Firepower Management Center を使用して、システムで検出されたホストのテーブル、およびそのホスト属性を表示することができます。その後、探している情報に応じて表示方法を操作できます。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

ユーザがホスト属性にアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義のワークフロー（検出されたすべてのホスト、およびそのホストの属性が記載されているホスト属性のテーブル ビューが含まれており、ホスト ビュー ページで終了するワークフロー）を使用することができます。このワークフローには、制約を満たすすべてのホストについて 1 つのホスト プロファイルが含まれています。

また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。

ホスト属性テーブルには、MAC アドレスでのみ識別されるホストは表示されないことに注意してください。

ホスト属性テーブルで表示および検索できるフィールドの説明が続きます。

[IPアドレス（IP Address）]

ホストに関連付けられている IP アドレス。

現在のユーザ（Current User）

ホストに現在ログインしているユーザの ID（ユーザ名）。

権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることができます。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。

ホストの重要度（Host Criticality）

ユーザが割り当てた、企業にとってのホストの重要度。ホストの重要度を相関ルールおよびポリシーで使用して、イベントに関するホストの重要度に対して、ポリシー違反および違反の応答を作成することができます。ホストの重要度に [低（Low）]、[中（Medium）]、[高（High）]、または [なし（None）] を割り当てることができます。

注記（Notes）

他のアナリストに提示する、ホストに関する情報。

コンプライアンス ホワイトリストの属性を含む、ユーザ定義のホスト属性（Any user-defined host attribute, including those for compliance white lists）

ユーザ定義のホスト属性の値。ホスト属性テーブルには、ユーザ定義のそれぞれのホスト属性のフィールドが含まれています。

ドメイン

ホストに関連付けられているドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

メンバー数（Count）

各行に表示される情報と一致するイベントの数。[カウント（Count）] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。

ホスト ワークフローから、事前定義済のホスト属性とユーザ定義のホスト属性を設定できます。

Firepower Management Center を使用して、侵害の兆候（IOC）を示すテーブルを表示できます。検索する情報に応じてイベント ビューを操作します。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

表示されるページは、使用するワークフローによって異なります。事前定義の IOC ワークフローはプロファイル ビューで終了しますが、これには、制約を満たすすべてのホストまたはユーザのホスト プロファイルまたはユーザ プロファイルが含まれています。また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。

以下は、の IOC（侵害の兆候）テーブル内のフィールドです。すべての IOC 関連のテーブルにすべてのフィールドが含まれているわけではありません。

IP アドレス（IP Address）

IOC をトリガーとして使用したホストに関連付けられている IP アドレス。

カテゴリ（Category）

[マルウェアが実行されました（Malware Executed）] や [影響 1 の攻撃（Impact 1 Attack）] など、示された侵害のタイプの簡単な説明。

イベント タイプ（Event Type）

特定の IOC に関連付けられている識別子で、トリガーとして使用したイベントを参照します。

説明

侵害される可能性のあるホストへの影響の説明（[このホストはリモート制御下にある可能性があります（This host may be under remote control）] や [このホスト上でマルウェアが実行されました（Malware has been executed on this host）] など）。

最初の確認日時/最新の確認日時（First Seen/Last Seen）

IOC をトリガーとして使用したイベントが発生した最初（または最新）の日付と時刻。

ドメイン（Domain）

IOC をトリガーとして使用したホストのドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

ネットワーク検出ポリシーで有効になっている場合、侵害の兆候ルールは監視対象ネットワーク内のすべてのホストに適用されます。個々のホストのルールを無効にして、無用な IOC タグを回避できます（たとえば、DNS サーバに対する IOC タグが表示されないようにできます）。適用可能なネットワーク検出ポリシーでルールを無効にすると、特定のホストに対して有効にすることができません。

ホスト プロファイルの [侵害の兆候（Indications of Compromise）] セクションを使用して、IOC タグをトリガーしたイベントにすばやく移動することができます。これらのイベントを分析すると、侵害される脅威に対処するのに必要なアクション、およびアクションが必要かどうかを判断するための情報が提供されます。

IOC タグのタイムスタンプの隣の表示アイコン（）をクリックすると、関連するイベント タイプのイベントのテーブル ビューにナビゲートします。ここでは、IOC タグをトリガーとして使用したイベントのみが表示されます。

侵害の兆候（IOC）タグで示された脅威が分析および対処された後、または IOC タグが誤検出を示していると判断した場合、イベントに解決済みのマークを付けることができます。イベントに解決済みのマークを付けると、そのイベントはホスト プロファイルから削除されます。プロファイル上のアクティブな IOC タグがすべて解決されると、侵害されたホスト アイコン（）は表示されなくなります。解決した IOC についても、IOC のトリガー元であるイベントは引き続き表示できます。

IOC タグをトリガーしたイベントが繰り返された場合、ホストに対する IOC ルールが無効にされていない限り、このタグが再び設定されます。

Firepower Management Center を使用して、検出されたサーバのテーブルを表示できます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

ユーザがサーバにアクセスしたときに表示されるページは、使用するワークフローによって異なります。事前定義されたすべてのワークフローはホスト ビューで終了しますが、このホスト ビューには、制約を満たすすべてのホストに対して 1 つずつホスト プロファイルが含まれています。また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。

サーバ テーブルで表示および検索できるフィールドの説明は次のとおりです。

前回の使用（Last Used）

ネットワーク上でサーバが最後に使用された日付と時間、またはホスト入力機能を使用してサーバが最初に更新された日付と時間。[前回の使用（Last Used）] の値は、システムがサーバ情報の更新を検出したときだけでなく、少なくともユーザがネットワーク検出ポリシーに設定した更新間隔の頻度で更新されます。

[IPアドレス（IP Address）]

サーバを実行しているホストに関連付けられている IP アドレス。

[ポート（Port）]

サーバが稼動しているポート。

プロトコル

サーバが使用するネットワークまたはトランスポート プロトコル。

アプリケーション プロトコル（Application Protocol）

次のいずれかです。

• サーバのアプリケーション プロトコルの名前

• pending：システムで、いずれかの理由でサーバをポジティブまたはネガティブに識別できない場合

• unknown：既知のサーバ フィンガープリントに基づいてシステムでサーバを識別できない場合、またはホストの入力を介してサーバが追加され、アプリケーション プロトコルが含まれていなかった場合

アプリケーション プロトコルのカテゴリ、タグ、リスク、またはビジネスとの関連性（Category, Tags, Risk, or Business Relevance for Application Protocols）

アプリケーション プロトコルに割り当てられているカテゴリ、タグ、リスク レベル、およびビジネスとの関連性。これらのフィルタを使用して、特定のデータ セットを対象にすることができます。

ベンダー（Vendor）

次のいずれかです。

• サーバのベンダー：システム、Nmap、その他のアクティブなソースで識別された、またはホスト入力機能を使用して指定されたサーバのベンダー

• 空白：システムが既知のサーバ フィンガープリントに基づいてベンダーを識別できなかった場合、または NetFlow データを使用してサーバがネットワーク マップに追加された場合

バージョン（Version）

次のいずれかです。

• サーバのバージョン：システム、Nmap、その他のアクティブなソースで識別された、またはホスト入力機能を使用して指定されたサーバのバージョン

• 空白：システムが既知のサーバ フィンガープリントに基づいてバージョンを識別できなかった場合、または NetFlow データを使用してサーバがネットワーク マップに追加された場合

Web アプリケーション（Web Application）

HTTP トラフィックでシステムが検出したペイロード コンテンツに基づいた Web アプリケーション。システムが HTTP のアプリケーション プロトコルを検出したものの、特定の Web アプリケーションを検出できない場合は、一般的な Web ブラウジングの指定が提示されるので注意してください。

Web アプリケーションのカテゴリ、タグ、リスク、またはビジネスとの関連性（Category, Tags, Risk, or Business Relevance for Web Applications）

Web アプリケーションに割り当てられているカテゴリ、タグ、リスク レベル、およびビジネスとの関連性。これらのフィルタを使用して、特定のデータ セットを対象にすることができます。

ヒット数（Hits）

サーバがアクセスされた回数。ホスト入力機能を使用して追加されたサーバの場合、この値は必ず 0 になります。

ソース タイプ（Source Type）

次の値のいずれかを指定します。

• [ユーザ（User）]：user_name

• [アプリケーション（Application）]：app_name

• スキャナ：scanner_type（ネットワーク検出の設定を介して追加された Nmap またはスキャナ）

• Firepower システムによって検出されたサーバの Firepower、Firepower Port Match、または Firepower Pattern Match

• NetFlow データを使用して追加されたサーバの NetFlow

ドメイン

サーバを実行しているホストのドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

Device

トラフィックを検出した管理対象デバイスか、NetFlow またはホスト入力データを処理したデバイスのいずれか。

現在のユーザ（Current User）

ホストに現在ログインしているユーザの ID（ユーザ名）。

権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されます。権限のあるユーザがそのホストに関連付けられていない場合、権限のないユーザがそのホストの現行（現在の）ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。

メンバー数（Count）

各行に表示される情報と一致するイベントの数。このフィールドが表示されるのは、2 つ以上の同一の行を作成する制限を適用した後のみです。

Firepower Management Center を使用して、検出されたアプリケーションのテーブルを表示できます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

ユーザがアプリケーションにアクセスするときに表示されるページは、使用するワークフローによって異なります。また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。

システムは、既知のクライアント、アプリケーション プロトコル、または Web アプリケーションについてトラフィックを検出すると、アプリケーションおよびそのアプリケーションを実行しているホストに関する情報をログに記録します。

次に、アプリケーション テーブルで表示および検索できるフィールドについて説明します。

Application

検出されたアプリケーションの名前。

[IPアドレス（IP Address）]

アプリケーションを使用しているホストに関連付けられている IP アドレス。

タイプ（Type）

アプリケーションのタイプであり、次のものがあります。

アプリケーション プロトコル（Application Protocols）

ホスト間の通信を意味します。

クライアント アプリケーション

ホスト上で動作しているソフトウェアを意味します。

Web アプリケーション（Web Applications）

HTTP トラフィックの内容や要求された URL を意味します。

カテゴリ（Category）

アプリケーションの最も不可欠な機能を表す一般的な分類。各アプリケーションは、少なくとも 1 つのカテゴリに属します。

タグ

アプリケーションに関する追加情報。アプリケーションには任意の数のタグを付けることができます（タグなしも可能）。

リスク（Risk）

アプリケーションが組織のセキュリティ ポリシーに違反することがある目的で使用される可能性。アプリケーションのリスクの範囲は、[極めて低（Very Low）] から [極めて高（Very High）] までです。

侵入イベントをトリガーしたトラフィックで検出される Application Protocol Risk、Client Risk、Web Application Risk の 3 つ（存在する場合）の中で最も高いものとなります。

ビジネスとの関連性（Business Relevance）

アプリケーションが、娯楽目的ではなく、組織のビジネス活動の範囲内で使用される可能性。アプリケーションのビジネスとの関連性の範囲は、[極めて低（Very Low）] から [極めて高（Very High）] までです。

侵入イベントをトリガーしたトラフィックで検出される Application Protocol Business Relevance、Client Business Relevance、Web Application Business Relevance の 3 つ（存在する場合）の中で最も低いものとなります。

現在のユーザ（Current User）

ホストに現在ログインしているユーザの ID（ユーザ名）。

権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることができます。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。

ドメイン

アプリケーションを使用しているホストのドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

メンバー数（Count）

各行に表示される情報と一致するイベントの数。[カウント（Count）] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。

Firepower Management Center を使用して、検出されたアプリケーションの詳細テーブルを表示できます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

ユーザがアプリケーションの詳細にアクセスするときに表示されるページは、使用するワークフローによって異なります。2 つの事前定義されたワークフローがあります。また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。

システムは、既知のクライアント、アプリケーション プロトコル、または Web アプリケーションについてトラフィックを検出すると、アプリケーションおよびそのアプリケーションを実行しているホストに関する情報をログに記録します。

次に、アプリケーションの詳細テーブルで表示および検索できるフィールドについて説明します。

前回の使用（Last Used）

アプリケーションが前回使用された時間、またはホスト入力機能を使用してアプリケーション データが更新された時間。[前回の使用（Last Used）] の値は、システムがアプリケーション情報の更新を検出したときだけでなく、少なくともユーザがネットワーク検出ポリシーに設定した更新間隔の頻度で更新されます。

[IPアドレス（IP Address）]

アプリケーションを使用しているホストに関連付けられている IP アドレス。

クライアント（Client）

アプリケーションの名前。ただし、システムがアプリケーション プロトコルを検出したにも関わらず特定のクライアントを検出できなかった場合は、アプリケーション プロトコル名に client が付加されて一般名が表示されます。

バージョン（Version）

アプリケーションのバージョン。

クライアント、アプリケーション プロトコル、および Web アプリケーションのカテゴリ、タグ、リスク、またはビジネスとの関係性（Category, Tags, Risk, or Business Relevance for Clients, Application Protocols, and Web Applications）

アプリケーションに割り当てられているカテゴリ、タグ、リスク レベル、およびビジネスとの関連性。これらのフィルタを使用して、特定のデータ セットを対象にすることができます。

アプリケーション プロトコル（Application Protocol）

アプリケーションで使用されるアプリケーション プロトコル。ただし、システムがアプリケーション プロトコルを検出したにも関わらず特定のクライアントを検出できなかった場合は、アプリケーション プロトコル名に client が付加されて一般名が表示されます。

Web アプリケーション（Web Application）

HTTP トラフィックでシステムが検出したペイロード コンテンツまたは URL に基づく Web アプリケーション。ただし、HTTP のアプリケーション プロトコルが検出されたにも関わらず特定の Web アプリケーションを検出できない場合、ここには、標準の Web 閲覧先が表示されます。

ヒット数（Hits）

システムが使用中のアプリケーションを検出した回数。ホスト入力機能を使用して追加されたアプリケーションの場合、この値は常に 0 になります。

ドメイン

アプリケーションを使用しているホストのドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

Device

アプリケーションの詳細が含まれている検出イベントを生成したデバイス。

現在のユーザ（Current User）

ホストに現在ログインしているユーザの ID（ユーザ名）。

権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることができます。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。

メンバー数（Count）

各行に表示される情報と一致するイベントの数。[カウント（Count）] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。

以下に説明する脆弱性データのフィールドは、脆弱性のテーブル ビューと脆弱性の詳細表示で次のように表示されます。

その他の情報

既知の不正利用や可用性、不正利用のシナリオ、脆弱性を軽減する方針など、脆弱性に関する追加情報を（利用可能な場合に）表示するには、矢印をクリックします。

使用可能なエクスプロイト（Available Exploits）

脆弱性に対して既知の不正利用があるかどうかを示します（TRUE/FALSE）。

Bugtraq ID

Bugtraq データベースにおいて脆弱性に関連付けられている識別番号。（http:/​/​www.securityfocus.com/​bid/​）

メンバー数（Count）

各行に表示される情報と一致するイベントの数。[カウント（Count）] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。

CVE ID

MITRE の Common Vulnerabilities and Exposures（CVE）データベースで、脆弱性に関連付けられている識別番号（http:/​/​www.cve.mitre.org/​）。

発行日（Date Published）

脆弱性が公開された日付。

説明

脆弱性についての簡単な説明。

修正（Fixes）

選択した脆弱性に対して、ダウンロード可能なパッチへのリンクを提供します。

ヒント	修正ファイルまたはパッチのダウンロードに対する直接リンクが表示されている場合は、リンクを右クリックして、自分のローカル コンピュータへ保存します。

影響修飾子（Impact Qualification）

ドロップダウン リストを使用して、脆弱性を有効または無効にします。Firepower Management Center は、影響の相関関係において、無効な脆弱性を無視します。

ユーザがここで指定する設定によって、システム全体で脆弱性がどのように処理されるか、およびユーザが値を選択するホスト プロファイルに脆弱性が限定されないかが決まります。

[リモート（Remote）]

脆弱性がリモートで不正利用されるかどうかを示します（TRUE/FALSE）。

Snort ID

Snort ID（SID）データベースにおいて脆弱性に関連付けられている識別番号。つまり、侵入ルールで特定の脆弱性を悪用するネットワーク トラフィックを検出できる場合、その脆弱性は、侵入ルールの SID に関連付けられます。

脆弱性は複数の SID に関連付けることが可能（または SID に関連付けないことも可能）であることに注意してください。脆弱性が複数の SID に関連付けられている場合、脆弱性テーブルには、各 SID に対して 1 つのローが含まれています。

ソリューション

脆弱性の修復に関する情報。

SVID

脆弱性を追跡するためにシステムで使用する Cisco の脆弱性識別番号。

SVID について脆弱性の詳細にアクセスするには、表示アイコン（）をクリックします。

技術的説明（Technical Description）

脆弱性に関する詳細な技術的説明。

役職（Title）

脆弱性のタイトル。

脆弱性の影響（Vulnerability Impact）

Bugtraq データベースにおいて脆弱性に割り当てられている重大度を示します。0 ～ 10 の値で、10 が最も重大です。脆弱性の影響は、Bugtraq エントリの作成者によって決定されます。この作成者は、自身の判断および SANS Critical Vulnerability Analysis（CVA）の基準に従って脆弱性の影響を決定します。

Firepower Management Center を使用して、脆弱性のテーブルを表示できます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。

脆弱性にアクセスするときに表示されるページは、使用するワークフローによって異なります。ユーザは事前定義のワークフローを使用できますが、これには脆弱性のテーブル ビューが含まれています。検出されたいずれかのホストが脆弱性を示しているかどうかに関係なく、テーブル ビューにはデータベース内の各脆弱性に対して 1 つのローが含まれています。事前定義のワークフローの 2 ページ目には、ネットワーク上で検出されたホストに適用されるそれぞれの脆弱性（まだユーザが非アクティブにしていないもの）に対して 1 つの行が含まれています。事前定義のワークフローは脆弱性の詳細ビューで終了しますが、このビューには、制約を満たすすべての脆弱性について詳細な説明が含まれています。

ヒント	単一のホストまたはホストのセットに適用される脆弱性を表示する場合は、ホストの IP アドレスまたは IP アドレスの範囲を指定して、脆弱性の検索を実行します。

また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。

脆弱性のテーブルは、マルチドメイン展開のドメインによって制限されません。

IP アドレスで制約されていない脆弱性ワークフロー内で脆弱性を非アクティブにすると、ネットワーク上で検出されたすべてのホストに対する脆弱性が非アクティブ化されます。

マルチドメイン導入では、先祖ドメインで脆弱性を非アクティブ化すると、すべての子孫ドメインでも脆弱性が非アクティブ化されます。リーフ ドメインは、先祖ドメインで脆弱性がアクティブ化されていれば、自分のデバイスの脆弱性をアクティブ化または非アクティブ化できます。

ホスト入力機能を使用してサードパーティの脆弱性データをインポートした後で、Firepower Management Center を使用してサードパーティの脆弱性のテーブルを表示することができます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

サードパーティの脆弱性にアクセスするときに表示されるページは、使用するワークフローによって異なります。2 つの事前定義されたワークフローがあります。また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。

サードパーティの脆弱性テーブルで表示および検索できるフィールドの詳細は以下のとおりです。

脆弱性ソース（Vulnerability Source）

サードパーティの脆弱性のソース（QualysGuard、NeXpose など）。

脆弱性 ID（Vulnerability ID）

ソースの脆弱性に関連付けられている ID 番号。

[IPアドレス（IP Address）]

脆弱性の影響を受けるホストに関連付けられている IP アドレス。

[ポート（Port）]

ポート番号（脆弱性が、特定のポート上で実行されているサーバに関連付けられている場合）。

Bugtraq ID

Bugtraq データベースにおいて脆弱性に関連付けられている識別番号。（http:/​/​www.securityfocus.com/​bid/​）

CVE ID

MITRE の Common Vulnerabilities and Exposures（CVE）データベースで、脆弱性に関連付けられている識別番号（http:/​/​www.cve.mitre.org/​）。

SVID

脆弱性を追跡するためにシステムで使用する従来の脆弱性識別番号。

SVID について脆弱性の詳細にアクセスするには、表示アイコン（）をクリックします。

Snort ID

Snort ID（SID）データベースにおいて脆弱性に関連付けられている識別番号。つまり、侵入ルールで特定の脆弱性を悪用するネットワーク トラフィックを検出できる場合、その脆弱性は、侵入ルールの SID に関連付けられます。

脆弱性は複数の SID に関連付けることが可能（または SID に関連付けないことも可能）であることに注意してください。脆弱性が複数の SID に関連付けられている場合、脆弱性テーブルには、各 SID に対して 1 つのローが含まれています。

役職（Title）

脆弱性のタイトル。

説明

脆弱性についての簡単な説明。

ドメイン

この脆弱性を持つホストのドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

メンバー数（Count）

各行に表示される情報と一致するイベントの数。[カウント（Count）] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。

ユーザ関連データは、ユーザおよびユーザ アクティビティのテーブルに表示されます。

アイデンティティ ソースが、データベースに存在しないユーザのユーザ ログインを報告した場合、そのログイン タイプが特に制限されていない限り、そのユーザはデータベースに追加されます。

次のいずれかが発生すると、システムはユーザ データベースを更新します。

• Firepower Management Center のユーザが、[ユーザ（Users）] テーブルから権限のないユーザを手動で削除する。

• アイデンティティ ソースが、そのユーザによるログオフを報告する。

• レルムがレルムの [ユーザ セッションのタイムアウト：認証されたユーザ（User Session Timeout: Authenticated Users）] 設定、[ユーザ セッションのタイムアウト：認証に失敗したユーザ（User Session Timeout: Failed Authentication Users）] 設定、または [ユーザ セッションのタイムアウト：ゲスト ユーザ（User Session Timeout: Guest Users）] 設定で指定されているユーザ セッションを終了した。

（注）	ISE が設定されている場合は、ユーザ テーブルにホスト データが表示されることがあります。ISE によるホスト検出は完全にはサポートされていないため、ISE が報告したホスト データを使用してユーザ制御を実行することはできません。

システムによって検出されたユーザ ログインのタイプに応じて、新しいユーザのどの情報が保存されるかが決まります。

ユーザを自動的にダウンロードするようにレルムを設定すると、Firepower Management Center は指定した間隔に基づいてサーバに対するクエリを実行します。システムが新しいユーザのログインを検出してから、Firepower Management Center データベースがユーザのメタデータを更新するまでに、5～10 分かかることがあります。Firepower Management Centerは、ユーザごとに次の情報とメタデータを取得します。

• ユーザ名

• 姓と名

• 電子メール アドレス

• 部署

• 電話番号

• 現行の IP アドレス

• セキュリティ グループ タグ（SGT）（使用可能な場合）

• エンドポイントのプロファイル（使用可能な場合）

• エンドポイントの場所（使用可能な場合）

Firepower Management Center がデータベースに格納できるユーザの数は、Firepower Management Center のモデルによって異なります。ホストに対して権限を持たないユーザがログインしていることが検出された場合、そのログインはユーザおよびホストの履歴に記録されます。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることができます。ただし、ホストに対して権限を持つユーザのログインが検出された後は、権限を持つ別のユーザがログインした場合にのみ、現行ユーザが変わります。

AIM、Oracle、および SIP のログインがトラフィックベースで検出された場合は、システムが LDAP サーバから取得したどのユーザ メタデータにも関連付けられないため、これらのログインにより重複したユーザ レコードが作成されることに注意してください。これらのプロトコルから重複したユーザ レコードを取得することに起因するユーザ カウントの過度な使用を回避するには、これらのプロトコルを無視するようにトラフィックベースの検出を設定します。

データベースからユーザを検索、表示、削除することができます。また、データベースからすべてのユーザを消去することもできます。

一般的なユーザ関連のイベント トラブルシューティングについては、レルムとユーザのダウンロードのトラブルシューティング を参照してください。

新しいユーザのアイデンティティ（New User Identity）

このタイプのイベントは、システムがデータベースに存在しない不明なユーザによるログインを検出したときに生成されます。

あるユーザがネットワーク上で初めて確認されると、システムはそのユーザ アクティビティ イベントをログに記録します。そのユーザがその後に確認された場合、新しいユーザ アクティビティ イベントはログに記録されません。ただし、そのユーザの IP アドレスが変わった場合、システムは新しいユーザ アクティビティ イベントをログに記録します。

ユーザ ログイン（User Login）

このタイプのイベントは、次のことが発生した後に生成されます。

• ユーザ エージェントまたは ISE が正常なユーザ ログインを報告した。

• キャプティブ ポータルのユーザ認証の実行が成功または失敗した。

• トラフィック ベースの検出がユーザ ログインの成功または失敗を検出した。

（注）	トラフィック ベースの検出で検出された SMTP ログインは、一致する電子メール アドレスを持つユーザがデータベースにすでに存在する場合を除いて記録されません。

権限のないユーザがあるホストにログインすると、そのログインはユーザとホストの履歴に記録されます。権限のあるユーザがそのホストに関連付けられていない場合、権限のないユーザがそのホストの現行（現在の）ユーザとなることが可能です。ただし、権限のあるユーザがそのホストにログインした後は、別の権限のあるユーザによるログインだけが現行ユーザを変更します。

キャプティブ ポータルまたはトラフィック ベースの検出を使用する場合、失敗したユーザ ログインと失敗したユーザ認証データについて、次の点に注意してください。

• トラフィック ベースの検出（LDAP、IMAP、FTP、および POP3 トラフィック）から報告された失敗したログインは、ユーザ アクティビティのテーブル ビューに表示されますが、ユーザのテーブル ビューには表示されません。既知のユーザがログインに失敗した場合、システムではそのユーザをそのユーザ名で識別します。不明なユーザがログインに失敗した場合、システムではそのユーザ名として [失敗した認証（Failed Authentication）] を使用します。

• キャプティブ ポータルから報告された失敗した認証は、ユーザ アクティビティのテーブル ビューとユーザのテーブル ビューの両方に表示されます。既知のユーザが認証に失敗した場合、システムではそのユーザをそのユーザ名で識別します。不明なユーザが認証に失敗した場合、システムではそのユーザをそのユーザが入力したユーザ名で識別します。

ユーザのアイデンティティの削除（Delete User Identity）

このタイプのイベントは、データベースからユーザを手動で削除したときに生成されます。

ドロップ（廃棄）されたユーザのアイデンティティ：ユーザ制限に到達（User Identity Dropped: User Limit Reached）

このタイプのイベントは、システムがデータベースに存在しないユーザを検出したものの、Firepower Management Center のモデルで決定されているデータベースの最大ユーザ数に達したためにユーザを追加できなかったときに生成されます。

ユーザ制限に達すると、ほとんどの場合、データベースへの新しいユーザの追加が停止されます。新しいユーザを追加するには、古いユーザまたは非アクティブなユーザをデータベースから手動で削除するか、データベースからすべてのユーザを消去する必要があります。

ただし、システムでは権限のあるユーザが優先されます。すでに制限に達しており、これまでに検出されていない権限のあるユーザのログインが検出された場合、システムは長期間非アクティブな状態が続いている権限のないユーザを削除して、権限のある新しいユーザに置き換えます。

一般的なユーザ関連のイベント トラブルシューティングについては、レルムとユーザのダウンロードのトラブルシューティング を参照してください。