Firepower Management Center バージョン 6.2 コンフィギュレーションガイド

検出イベントテーブル	検出データが入力されますか。	アイデンティティデータが入力されますか。
ホスト（Hosts）	○	×
ホストの侵害の兆候	○	×
アプリケーション	○	×
アプリケーション詳細（Application Details）	○	×
サーバ	○	×
ホスト属性（Host Attributes）	○	×
検出イベント（Discovery Events）	○	○
ユーザの侵害の兆候（User Indications of Compromise）	○	○
ユーザアクティビティ（User Activity）	○	○
Users	○	○
脆弱性（Vulnerabilities）	○	×
サードパーティの脆弱性（Third-Party Vulnerabilities）	○	×

スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Maint

ディスカバリおよびアイデンティティワークフローの使用


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	タスクに依存

Firepower Management Center は、ネットワークで生成されるディスカバリおよびアイデンティティデータの分析で使用できるイベントワークフローセットを提供します。ワークフローはネットワークマップとともに、ネットワーク資産に関する主要な情報源になります。

Firepower Management Center には、ディスカバリおよびアイデンティティデータ、検出されたホストとそのホストの属性、サーバ、アプリケーション、アプリケーションの詳細、脆弱性、ユーザアクティビティ、ユーザに関する事前定義されたワークフローが用意されています。ユーザはカスタムワークフローを作成することもできます。

手順

ステップ 1

事前定義されたワークフローにアクセスするには、以下を実行します。

ディスカバリとホスト入力データ：ディスカバリイベントとホスト入力イベントの表示を参照してください。
ホストデータ：ホストデータの表示を参照してください。
ホスト属性データ：ホスト属性の表示を参照してください。
ホストまたはユーザの侵害の兆候データ：侵害の兆候データの表示を参照してください。
サーバデータ：サーバデータの表示を参照してください。
アプリケーションデータ：アプリケーションデータの表示を参照してください。
アプリケーション詳細データ：アプリケーション詳細データの表示を参照してください。
ユーザデータ：ユーザデータの表示を参照してください。
ユーザアクティビティデータ：ユーザアクティビティデータの表示を参照してください。
ネットワークマップ：ネットワークマップの表示を参照してください。

ステップ 2

カスタムワークフローにアクセスするには、[分析（Analysis）] > [カスタム（Custom）] > [カスタムワークフロー（Custom Workflows）] を選択します。

ステップ 3

カスタムテーブルに基づいたワークフローにアクセスするには、[分析（Analysis）] > [カスタム（Custom）] > [カスタムテーブル（Custom Tables）] を選択します。

ステップ 4

以下のいずれかのアクションを実行します。これらは、ネットワーク検出ワークフローでアクセスするすべてのページに共通です。

カラムの制約：表示されるカラムを制約にするには、非表示にするカラムの見出しにある閉じるアイコン（）をクリックします。表示されるポップアップウィンドウで、[適用（Apply）] をクリックします。

ヒント

他のカラムを表示または非表示にするには、[適用（Apply）] をクリックする前に、該当するチェックボックスをオンまたはオフにします。無効にしたカラムをビューに戻すには、展開の矢印をクリックして検索制約を展開し、[無効にされたカラム（Disabled Columns）] の下のカラム名をクリックします。

削除：現在の制約されたビューにある一部またはすべての項目を削除するには、削除する項目の横にあるチェックボックスをオンにし、[削除（Delete）] または [すべて削除（Delete All）] をクリックします。これらのアイテムが再検出されても、システムのディスカバリ機能が再開されるまで、これらのアイテムは削除されたままになります。

注意	[分析（Analysis）] > [ユーザ（Users）] > [ユーザ（Users）] ページでセッションを削除する前に、セッションが実際に閉じられていることを確認します。アクティブなセッションを削除すると、該当するポリシーはデバイス上のセッションを検出できなくなります。そのため、モニタしたり、ブロックしたりするようポリシーが設定されていたとしても、セッションはそれらのアクションを実行しません。

（注）

サードパーティの場合とは異なり、シスコの脆弱性は削除できません。ただし、確認済みとしてマークすることはできます。

ドリルダウン：ワークフローの次のページにドリルダウンするには、ドリルダウンページの使用を参照してください。
現在のページを移動する：現在のワークフローページ内を移動するには、ワークフローページのナビゲーションツールを参照してください。
ワークフロー内で移動する：現在の制約を維持しながら現在のワークフローのページ間で移動するには、ワークフローページの左上にある該当するページリンクをクリックします。
他のワークフローに移動する：関連するイベントを調べるために、その他のイベントビューに移動するには、ワークフロー間のナビゲーションを参照してください。
データのソート：ワークフローでデータをソートするには、カラムのタイトルをクリックします。ソート順を逆にするには、カラムのタイトルをもう一度クリックします。
ホストプロファイルの表示：IP アドレスのホストプロファイルを表示するには、ホストプロファイルのアイコン（）をクリックします。アクティブな侵害の兆候（IOC）タグのあるホストの場合は、IP アドレスの横に表示される侵害されたホストのアイコン（）をクリックします。
ユーザプロファイル：ユーザ ID 情報を表示するには、ユーザ ID の横に表示されるユーザアイコン（または IOC に関連付けられたユーザのユーザアイコン）をクリックします。の表示

検出イベントおよびホスト入力イベント

システムは検出イベントを生成します。このイベントは、監視対象ネットワークセグメントにおける変更の詳細をやり取りします。新しく検出されたネットワーク機能に対しては、新しいイベントが生成され、以前に認識されたネットワークアセットにおける何らかの変更に対しては、変更のイベントが生成されます。

最初のネットワーク検出のフェーズ中に、システムは各ホスト、および各ホスト上での稼動が検出された TCP または UDP サーバについて、新しいイベントを生成します。必要に応じて、エクスポートされた NetFlow レコードを使用してこれらの新しいホストおよびサーバのイベントを生成するよう、システムを設定することができます。

またシステムは、検出された各ホスト上で稼動しているネットワーク、トランスポート、およびアプリケーションプロトコルのそれぞれに対して新しいイベントを生成します。設定されている検出ルールでアプリケーションプロトコルの検出を無効にして、NetFlow エクスポータをモニタできますが、Firepower システムの管理対象デバイスをモニタするよう設定された検出ルールではできません。NetFlow 以外の検出ルールでホストまたはユーザの検出を有効にすると、アプリケーションが自動的に検出されます。

最初のネットワークマッピングが完了すると、続けてシステムは変更イベントを生成し、ネットワークの変更を記録します。変更イベントは、以前に検出されたアセットの設定が変更されるたびに生成されます。

検出イベントが生成されると、データベースに記録されます。Firepower Management Center の Web インターフェイスを使用して、検出イベントを表示、検索、および削除できます。また、相関ルールで検出イベントを使用することもできます。ユーザが指定する他の基準だけでなく、生成される検出イベントのタイプに基づいて、相関ルールを作成することができます。相関ルールは相関ポリシーで使用され、ネットワークトラフィックが基準を満たしたときに、修復、syslog、SNMP、および電子メールアラートの応答を起動します。

ホスト入力機能を使用して、ネットワークマップにデータを追加することができます。オペレーティングシステムの情報を追加、修正、または削除することができますが、この場合、システムは対象のホストに対する情報の更新を停止します。アプリケーションプロトコル、クライアント、サーバ、およびホストの属性を手動で追加、変更、または削除することも、脆弱性の情報を変更することもできます。この処理を行う場合、システムはホスト入力機能を生成します。

ディスカバリイベントタイプ

ネットワーク検出ポリシーにシステムが記録するディスカバリイベントのタイプを設定できます。ディスカバリイベントのテーブルを表示すると、[イベント（Event）] カラムにイベントタイプが表示されます。次に、ディスカバリイベントタイプについて説明します。

ホストの追加 MAC の検出

このイベントは、以前に検出したホストに対してシステムが新しい MAC アドレスを検出したときに生成されます。

このイベントは多くの場合、ルータを通じてトラフィックを渡すホストをシステムが検出したときに生成されます。それぞれのホストには 1 つの IP アドレスがありますが、これらの IP アドレスはすべて、ルータに関連付けられている MAC アドレスを持っているように見えます。システムは IP アドレスに関連付けられている実際の MAC アドレスを検出すると、ホストプロファイル内でその MAC アドレスを太字で表示し、イベントビューのイベント説明に「ARP/DHCP detected」のメッセージを表示します。

クライアントタイムアウト

このイベントは、非アクティブであるという理由で、システムがデータベースからクライアントをドロップしたときに生成されます。

クライアント更新

このイベントは、HTTP トラフィック内でシステムがペイロード（つまり音声やビデオ、Web メールなどの特別なタイプのコンテンツ）を検出したときに生成されます。

DHCP：IP アドレスの変更

このイベントは、DHCP アドレスの割り当てによってホスト IP アドレスが変わったことがシステムで検出された場合に生成されます。

DHCP：IP アドレスの再割り当て

このイベントは、ホストが IP アドレスを再利用するとき、つまり他の物理ホストが以前に使用した IP アドレスを、別のホストが DHCP の IP アドレス割り当てによって取得した場合に生成されます。

ホップ数の変更

このイベントは、ホストと、そのホストを検出するデバイス間でシステムがネットワークホップ数の変更を検出した場合に生成されます。これは次のような場合に発生します。

デバイスがさまざまなルータを介してホストのトラフィックを監視しており、ホストの場所についてより適切な決定ができる場合。
デバイスがホストから ARP 送信を検出し、ホストがローカルセグメント上にあることを示している場合。

ホスト削除：ホスト制限に到達

このイベントは、Firepower Management Center 上でホストの制限を超えて、のネットワークマップから監視対象のホストが削除されたときに生成されます。

ホストドロップ：ホスト制限に到達

このイベントは、Firepower Management Center 上でホストの制限に達して新しいホストがドロップされたときに生成されます。このイベントとの相違点として、前述のイベントでは、ホストの制限に達したときに古いホストがネットワークマップから削除されます。

ホストの制限に達したときに新しいホストをドロップするには、[ポリシー（Policies）] > [ネットワーク検出（Network Discovery）] > [詳細（Advanced）] を選択し、[ホストの制限に達した場合（When Host Limit Reached）] を [ホストをドロップ（Drop hosts）] に設定します。

ホスト IOC 設定

このイベントは、ホストに対して IOC（侵害の痕跡）が設定され、アラートが生成されたときに生成されます。

ホストタイムアウト

このイベントは、ネットワーク検出ポリシーで定義された間隔内でホストがトラフィックを生成しなかったために、ネットワークマップからホストがドロップされたときに生成されます。個々のホストの IP アドレスと MAC アドレスはそれぞれタイムアウトになることに注意してください。関連付けられているアドレスがすべてタイムアウトになるまで、ホストはネットワークマップから消えません。

ネットワーク検出ポリシーで監視するネットワークを変更する場合は、ネットワークマップから古いホストを手動で削除して、それらのホストがホストの制限に不利に作用しないようにします。

ネットワークデバイスへのホストタイプの変更

このイベントは、システムが、検出されたホストが実際はネットワークデバイスであったことを認識したときに生成されます。

アイデンティティ競合

このイベントは、システムが、新しいサーバまたはオペレーティングシステムに対する現行のアクティブなアイデンティティと競合する、そのサーバまたはオペレーティングシステムのアイデンティティを検出したときに生成されます。

より新しいアクティブなアイデンティティデータを取得するためにホストを再スキャンして、アイデンティティの競合を解決する場合は、Identity Conflict イベントを使用して Nmap の修復をトリガーできます。

アイデンティティタイムアウト

このイベントは、アクティブなソースからのサーバまたはオペレーティングシステムの ID データがタイムアウトしたときに生成されます。

より新しいアクティブなアイデンティティデータを取得するために、ホストを再スキャンしてアイデンティティデータをリフレッシュする場合は、Identity Conflict イベントを使用して Nmap の修復をトリガーできます。

MAC 情報の変更

このイベントは、特定の MAC アドレスまたは TTL 値に関連付けられている情報で、システムが変更を検出したときに生成されます。

このイベントは多くの場合、ルータを通じてトラフィックを渡すホストをシステムが検出したときに発生します。各ホストにはそれぞれ異なる IP アドレスがありますが、これらの IP アドレスはすべて、ルータに関連付けられている MAC アドレスを持っているように見えます。システムは IP アドレスに関連付けられている実際の MAC アドレスを検出すると、ホストプロファイル内でその MAC アドレスを太字で表示し、イベントビューのイベント説明に「ARP/DHCP detected」のメッセージを表示します。TTL は変わる可能性がありますが、これはトラフィックが複数のルータを通じて渡される可能性があるためです。また、システムがホストの実際の MAC アドレスを検出した場合も TTL が変わる可能性があります。

NETBIOS 名の変更

このイベントは、システムがホストの NetBIOS 名に対する変更を検出したときに生成されます。このイベントは、NetBIOS プロトコルを使用するホストに対してのみ生成されます。

新しいクライアント

このイベントは、システムが新しいクライアントを検出したときに生成されます。

（注）

分析用にクライアントデータを収集および格納するには、ネットワーク検出ポリシーのディスカバリルールでアプリケーションの検出が有効になっていることを確認します。

新しいホスト

このイベントは、システムがネットワーク上で稼動している新しいホストを検出したときに生成されます。

このイベントは、デバイスが新しいホストを含む NetFlow データを処理するときも生成できます。この状況でイベントを生成するには、NetFlow データを管理するネットワーク検出ルールでホストを検出するように設定します。

新しいネットワークプロトコル

このイベントは、ホストが新しいネットワークプロトコル（IP、ARP など）と通信していることをシステムが検出したときに生成されます。

新しい OS

このイベントは、システムがホストの新しいオペレーティングシステムを検出した、またはホストのオペレーティングシステムで変更を検出したときに生成されます。

新しい TCP ポート

このイベントは、ホスト上でアクティブな新しい TCP サーバポート（SMTP または Web サービスで使用されているポートなど）をシステムが検出したときに生成されます。このイベントは、アプリケーションプロトコル、またはアプリケーションプロトコルに関連付けられているサーバの識別には使用されません。情報は、TCP Server Information Update イベントで伝送されます。

このイベントは、デバイスがネットワークマップにすでに存在しないモニタ対象ネットワーク上のサーバを含む NetFlow データを処理するときも生成できます。この状況でイベントを生成するには、NetFlow データを管理するネットワーク検出ルールでアプリケーションを検出するように設定します。

新しいトランスポートプロトコル

このイベントは、ホストが新しいトランスポートプロトコル（TCP、UDP など）と通信していることをシステムが検出したときに生成されます。

新しい UDP ポート

このイベントは、システムが、ホスト上で稼動している新しい UDP サーバポートを検出したときに生成されます。

TCP ポートクローズ

このイベントは、システムが、ホスト上で TCP ポートがクローズしたことを検出したときに生成されます。

TCP ポートタイムアウト

このイベントは、システムのネットワーク検出ポリシーに定義された間隔内で、システムが TCP ポートからアクティビティを検出しなかったときに生成されます。

TCP サーバ情報の更新

このイベントは、ホスト上で稼動しており、すでに検出されている TCP サーバでシステムが変更を検出したときに生成されます。

このイベントは、TCP サーバが更新されたときに生成される場合があります。

UDP ポートクローズ

このイベントは、システムが、ホスト上で UDP ポートがクローズしたことを検出したときに生成されます。

UDP ポートタイムアウト

このイベントは、ネットワーク検出ポリシーに定義された間隔内で、システムが UDP ポートからアクティビティを検出しなかったときに生成されます。

UDP サーバ情報の更新

このイベントは、ホスト上で稼動しており、すでに検出されている UDP サーバでシステムが変更を検出したときに生成されます。

このイベントは、UDP サーバが更新されたときに生成される場合があります。

VLAN タグ情報の更新

このイベントは、システムが、VLAN タグ内でホストに起因する変更を検出したときに生成されます。

ホスト入力イベントタイプ

ディスカバリイベントのテーブルを表示すると、[イベント（Event）] カラムにイベントタイプが表示されます。

ユーザが（手動でホストを追加するなどの）特定のアクションを実行したときに生成されるホスト入力イベントとは異なり、ディスカバリイベントは、システムが、監視対象ネットワークで変更を検出したとき（以前は検出されなかったホストでトラフィックを検出した場合など）に生成されます。

ネットワーク検出ポリシーを変更して、システムが記録するホスト入力イベントのタイプを設定できます。

さまざまなタイプのホスト入力イベントが提示する情報を理解すると、どのイベントを記録およびアラートの対象にするか、相関ポリシーでこれらのアラートをどのように使用するかを効率よく判断できるようになります。また、イベントタイプの名前がわかると、より効率のよいイベント検索を作成するうえで役に立ちます。次に、ホスト入力イベントのさまざまなタイプについて説明します。

クライアントの追加（Add Client）

このイベントは、ユーザがクライアントを追加したときに生成されます。

ホストの追加（Add Host）

このイベントは、ユーザがホストを追加したときに生成されます。

プロトコルの追加（Add Protocol）

このイベントは、ユーザがプロトコルを追加したときに生成されます。

スキャン結果の追加（Add Scan Result）

このイベントは、システムが Nmap スキャンの結果をホストに追加したときに生成されます。

ポートの追加（Add Port）

このイベントは、ユーザがサーバポートを追加したときに生成されます。

クライアントの削除（Delete Client）

このイベントは、ユーザがシステムからクライアントを削除したときに生成されます。

ホスト/ネットワークの削除（Delete Host/Network）

このイベントは、ユーザがシステムから IP アドレスまたはサブネットを削除したときに生成されます。

プロトコルの削除（Delete Protocol）

このイベントは、ユーザがシステムからプロトコルを削除したときに生成されます。

ポートの削除（Delete Port）

このイベントは、ユーザがシステムからサーバポートまたはサーバポートのグループを削除したときに生成されます。

ホスト属性の追加（Host Attribute Add）

このイベントは、ユーザが新しいホスト属性を作成したときに生成されます。

ホスト属性の削除（Host Attribute Delete）

このイベントは、ユーザが、ユーザ定義のホスト属性を削除したときに生成されます。

ホスト属性値の削除（Host Attribute Delete Value）

このイベントは、ユーザが、ホスト属性に割り当てられている値を削除したときに生成されます。

ホスト属性値の設定（Host Attribute Set Value）

このイベントは、ユーザがホストに対してホスト属性値を設定したときに生成されます。

ホスト属性の更新（Host Attribute Update）

このイベントは、ユーザが、ユーザ定義のホスト属性の定義を変更したときに生成されます。

ホスト重要度の設定（Set Host Criticality）

このイベントは、ユーザがホストに対してホストの重要度の値を設定した、または変更したときに生成されます。

オペレーティングシステム定義の設定（Set Operating System Definition）

このイベントは、ユーザがホストに対してオペレーティングシステムを設定したときに生成されます。

サーバ定義の設定（Set Server Definition）

このイベントは、ユーザがサーバに対してベンダーおよびバージョンの定義を設定したときに生成されます。

脆弱性影響認定の設定（Set Vulnerability Impact Qualification）

このイベントは、脆弱性の影響の認定が設定されたときに生成されます。

脆弱性が、影響の認定に対する使用でグローバルレベルで無効になったとき、または脆弱性がグローバルレベルで有効になったときに、このイベントが生成されます。

脆弱性を無効に設定（Vulnerability Set Invalid）

このイベントは、ユーザが 1 つ以上の脆弱性を無効にした（または確認した）ときに生成されます。

脆弱性を有効に設定（Vulnerability Set Valid）

このイベントは、ユーザが、以前に無効であるとマークされた脆弱性を有効にしたときに生成されます。

ディスカバリイベントとホスト入力イベントの表示


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

ディスカバリイベントワークフローでは、ディスカバリイベントとホスト入力イベント両方からのデータを表示できます。ユーザは検索する情報に応じてイベントビューを操作することができます。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

ユーザがイベントにアクセスするときに表示されるページは、使用するワークフローによって異なります。ユーザは事前定義のワークフローを使用できますが、これにはディスカバリイベントのテーブルビューと、ホストビューの最終ページが含まれています。また、特定のニーズを満たす情報だけを表示するカスタムワークフローを作成することもできます。

手順

ステップ 1

[分析（Analysis）] > [ホスト（Hosts）] > [検出イベント（Discovery Events）]を選択します。

ステップ 2

次の選択肢があります。

時間枠の変更の説明に従って、時間範囲を調整します。

（注）

イベントビューを時間によって制約している場合は、（グローバルかイベント固有かに関係なく）アプライアンスに設定されている時間枠の外で生成されたイベントが、イベントビューに表示されます。アプライアンスに対してスライドする時間枠を設定した場合でも、この状況が発生することがあります。

[(ワークフローの切り替え)（(switch workflow)）] をクリックしてカスタムワークフローを含む別のワークフローを使用します。
基本的なワークフロー操作を実行します（ディスカバリおよびアイデンティティワークフローの使用を参照）。
テーブルのカラムの内容について詳しく調べます（ディスカバリイベントのフィールドを参照）。

ディスカバリイベントのフィールド

以下に、ディスカバリイベントテーブルで表示および検索できるフィールドについて説明します。

時刻（Time）

システムがイベントを生成した時間。

イベント

ディスカバリイベントタイプまたはホスト入力イベントタイプ。

[IPアドレス（IP Address）]

イベントに関連するホストに関連付けられている IP アドレス。

ユーザ（User）

イベントが生成される前に、イベントに関係するホストに最後にログインしたユーザ。権限のあるユーザの後に、権限のないユーザのみがログインした場合、権限のあるユーザが次にログインするまで、権限のあるユーザが現行のユーザとして保持されます。

[MAC アドレス（MAC Address）]

ディスカバリイベントをトリガーとして使用したネットワークトラフィックが使用する NIC の MAC アドレス。この MAC アドレスは、イベントに関連するホストの実際の MAC アドレスであるか、またはトラフィックが通過したネットワークデバイスの MAC アドレスになります。

[MAC ベンダー（MAC Vendor）]

ディスカバリイベントをトリガーとして使用したネットワークトラフィックが使用する NIC の MAC ハードウェアベンダー。

このフィールドを検索する場合は、virtual_mac_vendor を入力して、仮想ホストに関係するイベントを照合します。

[ポート（Port）]

イベントをトリガーとして使用したトラフィックが使用するポート（該当する場合）。

説明

テキストによるイベントの説明。

ドメイン

ホストを検出したデバイスのドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

Device

イベントを生成した管理対象デバイスの名前。NetFlow データに基づいた新しいホストおよび新しいサーバのイベントの場合、これはそのデータを処理した管理対象デバイスになります。

ホストデータ

システムがホストを検出し、ホストプロファイルを作成するためにホストに関する情報を収集したときに、イベントが生成されます。Firepower Management Center Web インターフェイスを使用して、ホストを表示、検索、および削除できます。

ホストの表示中に、選択したホストに基づいてトラフィックのプロファイル、およびコンプライアンスのホワイトリストを作成できます。また、（ビジネスの重要度を設定する）ホストの重要度の値などのホスト属性をホストグループに割り当てることもできます。そのあとで、相関ルールおよびポリシーの中でこれらの重要度の値、ホワイトリスト、およびトラフィックプロファイルを使用できます。

システムは、ホストをエクスポートされた NetFlow レコードからネットワークマップに追加できますが、これらのホストに使用できる情報は限られます（NetFlow データと管理対象デバイスデータの違いを参照）。

ホストデータの表示


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

Firepower Management Center を使用して、システムが検出したホストのテーブルを表示することができます。その後、探している情報に応じて表示方法を操作できます。

ユーザがホストにアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義のワークフローは両方ともホストビューで終了しますが、このホストビューには、ユーザの制約を満たすすべてのホストのホストプロファイルが含まれています。また、特定のニーズを満たす情報だけを表示するカスタムワークフローを作成することもできます。

手順

ステップ 1

次のように、ホストデータにアクセスします。

事前定義されたワークフローを使用する場合、[分析（Analysis）] > [ホスト（Hosts）] > [ホスト（Hosts）] を選択します。
ホストのテーブルビューが含まれないカスタムワークフローを使用している場合は、[(ワークフローの切り替え)（(switch workflow)）] をクリックして [ホスト（Hosts）] を選択します。

ステップ 2

次の選択肢があります。

[(ワークフローの切り替え)（(switch workflow)）] をクリックしてカスタムワークフローを含む別のワークフローを使用します。
基本的なワークフロー操作を実行します（ディスカバリおよびアイデンティティワークフローの使用を参照）。
テーブルのカラムの内容について詳しく調べます（ホストデータフィールドを参照）。
オプションを表示するには、テーブル内の項目を右クリックします（オプションが表示されない列もあります）。
ホスト属性を特定のホストに割り当てます（選択したホストのホスト属性の設定を参照）。
特定のホストのトラフィックプロファイルを作成します（選択したホストのトラフィックプロファイルの作成を参照）。
特定のホストに基づいて、コンプライアンスのホワイトリストを作成します（選択したホストに基づいたコンプライアンスのホワイトリストの作成を参照）。

ホストデータフィールド

システムはホストを検出したときに、そのホストに関するデータを収集します。そのデータには、ホストの IP アドレス、ホストが実行しているオペレーティングシステムなどが含めることが可能です。ユーザは、ホストのテーブルビューでこれらの情報の一部を表示することができます。

ホストテーブルで表示および検索できるフィールドの説明が続きます。

前回の検出（Last Seen）

システムによっていずれかのホストの IP アドレスが最後に検出された日付と時間。[前回の検出（Last Seen）] の値は、ホストの IP アドレスに対してシステムが新しいホストイベントを生成したときだけでなく、少なくともユーザがネットワーク検出ポリシーに設定した更新間隔の頻度で更新されます。

ホスト入力機能を使用して、オペレーティングシステムのデータを更新しているホストでは、[前回の検出（Last Seen）] の値は、そのデータが最初に追加された日付と時間を表します。

[IPアドレス（IP Address）]

ホストに関連付けられている IP アドレス。

MAC アドレス（MAC Address）

ホストが検出した NIC の MAC アドレス。

[MAC アドレス（MAC Address）] フィールドは、[ホスト（Hosts）] ワークフローの [ホストのテーブルビュー（Table View of Hosts）] に表示されます。以下のものに対して [MAC アドレス（MAC Address）] フィールドを追加できます。

[ホスト（Hosts）] テーブルのフィールドが含まれているカスタムテーブル
[ホスト（Hosts）] テーブルに基づいたカスタムワークフローのドリルダウンページ

MAC ベンダー（MAC Vendor）

ホストが検出した NIC の MAC ハードウェアベンダー。

[MAC ベンダー（MAC Vendor）] フィールドは、[ホスト（Hosts）] ワークフローの [ホストのテーブルビュー（Table View of Hosts）] に表示されます。以下のものに対して [MAC ベンダー（MAC Vendor）] フィールドを追加できます。

[ホスト（Hosts）] テーブルのフィールドが含まれているカスタムテーブル
[ホスト（Hosts）] テーブルに基づいたカスタムワークフローのドリルダウンページ

このフィールドを検索する場合は、virtual_mac_vendor を入力して、仮想ホストに関係するイベントを照合します。

現在のユーザ（Current User）

ホストに現在ログインしているユーザの ID（ユーザ名）。

権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることができます。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。

ホストの重要度（Host Criticality）

ホストに割り当てられている、ユーザ指定の重要度の値。

NetBIOS 名（NetBIOS Name）

ホストの NetBIOS 名。NetBIOS プロトコルを実行しているホストにのみ、NetBIOS 名があります。

VLAN ID（Admin. VLAN ID）

ホストが使用する VLAN ID。

ホップ（Hops）

ホストを検出したデバイスからホストへのネットワークのホップ数。

ホストタイプ（Host Type）

ホストのタイプ。ホスト、モバイルデバイス、jailbroken モバイルデバイス、ルータ、ブリッジ、NAT デバイス、ロードバランサのいずれかにできます。

ネットワークデバイスを区別するためにシステムでは次の方法を使用します。

Cisco Discovery Protocol（CDP）メッセージの分析。ネットワークのデバイスおよびそれらのタイプ（シスコデバイスのみ）を特定できます。
スパニングツリープロトコル（STP）の検出。デバイスをスイッチまたはブリッジとして識別します。
同じ MAC アドレスを使用している複数のホストの検出。MAC アドレスを、ルータに属しているものとして識別します。
クライアント側からの TTL 値の変更、または通常のブート時間よりも頻繁に変更されている TTL 値の検出。この検出では、NAT デバイスとロードバランサを識別します。

デバイスがネットワークデバイスとして識別されない場合は、ホストとして分類されます。

このフィールドを検索するときは、!host と入力してすべてのネットワークデバイスを検索します。

ハードウェア（Hardware）

モバイルデバイスのハードウェアプラットフォーム。

OS

次のいずれかです。

ホスト上で検出されたオペレーティングシステム（名前、ベンダー、およびバージョン）、または Nmap かホスト入力機能を使用して更新されたオペレーティングシステム。
オペレーティングシステムが既知のフィンガープリントに一致しない場合は unknown
オペレーティングシステムを識別するための十分な情報がシステムで収集されていない場合は pending

システムが複数のアイデンティティを検出した場合は、これらのアイデンティティはカンマ区切りリストで表示されます。

このフィールドは、ダッシュボード上で [カスタム分析（Custom Analysis）] ウィジェットからホストイベントビューを起動したときに表示されます。また、これは [ホスト（Hosts）] テーブルに基づいたカスタムテーブルのフィールドオプションです。

このフィールドを検索するときは、n/a と入力して、オペレーティングシステムがまだ識別されていないホストを含めます。

OS 競合（OS Conflict）

このフィールドは検索専用です。

OS ベンダー（OS Vendor）

次のいずれかです。

ホストで検出されたオペレーティングシステムのベンダー、または Nmap かホスト入力機能を使用して更新されたオペレーティングシステムのベンダー。
オペレーティングシステムが既知のフィンガープリントに一致しない場合は unknown
オペレーティングシステムを識別するための十分な情報がシステムで収集されていない場合は pending

システムが複数のベンダーを検出した場合は、これらのベンダーはカンマ区切りリストで表示されます。

このフィールドを検索するときは、n/a と入力して、オペレーティングシステムがまだ識別されていないホストを含めます。

OS 名（OS Name）

次のいずれかです。

ホスト上で検出されたオペレーティングシステム、または Nmap かホスト入力機能を使用して更新されたオペレーティングシステム。
オペレーティングシステムが既知のフィンガープリントに一致しない場合は unknown
オペレーティングシステムを識別するための十分な情報がシステムで収集されていない場合は pending

システムが複数の名前を検出した場合は、これらの名前はカンマ区切りリストで表示されます。

このフィールドを検索するときは、n/a と入力して、オペレーティングシステムがまだ識別されていないホストを含めます。

OS バージョン（OS Version）

次のいずれかです。

ホストで検出されたオペレーティングシステムのバージョン、または Nmap かホスト入力機能を使用して更新されたオペレーティングシステムのバージョン。
オペレーティングシステムが既知のフィンガープリントに一致しない場合は unknown
オペレーティングシステムを識別するための十分な情報がシステムで収集されていない場合は pending

システムが複数のバージョンを検出した場合は、これらのバージョンはカンマ区切りリストで表示されます。

このフィールドを検索するときは、n/a と入力して、オペレーティングシステムがまだ識別されていないホストを含めます。

ソースタイプ（Source Type）

ホストのオペレーティングシステムのアイデンティティを確立するために使用されるソースのタイプは次のとおりです。

[ユーザ（User）]：user_name
[アプリケーション（Application）]：app_name
スキャナ：scanner_type（ネットワーク検出の設定を介して追加された Nmap またはスキャナ）
システムによって検出されたオペレーティングシステムの場合は Firepower

システムでは、オペレーティングシステムのアイデンティティを判断するために、複数のソースのデータを統合することができます。

信頼性（Confidence）

次のいずれかです。

システムで検出されたホストについて、ホスト上で稼動しているオペレーティングシステムのアイデンティティ内にシステムが保持している信頼度（パーセンテージ）。
100%（ホスト入力機能や Nmap スキャナなどのアクティブなソースによって識別されたオペレーティングシステムの場合）。
unknown（システムがオペレーティングシステムのアイデンティティを特定できないホスト、および NetFlow データに基づいてネットワークマップに追加されたホストの場合）。

このフィールドを検索するときは、n/a と入力して、NetFlow データに基づいてネットワークマップに追加されたホストを含めます。

注記（Notes）

[注記（Notes）] ホスト属性の、ユーザ定義のコンテンツ。

ドメイン

ホストに関連付けられているドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

Device

トラフィックを検出した管理対象デバイスか、NetFlow またはホスト入力データを処理したデバイスのいずれか。

このフィールドが空白の場合は、次のいずれかの条件を満たします。

ホストがデバイスによってネットワークマップに追加されたが、このデバイスは、ホストが存在しているネットワークに対してネットワーク検出ポリシーに定義されているとおりに明示的に監視していない。
ホストの入力機能を使用してホストが追加されたが、システムによって検出されていない。

メンバー数（Count）

各行に表示される情報と一致するイベントの数。このフィールドが表示されるのは、2 つ以上の同一の行を作成する制限を適用した後のみです。

選択したホストのトラフィックプロファイルの作成


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin

トラフィックプロファイルは、指定した期間に収集された接続データに基づいた、ネットワーク上のトラフィックのプロファイルです。トラフィックプロファイルを作成した後、正常なネットワークトラフィックを表すと想定されるプロファイルに照らして新しいトラフィックを評価することにより、異常なネットワークトラフィックを検出できます。

[ホスト（Hosts）] ページを使用して、指定するホストグループのトラフィックプロファイルを作成できます。トラフィックプロファイルは、指定したホストのいずれかが発信元ホストである、検出された接続に基づいています。ソートおよび検索機能を使用して、プロファイルを作成するホストを分離することができます。

手順

ステップ 1	ホストワークフローのテーブルビューで、トラフィックプロファイルを作成するホストの隣にあるチェックボックスをオンにします。
ステップ 2	ページの下部で [トラフィックプロファイルの作成（Create Traffic Profile）] をクリックします。
ステップ 3	特別なニーズに応じて、トラフィックプロファイルを変更し、保存します。

選択したホストに基づいたコンプライアンスのホワイトリストの作成


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin

コンプライアンスのホワイトリストでは、ネットワーク上で許可されるオペレーティングシステム、クライアント、ネットワーク、トランスポート、またはアプリケーションプロトコルを指定することができます。

[ホスト（Hosts）] ページを使用して、ユーザが指定するホストグループのホストプロファイルに基づいて、コンプライアンスのホワイトリストを作成することができます。ソートおよび検索機能を使用して、ホワイトリストの作成に使用するホストを分離することができます。

手順

ステップ 1	ホストワークフローのテーブルビューで、ホワイトリストを作成するホストの隣にあるチェックボックスをオンにします。
ステップ 2	ページの下部で [ホワイトリストの作成（Create White List）] をクリックします。
ステップ 3	特別なニーズに応じて、ホワイトリストを変更し、保存します。

ホスト属性データ

Firepower システムは、検出したホストに関する情報を収集し、その情報を使用してホストプロファイルを作成します。ただし、ネットワーク上のホストについて、アナリストに提供する追加情報が存在する場合があります。ユーザは、ホストプロファイルにメモを追加する、ホストのビジネス重要度を設定する、選択する他の情報を提供する、といったことが可能です。それぞれの情報は、ホスト属性と呼ばれます。

ホストプロファイルの認定でホスト属性を使用することができます。これにより、トラフィックプロファイルの作成中に収集するデータを制約し、相関ルールをトリガーする条件を制限することができます。相関ルールに応じて属性値を設定することもできます。

ホスト属性の表示


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

Firepower Management Center を使用して、システムで検出されたホストのテーブル、およびそのホスト属性を表示することができます。その後、探している情報に応じて表示方法を操作できます。

ユーザがホスト属性にアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義のワークフロー（検出されたすべてのホスト、およびそのホストの属性が記載されているホスト属性のテーブルビューが含まれており、ホストビューページで終了するワークフロー）を使用することができます。このワークフローには、制約を満たすすべてのホストについて 1 つのホストプロファイルが含まれています。

また、特定のニーズを満たす情報だけを表示するカスタムワークフローを作成することもできます。

手順

ステップ 1

次のように、ホスト属性データにアクセスします。

事前定義されたワークフローを使用する場合、[分析（Analysis）] > [ホスト（Hosts）] > [ホスト属性（Host Attributes）] を選択します。
ホスト属性のテーブルビューが含まれないカスタムワークフローを使用している場合は、[(ワークフローの切り替え)（(switch workflow)）] をクリックして [属性（Attributes）] を選択します。

ステップ 2

次の選択肢があります。

[(ワークフローの切り替え)（(switch workflow)）] をクリックしてカスタムワークフローを含む別のワークフローを使用します。
基本的なワークフロー操作を実行します（ディスカバリおよびアイデンティティワークフローの使用を参照）。
テーブルのカラムの内容について詳しく調べます（ホスト属性データフィールドを参照）。
ホスト属性を特定のホストに割り当てます（選択したホストのホスト属性の設定を参照）。

ホスト属性データフィールド

ホスト属性テーブルには、MAC アドレスでのみ識別されるホストは表示されないことに注意してください。

ホスト属性テーブルで表示および検索できるフィールドの説明が続きます。

[IPアドレス（IP Address）]

ホストに関連付けられている IP アドレス。

現在のユーザ（Current User）

ホストに現在ログインしているユーザの ID（ユーザ名）。

ホストの重要度（Host Criticality）

ユーザが割り当てた、企業にとってのホストの重要度。ホストの重要度を相関ルールおよびポリシーで使用して、イベントに関するホストの重要度に対して、ポリシー違反および違反の応答を作成することができます。ホストの重要度に [低（Low）]、[中（Medium）]、[高（High）]、または [なし（None）] を割り当てることができます。

注記（Notes）

他のアナリストに提示する、ホストに関する情報。

コンプライアンスホワイトリストの属性を含む、ユーザ定義のホスト属性（Any user-defined host attribute, including those for compliance white lists）

ユーザ定義のホスト属性の値。ホスト属性テーブルには、ユーザ定義のそれぞれのホスト属性のフィールドが含まれています。

ドメイン

メンバー数（Count）

各行に表示される情報と一致するイベントの数。[カウント（Count）] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。

選択したホストのホスト属性の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

ホストワークフローから、事前定義済のホスト属性とユーザ定義のホスト属性を設定できます。

手順

ステップ 1

ホストワークフローで、ホスト属性を追加するホストの横にあるチェックボックスをオンにします。

ヒント

ソート機能と検索機能を使用して、特別な属性を割り当てるホストを分離することができます。

ステップ 2

ページの下部にある [属性の設定（Set Attributes）] をクリックします。

ステップ 3

必要に応じて、選択したホストに対してホストの重要度を設定します。[なし（None）]、[低（Low）]、[中（Medium）]、または [高（High）] を選択できます。

ステップ 4

必要に応じて、テキストボックスで、選択したホストのホストプロファイルにメモを追加します。

ステップ 5

必要に応じて、自分で設定したユーザ定義のホストの属性を設定します。

ステップ 6

[保存（Save）] をクリックします。

侵害の兆候データ

Firepower システムは、さまざまなタイプのデータ（侵入イベント、セキュリティインテリジェンス、接続イベントおよびファイルまたはマルウェアイベント）を関連付け、モニタ対象ネットワーク上のホストが悪意のある手段によって侵害された可能性があるかどうかを判断します。イベントデータの特定の組み合わせと頻度が、影響を受けるホストの侵害の兆候（IOC）タグをトリガーします。このようなホストの IP アドレスは侵害を受けているホストの赤いアイコン（）でイベントビューに表示されます。

ホストが侵害されている可能性があると識別された場合、その侵害に関連付けられているユーザにもタグが付けられます。そのようなユーザは、のアイコンでイベントビューに表示されます。

IOC データは、Firepower システムの Web インターフェイスの数箇所で表示、操作を行えます。

イベントビューア（[分析（Analysis）] メニューの各種タブ）：接続、セキュリティインテリジェンス、侵入、マルウェアや IOC 検出のイベントビューでそのイベントが IOC をトリガーしたかどうかを表示します。IOC ルールをトリガーするエンドポイントベースのマルウェアイベントは、イベントタイプが AMP IOC であり、侵害を指定するイベントサブタイプと一緒に表示されることに注意してください。
ダッシュボード：ダッシュボードでは、サマリーダッシュボードの [脅威（Threats）] タブに、ホスト別とユーザ別の IOC タグがデフォルトで表示されます。カスタム分析ウィジェットは IOC データに基づくプリセットを提供します。
コンテキストエクスプローラ：コンテキストエクスプローラの [侵害の兆候（Indications of Compromise）] セクションに、IOC カテゴリ別のホストとホスト別の IOC カテゴリのグラフが表示されます。
[ネットワークマップ（Network Map）] ページ：[分析（Analysis）] > [ホスト（Hosts）] > [ネットワークマップ（Network Map）] にある [侵害の兆候（Indications of Compromise）] タブには、侵害されている可能性があるネットワーク上のホストが侵害のタイプと IP アドレス別にグループ分けして示されます。
[ネットワークファイルトラジェクトリ（Network File Trajectory）] 詳細ページ：[分析（Analysis）] > [ファイル（Files）] > [ネットワークファイルトラジェクトリ（Network File Trajectory）] の下に一覧表示されているファイルの詳細ページでは、ネットワークの侵害の兆候を追跡できます。
[ホストの侵害の兆候（Host Indications of Compromise）] ページ：[分析（Analysis）] > [ホスト（Hosts）] メニューの下の [ホストの侵害の兆候（Host Indications of Compromise）] ページには、モニタ対象ホストの一覧が IOC タグ別にグループ分けされて表示されます。このページのワークフローを使ってデータをドリルダウンできます。
[ユーザの侵害の兆候（User Indications of Compromise）] ページ：[分析（Analysis）] > [ユーザ（Users）] メニューの下の [ユーザの侵害の兆候（User Indications of Compromise）] ページには、IOC の可能性があるイベントに関連付けられているユーザの一覧が IOC タグ別にグループ分けされて表示されます。このページのワークフローを使ってデータをドリルダウンできます。
ホストプロファイルページ：侵害されている可能性があるホストのホストプロファイルには、そのホストに関連付けられているすべての IOC タグが表示され、IOC タグの解決と IOC ルール状態の設定ができます。
ユーザプロファイルページ：IOC の可能性があるイベントに関連付けられているユーザのユーザプロファイルには、そのユーザに関連付けられているすべての IOC タグが表示され、IOC タグの解決と IOC ルール状態の設定ができます（Firepower Management Center の Web インターフェイスでは、ユーザプロファイルは「ユーザアイデンティティ（User Identity）」とラベルが付けられています）。

侵害の兆候としてイベントにタグを付けるように設定するには、侵害の兆候ルールの有効化を参照してください。

侵害の兆候データの表示


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

Firepower Management Center を使用して、侵害の兆候（IOC）を示すテーブルを表示できます。検索する情報に応じてイベントビューを操作します。

表示されるページは、使用するワークフローによって異なります。事前定義の IOC ワークフローはプロファイルビューで終了しますが、これには、制約を満たすすべてのホストまたはユーザのホストプロファイルまたはユーザプロファイルが含まれています。また、特定のニーズを満たす情報だけを表示するカスタムワークフローを作成することもできます。

始める前に

システムで侵害の兆候（IOC）を検出してタグを付けるには、ネットワーク検出ポリシーの IOC 機能をアクティブにして、少なくとも 1 つの IOC ルールを有効にする必要があります。侵害の兆候ルールの有効化を参照してください。
アクティブなアイデンティティポリシーでユーザが認識される必要があります。

手順

ステップ 1

次のいずれかを実行します。

オプション

説明

ホストの IOC を調べるには、以下を実行します。

事前定義されたワークフローを使用する場合、[分析（Analysis）] > [ホスト（Hosts）] > [侵害の兆候（Indications of Compromise）] を選択します。
ホスト IOC のテーブルビューが含まれないカスタムワークフローを使用している場合は、[(ワークフローの切り替え)（(switch workflow)）] をクリックして [ホストの侵害の兆候（Host Indications of Compromise）] を選択します。

ユーザに関連付けられている IOC を調べるには、以下を実行します。

事前定義されたワークフローを使用する場合、[分析（Analysis）] > [ユーザ（Users）] > [侵害の兆候（Indications of Compromis）] を選択します。
ユーザ IOC のテーブルビューが含まれないカスタムワークフローを使用している場合は、[(ワークフローの切り替え)（(switch workflow)）] をクリックして [ユーザの侵害の兆候（User Indications of Compromise）] を選択します。

ステップ 2

次の選択肢があります。

[(ワークフローの切り替え)（(switch workflow)）] をクリックしてカスタムワークフローを含む別のワークフローを使用します。
基本的なワークフロー操作を実行します（ディスカバリおよびアイデンティティワークフローの使用を参照）。
テーブルのカラムの内容について詳しく調べます（侵害の兆候データフィールドを参照）。
[ホストの侵害の兆候（Host Indications of Compromise）] ページ：[IP アドレス（IP Address）] カラムにある侵害されたホストのアイコン（）をクリックして、侵害されたホストのホストプロファイルを表示します。
[ユーザの侵害の兆候（User Indications of Compromise）]：[ユーザ（User）] カラムの赤色のユーザアイコン（）をクリックして、侵害に関連付けられているユーザプロファイルを表示します。
IOC イベントに解決済みとマークして、リストに表示されないようにします。これを実行するには、編集する IOC イベントの横にあるチェックボックスをオンにして、[解決済みとマークを付ける（Mark Resolved）] をクリックします。
[最初の確認日時（First Seen）] または [前回の検出（Last Seen）] カラムにある表示アイコン（）をクリックして、IOC をトリガーしたイベントの詳細を表示します。
その他のオプションを表示するには、テーブル内の値を右クリックします。

侵害の兆候データフィールド

以下は、ホストまたはユーザの IOC（侵害の兆候）テーブル内のフィールドです。すべての IOC 関連のテーブルにすべてのフィールドが含まれているわけではありません。

IP アドレス（IP Address）（ホストの IOC データを表示する場合）

IOC をトリガーとして使用したホストに関連付けられている IP アドレス。

ユーザ（User）（ユーザの IOC データを表示する場合）

IOC をトリガーしたイベントに関連付けられているユーザのユーザ名、レルム、および認証ソース。

カテゴリ（Category）

Malware Executed や Impact 1 Attack など、示された侵害のタイプの簡単な説明。

イベントタイプ（Event Type）

特定の IOC に関連付けられている識別子で、トリガーとして使用したイベントを参照します。

説明

侵害される可能性のあるホストへの影響の説明（[このホストはリモート制御下にある可能性があります（This host may be under remote control）] や [このホスト上でマルウェアが実行されました（Malware has been executed on this host）] など）。

最初の確認日時/最新の確認日時（First Seen/Last Seen）

IOC をトリガーとして使用したイベントが発生した最初（または最新）の日付と時刻。

ドメイン（Domain）

IOC をトリガーとして使用したホストのドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

単一ホストまたはユーザにおける侵害の兆候のルール状態の編集


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst（読み取り専用を除く）

ネットワーク検出ポリシーで有効になっている場合、侵害の兆候ルールは監視対象ネットワーク内のすべてのホストと、そのネットワーク上の IOC イベントに関連付けられている権限のあるユーザに適用されます。個々のホストまたはユーザのルールを無効にして、無用な IOC タグを回避できます（たとえば、DNS サーバに対する IOC タグが表示されないようにできます）。適用可能なネットワーク検出ポリシーでルールを無効にすると、特定のホストまたはユーザに対して有効にすることができません。特定のホストに対してルールを無効にしても、同じイベントに関与するユーザのタグ付けには影響がなく、その逆もまた同じです。

手順

ステップ 1	ホストまたはユーザプロファイルの [侵害の兆候（Indications of Compromise）] セクションに移動します。
ステップ 2	[ルール状態の編集（Edit Rule States）] をクリックします。
ステップ 3	ルールの [有効（Enabled）] 列で、スライダをクリックしてこれを有効または無効にします。
ステップ 4	[保存（Save）] をクリックします。

侵害の兆候のタグのソースイベントの表示


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

ホストプロファイルやユーザプロファイルの [侵害の兆候（Indications of Compromise）] セクションを使用して、IOC タグをトリガーしたイベントにすばやく移動することができます。これらのイベントを分析すると、侵害される脅威に対処するのに必要なアクション、およびアクションが必要かどうかを判断するための情報が提供されます。

IOC タグのタイムスタンプの隣の表示アイコン（）をクリックすると、関連するイベントタイプのイベントのテーブルビューにナビゲートします。ここでは、IOC タグをトリガーとして使用したイベントのみが表示されます。

ユーザ IOC の最初のインスタンスのみが Firepower Management Center に表示されます。後続のインスタンスは DNS サーバによって捕捉されます。

手順

ステップ 1	ホストまたはユーザプロファイルで、[侵害の兆候（Indications of Compromise）] セクションに移動します。
ステップ 2	調べたい IOC タグの [最初の痕跡（First Seen）] または [最後の痕跡（Last Seen）] カラムにある表示アイコン（）をクリックします。

侵害の兆候タグの解決


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

侵害の兆候（IOC）タグで示された脅威が分析および対処された後、または IOC タグが誤検出を示していると判断した場合、イベントに解決済みのマークを付けることができます。イベントに解決済みのマークを付けると、そのイベントはホストプロファイルおよびユーザプロファイルから削除されます。プロファイル上のアクティブな IOC タグがすべて解決されると、侵害されたホストアイコン（）またはユーザが侵害の兆候に関連付けられていることを示すアイコン（）は表示されなくなります。解決した IOC についても、IOC のトリガー元であるイベントは引き続き表示できます。

IOC タグをトリガーしたイベントが繰り返された場合、ホストまたはユーザに対する IOC ルールが無効にされていない限り、このタグが再び設定されます。

手順

ステップ 1

ホストまたはユーザプロファイルで、[侵害の兆候（Indications of Compromise）] セクションに移動します。

ステップ 2

次の 2 つの選択肢があります。

個別の IOC タグに解決済みのマークを付けるには、解決するタグの右にある削除アイコン（）をクリックします。
プロファイル上のすべての IOC タグに解決済みのマークを付けるには、[すべてに解決済みのマークを付ける（Mark All Resolved）] をクリックします。

サーバデータ

Firepower システムは、モニタ対象ネットワークセグメント上のホストで稼動しているすべてのサーバに関する情報を収集します。この情報には次のものが含まれます。

サーバの名前
サーバが使用するアプリケーションとネットワークプロトコル
サーバのベンダーとバージョン
サーバを実行しているホストに関連付けられている IP アドレス
サーバが通信するポート

システムはサーバを検出すると、関連するホストがまだサーバの最大数に達していない場合は、ディスカバリイベントを生成します。Firepower Management Center の Web インターフェイスを使用して、サーバイベントを表示、検索、削除できます。

また、サーバイベントを相関ルールのベースにすることもできます。たとえばシステムが、いずれかのホスト上で稼働している ircd などのチャットサーバを検出したときに相関ルールをトリガーできます。

サーバデータの表示


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

Firepower Management Center を使用して、検出されたサーバのテーブルを表示できます。ここでユーザは、検索する情報に応じてイベントビューを操作することができます。

ユーザがサーバにアクセスしたときに表示されるページは、使用するワークフローによって異なります。事前定義のすべてのワークフローはホストビューで終了しますが、このホストビューには、制約を満たすすべてのホストに対して 1 つずつホストプロファイルが含まれています。また、特定のニーズを満たす情報だけを表示するカスタムワークフローを作成することもできます。

手順

ステップ 1

次のように、サーバデータにアクセスします。

事前定義されたワークフローを使用する場合、[分析（Analysis）] > [ホスト（Hosts）] > [サーバ（Servers）] を選択します。
サーバのテーブルビューが含まれていないカスタムワークフローを使用している場合は、[(ワークフローの切り替え)（(switch workflow)）] をクリックして [サーバ（Servers）] を選択します。

ステップ 2

次の選択肢があります。

[(ワークフローの切り替え)（(switch workflow)）] をクリックしてカスタムワークフローを含む別のワークフローを使用します。
基本的なワークフロー操作を実行します（ディスカバリおよびアイデンティティワークフローの使用を参照）。
テーブルのカラムの内容について詳しく調べます（サーバデータフィールドを参照）。
編集するサーバのイベントの横にあるチェックボックスをオンにし、[サーバアイデンティティの設定（Set Server Identity）] をクリックすることによって、サーバのアイデンティティを編集します。
オプションを表示するには、テーブル内の項目を右クリックします（オプションが表示されない列もあります）。

サーバデータフィールド

サーバテーブルで表示および検索できるフィールドの説明は次のとおりです。

前回の使用（Last Used）

ネットワーク上でサーバが最後に使用された日付と時間、またはホスト入力機能を使用してサーバが最初に更新された日付と時間。[前回の使用（Last Used）] の値は、システムがサーバ情報の更新を検出したときだけでなく、少なくともユーザがネットワーク検出ポリシーに設定した更新間隔の頻度で更新されます。

[IPアドレス（IP Address）]

サーバを実行しているホストに関連付けられている IP アドレス。

[ポート（Port）]

サーバが稼動しているポート。

プロトコル

サーバが使用するネットワークまたはトランスポートプロトコル。

アプリケーションプロトコル（Application Protocol）

次のいずれかです。

サーバのアプリケーションプロトコルの名前
pending：システムで、いずれかの理由でサーバをポジティブまたはネガティブに識別できない場合
unknown：既知のサーバフィンガープリントに基づいてシステムでサーバを識別できない場合、またはホストの入力を介してサーバが追加され、アプリケーションプロトコルが含まれていなかった場合

アプリケーションプロトコルのカテゴリ、タグ、リスク、またはビジネスとの関連性（Category, Tags, Risk, or Business Relevance for Application Protocols）

アプリケーションプロトコルに割り当てられているカテゴリ、タグ、リスクレベル、およびビジネスとの関連性。これらのフィルタを使用して、特定のデータセットを対象にすることができます。

ベンダー（Vendor）

次のいずれかです。

サーバのベンダー：システム、Nmap、その他のアクティブなソースで識別された、またはホスト入力機能を使用して指定されたサーバのベンダー

空白：システムが既知のサーバフィンガープリントに基づいてベンダーを識別できなかった場合、または NetFlow データを使用してサーバがネットワークマップに追加された場合

バージョン（Version）

次のいずれかです。

サーバのバージョン：システム、Nmap、その他のアクティブなソースで識別された、またはホスト入力機能を使用して指定されたサーバのバージョン

空白：システムが既知のサーバフィンガープリントに基づいてバージョンを識別できなかった場合、または NetFlow データを使用してサーバがネットワークマップに追加された場合

Web アプリケーション（Web Application）

HTTP トラフィックでシステムが検出したペイロードコンテンツに基づいた Web アプリケーション。システムが HTTP のアプリケーションプロトコルを検出したものの、特定の Web アプリケーションを検出できない場合は、一般的な Web ブラウジングの指定が提示されるので注意してください。

Web アプリケーションのカテゴリ、タグ、リスク、またはビジネスとの関連性（Category, Tags, Risk, or Business Relevance for Web Applications）

Web アプリケーションに割り当てられているカテゴリ、タグ、リスクレベル、およびビジネスとの関連性。これらのフィルタを使用して、特定のデータセットを対象にすることができます。

ヒット数（Hits）

サーバがアクセスされた回数。ホスト入力機能を使用して追加されたサーバの場合、この値は必ず 0 になります。

ソースタイプ（Source Type）

次の値のいずれかを指定します。

[ユーザ（User）]：user_name
[アプリケーション（Application）]：app_name
スキャナ：scanner_type（ネットワーク検出の設定を介して追加された Nmap またはスキャナ）
Firepower システムによって検出されたサーバの Firepower、Firepower Port Match、または Firepower Pattern Match
NetFlow データを使用して追加されたサーバの NetFlow

ドメイン

サーバを実行しているホストのドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

Device

トラフィックを検出した管理対象デバイスか、NetFlow またはホスト入力データを処理したデバイスのいずれか。

現在のユーザ（Current User）

ホストに現在ログインしているユーザの ID（ユーザ名）。

権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されます。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることができます。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。

メンバー数（Count）

各行に表示される情報と一致するイベントの数。このフィールドが表示されるのは、2 つ以上の同一の行を作成する制限を適用した後のみです。

アプリケーションデータとアプリケーション詳細データ

監視対象ホストが別のホストに接続すると、システムは多くの場合、どのアプリケーションが使用されたかを判断することができます。Firepower システムは、電子メール、インスタントメッセージ、ピアツーピア、Web アプリケーション、およびその他のタイプのアプリケーションが多用されると検出します。

検出されたそれぞれのアプリケーションに対してシステムは、アプリケーションを使用した IP アドレス、製品、バージョン、および使用が検出された回数を記録します。Web インターフェイスを使用して、アプリケーションイベントを表示、検索、および削除できます。ホスト入力機能を使用して、1 つ以上のホスト上のアプリケーションデータを更新することもできます。

どのアプリケーションがどのホストで稼動しているかがわかっている場合は、その情報をもとにホストプロファイルの認定を作成し、この認定によって、トラフィックプロファイルの作成中に収集するデータを制約することができます。また、相関ルールをトリガーする条件を制約することもできます。また、アプリケーションの検出を相関ルールのベースにすることもできます。たとえば、従業員に特定のメールクライアントを使用させたい場合は、システムが、いずれかの対象ホストで別のメールクライアントが稼動していることを検出したときに相関ルールをトリガーすることができます。

Firepower のアプリケーションディテクタに関する最新情報は、各 Firepower システム更新のリリースノート、各 VDB 更新のアドバイザリをよくご確認ください。

分析用にアプリケーションデータを収集および保存するには、ネットワーク検出ポリシーでアプリケーションの検出が有効になっていることを確認します。

アプリケーションデータの表示


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

Firepower Management Center を使用して、検出されたアプリケーションのテーブルを表示できます。ここでユーザは、検索する情報に応じてイベントビューを操作することができます。

ユーザがアプリケーションにアクセスするときに表示されるページは、使用するワークフローによって異なります。また、特定のニーズを満たす情報だけを表示するカスタムワークフローを作成することもできます。

手順

ステップ 1

次のようにして、アプリケーションデータにアクセスします。

事前定義されたワークフローを使用する場合、[分析（Analysis）] > [ホスト（Hosts）] > [アプリケーション詳細（Application Details）] を選択します。
アプリケーションの詳細のテーブルビューが含まれないカスタムワークフローを使用している場合は、[(ワークフローの切り替え)（(switch workflow)）] をクリックして [クライアント（Clients）] を選択します。

ステップ 2

次の選択肢があります。

[(ワークフローの切り替え)（(switch workflow)）] をクリックしてカスタムワークフローを含む別のワークフローを使用します。
基本的なワークフロー操作を実行します（ディスカバリおよびアイデンティティワークフローの使用を参照）。
テーブルのカラムの内容について詳しく調べます（アプリケーションデータフィールドを参照）。
クライアント、アプリケーションプロトコル、Web アプリケーションの横にあるアプリケーション詳細ビューのアイコン（）をクリックすることによって、特定のアプリケーションの [アプリケーション詳細ビュー（Application Detail View）] を開きます。

アプリケーションデータフィールド

システムは、既知のクライアント、アプリケーションプロトコル、または Web アプリケーションについてトラフィックを検出すると、アプリケーションおよびそのアプリケーションを実行しているホストに関する情報をログに記録します。

次に、アプリケーションテーブルで表示および検索できるフィールドについて説明します。

Application

検出されたアプリケーションの名前。

[IPアドレス（IP Address）]

アプリケーションを使用しているホストに関連付けられている IP アドレス。

タイプ（Type）

アプリケーションのタイプであり、次のものがあります。

アプリケーションプロトコル（Application Protocols）: ホスト間の通信を意味します。
クライアントアプリケーション: ホスト上で動作しているソフトウェアを意味します。
Web アプリケーション（Web Applications）: HTTP トラフィックの内容や要求された URL を意味します。

カテゴリ（Category）

アプリケーションの最も不可欠な機能を表す一般的な分類。各アプリケーションは、少なくとも 1 つのカテゴリに属します。

リスク（Risk）

アプリケーションが組織のセキュリティポリシーに違反することがある目的で使用される可能性。アプリケーションのリスクの範囲は、[極めて低（Very Low）] から [極めて高（Very High）] までです。

侵入イベントをトリガーしたトラフィックで検出される Application Protocol Risk、Client Risk、Web Application Risk の 3 つ（存在する場合）の中で最も高いものとなります。

ビジネスとの関連性（Business Relevance）

アプリケーションが、娯楽目的ではなく、組織のビジネス活動の範囲内で使用される可能性。アプリケーションのビジネスとの関連性の範囲は、[極めて低（Very Low）] から [極めて高（Very High）] までです。

侵入イベントをトリガーしたトラフィックで検出される Application Protocol Business Relevance、Client Business Relevance、Web Application Business Relevance の 3 つ（存在する場合）の中で最も低いものとなります。

現在のユーザ（Current User）

ホストに現在ログインしているユーザの ID（ユーザ名）。

ドメイン

アプリケーションを使用しているホストのドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

メンバー数（Count）

アプリケーション詳細データの表示


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

Firepower Management Center を使用して、検出されたアプリケーションの詳細テーブルを表示できます。ここでユーザは、検索する情報に応じてイベントビューを操作することができます。

ユーザがアプリケーションの詳細にアクセスするときに表示されるページは、使用するワークフローによって異なります。2 つの事前定義されたワークフローがあります。また、特定のニーズを満たす情報だけを表示するカスタムワークフローを作成することもできます。

手順

ステップ 1

次のようにして、アプリケーション詳細データにアクセスします。

事前定義されたワークフローを使用する場合、[分析（Analysis）] > [ホスト（Hosts）] > [アプリケーション詳細（Application Details）] を選択します。
アプリケーションの詳細のテーブルビューが含まれないカスタムワークフローを使用している場合は、[(ワークフローの切り替え)（(switch workflow)）] をクリックして [クライアント（Clients）] を選択します。

ステップ 2

次の選択肢があります。

[(ワークフローの切り替え)（(switch workflow)）] をクリックしてカスタムワークフローを含む別のワークフローを使用します。
基本的なワークフロー操作を実行します（ディスカバリおよびアイデンティティワークフローの使用を参照）。
テーブルのカラムの内容について詳しく調べます（アプリケーションの詳細データフィールドを参照）。
クライアントの横にあるアプリケーション詳細ビューのアイコン（）をクリックして、特定のアプリケーションの [アプリケーション詳細ビュー（Application Detail View）] を開きます。

アプリケーションの詳細データフィールド

次に、アプリケーションの詳細テーブルで表示および検索できるフィールドについて説明します。

前回の使用（Last Used）

アプリケーションが前回使用された時間、またはホスト入力機能を使用してアプリケーションデータが更新された時間。[前回の使用（Last Used）] の値は、システムがアプリケーション情報の更新を検出したときだけでなく、少なくともユーザがネットワーク検出ポリシーに設定した更新間隔の頻度で更新されます。

[IPアドレス（IP Address）]

アプリケーションを使用しているホストに関連付けられている IP アドレス。

クライアント（Client）

アプリケーションの名前。ただし、システムがアプリケーションプロトコルを検出したにも関わらず特定のクライアントを検出できなかった場合は、アプリケーションプロトコル名に client が付加されて一般名が表示されます。

バージョン（Version）

アプリケーションのバージョン。

クライアント、アプリケーションプロトコル、および Web アプリケーションのカテゴリ、タグ、リスク、またはビジネスとの関係性（Category, Tags, Risk, or Business Relevance for Clients, Application Protocols, and Web Applications）

アプリケーションに割り当てられているカテゴリ、タグ、リスクレベル、およびビジネスとの関連性。これらのフィルタを使用して、特定のデータセットを対象にすることができます。

アプリケーションプロトコル（Application Protocol）

アプリケーションで使用されるアプリケーションプロトコル。ただし、システムがアプリケーションプロトコルを検出したにも関わらず特定のクライアントを検出できなかった場合は、アプリケーションプロトコル名に client が付加されて一般名が表示されます。

Web アプリケーション（Web Application）

HTTP トラフィックでシステムが検出したペイロードコンテンツまたは URL に基づく Web アプリケーション。ただし、HTTP のアプリケーションプロトコルが検出されたにも関わらず特定の Web アプリケーションを検出できない場合、ここには、標準の Web 閲覧先が表示されます。

ヒット数（Hits）

システムが使用中のアプリケーションを検出した回数。ホスト入力機能を使用して追加されたアプリケーションの場合、この値は常に 0 になります。

ドメイン

Device

アプリケーションの詳細が含まれている検出イベントを生成したデバイス。

現在のユーザ（Current User）

ホストに現在ログインしているユーザの ID（ユーザ名）。

メンバー数（Count）

脆弱性データ

Firepower システムには、それ独自の脆弱性追跡データベースが含まれています。そのデータベースは、このシステムのフィンガープリンティング機能と組み合わせて使用されて、ネットワーク上のホストに関連付けられている脆弱性が特定されます。ホストで稼動しているオペレーティングシステム、サーバ、およびクライアントには、関連付けられている異なる脆弱性一式があります。

Firepower Management Center を使用して次のことを行えます。

ホストごとの脆弱性を追跡および確認できます。
ホストにパッチを適用した後、またはホストが脆弱性に影響されないと判断した場合は、そのホストの脆弱性を非アクティブにすることができます。

サーバで使用されるアプリケーションプロトコルが Firepower Management Center 構成内でマップされない限り、ベンダーレスおよびバージョンレスのサーバの脆弱性はマップされません。ベンダーレスおよびバージョンレスのクライアントの脆弱性はマップできません。

脆弱性データのフィールド

以下に説明する脆弱性データのフィールドは、脆弱性のテーブルビューと脆弱性の詳細表示で次のように表示されます。

表 1. 表示場所別の脆弱性データフィールド
フィールド	テーブルビュー	詳細の表示
その他の情報	No	Yes
使用可能なエクスプロイト（Available Exploits）	Yes	Yes
Bugtraq ID	Yes	Yes
CVE ID	No	Yes
メンバー数（Count）	Yes	No
発行日（Date Published）	Yes	Yes
説明	Yes	Yes
修正（Fixes）	No	Yes
影響修飾子（Impact Qualification）	No	Yes
[リモート（Remote）]	Yes	Yes
Snort ID	Yes	Yes
ソリューション	Yes	Yes
SVID	Yes	Yes
技術的説明（Technical Description）	Yes	Yes
役職（Title）	Yes	Yes
脆弱性の影響（Vulnerability Impact）	Yes	Yes

その他の情報

既知の不正利用や可用性、不正利用のシナリオ、脆弱性を軽減する方針など、脆弱性に関する追加情報を（利用可能な場合に）表示するには、矢印をクリックします。

使用可能なエクスプロイト（Available Exploits）

脆弱性に対して既知の不正利用があるかどうかを示します（TRUE/FALSE）。

Bugtraq ID

Bugtraq データベースにおいて脆弱性に関連付けられている識別番号。（http://www.securityfocus.com/bid/）

メンバー数（Count）

CVE ID

MITRE の Common Vulnerabilities and Exposures（CVE）データベースで、脆弱性に関連付けられている識別番号（http://www.cve.mitre.org/）。

発行日（Date Published）

脆弱性が公開された日付。

説明

脆弱性についての簡単な説明。

修正（Fixes）

選択した脆弱性に対して、ダウンロード可能なパッチへのリンクを提供します。

ヒント

修正ファイルまたはパッチのダウンロードに対する直接リンクが表示されている場合は、リンクを右クリックして、自分のローカルコンピュータへ保存します。

影響修飾子（Impact Qualification）

ドロップダウンリストを使用して、脆弱性を有効または無効にします。Firepower Management Center は、影響の相関関係において、無効な脆弱性を無視します。

ユーザがここで指定する設定によって、システム全体で脆弱性がどのように処理されるか、およびユーザが値を選択するホストプロファイルに脆弱性が限定されないかが決まります。

[リモート（Remote）]

脆弱性がリモートで不正利用されるかどうかを示します（TRUE/FALSE）。

Snort ID

Snort ID（SID）データベースにおいて脆弱性に関連付けられている識別番号。つまり、侵入ルールで特定の脆弱性を悪用するネットワークトラフィックを検出できる場合、その脆弱性は、侵入ルールの SID に関連付けられます。

脆弱性は複数の SID に関連付けることが可能（または SID に関連付けないことも可能）であることに注意してください。脆弱性が複数の SID に関連付けられている場合、脆弱性テーブルには、各 SID に対して 1 つのローが含まれています。

ソリューション

脆弱性の修復に関する情報。

SVID

脆弱性を追跡するためにシステムで使用する Cisco の脆弱性識別番号。

SVID について脆弱性の詳細にアクセスするには、表示アイコン（）をクリックします。

技術的説明（Technical Description）

脆弱性に関する詳細な技術的説明。

役職（Title）

脆弱性のタイトル。

脆弱性の影響（Vulnerability Impact）

Bugtraq データベースにおいて脆弱性に割り当てられている重大度を示します。0 ～ 10 の値で、10 が最も重大です。脆弱性の影響は、Bugtraq エントリの作成者によって決定されます。この作成者は、自身の判断および SANS Critical Vulnerability Analysis（CVA）の基準に従って脆弱性の影響を決定します。

脆弱性の非アクティブ化

脆弱性を非アクティブ化すると、システムでこの脆弱性を使用して侵入の影響の関連付けを評価することができなくなります。ネットワーク上のホストにパッチを適用した後、またはホストが脆弱性の影響を受けないと判断した後に、脆弱性を非アクティブ化できます。システムが、この脆弱性から影響を受けている新しいホストを検出すると、この脆弱性はこのホストに対して有効であると見なされます（自動的には非アクティブ化されません）。

IP アドレスによって制約されていない脆弱性ワークフロー内である 1 つの脆弱性を非アクティブ化すると、ネットワーク上の検出されたすべてのホストに対してその脆弱性が非アクティブ化されます。脆弱性ワークフロー内の脆弱性を非アクティブ化できるのは、次の各ページだけです。

デフォルトの脆弱性ワークフローの 2 ページ目の [ネットワーク上の脆弱性（Vulnerabilities on the Network）]。これには、ネットワーク上のホストに適用される脆弱性のみが表示されます。
脆弱性ワークフロー（カスタムまたは事前定義）のページ。このワークフローは、検索を使用して IP アドレスに基づいて制約されます。

1 台のホストに対して 1 つの脆弱性を非アクティブ化できます。この非アクティブ化は、ネットワークマップの使用、ホストのホストプロファイルの使用、または脆弱性を非アクティブ化する対象の 1 つ以上のホストの IP アドレスに基づいて脆弱性ワークフローを制約することによって行えます。関連付けられた複数の IP アドレスを持つホストの場合、この機能はそのホストの選択された 1 つの IP アドレスのみに適用されます。

マルチドメイン展開では、先祖ドメインで脆弱性を非アクティブ化すると、すべての子孫ドメインでその脆弱性が非アクティブ化されます。リーフドメインでは、脆弱性が先祖ドメインでアクティブ化された場合、リーフドメインのデバイスの脆弱性をアクティブ化または非アクティブ化できます。

脆弱性データの表示


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

Firepower Management Center を使用して、脆弱性のテーブルを表示できます。ここでユーザは、検索する情報に応じてイベントビューを操作することができます。

脆弱性にアクセスするときに表示されるページは、使用するワークフローによって異なります。ユーザは事前定義のワークフローを使用できますが、これには脆弱性のテーブルビューが含まれています。検出されたいずれかのホストが脆弱性を示しているかどうかに関係なく、テーブルビューにはデータベース内の各脆弱性に対して 1 つのローが含まれています。事前定義のワークフローの 2 ページ目には、ネットワーク上で検出されたホストに適用されるそれぞれの脆弱性（まだユーザが非アクティブにしていないもの）に対して 1 つのローが含まれています。事前定義のワークフローは脆弱性の詳細ビューで終了しますが、このビューには、制約を満たすすべての脆弱性について詳細な説明が含まれています。

ヒント

単一のホストまたはホストのセットに適用される脆弱性を表示する場合は、ホストの IP アドレスまたは IP アドレスの範囲を指定して、脆弱性の検索を実行します。

また、特定のニーズを満たす情報だけを表示するカスタムワークフローを作成することもできます。

脆弱性のテーブルは、マルチドメイン展開のドメインによって制限されません。

手順

ステップ 1

次のように、脆弱性のテーブルにアクセスします。

事前定義された脆弱性ワークフローを使用する場合、[分析（Analysis）] > [脆弱性（Vulnerabilities）] > [脆弱性（Vulnerabilities）] を選択します。
脆弱性テーブルビューが含まれないカスタムワークフローを使用している場合は、[(ワークフローの切り替え)（(switch workflow)）] をクリックして [脆弱性（Vulnerabilities）] を選択します。

ステップ 2

次の選択肢があります。

基本的なワークフロー操作を実行します（ディスカバリおよびアイデンティティワークフローの使用を参照）。
脆弱性を非アクティブにして、現在脆弱な状態にあるホストについて、侵入の影響の相関に使用しないようにします（複数の脆弱性の非アクティブ化を参照）。
SVID カラムの表示アイコン（）をクリックして、脆弱性に関する詳細を表示します。または、脆弱性 ID を制約して脆弱性の詳細ページへドリルダウンします。
タイトルを右クリックして [フルテキストの表示（Show Full Text）] を選択することによって、脆弱性タイトルのフルテキストを表示します。

脆弱性の詳細の表示

手順

脆弱性の詳細は、次の方法のいずれかで表示できます。

[分析（Analysis）] > [脆弱性（Vulnerabilities）] > [脆弱性（Vulnerabilities）] を選択し、SVID の横にある表示アイコン（）をクリックします。
[分析（Analysis）] > [脆弱性（Vulnerabilities）] > [サードパーティの脆弱性（Third-Party Vulnerabilities）] を選択し、SVID の横にある表示アイコン（）をクリックします。
[分析（Analysis）] > [ホスト（Hosts）] > [ネットワークマップ（Network Map）] を選択し、[脆弱性（Vulnerabilities）] タブをクリックします。
脆弱性の影響を受けるホストのプロファイルを表示し、そのプロファイルの [脆弱性（Vulnerabilities）] セクションを展開します。

複数の脆弱性の非アクティブ化


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

IP アドレスで制約されていない脆弱性ワークフロー内で脆弱性を非アクティブにすると、ネットワーク上で検出されたすべてのホストに対する脆弱性が非アクティブ化されます。

マルチドメイン導入では、先祖ドメインで脆弱性を非アクティブ化すると、すべての子孫ドメインでも脆弱性が非アクティブ化されます。リーフドメインは、先祖ドメインで脆弱性がアクティブ化されていれば、自分のデバイスの脆弱性をアクティブ化または非アクティブ化できます。

手順

ステップ 1	次のように、脆弱性のテーブルにアクセスします。事前定義された脆弱性ワークフローを使用する場合、[分析（Analysis）] > [脆弱性（Vulnerabilities）] > [脆弱性（Vulnerabilities）] を選択します。脆弱性テーブルビューが含まれないカスタムワークフローを使用している場合は、[(ワークフローの切り替え)（(switch workflow)）] をクリックして [脆弱性（Vulnerabilities）] を選択します。
ステップ 2	[ネットワークの脆弱性（Vulnerabilities on the Network）] をクリックします。
ステップ 3	非アクティブにする脆弱性の横にあるチェックボックスをオンにします。
ステップ 4	ページ下部の [レビュー（Review）] をクリックします。

サードパーティの脆弱性データ

Firepower システムには、それ独自の脆弱性追跡データベースが含まれています。そのデータベースは、このシステムのフィンガープリンティング機能と組み合わせて使用されて、ネットワーク上のホストに関連付けられている脆弱性が特定されます。

システムの脆弱性データは、サードパーティ製のアプリケーションからインポートしたネットワークマップデータで補完できます。これを行うには、組織で、このデータをインポートするためのスクリプトを記述できるか、コマンドラインでファイルのインポートを作成できなければなりません。詳細については、Firepower System Host Input API Guideを参照してください。

インポートしたデータを影響の相関に含めるには、サードパーティの脆弱性情報を、データベース内のオペレーティングシステムおよびアプリケーションの定義にマップする必要があります。サードパーティの脆弱性情報は、クライアントの定義にマップすることはできません。

サードパーティの脆弱性データの表示


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

ホスト入力機能を使用してサードパーティの脆弱性データをインポートした後で、Firepower Management Center を使用してサードパーティの脆弱性のテーブルを表示することができます。ここでユーザは、検索する情報に応じてイベントビューを操作することができます。

サードパーティの脆弱性にアクセスするときに表示されるページは、使用するワークフローによって異なります。2 つの事前定義されたワークフローがあります。また、特定のニーズを満たす情報だけを表示するカスタムワークフローを作成することもできます。

手順

ステップ 1

次のようにして、サードパーティの脆弱性データにアクセスします。

事前定義されたワークフローを使用する場合、[分析（Analysis）] > [脆弱性（Vulnerabilities）] > [サードパーティの脆弱性（Third-Party Vulnerabilities）] を選択します。
サードパーティの脆弱性のテーブルビューが含まれないカスタムワークフローを使用している場合は、[(ワークフローの切り替え)（(switch workflow)）] をクリックして [送信元別の脆弱性（Vulnerabilities by Source）] または [IP アドレス別の脆弱性（Vulnerabilities by IP Address）] を選択します。

ステップ 2

次の選択肢があります。

[(ワークフローの切り替え)（(switch workflow)）] をクリックしてカスタムワークフローを含む別のワークフローを使用します。
基本的なワークフロー操作を実行します（ディスカバリおよびアイデンティティワークフローの使用を参照）。
テーブルのカラムの内容について詳しく調べます（サードパーティの脆弱性データのフィールドを参照）。
SVID カラムの表示アイコン（）をクリックして、サードパーティの脆弱性に関する詳細を表示します。または、脆弱性 ID を制約して脆弱性の詳細ページへドリルダウンします。

サードパーティの脆弱性データのフィールド

サードパーティの脆弱性テーブルで表示および検索できるフィールドの詳細は以下のとおりです。

脆弱性ソース（Vulnerability Source）

サードパーティの脆弱性のソース（QualysGuard、NeXpose など）。

脆弱性 ID（Vulnerability ID）

ソースの脆弱性に関連付けられている ID 番号。

[IPアドレス（IP Address）]

脆弱性の影響を受けるホストに関連付けられている IP アドレス。

[ポート（Port）]

ポート番号（脆弱性が、特定のポート上で実行されているサーバに関連付けられている場合）。

Bugtraq ID

Bugtraq データベースにおいて脆弱性に関連付けられている識別番号。（http://www.securityfocus.com/bid/）

CVE ID

MITRE の Common Vulnerabilities and Exposures（CVE）データベースで、脆弱性に関連付けられている識別番号（http://www.cve.mitre.org/）。

SVID

脆弱性を追跡するためにシステムで使用する従来の脆弱性識別番号。

SVID について脆弱性の詳細にアクセスするには、表示アイコン（）をクリックします。

Snort ID

役職（Title）

脆弱性のタイトル。

説明

脆弱性についての簡単な説明。

ドメイン

この脆弱性を持つホストのドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

メンバー数（Count）

ユーザおよびユーザアクティビティデータ

ユーザおよびユーザアクティビティデータは、個々のユーザ関連のワークフローに表示されます。

ユーザ：このワークフローは、ネットワークで認識されるすべてのユーザを表示します。この表では 1 ユーザが 1 つの行を占めます。詳細については、ユーザデータ（User Data）を参照してください。
ユーザアクティビティ：このワークフローは、ネットワークで認識されるすべてのユーザアクティビティを表示します。この表では、複数のユーザアクティビティインスタンスを持つ 1 ユーザが複数の行を占めます。詳細については、ユーザアクティビティデータを参照してください。

これらのワークフローの入力元であるアイデンティティソースの詳細については、ユーザアイデンティティソースについてを参照してください。

ユーザ関連フィールド

ユーザ関連データは、ユーザおよびユーザアクティビティのテーブルに表示されます。

表 2. ユーザおよびユーザアクティビティのフィールドの説明

フィールド

説明

[ユーザテーブル（Users Table）]

[ユーザアクティビティ（User Activity）] テーブル

認証タイプ（Authentication Type）

認証のタイプ：[認証なし（No Authentication）]、[パッシブ認証（Passive Authentication）]、[アクティブ認証（Active Authentication）]、[ゲスト認証（Guest Authentication）]、または [失敗した認証（Failed Authentication）]。

○

メンバー数（Count）

（注）

[カウント（Count）] フィールドは、制約を適用した結果、同じ行が複数作成された場合にのみ表示されます。

特定の行に表示される情報と一致するユーザまたはイベントの数。

○

現在の IP（Current IP）

ユーザがログインしたホストに関連付けられている IP アドレス。ユーザがログインした後で、権限を持っている他のユーザが同じ IP アドレスでホストにログインすると、このフィールドは空白になります。ただし、あるユーザが権限を持っており、新しいユーザが権限を持っていない場合は除きます。（システムは、IP アドレスと、最後にホストにログインした権限のあるユーザを関連付けます。）

○

部署名（Department）

ユーザの部署（レルムが取得）。サーバ上のユーザに明示的に関連付けられている部門がない場合、この部門は、サーバが割り当てるいずれかのデフォルトグループとして示されます。たとえば、Active Directory では、これは Users (ad) となります。以下の場合、このフィールドは空白になります。

レルムを設定していない。
Firepower Management Center が、Management Center データベースのユーザと LDAP レコードを相関させていない（AIM、Oracle、または SIP ログインによってユーザがデータベースに追加された場合など）。

○

説明

ユーザまたはユーザアクティビティについての詳細情報（利用可能な場合）。

○

Device

トラフィックベースの検出によって検出されたユーザアクティビティの場合、ユーザを検出したデバイスの名前。他のタイプのユーザアクティビティの場合は、管理している側の Firepower Management Center になります。

○

ドメイン

[ユーザ（Users）] テーブルでは、ユーザのレルムに関連付けられたドメイン。

[ユーザアクティビティ（User Activity）] テーブルでは、ユーザアクティビティが検出されたドメイン。

このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

○

電子メール（E-Mail）

ユーザのメールアドレス。以下の場合、このフィールドは空白になります。

AIM ログインによってユーザがデータベースに追加された。
LDAP ログインによってユーザがデータベースに追加されており、LDAP サーバ上にユーザと関連付けられている電子メールアドレスが存在しない。

○

終了ポート（End Port）

TS エージェントによってユーザが報告され、そのユーザのセッションが現在アクティブである場合、このフィールドは、ユーザに割り当てられたポート範囲の終了値を示します。ユーザの TS エージェントセッションが非アクティブである場合、またはユーザが別のアイデンティティソースによって報告された場合、このフィールドは空白になります。

○

エンドポイントロケーション（Endpoint Location）

ISE で指定された、ユーザの認証に ISE を使用したネットワークデバイスの IP アドレス。ISE を設定していない場合、このフィールドは空白です。

○

エンドポイントプロファイル（Endpoint Profile）

Cisco ISE によって識別されるユーザのエンドポイントデバイスタイプ。ISE を設定していない場合、このフィールドは空白です。

○

イベント

ユーザアクティビティのタイプ。

○

名

ユーザの名（レルムが取得）。以下の場合、このフィールドは空白になります。

レルムを設定していない。
Firepower Management Center が、Management Center データベースのユーザと LDAP レコードを相関させていない（AIM、Oracle、または SIP ログインによってユーザがデータベースに追加された場合など）。
サーバに、対象のユーザと関連付けられている名がない。

○

[IPアドレス（IP Address）]

「ユーザログイン（User Login）」アクティビティの場合はログインに関連する IP アドレスです。ユーザのホストの IP アドレス（LDAP、POP3、IMAP、FTP、HTTP、MDNS、および AIM ログインの場合）、サーバの IP アドレス（SMTP および Oracle ログインの場合）、またはセッションの開始者の IP アドレス（SIP ログインの場合）のいずれかになります。

関連付けられている IP アドレスは、そのユーザが IP アドレスの現行のユーザであることを意味するわけではないので注意してください。権限を持たないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されます。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることができます。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。

他のタイプのユーザアクティビティの場合、このフィールドは空白です。

○

姓

ユーザの姓（レルムが取得）。以下の場合、このフィールドは空白になります。

レルムを設定していない。
Firepower Management Center が、Management Center データベースのユーザと LDAP レコードを相関させていない（AIM、Oracle、または SIP ログインによってユーザがデータベースに追加された場合など）。
サーバに、対象のユーザと関連付けられている姓がない。

○

電話

ユーザの電話番号（レルムが取得）。以下の場合、このフィールドは空白になります。

レルムを設定していない。
Firepower Management Center が、Management Center データベースのユーザと LDAP レコードを相関させていない（AIM、Oracle、または SIP ログインによってユーザがデータベースに追加された場合など）。
サーバに、対象のユーザと関連付けられている電話番号が存在しない。

○

レルム

ユーザに関連付けられているアイデンティティレルム。

○

セキュリティグループタグ（Security Group Tag）

パケットが信頼できる TrustSec ネットワークへ送信されたときに、Cisco TrustSec によって適用される [セキュリティグループタグ（Security Group Tag）]（SGT）属性。ISE を設定していない場合、このフィールドは空白です。

○

開始ポート（Start Port）

TS エージェントによってユーザが報告され、そのユーザのセッションが現在アクティブである場合、このフィールドは、ユーザに割り当てられたポート範囲の開始値を示します。ユーザの TS エージェントセッションが非アクティブである場合、またはユーザが別のアイデンティティソースによって報告された場合、このフィールドは空白になります。

○

時刻（Time）

システムがユーザアクティビティを検出した時間。

○

タイプ（Type）

ユーザの検出に使用されるプロトコル。これは、ldap、pop3、imap、oracle、sip、http、ftp、mdns、aim のいずれかです。ユーザは SMTP ログインに基づいてデータベースに追加されることはないため、このフィールドには smtp は表示されません。

○

ユーザ（User）

このフィールドには少なくとも、ユーザのレルムとユーザ名が表示されます。たとえば、Lobby\jsmith と表示された場合は、Lobby がレルム、jsmith がユーザ名です。

レルムが LDAP サーバから追加のユーザデータをダウンロードし、システムがそれをユーザに関連付けた場合は、このフィールドにユーザの名、姓、タイプも表示されます。たとえば、John Smith (Lobby\jsmith, LDAP) と表示された場合は、John Smith がユーザの名前、LDAP がそのタイプです。

（注）

トラフィックベースの検出では失敗した AIM ログインが記録される可能性があるため（たとえば、ユーザが正しくないユーザ名を入力した場合など）、Firepower Management Center は無効な AIM ユーザを保存する可能性があります。

○

[ユーザ名（Username）]

ユーザに関連付けられているユーザ名。

○

ユーザデータ（User Data）

アイデンティティソースが、データベースに存在しないユーザのユーザログインを報告した場合、そのログインタイプが特に制限されていない限り、そのユーザはデータベースに追加されます。

次のいずれかが発生すると、システムはユーザデータベースを更新します。

Firepower Management Center のユーザが、[ユーザ（Users）] テーブルから権限のないユーザを手動で削除する。
アイデンティティソースが、そのユーザによるログオフを報告する。
レルムがレルムの [ユーザセッションのタイムアウト：認証されたユーザ（User Session Timeout: Authenticated Users）] 設定、[ユーザセッションのタイムアウト：認証に失敗したユーザ（User Session Timeout: Failed Authentication Users）] 設定、または [ユーザセッションのタイムアウト：ゲストユーザ（User Session Timeout: Guest Users）] 設定で指定されているユーザセッションを終了した。

（注）

ISE が設定されている場合は、ユーザテーブルにホストデータが表示されることがあります。ISE によるホスト検出は完全にはサポートされていないため、ISE によって報告されたホストデータを使用してユーザ制御を実行することはできません。

システムによって検出されたユーザログインのタイプに応じて、新しいユーザのどの情報が保存されるかが決まります。


ID ソース	ログインタイプ	格納されるユーザデータ
ISE	Active Directory LDAP RADIUS RSA	ユーザ名現行の IP アドレスセキュリティグループタグ（SGT）エンドポイントのプロファイル/デバイスタイプエンドポイントの場所/場所 IP タイプ（LDAP）
ユーザエージェント	Active Directory	ユーザ名現行の IP アドレスタイプ（LDAP）
TS エージェント	Active Directory	ユーザ名現行の IP アドレス開始ポート終了ポートタイプ（LDAP）
キャプティブポータル	Active Directory LDAP	ユーザ名現行の IP アドレスタイプ（LDAP）
トラフィックベースの検出	LDAP  AIM  Oracle  SIP  HTTP  FTP  MDNS	ユーザ名現行の IP アドレスタイプ（AD）
トラフィックベースの検出	POP3  IMAP	ユーザ名現行の IP アドレス電子メールアドレスタイプ（`pop3` または `imap`）

ユーザを自動的にダウンロードするようにレルムを設定すると、Firepower Management Center は指定した間隔に基づいてサーバに対するクエリを実行します。システムが新しいユーザのログインを検出してから、Firepower Management Center データベースがユーザのメタデータを更新するまでに、5～10 分かかることがあります。Firepower Management Centerは、ユーザごとに次の情報とメタデータを取得します。

ユーザ名
姓と名
電子メールアドレス
部署
電話番号
現行の IP アドレス
セキュリティグループタグ（SGT）（使用可能な場合）
エンドポイントのプロファイル（使用可能な場合）
エンドポイントの場所（使用可能な場合）
開始ポート（使用可能な場合）
終了ポート（使用可能な場合）

Firepower Management Center がデータベースに格納できるユーザの数は、Firepower Management Center のモデルによって異なります。ホストに対して権限を持たないユーザがログインしていることが検出された場合、そのログインはユーザおよびホストの履歴に記録されます。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることができます。ただし、ホストに対して権限を持つユーザのログインが検出された後は、権限を持つ別のユーザがログインした場合にのみ、現行ユーザが変わります。

AIM、Oracle、および SIP のログインがトラフィックベースで検出された場合は、システムが LDAP サーバから取得したどのユーザメタデータにも関連付けられないため、これらのログインにより重複したユーザレコードが作成されることに注意してください。これらのプロトコルから重複したユーザレコードを取得することに起因するユーザカウントの過度な使用を回避するには、これらのプロトコルを無視するようにトラフィックベースの検出を設定します。

データベースからユーザを検索、表示、削除することができます。また、データベースからすべてのユーザを消去することもできます。

一般的なユーザ関連のイベントトラブルシューティングについては、レルムとユーザのダウンロードのトラブルシュートを参照してください。

ユーザデータの表示


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

ユーザのテーブルを表示して、検索する情報に応じてイベントビューを操作することができます。

ユーザにアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義のワークフローを使用することができますが、これには、検出されたすべてのユーザが記載されているユーザのテーブルビューが含まれています。このワークフローは、ユーザの詳細ページで終了します。ユーザの詳細ページは、制約を満たす各ユーザについての情報を提供します。

手順

ステップ 1

次のように、ユーザデータにアクセスします。

事前定義されたワークフローを使用する場合、[分析（Analysis）] > [ユーザ（Users）] > [ユーザ（Users）] を選択します。
ユーザのテーブルビューが含まれないカスタムワークフローを使用している場合は、[(ワークフローの切り替え)（(switch workflow)）] をクリックして [ユーザ（Users）] を選択します。

ステップ 2

次の選択肢があります。

[(ワークフローの切り替え)（(switch workflow)）] をクリックしてカスタムワークフローを含む別のワークフローを使用します。
基本的なワークフロー操作を実行します（ディスカバリおよびアイデンティティワークフローの使用を参照）。
テーブルのカラムの内容について詳しく調べます（ユーザ関連フィールドを参照）。

ユーザアクティビティデータ

Firepower システムでは、ネットワーク上のユーザアクティビティの詳細を伝達するイベントを生成します。システムがユーザアクティビティを検出すると、そのユーザアクティビティデータはデータベースに記録されます。ユーザアクティビティは、表示、検索、および削除することも、すべてのユーザアクティビティをデータベースから消去することもできます。

あるユーザがネットワーク上で初めて確認されると、システムはそのユーザアクティビティイベントをログに記録します。そのユーザがその後に確認された場合、新しいユーザアクティビティイベントはログに記録されません。ただし、そのユーザの IP アドレスが変わった場合、システムは新しいユーザアクティビティイベントをログに記録します。

Firepower システムでは、ユーザアクティビティと他のタイプのイベントとの関連付けも行います。たとえば、侵入イベントは、そのイベントの発生時に送信元ホストと宛先ホストにログインしていたユーザを通知することができます。この関連付けにより、攻撃の対象になったホストにログインしていたユーザ、または内部攻撃やポートスキャンを開始したユーザがわかります。

ユーザアクティビティは、相関ルールで使用することもできます。相関ルールは、ユーザアクティビティのタイプだけでなく、指定した他の条件に基づいて作成することができます。相関ルールが相関ポリシーで使用される場合、ネットワークトラフィックが条件を満たしたときは、相関ルールが修復およびアラートの応答を起動します。

（注）

ISE を設定していた場合、ホストデータがユーザテーブルに表示されることがあります。ISE によるホスト検出は完全にはサポートされていないため、ISE によって報告されたホストデータを使用してユーザ制御を実行することはできません。

次に、4 つのタイプのユーザアクティビティデータについて説明します。

新しいユーザのアイデンティティ（New User Identity）

このタイプのイベントは、システムがデータベースに存在しない不明なユーザによるログインを検出したときに生成されます。

ユーザログイン（User Login）

このタイプのイベントは、次のことが発生した後に生成されます。

ユーザエージェント、ISE、または TS エージェントが正常なユーザログインを報告した。
キャプティブポータルのユーザ認証の実行が成功または失敗した。
トラフィックベースの検出がユーザログインの成功または失敗を検出した。

（注）

トラフィックベースの検出で検出された SMTP ログインは、一致する電子メールアドレスを持つユーザがデータベースにすでに存在する場合を除いて記録されません。

権限のないユーザがあるホストにログインすると、そのログインはユーザとホストの履歴に記録されます。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることができます。ただし、権限のあるユーザがそのホストにログインした後は、別の権限のあるユーザによるログインだけが現行ユーザを変更します。

キャプティブポータルまたはトラフィックベースの検出を使用する場合、失敗したユーザログインと失敗したユーザ認証データについて、次の点に注意してください。

トラフィックベースの検出（LDAP、IMAP、FTP、および POP3 トラフィック）から報告された失敗したログインは、ユーザアクティビティのテーブルビューに表示されますが、ユーザのテーブルビューには表示されません。既知のユーザがログインに失敗した場合、システムではそのユーザをそのユーザ名で識別します。不明なユーザがログインに失敗した場合、システムではそのユーザ名として [失敗した認証（Failed Authentication）] を使用します。
キャプティブポータルから報告された失敗した認証は、ユーザアクティビティのテーブルビューとユーザのテーブルビューの両方に表示されます。既知のユーザが認証に失敗した場合、システムではそのユーザをそのユーザ名で識別します。不明なユーザが認証に失敗した場合、システムではそのユーザをそのユーザが入力したユーザ名で識別します。

ユーザのアイデンティティの削除（Delete User Identity）

このタイプのイベントは、データベースからユーザを手動で削除したときに生成されます。

ドロップ（廃棄）されたユーザのアイデンティティ：ユーザ制限に到達（User Identity Dropped: User Limit Reached）

このタイプのイベントは、システムがデータベースに存在しないユーザを検出したものの、Firepower Management Center のモデルで決定されているデータベースの最大ユーザ数に達したためにユーザを追加できなかったときに生成されます。

ユーザ制限に達すると、ほとんどの場合、データベースへの新しいユーザの追加が停止されます。新しいユーザを追加するには、古いユーザまたは非アクティブなユーザをデータベースから手動で削除するか、データベースからすべてのユーザを消去する必要があります。

ただし、システムでは権限のあるユーザが優先されます。すでに制限に達しており、これまでに検出されていない権限のあるユーザのログインが検出された場合、システムは長期間非アクティブな状態が続いている権限のないユーザを削除して、権限のある新しいユーザに置き換えます。

ユーザの侵害の兆候イベント

次のユーザの IOC の変化がユーザアクティビティデータベースに記録されます。

侵害の兆候が解決された場合。
侵害の兆候ルールがユーザに対して有効または無効にされた場合。

一般的なユーザ関連のイベントトラブルシューティングについては、レルムとユーザのダウンロードのトラブルシュートを参照してください。

ユーザアクティビティデータの表示


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

ユーザアクティビティのテーブルを表示して、検索する情報に応じてイベントビューを操作することができます。ユーザアクティビティにアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義のワークフローを使用することができます。このワークフローにはユーザアクティビティのテーブルビューが含まれており、制約を満たすすべてのユーザの詳細が含まれている、ユーザの詳細ページで終了します。また、特定のニーズを満たす情報だけを表示するカスタムワークフローを作成することもできます。

手順

ステップ 1

次のように、ユーザアクティビティデータにアクセスします。

事前定義されたワークフローを使用する場合、[分析（Analysis）] > [ユーザ（Users）] > [ユーザアクティビティ（User Activity）] を選択します。
ユーザアクティビティのテーブルビューが含まれないカスタムワークフローを使用している場合は、[(ワークフローの切り替え)（(switch workflow)）] をクリックして [ユーザアクティビティ（User Activity）] を選択します。

ヒント

イベントが表示されない場合は、時間範囲の調整が必要な可能性があります（時間枠の変更を参照）。

ステップ 2

次の選択肢があります。

[(ワークフローの切り替え)（(switch workflow)）] をクリックしてカスタムワークフローを含む別のワークフローを使用します。
基本的なワークフロー操作を実行します（ディスカバリおよびアイデンティティワークフローの使用を参照）。
テーブルのカラムの内容について詳しく調べます（ユーザ関連フィールドを参照）。

ユーザプロファイルとホスト履歴

特定のユーザの詳細については、[ユーザ（User）] ポップアップウィンドウを表示して確認することができます。表示されるページ（このマニュアルでは「ユーザプロファイル」と呼んでいます）には、Web インターフェイスで「ユーザのアイデンティティ（User Identity）」というタイトルが付いています。

このウィンドウは、次のビューから表示できます。

ユーザデータを他の種類のイベントに関連付けるすべてのイベントビュー
ユーザのテーブルビュー

ユーザ情報は、ユーザワークフローの最終ページにも表示されます。

表示されるユーザデータは、ユーザのテーブルビューで表示されるものと同じです。

[侵害の兆候（Indications of Compromise）] セクション

このセクションについては、次のセクションを参照してください。

侵害の兆候
侵害の兆候データフィールド
単一ホストまたはユーザにおける侵害の兆候のルール状態の編集
侵害の兆候タグの解決
侵害の兆候のタグのソースイベントの表示

[ホストの履歴（Host History）] セクション

ホストの履歴には、過去 24 時間のユーザアクティビティがグラフィック表示されます。ユーザがログインおよびログオフしたホストの IP アドレスのリストには、ログインとログアウトの概算時間が棒グラフで示されます。一般的なユーザは、1 日の間に複数のホストに対してログオンおよびログオフする可能性があります。たとえば、メールサーバに対する定期的な自動ログインは複数回の短時間のセッションとして示されますが、（勤務時間中などの）長時間のログインは、長時間のセッションとして示されます。

トラフィックベースの検出またはキャプティブポータルを使用して失敗したログインをキャプチャした場合、ホストの履歴にはユーザがログインに失敗したホストも含まれます。

ホストの履歴を生成するために使用されるデータは、ユーザの履歴データベースに格納されます。このデータベースには、デフォルトで 1000 万のユーザログインイベントが格納されます。ホストの履歴に特定のユーザに関するデータが表示されない場合、そのユーザが非アクティブであるか、またはデータベースの制限を増やさなければならないことがあります。

ユーザの詳細およびホスト履歴の表示


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Any Security Analyst

手順

次の 2 つの対処法があります。

ユーザをリストする任意のイベントビューで、ユーザ ID の横に表示されるユーザアイコン（または、侵入の痕跡に関連付けられているユーザ）をクリックします。
いずれかのユーザワークフローで、[ユーザ（Users）] の最終ページをクリックします。

ステップ 1	[概要（Overview）] > [概要（Summary）] > [検出パフォーマンス（Discovery Performance）]を選択します。
ステップ 2	[デバイスの選択（Select Device）] リストから、Firepower Management Center または対象とする管理対象デバイスを選択します。
ステップ 3	ディスカバリパフォーマンスグラフタイプで説明されているように、[グラフの選択（Select Graph(s)）] リストから、作成するグラフの種類を選択します。
ステップ 4	[時間範囲の選択（Select Time Range）] リストから、グラフに使用する時間範囲を選択します。
ステップ 5	[グラフ（Graph）] をクリックして、選択した統計情報をグラフ化します。

Firepower Management Center バージョン 6.2 コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： ディスカバリ イベントの操作

ディスカバリ イベントの操作

検出イベントの検出データとアイデンティティ データ

ディスカバリ イベントの統計情報の表示

手順

[統計情報サマリ（Statistics Summary）] セクション

合計イベント数（Total Events）

過去 1 時間のイベントの合計（Total Events Last Hour）

過去 1 日のイベントの合計（Total Events Last Day）

アプリケーションプロトコル合計数（Total Application Protocols）

IP ホストの合計（Total IP Hosts）

MAC ホストの合計（Total MAC Hosts）

ルータの合計（Total Routers）

ブリッジの合計（Total Bridges）

ホスト制限の使用（Host Limit Usage）

最後に受け取ったイベント（Last Event Received）

最後に受信した接続（Last Connection Received）

[イベント分類（Event Breakdown）] セクション

[プロトコル分類（Protocol Breakdown）] セクション

[アプリケーション プロトコル分類（Application Protocol Breakdown）] セクション

[OS 分類（OS Breakdown）] セクション

ディスカバリ パフォーマンス グラフの表示

手順

ディスカバリ パフォーマンス グラフ タイプ

処理されたイベント数/秒

処理された接続数/秒

生成されたイベント数/秒

メガビット/秒

平均バイト/パケット

キロパケット/秒

ディスカバリおよびアイデンティティ ワークフローの使用

手順

検出イベントおよびホスト入力イベント

ディスカバリ イベント タイプ

ホストの追加 MAC の検出

クライアント タイムアウト

クライアント更新

DHCP：IP アドレスの変更

DHCP：IP アドレスの再割り当て

ホップ数の変更

ホスト削除：ホスト制限に到達

ホスト ドロップ：ホスト制限に到達

ホスト IOC 設定

ホスト タイムアウト

ネットワーク デバイスへのホスト タイプの変更

アイデンティティ競合

アイデンティティ タイムアウト

MAC 情報の変更

NETBIOS 名の変更

新しいクライアント

新しいホスト

新しいネットワーク プロトコル

新しい OS

新しい TCP ポート

新しいトランスポート プロトコル

新しい UDP ポート

TCP ポート クローズ

TCP ポート タイムアウト

TCP サーバ情報の更新

UDP ポート クローズ

UDP ポート タイムアウト

UDP サーバ情報の更新

VLAN タグ情報の更新

ホスト入力イベント タイプ

クライアントの追加（Add Client）

ホストの追加（Add Host）

プロトコルの追加（Add Protocol）

スキャン結果の追加（Add Scan Result）

ポートの追加（Add Port）

クライアントの削除（Delete Client）

ホスト/ネットワークの削除（Delete Host/Network）

プロトコルの削除（Delete Protocol）

ポートの削除（Delete Port）

ホスト属性の追加（Host Attribute Add）

ホスト属性の削除（Host Attribute Delete）

ホスト属性値の削除（Host Attribute Delete Value）

章のタイトル：ディスカバリイベントの操作

ディスカバリイベントの操作

検出イベントの検出データとアイデンティティデータ

ディスカバリイベントの統計情報の表示

[アプリケーションプロトコル分類（Application Protocol Breakdown）] セクション

ディスカバリパフォーマンスグラフの表示

ディスカバリパフォーマンスグラフタイプ

ディスカバリおよびアイデンティティワークフローの使用

ディスカバリイベントタイプ

クライアントタイムアウト

ホストドロップ：ホスト制限に到達

ホストタイムアウト

ネットワークデバイスへのホストタイプの変更

アイデンティティタイムアウト

新しいネットワークプロトコル

新しいトランスポートプロトコル

TCP ポートクローズ

TCP ポートタイムアウト

UDP ポートクローズ

UDP ポートタイムアウト

ホスト入力イベントタイプ

オペレーティングシステム定義の設定（Set Operating System Definition）

ディスカバリイベントとホスト入力イベントの表示

ディスカバリイベントのフィールド

ホストデータ

ホストデータの表示

ホストデータフィールド

ホストタイプ（Host Type）

ソースタイプ（Source Type）

選択したホストのトラフィックプロファイルの作成

選択したホストに基づいたコンプライアンスのホワイトリストの作成

ホスト属性データフィールド

コンプライアンスホワイトリストの属性を含む、ユーザ定義のホスト属性（Any user-defined host attribute, including those for compliance white lists）