イベントの検索
Firepower システムでは、データベース テーブルにイベントとして保存される情報が生成されます。イベントには、アプライアンスがイベントを生成する原因となったアクティビティを示すいくつかのフィールドが含まれます。ご使用の環境用にカスタマイズされた、さまざまなイベント タイプの検索を作成および保存し、後で再使用するために保存できます。
検索設定を保存するときには、その検索設定の名前を付け、それを自分だけで使用するか、それともアプライアンスの全ユーザが使用できるようにするかを指定します。カスタム ユーザ ロールのデータの制限として検索を使用する場合は、必ずプライベート検索として保存する必要があります。以前に検索設定を保存した場合、それをロードし、必要に応じて修正して、検索を開始することができます。カスタム分析のダッシュボード ウィジェット、レポート テンプレート、カスタム ユーザ ロールも、保存した検索を使用できます。保存済みの検索設定がある場合、[検索(Search)] ページからそれらを削除できます。
いくつかのイベント タイプに関しては、Firepower システムに備わっている定義済みの検索設定をサンプルとして使用すると、ネットワークについての重要な情報にすばやくアクセスできます。ネットワーク環境に合わせて定義済み検索設定のフィールドを変更し、検索設定を保存して、後で再利用することができます。
検索の種類に応じて、使用できる検索条件は異なりますが、メカニズムは同じです。検索により、すべてのフィールドに対して指定した検索条件と一致するレコードのみが返されます。
(注) |
カスタム テーブルの検索には、若干異なる手順が必要です。 |
検索の制約
データベース テーブルごとに、検索を制約する値を入力できる独自の検索ページがあります。入力した値は、そのテーブルに定義されているフィールドに適用されます。フィールドのタイプによっては、特殊なシンタックスを使用して、ワイルドカード文字や数値の範囲などの基準を指定できます。
検索結果はワークフロー ページに表示され、カラム式レイアウトでテーブルの各フィールドが示されます。一部のデータベース テーブルは、ワークフロー ページにカラムとして表示されないフィールドを使用した検索も行えます。ワークフロー ページで結果を確認する際に、該当する制約が検索結果に適用されているかどうかを判別するには、展開アイコン()をクリックして、検索に現在有効になっている制約を表示します。
一般的な検索の制約
イベントを検索するときは、次の一般的な注意事項を順守してください。
-
すべてのフィールドで否定(
!
)を使用できます。 -
すべてのフィールドで検索値のカンマ区切りリストを使用できます。指定したフィールドにリストされた値のいずれかを含むレコードは、その検索条件に一致します。
-
すべてのフィールドで、引用符で囲んだカンマ区切りリストを検索値として使用できます。
-
値を 1 つのみ含むことができるフィールドの場合、検索条件に一致するのは、指定したフィールドに引用符内の文字列と同じ文字列が含まれるレコードです。たとえば、
A, B, "C, D, E"
を検索すると、指定したフィールドに「A
」または「B
」または「C, D, E
」を含むレコードが一致します。これにより、使用できる値にカンマを含むフィールドでの一致が可能です。 -
同時に複数の値を含むことができるフィールドの場合、引用符で囲んだカンマ区切りリスト内のすべての値が指定したフィールドに含まれるレコードが検索条件に一致します。
-
同時に複数の値を含むことができるフィールドについては、引用符で囲んだカンマ区切りリストだけでなく、単一の値も検索条件に使用することができます。たとえば、
A, B, "C, D, E"
をこれらの文字の 1 つまたは複数を含むことができるフィールドで検索すると、指定したフィールドにA
またはB
、またはC
、D
、E
のすべてを含むレコードが一致します。
-
-
フィールドでその情報を利用できないイベントを示すには、そのフィールドで
n/a
を指定します。フィールドに情報が入力されているイベントを示すには!n/a
を使用します。 -
多くの数値フィールドの前には、より大きい(
>
)、以上(>=
)、より小さい(<)、以下(<=
)、等しい(=
)または等しくない(<>
)の演算子を付けることができます。
ヒント |
長い複雑な値を(SHA-256 ハッシュ値など)を含むフィールドを検索する場合は、ソース資料から検索基準値をコピーし、検索ページの適切なフィールドに貼り付けることができます。 |
検索で使用するワイルドカードと記号
検索ページの多くのテキスト フィールドでは、文字列内の文字に一致させるために、アスタリスク(*)を使用することができます。たとえば net*
と指定すると、network
、netware
、netscape
などに一致します。
英数字以外の文字(アスタリスク文字を含む)を検索するには、検索文字列を引用符で囲みます。たとえば、次の文字列を検索するとします。
Find an asterisk (*)
この場合は、次のように入力します。
"Find an asterisk (*)"
ワイルドカードを使用できるテキスト フィールドで、文字列の部分一致を検索するには、ワイルドカードを使用する必要があります。
たとえば、ページ ビューを含む(つまりメッセージが「Page View」である)すべての監査レコードを監査ログ内で検索する場合、「Page
」を検索しても結果は返されません。代わりに、「Page*
」と指定してください。
一部のフィールドでは、アスタリスクを使用せずにフィールドの内容をすべてまたは一部検索することができます。完全一致の場合は、検索文字列を引用符で囲む必要があります。引用符で囲まなかった場合は、部分一致が実行されます。たとえば、フィールド検索で、引用符を使用せずに
Scan Completed with Detection
という文字列を検索すると、該当フィールドに次の文字列が含まれているレコードと、該当フィールドが検索文字列と完全に一致するレコードが返されます。
Scan Completed, No Detections
Scan completed With Detections
検索でのオブジェクトとアプリケーションのフィルタ
Firepower システムでは、ネットワーク構成の一部として使用可能な名前付きオブジェクト、オブジェクト グループ、およびアプリケーション フィルタを作成できます。検索を実行または保存するときには、検索条件としてこれらのオブジェクト、グループ、およびフィルタを使用できます。
検索を実行するときに、オブジェクト、オブジェクト グループ、およびアプリケーション フィルタは ${object_name}
という形式で表示されます。たとえば、オブジェクト名 ten_ten_network
であるネットワーク オブジェクトは、検索では ${ten_ten_network}
と表されます。
検索基準としてオブジェクトを使用できる検索フィールドの横にはオブジェクト追加アイコン()が表示され、これをクリックすることができます。
検索で指定する時間制約
時間値を指定できる検索条件フィールドで使用可能な形式を、次の表に示します。
時間の形式 |
例 |
---|---|
|
|
|
|
時間値の前に、以下のいずれか 1 つの演算子を指定できます。
演算子 |
例 |
説明 |
---|---|---|
|
|
2006 年 3 月 22 日午後 2:23 より前のタイムスタンプを持つイベントを返します。 |
|
|
今日の午後 2 時 45 分より後のタイムスタンプを持つイベントを返します。 |
検索での IP アドレス
検索で IP アドレスを指定するときには、個別の IP アドレス、複数アドレスのカンマ区切りリスト、アドレス ブロック、またはハイフン(-)で区切った IP アドレス範囲を入力することができます。また、否定を使用することもできます。
IPv6 をサポートする検索(侵入イベント、接続データ、相関イベントの検索など)では、IPv4 アドレス、IPv6 アドレス、および CIDR/プレフィックス長アドレス ブロックを任意に組み合わせて入力できます。IP アドレスを使用してホストを検索した場合、結果には、少なくとも 1 つの IP アドレスが検索条件と一致するホストがすべて含まれます(つまり、IPv6 のアドレスの検索では、プライマリ アドレスが IPv4 であるホストが返されることがあります)。
CIDR またはプレフィックス長の表記を使用して IP アドレスのブロックを指定する場合、Firepower システムは、マスクまたはプレフィックス長で指定されたネットワーク IP アドレスの部分のみを使用します。たとえば 10.1.2.3/8
と入力すると、Firepower システムは 10.0.0.0/8
を使用します。
IP アドレスをネットワーク オブジェクトによって表すことができるため、IP アドレス検索フィールドの横にあるネットワーク オブジェクト追加アイコン()をクリックして、ネットワーク オブジェクトを IP アドレス検索基準として使用することもできます。
指定する項目 |
タイプ |
例 |
---|---|---|
単一の IP アドレス |
その IP アドレス。 |
|
リストを使用した複数の IP アドレス |
IP アドレスからなるカンマ区切りリスト。カンマの前後にスペースを追加しないでください。 |
|
CIDR ブロックまたはプレフィックス長で指定できる IP アドレスの範囲 |
IPv4 CIDR または IPv6 プレフィクス長表記の IP アドレス ブロック。 |
これは、サブネット マスク 255.255.255.0 である 192.168.1.0 ネットワーク内の任意の IP を指定します(つまり 192.168.1.0 から 192.168.1.255 まで)。 |
CIDR ブロックやプレフィクスで指定できない IP アドレスの範囲 |
ハイフンを使用した IP アドレス範囲。ハイフンの前後にスペースを入力しないでください。 |
|
他の方法で否定を使用して IP アドレスまたは IP アドレス範囲を指定 |
IP アドレス、ブロック、または範囲の先頭に感嘆符を付ける。 |
|
検索での管理対象デバイス
管理対象デバイスを制約として使用して検索を作成する場合、[デバイス(Device)] 検索条件フィールドに次のいずれかを指定できます。
-
管理対象デバイス名、IP アドレス、またはホスト名
-
デバイス グループ名
-
デバイス スタック名
-
7000 または 8000 シリーズ デバイス高可用性ペアの名前
システムでグループ、デバイス高可用性ペア、またはスタックの一致が検出されると、検索を実行するために、そのグループ名、デバイス高可用性ペア名、またはスタック名が適切なメンバー デバイス名に置き換えられます。デバイス フィールドのデバイス グループ、デバイス高可用性ペア、またはスタックを使用する検索を保存すると、デバイス フィールドで指定した名前がシステムによって保存され、検索が実行されるたびにデバイス名の置換が再度実行されます。
検索でのポート
Firepower System では、検索においてポート番号の特定の構文に対応しています。次の入力が可能です。
-
1 つのポート番号
-
コンマで区切られたポート番号リスト
-
ポート番号範囲を示すのにダッシュで区切られた 2 つのポート番号
-
1 つのポート番号の後に、スラッシュで区切られたプロトコル省略形(侵入イベントを検索する場合のみ)
-
1 つのポート番号またはポート番号範囲の前に 1 つの感嘆符(指定されたポートの否定を表す)
(注) |
ポート番号や範囲を指定するときには、スペースを使用しないでください。 |
例 |
説明 |
---|---|
|
ポート 21 でのすべてのイベントを返します(TCP および UDP イベントを含む)。 |
|
ポート 23 上のイベントを除くすべてのイベントを返します。 |
|
ポート 25 の TCP 関連侵入イベントをすべて戻します。 |
|
ポート 21、25 の TCP 関連侵入イベントをすべて戻します。 |
|
ポート 21 から 25 のイベントをすべて戻します。 |
検索のイベント フィールド
検索の実行
スマート ライセンス | 従来のライセンス | サポートされるデバイス | サポートされるドメイン | アクセス |
---|---|---|---|---|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Any Security Analyst |
手順
ステップ 1 |
を選択します。 任意のワークフローのページで [検索の編集(Edit Search)] をクリックすることもできます。 |
ステップ 2 |
検索ページの左側にあるドロップダウン リストから、検索するイベントやデータのタイプを選択します。 |
ステップ 3 |
該当するフィールドに検索条件を入力します。検索の制約を参照してください。 |
ステップ 4 |
(オプション)後で同じ検索を実行する場合は、検索設定の保存の説明に従い、検索を保存します。 |
ステップ 5 |
[検索(Search)] をクリックします。 |
次のタスク
ワークフローを使用して検索結果を分析する場合は、ワークフローの使用を参照してください。
検索設定の保存
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Any Security Analyst |
マルチドメイン展開では、現在のドメインで作成された保存済みの検索が表示されます。これは編集できます。先祖ドメインで作成された保存済みの検索も表示されますが、これは編集できません。下位のドメインで作成された検索を表示および編集するには、そのドメインに切り替えます。
始める前に
-
検索の実行で説明するように検索条件を設定するか、保存済み検索設定のロードで説明するように保存した検索をロードします。
手順
ステップ 1 |
[検索(Search)] ページから、自分だけがアクセスできるように検索設定をプライベートとして保存する場合は、[プライベート(Private)] チェックボックスをオンにします。
|
||
ステップ 2 |
次の 2 つの対処法があります。
|
保存済み検索設定のロード
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス |
---|---|---|---|---|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Any Security Analyst |
マルチドメイン展開では、現在のドメインで作成された保存済みの検索が表示されます。これは編集できます。先祖ドメインで作成された保存済みの検索も表示されますが、これは編集できません。下位のドメインで作成された検索を表示および編集するには、そのドメインに切り替えます。
手順
ステップ 1 |
を選択します。
|
||
ステップ 2 |
テーブルのドロップダウンリストから、検索するイベントまたはデータのタイプを選択します。 |
||
ステップ 3 |
[カスタム検索(Custom Searches)] リストまたは [定義済の検索(Predefined Searches)] リストから、ロードする検索を選択します。 |
||
ステップ 4 |
別の検索条件を使用するには、検索の制約を変更します。 |
||
ステップ 5 |
変更した検索を将来再度使用する場合は、検索を保存しておきます。詳細については、検索設定の保存を参照してください。 |
||
ステップ 6 |
[検索(Search)] をクリックします。 |