イベント ビューアでは、テーブルにファイル イベントとマルウェア イベントを表示できます。分析に関連する情報に応じてイベント ビューを操作することができます。イベントにアクセスしたときに表示されるページは、ワークフローによって異なります。ワークフローは、大まかなビューから詳細なビューに移動してイベントを評価するために使用できる、一連のページです。また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

ワークフローを使用して表示および検索できるマルウェア イベントには、このセクションにリストするフィールドがあります。個別のイベントで利用可能な情報は、いつ、どのように生成されたかによって異なることに注意してください。

（注）	AMP for Firepower によってマルウェアとして識別されたファイルは、ファイル イベントとマルウェア イベントの両方を生成します。エンドポイントベースのマルウェア イベントには、対応するファイル イベントはありません。また、ファイル イベントには AMP for Endpoints 関連のフィールドはありません。

アクション（Action）

ファイルを検出したファイル ポリシー ルールに関連したアクション、および関連するファイル アクション オプション。

AMP クラウド（AMP Cloud）

AMP for Endpoints イベントが発信された AMP クラウドの名前。

アプリケーション ファイル名（Application File Name）

AMP for Endpoints 検出が行われたときに、マルウェア ファイルにアクセスしていたクライアント アプリケーション。これらのアプリケーションはネットワーク検出またはアプリケーション制御とは関係ありません。

アプリケーション ファイル SHA256（Application File SHA256）

検出が行われたときに、AMP for Endpoints で検出された、または隔離されたファイルにアクセスした親ファイルの SHA-256 のハッシュ値。

アプリケーション プロトコル（Application Protocol）

管理対象デバイスがファイルを検出したトラフィックで使用されるアプリケーション プロトコル。

アプリケーション プロトコル カテゴリまたはタグ（Application Protocol Category or Tag）

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

アプリケーションのリスク（Application Risk）

接続で検出されたアプリケーション トラフィックに関連付けられたリスク。「非常に高い（Very High）」、「高（High）」、「中（Medium）」、「低（Low）」、「非常に低い（Very Low）」のいずれかとなります。接続で検出されたアプリケーションのタイプごとに、関連するリスクがあります。このフィールドでは、それらのうち最も高いものが表示されます。

アーカイブ深度（Archive Depth）

アーカイブ ファイル内でファイルがネストされたレベル（存在する場合）。

アーカイブ名（Archive Name）

マルウェア ファイルが関連付けられているアーカイブ ファイル（存在する場合）の名前。アーカイブ ファイルの内容を表示するには、アーカイブ ファイルのイベント ビューア行を右クリックしてコンテキスト メニューを開き、[アーカイブ コンテンツの表示（View Archive Contents）] をクリックします。

アーカイブ SHA256（Archive SHA256）

マルウェア ファイルが関連付けられているアーカイブ ファイル（存在する場合）の SHA-256 ハッシュ値。アーカイブ ファイルの内容を表示するには、アーカイブ ファイルのイベント ビューア行を右クリックしてコンテキスト メニューを開き、[アーカイブ コンテンツの表示（View Archive Contents）] をクリックします。

ビジネスとの関連性（Business Relevance）

接続で検出されたアプリケーション トラフィックに関連するビジネス関連性：Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するビジネス関連性があります。このフィールドでは、それらのうち最も低いもの（関連が最も低い）が表示されます。

カテゴリ（Category）/ファイル タイプ カテゴリ（File Type Category）

ファイル タイプの一般的なカテゴリ（Office ドキュメント、アーカイブ、マルチメディア、実行可能ファイル、PDF ファイル、エンコード ファイル、グラフィック、システム ファイルなど）。

クライアント（Client）

1 つのホストで実行され、ファイルを送信するためにサーバに依存するクライアント アプリケーション。

クライアント カテゴリまたはタグ（Client Category or Tag）

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

メンバー数（Count）

複数の同じ行を作成する制約を適用した後の、各行の情報に一致するイベントの数。

検出名（Detection Name）

検出されたマルウェアの名前。

ディテクタ（Detector）

マルウェアを識別した AMP for Endpoints ディテクタ（ClamAV、Spero、SHA など）。

Device

ファイル イベントおよびネットワークベースのマルウェア イベントの場合、ファイルを検出したデバイスの名前。

エンドポイントベースのマルウェア イベントおよび AMP クラウドによって生成される遡及的マルウェア イベントの場合、Firepower Management Center の名前。

傾向（Disposition）/ファイル性質（File Disposition）

ファイルの性質：

マルウェア（Malware）

AMP クラウドでそのファイルがマルウェアとして分類された、ローカル マルウェア分析でマルウェアとして識別された、またはファイル ポリシーで定義されたマルウェアしきい値をファイルの脅威スコアが超えたことを示します。

クリーン（Clean）

AMP クラウドでそのファイルがクリーンとして分類されているか、ユーザがファイルをクリーン リストに追加したことを示します。クリーンのファイルがマルウェア テーブルに含められるのは、そのファイルがクリーンに変更された場合だけです。

不明

システムが AMP クラウドに問い合わせましたが、ファイルの性質が割り当てられていませんでした。言い換えると、AMP クラウドがファイルを正しく分類していませんでした。

カスタム検出（Custom Detection）

ユーザがカスタム検出リストにファイルを追加したことを示します。

応対不可（Unavailable）

システムがAMPクラウドに問い合わせできなかったことを示します。この性質を持つイベントはごくわずかである可能性があります。これは予期された動作です。

該当なし

[ファイル検出（Detect Files）] または [ファイル ブロック（Block Files）] ルールがファイルを処理し、Firepower Management Center が AMP クラウドに問い合わせなかったことを示します。

ファイル性質は、システムが AMP クラウドに問い合わせたファイルでのみ表示されます。

ドメイン（Domain）

ファイル イベントおよびネットワークベースのマルウェア イベントの場合、ファイルを検出したデバイスのドメイン。エンドポイント ベースのマルウェア イベントおよび AMP クラウドによって生成される遡及的マルウェア イベントの場合、イベントを報告した AMP クラウド接続に関連付けられたドメイン。

このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

イベント サブタイプ（Event Subtype）

マルウェア検出につながった AMP for Endpoints アクション（[作成（Create）]、[実行（Execute）]、[移動（Move）]、[スキャン（Scan）] など）。

イベント タイプ（Event Type）

マルウェア イベントのサブタイプ。

ファイル名（File Name）

マルウェア ファイルの名前。

ファイル パス（File Path）

AMP for Endpoints によって検出されたマルウェア ファイルのファイル パス（ファイル名を含まない）。

ファイル ポリシー（File Policy）

ファイルを検出したファイル ポリシー。

ファイル ストレージ（File Storage）/保存（Stored）（検索のみ）

イベントに関連付けられたファイルのストレージ ステータス：

保存（Stored）

関連するファイルが現在保存されているすべてのイベントを返します。

関連保存（Stored in connection）

関連するファイルが現在保存されているかどうかに関係なく、関連するファイルをシステムがキャプチャおよび保存したすべてのイベントを返します。

失敗しました（Failed）

関連するファイルをシステムが保存できなかったすべてのイベントを返します。

ファイルのタイムスタンプ（File Timestamp）

AMP for Endpoints が検出したマルウェア ファイルが作成された日時。

HTTP 応答コード（HTTP Response Code）

ファイルの転送時にクライアントの HTTP 要求に応じて送信される HTTP ステータス コード。

IOC

マルウェア イベントが、接続に関与したホストに対する侵入の痕跡（IOC）をトリガーしたかどうか。AMP for Endpoints データが IOC ルールをトリガーした場合、タイプ AMP IOC で、完全なマルウェア イベントが生成されます。

メッセージ（Message）

マルウェア イベントに関連付けられる追加情報。ファイル イベントおよびネットワーク ベースのマルウェア イベントでは、このフィールドは、性質が変更された、つまり関連付けられた遡及的イベントがあるファイルに対してのみ入力されます。

受信側の大陸（Receiving Continent）

ファイルを受信するホストの大陸。

受信側の国（Receiving Country）

ファイルを受信するホストの国。

受信側 IP（Receiving IP）

ファイル イベントおよびネットワークベースのマルウェア イベントの場合、ファイルを受信するホストの IP アドレス。エンドポイント ベースのマルウェアのイベントの場合、コネクタがイベントを報告したエンドポイントの IP アドレス。

受信側のポート（Receiving Port）

ファイルが検出されたトラフィックによって使用される宛先ポート。

セキュリティ コンテキスト（Security Context）

トラフィックが通過した仮想ファイアウォール グループを識別するメタデータ。システムがこのフィールドにデータを設定するのは、マルチコンテキスト モードの ASA FirePOWER だけです。

送信側の大陸（Sending Continent）

ファイルを送信するホストの大陸。

送信側の国（Sending Country）

ファイルを送信するホストの国。

送信側 IP（Sending IP）

ファイルを送信するホストの IP アドレス。

送信側のポート（Sending Port）

ファイルが検出されたトラフィックによって使用される送信元ポート。

SHA256/ファイル SHA256（File SHA256）

ファイルの SHA-256 ハッシュ値と、最後に検出されたファイル イベントおよびファイル性質を表すネットワーク ファイル トラジェクトリ アイコン、およびネットワーク ファイル トラジェクトリにリンクするネットワーク ファイル トラジェクトリ アイコン。SHA256 値を得るには、ファイルが次のいずれかによって処理されている必要があります。

• [ファイルの保存（Store files）] が有効になっているファイル検出ファイル ルール。

• [ファイルの保存（Store files）] が有効になっているファイル ブロック ファイル ルール。

• マルウェア クラウド ルックアップ ファイル ルール

• マルウェア ブロック ファイル ルール

• AMP for Endpoints

サイズ（KB）（Size (KB)）/ファイル サイズ（KB）（ファイル サイズ（KB））

ファイルのサイズ（KB 単位）。ファイルが完全に受信される前にシステムがファイルのタイプを判別すると、ファイル サイズが計算されずに、このフィールドがブランクになる場合があるので注意してください。

SSL の実際の動作（SSL Actual Action）（検索のみ）

システムが暗号化トラフィックに適用したアクション。

ブロック（Block）/リセットしてブロック（Block With Reset）

ブロックされた暗号化接続を表します。

複合（再署名）（Decrypt (Resign)）

再署名サーバ証明書を使用して復号された発信接続を表します。

復号（キーの置き換え）（Decrypt (Replace Key)）

置き換えられた公開キーと自己署名サーバ証明書を使用して復号された発信接続を表します。

復号（既知のキー）（Decrypt (Known Key)）

既知の秘密キーを使用して復号された着信接続を表します。

デフォルト アクション（Default Action）

接続がデフォルト アクションによって処理されたことを示しています。

復号しない（Do Not Decrypt）

システムが復号しなかった接続を表します。

フィールド値は、検索ワークフロー ページの [SSL ステータス（SSL Status）] フィールドに表示されます。

SSL 証明書情報（SSL Certificate Information）（検索のみ）

トラフィックを暗号化するための公開キー証明書に保存される次の情報：

• 件名/発行元共通名（Subject/Issuer Common Name）

• 件名/発行元組織（Subject/Issuer Organization）

• 件名/発行元組織ユニット（Subject/Issuer Organization Unit）

• 有効期間の開始/終了（Not Valid Before/After）

• シリアル番号（Serial Number）、証明書フィンガープリント（Certificate Fingerprint）

• 公開キー フィンガープリント（Public Key Fingerprint）

SSL 失敗理由（SSL Failure Reason）（検索のみ）

システムが暗号化されたトラフィックの復号に失敗した理由：

• 不明

• 不一致（No Match）

• Success

• キャッシュされていないセッション（Uncached Session）

• 不明な暗号スイート（Unknown Cipher Suite）

• サポートされていない暗号スイート（Unsupported Cipher Suite）

• サポートされていない SSL バージョン（Unsupported SSL Version）

• SSL 圧縮の使用（SSL Compression Used）

• パッシブ モードで復号できないセッション（Session Undecryptable in Passive Mode）

• ハンドシェイク エラー（Handshake Error）

• 復号エラー（Decryption Error）

• 保留サーバ名カテゴリ ルックアップ（Pending Server Name Category Lookup）

• 保留共通名カテゴリ ルックアップ（Pending Common Name Category Lookup）

• 内部エラー（Internal Error）

• ネットワーク パラメータを使用できません（Network Parameters Unavailable）

• 無効なサーバ証明書の処理（Invalid Server Certificate Handle）

• サーバ証明書フィンガープリントを使用できません（Server Certificate Fingerprint Unavailable）

• サブジェクト DN をキャッシュできません（Cannot Cache Subject DN）

• 発行元 DN をキャッシュできません（Cannot Cache Issuer DN）

• 不明の SSL バージョン（Unknown SSL Version）

• 外部証明書リストを使用できません（External Certificate List Unavailable）

• 外部証明書フィンガープリントを使用できません（External Certificate Fingerprint Unavailable）

• 内部証明書リストが無効です（Internal Certificate List Invalid）

• 内部証明書リストを使用できません（Internal Certificate List Unavailable）

• 内部証明書を使用できません（Internal Certificate Unavailable）

• 内部証明書フィンガープリントを使用できません（Internal Certificate Fingerprint Unavailable）

• サーバ証明書検証を使用できません（Server Certificate Fingerprint Unavailable）

• サーバ証明書検証エラー（Server Certificate Validation Failure）

• 無効なアクション（Invalid Action）

フィールド値は、検索ワークフロー ページの [SSL ステータス（SSL Status）] フィールドに表示されます。

SSL ステータス（SSL Status）

暗号化された接続を記録した、[SSL の実際の動作（SSL Actual Action）]（SSL ルール、デフォルト アクション、または復号できないトラフィック アクション）に関連したアクション。ロック アイコン（）は、SSL 証明書の詳細にリンクしています。証明書を利用できない場合（たとえば、SSL ハンドシェイク エラーにより接続がブロックされる場合）、ロック アイコンはグレー表示になります。

システムが暗号化接続を復号できなかった場合は、[SSL の実際の動作（SSL Actual Action）]（実行された復号不能のトラフィック アクション）と、[SSL 失敗理由（SSL Failure Reason）] が表示されます。たとえば、不明な暗号スイートによって暗号化されたトラフィックをシステムが検出し、それ以上のインスペクションをせずにこれを許可した場合、このフィールドには [Do Not Decrypt (Unknown Cipher Suite)] が表示されます。

このフィールドを検索する場合は、[SSL の実際の動作（SSL Actual Action）] と [SSL 失敗理由（SSL Failure Reason）] の 1 つ以上の値を入力し、システムが処理した、または復号に失敗した暗号化トラフィックを表示します。

SSL 件名/発行元国（SSL Subject/Issuer Country）（検索のみ）

暗号化証明書に関連付けられた件名または発行元国の 2 文字の ISO 3166-1 alpha-2 国番号。

脅威名（Threat Name）

検出されたマルウェアの名前。

脅威スコア（Threat Score）

そのファイルに関連する最新の脅威スコア。脅威スコア アイコンは、[動的分析要約（Dynamic Analysis Summary）] レポートにリンクされています。

時刻（Time）

イベントが生成された日時。このフィールドは検索できません。

タイプ（Type）/ファイル タイプ（File Type）

ファイルのタイプ（HTML や MSEXE など）。

URI（URI）/ファイル URI（File URI）

ファイルの送信元の URI（ファイルをダウンロードした URL など）。

ユーザ（User）

イベントが発生したホスト（受信 IP）のユーザ

ファイル イベントおよびネットワークベースのマルウェア イベントの場合、このユーザはネットワーク検出によって判別されます。ユーザは宛先ホストに関連付けられているため、ユーザがマルウェア ファイルをアップロードしたマルウェア イベントに、ユーザは関連付けられていません。

エンドポイントベースのマルウェア イベントの場合、AMP for Endpoints がユーザ名を判別します。これらのユーザをユーザ検出または制御に関連付けることはできません。それらは [ユーザ（Users）] テーブルに含まれず、それらのユーザの詳細を表示することもできません。

Web アプリケーション（Web Application）

接続で検出された HTTP トラフィックについて、内容を表すまたは URL を要求したアプリケーション。

Web アプリケーションのカテゴリまたはタグ（Web Application Category or Tag）

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。

脅威スコア

表 4 脅威スコア レーティング

脅威スコア	アイコン
Low
Medium
High
Very High

Firepower Management Center は、ファイルの性質と同じ期間だけ、ファイルの脅威スコアをキャッシュに入れます。これらのファイルが後から検出されると、AMP Threat Grid クラウドまたは AMP Threat Grid オンプレミス アプライアンスが再クエリされる代わりに、キャッシュされた脅威スコアが表示されます。ファイルの脅威スコアが、定義済みのマルウェアしきい値の脅威スコアを超える場合は、そのファイルにマルウェアの性質を自動的に割り当てることができます。

動的分析のサマリ

動的分析のサマリが生成可能な場合、脅威スコア アイコンをクリックすると、サマリが表示されます。複数のレポートが存在する場合、このサマリは、脅威スコアと完全に一致する最新のレポートに基づいて生成されます。完全に一致する脅威スコアがない場合、最も高い脅威スコアに関するレポートが表示されます。複数のレポートがある場合は、脅威スコアを選択して、それぞれのレポートを表示することができます。

サマリには、脅威スコアを構成する各コンポーネントの脅威がリストされます。各コンポーネントの脅威を展開すると、そのコンポーネントの脅威に関連するプロセスだけでなく、AMP クラウドの調査結果もリストされます。

プロセス ツリーには、AMP Threat Grid クラウドがファイルを実行しようとしたときに開始されたプロセスが示されています。これは、マルウェアを含むファイルが、想定外のプロセスやシステム リソースへアクセスしようとしているかどうか（たとえば、Word ドキュメントを実行すると、Microsoft Word が開き、次に Internet Explorer が起動し、さらに Java Runtime Environment が実行されるなど）を識別するのに役立ちます。

リストされる各プロセスには、実際のプロセスを検査するのに使用できるプロセス ID が含まれます。プロセス ツリー内の子ノードは、親プロセスの結果として開始されたプロセスを表します。

動的分析のサマリから [完全なレポートを表示（View Full Report）] をクリックすることにより、AMP クラウドの完全な分析を詳述する完全版分析レポートを表示できます。レポートには、ファイルの一般情報、検出されたすべてのプロセスの詳細な説明、ファイル分析の概要、およびその他の関連情報が含まれます。

管理対象デバイスは、ネットワーク トラフィックで検出されたファイルをキャプチャすると、イベントをログに記録します。

（注）	デバイスがマルウェアを含むファイルをキャプチャすると、デバイスは、ファイルを検出した場合はファイル イベント、マルウェアを識別した場合はマルウェア イベントの 2 種類のイベントを生成します。

イベント ビューアでは、テーブルにキャプチャ ファイルを表示できます。また、分析に関連する情報に応じてイベント ビューを操作することができます。キャプチャ ファイルにアクセスしたときに表示されるページは、ワークフローによって異なります。ワークフローは、大まかなビューから詳細なビューに移動してイベントを評価するために使用できる、一連のページです。また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。

ファイル ポリシーの更新など設定を変更した後に、システムがファイルを再キャプチャする場合、そのファイルの既存の情報が更新されます。

たとえば、[マルウェア クラウド ルックアップ（Malware Cloud Lookup）] アクションを使用してファイルをキャプチャするようにファイル ポリシーを設定した場合、システムはそのファイルと一緒にファイル処理と脅威スコアを保存します。その後、ファイル ポリシーを更新し、新しい [ファイルの検出（Detect Files）] アクションのためにシステムが同じファイルを再キャプチャすると、システムはファイルの [最終変更時刻（Last Changed）] の値を更新します。ただし、別のマルウェア クラウド ルックアップを実行しなかったとしても、システムは既存の処理や脅威スコアを削除しません。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

キャプチャされたファイルのテーブル ビューは、定義済みファイル イベントのワークフローの最後のページであり、カスタム ワークフローに追加できます。このテーブル ビューには、ファイル テーブルの各フィールドの列が含まれます。

このテーブルを検索する場合、検索結果は、検索対象のイベントで使用可能なデータによって決まることに留意してください。使用可能なデータによって、検索の制約が適用されないことがあります。たとえば、ダイナミック分析のためにファイルが送信されていない場合は、関連する脅威スコアがない可能性があります。