Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド

Chapter Title

カスタム テーブル

検索結果

Updated:
2017年12月13日

章のタイトル: カスタム テーブル

カスタム テーブル

次のトピックでは、カスタム テーブルの使用方法について説明します。

カスタム テーブルの概要

Firepower システムがネットワークに関する情報を収集し、Firepower Management Center がその情報を一連のデータベース テーブルに保存します。結果として生成される情報を表示するためにワークフローを使用する場合、Firepower Management Center はそれらのテーブルのいずれかからデータを取り出します。たとえば、[カウントに基づいたネットワーク アプリケーション(Network Applications by Count)] ワークフローの各ページのカラムは、[アプリケーション(Applications)] テーブルのフィールドから取得されます。

さまざまなテーブルのフィールドを結合することにより、ネットワークのアクティビティの分析が向上する場合、カスタム テーブルを作成できます。たとえば、定義済みの [ホスト属性(Host Attributes)] テーブルのホスト重大度情報と、定義済みの [接続データ(Connection Data)] テーブルのフィールドを結合してから、新しいコンテキストで接続データを検証できます。

定義済みのテーブルまたはカスタム テーブルのどちらについても、カスタム ワークフローを作成できます。

定義済みのカスタム テーブル

カスタム テーブルには、2 つまたは 3 つの定義済みテーブルのフィールドを含みます。Firepower System は、いくつかのシステム定義のカスタム テーブルと共に配布されますが、特定のニーズに適合する情報のみを含む追加のカスタム テーブルを作成できます。

たとえば、Firepower System は、侵入イベントとホスト データを相関するシステム定義のカスタム テーブルと共に配布されます。そのため、クリティカル システムに影響を及ぼすイベントを検索でき、1 つのワークフローにその検索結果を表示できます。

マルチドメイン展開では、定義済みのカスタム テーブルは、グローバル ドメインに属し、下位ドメインで変更することはできません。

次の表では、システムと共に提供されるカスタム テーブルについて説明します。

表 1 システム定義カスタム テーブル

テーブル

説明

ホストとサーバ(Hosts with Servers)

ホスト テーブルおよびサーバ テーブルのフィールドを含み、ネットワーク上で実行されている検出されたアプリケーションに関する情報やこれらのアプリケーションを実行するホストに関する基本的なオペレーティング システム情報を提供します。

侵入イベントと宛先重要度(Intrusion Events with Destination Criticality)

侵入イベント テーブルとホスト テーブルのフィールドを含み、侵入イベントに関する情報と各侵入イベントに含まれる宛先ホストのホスト重要度を提供します。

このテーブルを使用して、ホスト重要度の高い宛先ホストに関与する侵入イベントを検索できます。

侵入イベントと送信元重要度(Intrusion Events with Source Criticality)

侵入イベント テーブルとホスト テーブルのフィールドを含み、侵入イベントに関する情報と各侵入イベントに含まれる送信元ホストのホスト重要度を提供します。

このテーブルを使用して、ホスト重要度の高い送信元ホストに関与する侵入イベントを検索できます。

可能なテーブルの組み合わせ

カスタム テーブルを作成する場合、関連データのある定義済みのテーブルのフィールドを組み合わせことができます。次の表では、新しいカスタム テーブルを作成するために組み合わせることのできる定義済みのテーブルを列挙します。2 つ以上の定義済みのカスタム テーブルのフィールドを組み合わせるカスタム テーブルを作成できます。

表 2 カスタム テーブルの組み合わせ

組み合わせ可能なカスタム テーブル

フィールド

アプリケーション

  • 相関イベント(Correlation Events)

  • 侵入イベント(Intrusion Events)

  • 接続サマリ データ(Connection Summary Data)

  • ホスト属性(Host Attributes)

  • アプリケーションの詳細(Application Details)

  • 検出イベント(Discovery Events)

  • 接続イベント(Connection Events)

  • ホスト(Hosts)

  • サーバ

  • ホワイト リスト イベント(White List Events)

相関イベント(Correlation Events)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

侵入イベント(Intrusion Events)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

  • サーバ

接続サマリ データ(Connection Summary Data)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

  • サーバ

の侵害の兆候(Host Indications of Compromise)

  • アプリケーション

  • アプリケーションの詳細(Application Details)

  • キャプチャ ファイル(Captured Files)

  • 接続イベント(Connection Events)

  • 接続サマリ データ(Connection Summary Data)

  • 相関イベント(Correlation Events)

  • 検出イベント(Discovery Events)

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

  • 侵入イベント(Intrusion Events)

  • セキュリティ インテリジェンス イベント(Security Intelligence Events)

  • サーバ

  • ホワイト リスト イベント(White List Events)

ホスト属性(Host Attributes)

  • アプリケーション

  • 相関イベント(Correlation Events)

  • 侵入イベント(Intrusion Events)

  • 接続サマリ データ(Connection Summary Data)

  • アプリケーションの詳細(Application Details)

  • 検出イベント(Discovery Events)

  • 接続イベント(Connection Events)

  • ホスト(Hosts)

  • サーバ

  • ホワイト リスト イベント(White List Events)

アプリケーションの詳細(Application Details)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

検出イベント(Discovery Events)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

接続イベント(Connection Events)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

  • サーバ

セキュリティ インテリジェンス イベント(Security Intelligence Events)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

  • サーバ

ホスト(Hosts)

  • アプリケーション

  • 相関イベント(Correlation Events)

  • 侵入イベント(Intrusion Events)

  • 接続サマリ データ(Connection Summary Data)

  • ホスト属性(Host Attributes)

  • アプリケーションの詳細(Application Details)

  • 検出イベント(Discovery Events)

  • 接続イベント(Connection Events)

  • サーバ

  • ホワイト リスト イベント(White List Events)

サーバ

  • アプリケーション

  • 侵入イベント(Intrusion Events)

  • 接続サマリ データ(Connection Summary Data)

  • ホスト属性(Host Attributes)

  • 接続イベント(Connection Events)

  • ホスト(Hosts)

ホワイト リスト イベント(White List Events)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

1 つのテーブルのフィールドを別のテーブルの 1 つ以上のフィールドにマッピングすることもあります。たとえば、定義済みの [宛先の重要度による侵入イベント(Intrusion Events with Destination Criticality)] のカスタム テーブルを侵入イベント テーブルとホスト テーブルのフィールドと組み合わせます。侵入イベント テーブルの各イベントは、そのイベントに関連付けられた 2 つの IP アドレス、送信元 IP アドレスと宛先 IP アドレスがあります。しかしホスト テーブル内の「イベント」は、それぞれ 1 つのホスト IP アドレスを示します(ホストには複数の IP アドレスがあることもあります)。このため、侵入イベント テーブルとホスト テーブルに基づいてカスタム テーブルを作成すると、ホスト テーブルで表示されたデータを侵入イベント テーブルのホスト送信元 IP アドレスまたはホスト宛先 IP アドレスに適用できるかを選択する必要があります。

新しいカスタム テーブルを作成すると、テーブル内のすべての列を表示するデフォルトのワークフローが自動的に作成されます。また、定義済みのテーブルのように、ネットワークの分析に使用するデータについてカスタム テーブルを検索できます。定義済みのテーブルを使用して可能であるように、カスタム テーブルに基づいてレポートを作成できます。

ユーザ定義のカスタム テーブル


ヒント

新しいカスタム テーブルを作成する代わりに、別の Firepower Management Center からカスタム テーブルをエクスポートし、Firepower Management Center にインポートすることができます。

カスタム テーブルを作成するには、Firepower システムに付属しているどの定義済みテーブルに、カスタム テーブルに組み込むフィールドが含まれているかを判断します。その後、組み込むフィールドを選択できます。さらに、必要に応じて、共通フィールドのフィールド マッピングを設定することもできます。


ヒント

[ホスト(Hosts)] テーブルを含むデータでは、1 つの IP アドレスではなく、1 つのホストのすべての IP アドレスに関連したデータを表示できます。

例として、[相関イベント(Correlation Events)] テーブルと [ホスト(Hosts)] テーブルのフィールドを結合するカスタム テーブルについて考慮します。このカスタム テーブルを使用して、相関ポリシーの違反に関係するホストの詳細情報を取得できます。注意すべき点として、[相関イベント(Correlation Events)] テーブルの送信元 IP アドレスと宛先 IP アドレスのどちらと一致する [ホスト(Hosts)] テーブル データを表示するかを決定する必要があります。

このカスタム テーブルのイベントのテーブル ビューを表示する場合、相関イベントが 1 行に 1 つずつ表示されます。次の情報を含むようにカスタム テーブルを設定できます。

  • イベントが生成された日時

  • 違反された相関ポリシーの名前

  • 違反をトリガーとして使用した規則の名前

  • 相関イベントに関係する送信元ホスト(開始ホスト)に関連付けられた IP アドレス

  • 送信元ホストの NetBIOS 名

  • 送信元ホストが実行しているオペレーティング システムおよびバージョン

  • 送信元ホストの重大度


ヒント

宛先ホスト(応答ホスト)の同じ情報を表示する同様のカスタム テーブルを作成することもできます。

カスタム テーブルの作成

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

任意(Any)

Any/Admin
手順
    ステップ 1   [分析(Analysis)] > [カスタム(Custom)] > [カスタム テーブル(Custom Tables)]を選択します。
    ステップ 2   [カスタム テーブルの作成(Create Custom Table)] をクリックします。
    ステップ 3   [名前(Name)] フィールドに、カスタム テーブルの名前を入力します。

    例:たとえば、Correlation Events with Host Information(Src IP)と入力します。
    ステップ 4   [テーブル(Tables)] ドロップダウン リストから、[相関イベント(Correlation Events)] を選択します。
    ステップ 5   [フィールド(Fields)] で [時間(Time)] を選択し、[追加(Add)] をクリックして、相関イベントが生成された日時を追加します。
    ステップ 6   手順 5 を繰り返して、[ポリシー(Policy)] および [ルール(Rule)] フィールドを追加します。
    ヒント   

    Ctrl または Shift を押しながらクリックすることにより、複数のフィールドを選択できます。また、クリックしてドラッグすることで、隣接する複数の値を選択できます。ただし、テーブルに関連したイベントのテーブル ビューでフィールドが表示される順序を指定する場合は、フィールドを一度に 1 つずつ追加します。

    ステップ 7   [テーブル(Tables)] ドロップダウンリストから [ホスト(Hosts)] を選択します。
    ステップ 8   [IP アドレス(IP Address)]、[NetBIOS 名(NetBIOS Name)]、[OS 名(OS Name)]、[OS バージョン(OS Version)]、[ホストの重大度(Host Criticality)] フィールドをカスタム テーブルに追加します。
    ステップ 9   [相関イベント(Correlation Events)] の隣にある [共通フィールド(Common Fields)] で、[送信元 IP(Source IP)] を選択します。

    相関イベントに関係する送信元ホスト(開始ホスト)用に手順 8 で選択したホスト情報を表示するように、カスタム テーブルが設定されます。

    ヒント   

    相関イベントに関係する宛先ホスト(応答ホスト)に関する詳細なホスト情報を表示するカスタム テーブルを作成する場合も、この手順に従いますが、[送信元 IP(Source IP)] ではなく、[送信先 IP(Destination IP)] を選択します。

    ステップ 10   [保存(Save)] をクリックします。

    カスタム テーブルの変更

    スマート ライセンス

    従来のライセンス

    サポートされるデバイス

    サポートされるドメイン

    アクセス(Access)

    任意(Any)

    任意(Any)

    任意(Any)

    任意(Any)

    Any/Admin

    マルチドメイン展開では、現在のドメインで作成されたカスタム テーブルが表示されます。これは編集できます。先祖ドメインで作成されたカスタム テーブルも表示されますが、これは編集できません。下位のドメインのカスタム テーブルを表示および編集するには、そのドメインに切り替えます。

    手順
      ステップ 1   [分析(Analysis)] > [カスタム(Custom)] > [カスタム テーブル(Custom Tables)]を選択します。
      ステップ 2   編集するテーブルの横にある編集アイコン()をクリックします。

      代わりに表示アイコン()が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

      ステップ 3   除外するフィールドの横にある削除アイコン()をクリックして、テーブルからフィールドを除外することもできます。
      (注)     

      レポートで現在使用中のフィールドを削除すると、それらのフィールドを使用しているセクションをそれらのレポートから除外するか確認するプロンプトが表示されます。

      ステップ 4   必要に応じて、その他の変更を実行します。
      ステップ 5   [保存(Save)] をクリックします。

      カスタム テーブルの削除

      スマート ライセンス

      従来のライセンス

      サポートされるデバイス

      サポートされるドメイン

      アクセス(Access)

      任意(Any)

      任意(Any)

      任意(Any)

      任意(Any)

      Any/Admin

      マルチドメイン導入では、現在のドメインで作成されたカスタム テーブルが表示されます。これは削除できます。先祖ドメインで作成されたカスタム テーブルも表示されますが、これは削除できません。下位のドメインのカスタム テーブルを削除するには、そのドメインに切り替えます。

      手順
        ステップ 1   [分析(Analysis)] > [カスタム(Custom)] > [カスタム テーブル(Custom Tables)]を選択します。
        ステップ 2   削除するカスタム テーブルの隣にある削除アイコン()をクリックします。

        コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

        カスタム テーブルに基づいたワークフローの表示

        スマート ライセンス

        従来のライセンス

        サポートされるデバイス

        サポートされるドメイン

        アクセス(Access)

        任意(Any)

        任意(Any)

        任意(Any)

        任意(Any)

        Any/Admin

        カスタム テーブルを作成すると、そのデフォルトのワークフローがシステムによって自動的に作成されます。このワークフローの最初のページには、イベントのテーブル ビューが表示されます。カスタム テーブルに侵入イベントを含める場合、ワークフローの 2 番目のページはパケット ビューになります。それ以外の場合、ワークフローの 2 番目のページはホスト ページになります。カスタム テーブルに基づいて、独自のカスタム ワークフローを作成することもできます。


        ヒント

        カスタム テーブルに基づいてカスタム ワークフローを作成する場合、それをそのテーブルのデフォルトのワークフローとして指定できます。

        同じ手法を使用して、定義済みのテーブルに基づいたイベント ビューに使用するカスタム テーブルでイベントを表示できます。

        マルチドメイン展開では、現在のドメインで作成されたカスタム テーブルが表示されます。これは編集できます。先祖ドメインで作成されたカスタム テーブルも表示されますが、これは編集できません。下位のドメインのカスタム テーブルを表示および編集するには、そのドメインに切り替えます。

        手順
          ステップ 1   [分析(Analysis)] > [カスタム(Custom)] > [カスタム テーブル(Custom Tables)]を選択します。
          ステップ 2   表示するワークフローに関連するカスタム テーブルの隣にある表示アイコン()をクリックします。

          カスタム テーブルの検索

          スマート ライセンス

          従来のライセンス

          サポートされるデバイス

          サポートされるドメイン

          アクセス(Access)

          任意(Any)

          任意(Any)

          任意(Any)

          任意(Any)

          Any/Admin

          マルチドメイン展開では、現在のドメインで作成されたカスタム テーブルが表示されます。これは編集できます。先祖ドメインで作成されたカスタム テーブルも表示されますが、これは編集できません。下位のドメインのカスタム テーブルを表示および編集するには、そのドメインに切り替えます。

          手順
            ステップ 1   [分析(Analysis)] > [カスタム(Custom)] > [カスタム テーブル(Custom Tables)]を選択します。
            ステップ 2   検索するカスタム テーブルの隣にある表示アイコン()をクリックします。
            ヒント   

            カスタム ワークフローなど、別のワークフローを使用するには、ワークフローのタイトルの横の [(ワークフローの切り替え)((switch workflow))] をクリックします。

            ステップ 3   [検索(Search)] をクリックします。
            ヒント   

            別の種類のイベントやデータについてデータベースを検索する場合は、その種類をテーブル ドロップダウンリストから選択します。

            ステップ 4   該当するフィールドに、検索条件を入力します。

            複数のフィールドに条件を入力して検索すると、すべてのフィールドに対して指定された検索条件に一致するレコードのみが返されます。

            ヒント   

            検索基準としてオブジェクトを使用する場合は、検索フィールドの横にあるオブジェクト アイコン()をクリックします。

            ステップ 5   必要に応じて、検索を保存する場合は、[プライベート(Private)] チェックボックスをオンにして、プライベートとして検索を保存すると、その検索に本人のみがアクセスできるようになります。本人のみではなくすべてのユーザを対象にする場合は、このチェックボックスをオフのままにして検索を保存します。
            ヒント   

            カスタム ユーザ ロールのデータの制限として検索を使用する場合は、必ずプライベート検索として保存する必要があります。

            ステップ 6   必要に応じて、後で再度使用する検索を保存できます。次の選択肢があります。
            • [保存(Save)] をクリックして、検索条件を保存します。[プライベート(Private)] チェックボックスをオンにすると、その検索は本人のアカウントでのみ表示できるようになります。
            • 新しい検索を保存するか、以前保存した検索を変更して作成した検索に名前を割り当てるには、[新規に保存(Save As New)] をクリックします。[プライベート(Private)] チェックボックスをオンにすると、その検索は本人のアカウントでのみ保存および表示できるようになります。
            ステップ 7   [検索(Search)] をクリックして、検索を開始します。 検索結果は、現在の時間範囲によって制限されている、カスタム テーブルのデフォルトのワークフローに表示されます(該当する場合)。

            このドキュメントは役に立ちましたか?

            Feedbackフィードバック

            シスコに問い合わせ