(Synchronize with)]

          すべて(グローバルな時間枠を使用している場合は使用不可)

          以下のいずれかをクリックします。

          • [イベントの時間枠(Events Time Window)]:現在の時間枠とイベントの時間枠を同期する場合

          • [ヘルス モニタリングの時間枠(Health Monitoring Time Window)]:現在の時間枠とヘルス モニタリングの時間枠を同期する場合

          • [監査ログの時間枠(Audit Log Time Window)]:現在の時間枠と監査ログの時間枠を同期する場合
          時間枠の変更

          スマート ライセンス

          従来のライセンス

          サポートされるデバイス

          サポートされるドメイン

          アクセス(Access)

          任意(Any)

          任意(Any)

          任意(Any)

          任意(Any)

          Admin/Maint/Any Security Analyst(ワークフローに応じる)
          手順
            ステップ 1   時間により制約されたワークフローで、時間範囲のアイコン()をクリックし、[日付と時間(Date/Time)] ウィンドウを開きます。
            ステップ 2   [イベントの時間枠(Events Time Window)] タブで、時間枠の設定に記載されているように時間枠を設定します。
            ヒント   

            時間枠をデフォルトの設定に戻すには、[リセット(Reset)] をクリックします。

            ステップ 3   [適用(Apply)] をクリックします。

            イベントのデフォルト時間枠

            イベントの分析中に、[日付/時間(Date/Time)] ウィンドウの [設定(Preferences)] タブを使用し、表示しているイベントのタイプに対するデフォルトの時間枠を(イベント ビューの設定を使用せずに)変更することができます。

            この方法でデフォルトの時間枠を変更すると、表示しているイベントのタイプのデフォルト時間枠のみが変わります。たとえば、複数の時間枠を設定している場合に [設定(Preferences)] タブでデフォルトの時間枠を変更すると、イベント、ヘルス モニタリング、または監査ログ ウィンドウのいずれかの設定が変更されます。つまり、最初のタブで示されている時間枠が変更されます。1 つの時間枠を設定している場合に [設定(Preferences)] タブでデフォルトの時間枠を変更すると、イベントのすべてのタイプのデフォルト時間枠が変わります。

            関連資料
            デフォルト時間枠
            イベント タイプのデフォルトの時間枠オプション

            次の表で、[設定(Preferences)] タブで設定できるさまざまな設定について説明します。

            表 30 時間枠の設定

            設定

            説明

            更新間隔(Refresh Interval)

            イベント ビューの更新間隔を分単位で設定します。ゼロを入力すると、更新オプションは無効になります。

            時間枠の数(Number of Time Windows)

            使用する時間枠の数を指定します。

            • 監査ログ、ヘルス イベント、および時間によって制約可能なイベントに基づいたワークフローに対してそれぞれ別のデフォルト時間枠を設定する場合は、[複数(Multiple)] を選択します。

            • すべてのイベントに適用されるグローバルな時間枠を使用する場合は、[単一(Single)] を選択します。

            デフォルト時間枠:[最後を表示 - スライディング(Show the Last - Sliding)]

            この設定を選択すると、指定する長さのスライディングのデフォルト時間枠を設定できます。

            アプライアンスは、特定の開始時刻(たとえば 1 時間前)から現在までに生成されたすべてのイベントを表示します。イベント ビューの変更と共に、時間枠は「スライド」して、常に最後の 1 時間内のイベントが表示されます。

            デフォルト時間枠:[最後を表示 - 静的/拡張(Show the Last - Static/Expanding)]

            この設定を選択すると、指定する長さの、静的または拡張のデフォルト時間枠を設定できます。

            静的な時間枠の場合([終了時間を使用(Use End Time)] チェックボックスをオンにした場合)、アプライアンスは特定の開始時間(1 時間前などの)から、最初にユーザがイベントを参照した時間までに生成されたすべてのイベントを表示します。イベント ビューを変更しても時間枠は固定されており、静的な時間枠の間に発生したイベントのみが表示されます。

            拡張時間枠の場合([終了時間を使用(Use End Time)] チェックボックスをオフにしたの場合)、アプライアンスは特定の開始時間(1 時間前などの)から現在までに生成されたすべてのイベントを表示します。イベント ビューを変更すると、時間枠は現在まで拡張されます。

            デフォルト時間枠:[本日 - 静的/拡張(Current Day - Static/Expanding)]

            この設定を選択すると、現在の日付に対して静的または拡張のデフォルト時間枠を設定できます。現在の日付は、現行セッションのタイム ゾーン設定に基づいて午前 0 時に始まります。

            静的な時間枠の場合([終了時間を使用(Use End Time)] チェックボックスをオンにした場合)、アプライアンスは午前 0 時から、最初にユーザがイベントを参照した時間までに生成されたすべてのイベントを表示します。イベント ビューを変更しても時間枠は固定されており、静的な時間枠の間に発生したイベントのみが表示されます。

            拡張時間枠の場合([終了時間を使用(Use End Time)] チェックボックスをオフにした場合)、アプライアンスは午前 0 時から現在までに生成されたすべてのイベントを表示します。イベント ビューを変更すると、時間枠は現在まで拡張されます。ログアウトする前に 24 時間を超えて分析を続けた場合、この時間枠は 24 時間よりも長くなる可能性があることに注意してください。

            デフォルト時間枠:[今週 - 静的/拡張(Current Week - Static/Expanding)]

            この設定を選択すると、現在の週に対して静的または拡張のデフォルト時間枠を設定できます。現在の週は、現行セッションのタイム ゾーン設定に基づいて直前の日曜日の午前 0 時に始まります。

            静的な時間枠の場合([終了時間を使用(Use End Time)] チェックボックスをオンにした場合)、アプライアンスは午前 0 時から、最初にユーザがイベントを参照した時間までに生成されたすべてのイベントを表示します。イベント ビューを変更しても時間枠は固定されており、静的な時間枠の間に発生したイベントのみが表示されます。

            拡張時間枠の場合([終了時間を使用(Use End Time)] チェックボックスをオフにした場合)、アプライアンスは日曜日の午前 0 時から現在までに生成されたすべてのイベントを表示します。イベント ビューを変更すると、時間枠は現在まで拡張されます。ログアウトする前に 1 週間を超えて分析を続けた場合、この時間枠は 1 週間よりも長くなる可能性があることに注意してください。
            イベント タイプのデフォルトの時間枠の変更

            スマート ライセンス

            従来のライセンス

            サポートされるデバイス

            サポートされるドメイン

            アクセス(Access)

            任意(Any)

            任意(Any)

            任意(Any)

            任意(Any)

            Admin/Maint/Any Security Analyst
            手順
              ステップ 1   時間により制約されたワークフローで、時間範囲のアイコン()をクリックし、[日付と時間(Date/Time)] ウィンドウを開きます。
              ステップ 2   [優先(Preferences)] タブをクリックし、イベント タイプのデフォルトの時間枠オプションに記載されているようにプリファレンスを変更します。
              ステップ 3   [設定の保存(Save Preferences)] をクリックします。
              ステップ 4   次の 2 つの対処法があります。

              • 使用しているイベント ビューに新しいデフォルト時間枠の設定を適用するには、[適用(Apply)] をクリックして [日付と時間(Date/Time)] ウィンドウを閉じてイベント ビューをリフレッシュします。

              • デフォルトの時間枠設定を適用せずに分析を続けるには、[適用(Apply)] をクリックせずに [日付と時間(Date/Time)] ウィンドウを閉じます。

              時間枠の進行

              時間枠は一時停止することができます。これにより、ワークフローから提供されたデータのスナップショットを調べることができます。一時停止が解除されたワークフローが更新されると、それによって、調査したいイベントが削除されたり、調査対象外のイベントが追加されたりすることがあるため、この機能は役立ちます。

              静的(static)の時間枠は一時停止できないことに注意してください。また、イベントの時間枠の一時停止はダッシュボードに影響を与えず、ダッシュボードの一時停止もイベントの時間枠の一時停止に影響を与えません。

              分析が完了したら、時間枠の一時停止を解除できます。時間枠の一時停止を解除すると、設定に従って時間枠が更新されます。また、一時停止を解除した時間枠を反映するようにイベント ビューも更新されます。

              1 つのワークフローのページに表示できるイベント数よりも多くのイベントがデータベースに含まれている場合は、ページの下部にあるリンクをクリックして、さらにイベントを表示できます。リンクをクリックすると、同じイベントが 2 回表示されないように時間枠が自動的に一時停止します。

              時間枠の一時停止/一時停止解除

              スマート ライセンス

              従来のライセンス

              サポートされるデバイス

              サポートされるドメイン

              アクセス(Access)

              任意(Any)

              任意(Any)

              任意(Any)

              任意(Any)

              Admin/Maint/Any Security Analyst(ワークフローによる)
              手順
              時間で制約されているワークフローでは、目的の時間範囲コントロールを選択できます。

              • 時間枠を一時停止するには、時間範囲コントロールの一時停止アイコン()をクリックします。

              • 時間枠の一時停止を解除するには、時間範囲コントロールの再生アイコン()をクリックします。


              イベント ビューの制約

              ワークフロー ページに表示される情報は、ユーザが設定した制約によって異なります。たとえばイベント ワークフローを最初に開いた場合、情報は、最後の 1 時間に生成されたイベントに制約されています。

              ワークフローの次のページに進んで、表示されるデータを特定の値で制約する場合は、ページでこれらの値を持つ行を選択し、[表示(View)] をクリックします。現在の制約を保持し、すべてのイベントを含めた状態でワークフローの次のページに進むには、[すべて表示(View All)] を選択します。


              (注)  

              複数の不可算値を持つ行を選択し、[表示(View)] を選択すると、複合的な制約が作成されます。

              ワークフローのデータを制約するための 3 番目の方法があります自身が選択した値を持つ行のみが表示されるようページを制約し、ページの上部に示される制約リストに選択した値を追加するには、ページの行で値をクリックします。たとえば、記録された接続のリストを表示する場合に、アクセス制御を使用して、自身が許可したものだけがリストに示されるよう制約する場合は、[アクション(Action)] カラムで [許可(Allow)] をクリックします。他の例では、侵入イベントを表示する場合に、宛先ポートが 80 のイベントのみがリストに示されるよう制約する場合は、[宛先ポート/ICMP コード(Destination Port/ICMP Code)] カラムで [80(http)/tcp(80 (http)/tcp)] をクリックします。


              ヒント

              モニタ ルールの条件に基づいて接続イベントを制約するための手順は少し異なり、いくつかの追加手順が必要になる場合があります。また、関連付けられているファイルや侵入情報によって接続イベントを制約することはできません。

              検索を使用して、ワークフローの情報を制約することもできます。1 つのカラム内の複数の値について制約する場合は、この機能を使用します。たとえば、2 つの IP アドレスに関連しているイベントを表示する場合は、[検索の編集(Edit Search)] をクリックし、[検索(Search)] ページで対象の [IP アドレス(IP address)] フィールドを変更して両方のアドレスが含まれるようにして、[検索(Search)] をクリックします。

              検索ページで入力した検索条件はページの上部に制約として表示され、これに従って制約されたイベントが合わせて表示されます。Firepower Management Center では、複合的な制約でない限り、他のワークフローにナビゲートしたときにも現在の制約が適用されます。

              検索する場合は、検索対象のテーブルに検索の制約を適用するかどうかに注意する必要があります。たとえば、クライアント データは接続サマリーでは使用できません。接続で検出されたクライアントに基づいて接続イベントを検索し、結果を接続サマリー イベント ビューで表示すると、Firepower Management Center では、制約が設定されていない場合と同じように接続データが表示されます。無効な制約は、非適用(N/A)とラベルが付けられ、取り消し線が付けられます。

              イベントの制約

              スマート ライセンス

              従来のライセンス

              サポートされるデバイス

              サポートされるドメイン

              アクセス(Access)

              任意(Any)

              任意(Any)

              任意(Any)

              任意(Any)

              Admin/Maint/Any Security Analyst(ワークフローに応じて異なります)
              手順
                ステップ 1   ワークフローの選択の説明に従って適切なメニュー パスとオプションを選択し、ワークフローにアクセスします。
                ステップ 2   すべてのワークフローで、次のオプションを選択できます。

                • ビューを単一の値と一致するイベントに制約するには、ページの行内の目的の値をクリックします。

                • ビューを複数の値と一致するイベントに制約するには、その値を持つイベントのチェックボックスをオンにし、[表示(View)] をクリックします。

                  (注)     

                  行に複数の不可算値が含まれている場合は、複合的な制約が追加されます。

                • 制約を解除するには、[制約の検索(Search Constraints)] の展開矢印()をクリックし、展開された [制約の検索(Search Constraints)] リストで制約の名前をクリックします。

                • 検索ページを使用して制約を編集するには、[検索の編集(Edit Search)] をクリックします。

                • 保存済み検索として制約を保存するには、[検索の保存(Save Search)] をクリックし、クエリに名前を付けます。

                  (注)     

                  複合的な制約が含まれているクエリは保存できません。

                • 別のイベント ビューで同じ制約を使用するには、[移動先(Jump to)] をクリックし、イベント ビューを選択します。

                  (注)     

                  別のワークフローに切り替えると、複合的な制約は保持されません。

                • 制約の表示を切り替えるには、[制約の検索(Search Constraints)] の展開矢印()または [制約の検索(Search Constraints)] の折りたたみ開矢印()をクリックします。制約のリストが長く、画面の大半を占有する場合に、この機能は役立ちます。

                複合イベント ビューの制約

                複合的な制約は、特定のイベントに対するすべての不可算値に基づいています。複数の不可算値を持つ行を選択する場合は、ページ上の対象行におけるすべての不可算値と一致するイベントのみを取得する複合的な制約を設定します。たとえば、送信元 IP アドレスが 10.10.31.17 で、宛先 IP アドレスが 10.10.31.15 である行と、送信元 IP アドレスが 172.10.10.17 で宛先 IP アドレスが 172.10.10.15 である行を選択すると、次のすべての結果が取得されます。

                • 送信元 IP アドレスが 10.10.31.17 で、かつ宛先 IP アドレスが 10.10.31.15 のイベント

                  または

                • 送信元 IP アドレスが 172.10.31.17 で、かつ宛先 IP アドレスが 172.10.31.15 のイベント

                複合的な制約と単純な制約を組み合わせると、複合的な制約の各セットに単純な制約が追加されます。たとえば、上記に記載されている複合的な制約に対して、プロトコル値 tcp の単純な制約を追加すると、次のすべての結果が取得されます。

                • 送信元 IP アドレスが 10.10.31.17 で、かつ宛先 IP アドレスが 10.10.31.15 で、かつプロトコルが tcp であるイベント

                  または

                • 送信元 IP アドレスが 172.10.31.17 で、かつ宛先 IP アドレスが 172.10.31.15 で、かつプロトコルが tcp であるイベント

                複合的な制約について、検索および検索の保存を実行することはできません。また、別のワークフローに切り替えるのに、イベント ビューのリンクを使用した場合、または [ワークフロー切り替え(switch workflow)] をクリックした場合は、複合的な制約は保持できません。複合的な制約が適用されているイベント ビューをブックマークしても、制約はブックマークに保存されません。

                複合イベント ビュー制約の使用

                スマート ライセンス

                従来のライセンス

                サポートされるデバイス

                サポートされるドメイン

                アクセス(Access)

                任意(Any)

                任意(Any)

                任意(Any)

                任意(Any)

                Admin/Maint/Any Security Analyst(ワークフローに応じて異なります)
                手順
                  ステップ 1   ワークフローの選択の説明に従って、適切なメニュー パスとオプションを選択してワークフローにアクセスします。
                  ステップ 2   複合制約を管理する場合、次の選択肢があります。

                  • 複合制約を作成するには、カウント以外の値を持つ 1 つ以上の行を選択し、[表示(View)] をクリックします。

                  • 複合制約をクリアするには、[検索制約(Search Constraints)] の展開矢印()をクリックし、[複合制約(Compound Constraints)] をクリックします。

                  ワークフロー間のナビゲーション

                  ワークフロー ページの [移動(Jump to...)] ドロップダウン リストのリンクを使用して、他のワークフローへ移動できます。ドロップダウン リストを選択し、追加のワークフローを表示および選択します。

                  新しいワークフローを選択すると、(適切な場合は)、選択する行で共有されているプロパティおよび設定する制約が、新しいワークフローで使用されます。設定した制約またはイベントのプロパティが、新しいワークフローのフィールドにマップされない場合は、これらはドロップされます。また、ワークフローを切り替えた場合には、複合的な制約は保持されません。キャプチャ ファイルのワークフローの制約は、ファイルおよびマルウェアのイベント ワークフローのみに転送されます。


                  (注)  

                  所定の時間範囲のイベント数を表示する場合、詳細なデータを利用できるイベントの数が、イベントの総数に反映されないことがあります。これは、ディスク領域の使用率を管理するために、古いイベントの詳細がシステムによってプルーニングされることがあるために発生します。イベント詳細のプルーニングを最小限にするために、対象の展開にとって最も重要なイベントだけを記録するようにイベント ロギングを調整できます。

                  時間枠を一時停止していない場合、または静的な時間枠を設定していない場合、ワークフローを変更したときに時間枠も変更されることに注意してください。

                  この機能により、疑わしいアクティビティの調査が強化されます。たとえば、接続データを表示していて、内部ホストが異常に大量のデータを外部サイトに転送していることに気付いた場合は、応答側の IP アドレスとポートを制約として選択し、[アプリケーション(Applications)] ワークフローへ移動することができます。[アプリケーション(Applications)] ワークフローは応答側の IP アドレスとポートを IP アドレスとポートの制約として使用し、アプリケーションの種類などの追加情報を表示することができます。ページの上部にある [ホスト(Hosts)] をクリックして、リモート ホストのホスト プロファイルを表示することもできます。

                  アプリケーションに関する詳細を検索した後で、[相関イベント(Correlation Events)] を選択して接続データ ワークフローに戻る、制約から応答側の IP アドレスを削除する、制約にイニシエータの IP アドレスを追加する、[アプリケーションの詳細(Application Details)] を選択して、データをリモート ホストに転送するときに開始側のホストでユーザがどのクライアントを使用しているかを確認する、といったことができます。ポートの制約は、[アプリケーション詳細(Application Details)] ページには転送されないことに注意してください。ローカル ホストを制約として保持したまま、追加情報を検索するために他のナビゲート ボタンを使用することもできます。

                  • ローカル ホストがいずれかのポリシーに違反しているかどうかを検出するには、IP アドレスを制約として保持したままで [移動(Jump to)] ドロップダウン リストから [相関イベント(Correlation Events)] を選択します。

                  • ホストに対して侵入ルールがトリガーされた(侵害を表している)かどうかを確認するには、[移動(Jump to)] ドロップダウン リストから [侵入イベント(Intrusion Events)] を選択します。

                  • ローカル ホストのホスト プロファイルを表示し、ホストが、悪用された可能性のある脆弱性の影響を受けやすくなっているかどうかを判断するには、[移動(Jump to)] ドロップダウン リストから [ホスト(Hosts)] を選択します。

                  ブックマーク

                  イベントの分析の特定の場所と時間にすばやく戻りたい場合には、ブックマークを作成します。ブックマークは、次の情報が含まれます。

                  • 使用中のワークフロー

                  • ワークフローの表示中の部分

                  • ワークフローのページ番号

                  • 検索の制約

                  • 無効になっているカラム

                  • 使用している時間範囲

                  あるユーザが作成したブックマークは、ブックマーク アクセスを持っているすべてのユーザ アカウントで利用できます。これは、より詳細な分析を必要とするイベント セットを発見した場合、簡単にブックマークを作成し、適切な権限を持った他のユーザに調査を引き継ぐことが可能であることを意味します。


                  (注)  

                  ブックマークに表示されているイベントが(ユーザによって直接、またはデータベースの自動クリーンアップによって)削除されると、そのブックマークにあった元のイベントは表示されなくなります。

                  ブックマークの作成

                  スマート ライセンス

                  従来のライセンス

                  サポートされるデバイス

                  サポートされるドメイン

                  アクセス(Access)

                  任意(Any)

                  任意(Any)

                  任意(Any)

                  任意(Any)

                  Admin/Maint/Any Security Analyst(ワークフローに応じて異なります)

                  マルチドメイン導入では、現在のドメインで作成されたブックマークのみを表示できます。

                  手順
                    ステップ 1   イベントの分析中に、表示されている対象のイベントで [このページをブックマーク(Bookmark This Page)] をクリックします。
                    ステップ 2   [名前(Name)] フィールドに、名前を入力します。
                    ステップ 3   [ブックマークの保存(Save Bookmark)] をクリックします。

                    ブックマークの表示

                    スマート ライセンス

                    従来のライセンス

                    サポートされるデバイス

                    サポートされるドメイン

                    アクセス(Access)

                    任意(Any)

                    任意(Any)

                    任意(Any)

                    任意(Any)

                    Admin/Maint/Any Security Analyst(ワークフローに応じて異なります)

                    マルチドメイン導入では、現在のドメインで作成されたブックマークのみを表示できます。

                    手順
                    すべてのイベント ビューで、以下の 2 つの方法を選択できます。

                    • [ブックマークの表示(View Bookmarks)] の上にポインタを合わせ、ドロップダウン メニューから目的のブックマークをクリックします。

                    • [ブックマークの表示(View Bookmarks)] をクリックし、[ブックマークの表示(View Bookmarks)] ページで目的のブックマーク名をクリックするか、その横にある表示アイコン()をクリックします。

                      (注)     

                      最初にブックマークに表示されていたイベントが(ユーザによって直接、またはデータベースの自動クリーンアップによって)削除されると、そのブックマークにはイベントの元のセットは表示されません。


                    このドキュメントは役に立ちましたか?

                    Feedbackフィードバック

                    シスコに問い合わせ