URL フィルタリング ライセンスでは、要求された URL のカテゴリとレピュテーションに基づいて、Web サイトへのアクセスを制御できます。

• カテゴリ：URL の一般的な分類。たとえば ebay.com は [オークション（Auctions）] カテゴリ、monster.com は [求職（Job Search）] カテゴリに属します。1 つの URL は複数のカテゴリに属することができます。

• レピュテーション：URL が組織のセキュリティ ポリシーに反する目的で使用される可能性のレベル。レピュテーションの範囲は、[高リスク（High Risk）]（レベル 1）から [ウェルノウン（Well Known）]（レベル 5）まであります。

（注）	イベントおよびアプリケーションの詳細で URL カテゴリおよびレピュテーション情報を確認するには、URL 条件を指定して少なくとも 1 つのルールを作成する必要があります。また、最新の脅威インテリジェンスを入手するためには、Cisco Collective Security Intelligence（CSI）との通信を有効にする必要があります。

アクセス コントロール ルールでは、個々の URL または URL グループを手動でフィルタリングすることで、カテゴリおよびレピュテーションベースの URL フィルタリングを補足したり、選択的にオーバーライドしたりすることができます。このタイプの URL フィルタリングは、特別なライセンスなしで実行できます。

たとえば、アクセス コントロールを使用して、組織に適していない Web サイトのカテゴリをブロックできます。ただし、カテゴリに、アクセスの提供を希望する適切な Web サイトが含まれている場合は、そのサイトの手動許可ルールを作成し、カテゴリのブロック ルールの前に配置できます。

手動で特定の URL をフィルタリングする場合は、影響を受ける可能性のあるその他のトラフィックを慎重に考慮してください。ネットワーク トラフィックが URL 条件に一致するかどうか判別するために、システムは単純な部分文字列マッチングを実行します。要求された URL が文字列の一部と一致する場合、URL は一致するものと見なされます。

たとえば example.com へのすべてのトラフィックを許可する場合、ユーザは次の URL を含むサイトを参照できます。

• http://example.com/

• http://example.com/newexample

• http://www.example.com/

別の例として、ign.com（ゲーム サイト）を明示的にブロックする場合を考えてください。ただし、部分列の一致は ign.com をブロックすることを意味していますが、意図していない verisign.com もブロックしてしまいます。

暗号化トラフィックをフィルタリングする場合、システムは SSL ハンドシェイクの実行時に渡された情報（トラフィックの暗号化に使用された公開キー証明書のサブジェクト共通名）に基づき、要求された URL を判断します。

HTTP フィルタリングでは、サブドメインを含むホスト名全体が考慮されます。しかし、HTTPS フィルタリングではサブジェクト共通名に含まれるサブドメインは無視されるため、内で HTTPS URL を手動でフィルタリングする場合は、サブドメイン情報を含めないようにしてください。たとえば、www.example.com ではなく example.com を使用します。

URL フィルタリング ルールを使用して Web サイトをブロックした場合にユーザに何が表示されるかは、サイトが暗号化されているかどうかによって異なります。

• HTTP 接続：タイムアウトまたは接続リセット時の通常のブラウザ ページの代わりに、システムのデフォルトのブロック応答ページが表示されます。このページでは、接続が意図的にブロックされたことを明らかにする必要があります。

• HTTPS（暗号化）接続：システムのデフォルトのブロック応答ページは表示されません。代わりに、安全な接続に障害が発生した場合のブラウザのデフォルト ページが表示されます。エラー メッセージは、ポリシーによってサイトがブロックされたことを示しません。その代わりに、一般的な暗号化アルゴリズムがないことを示します。このメッセージからは、接続を意図的にブロックしたことは明らかになりません。

加えて、Web サイトは、明示的な URL フィルタリング ルールではない他のアクセス コントロール ルールによって、あるいはデフォルト アクションによってブロックされる可能性もあります。たとえば、ネットワークまたは地理位置情報全体をブロックすると、そのネットワーク上にある、またはその地理的な場所にある Web サイトもブロックされます。これらのルールによってブロックされたユーザには、次の制限事項に示すように、応答ページが表示される場合も、されない場合もあります。

URL フィルタリングを実行する際は、サイトが意図的にブロックされたときにユーザに何が表示され、どのようなサイトがブロックされるかをエンドユーザに説明することを検討してください。そうしないと、ユーザはブロックされた接続のトラブルシューティングに相当の時間を費やすおそれがあります。

アクセス ルールの送信元/宛先条件は、トラフィックが通過するセキュリティ ゾーン（インターフェイス）、IP アドレス、または IP アドレスの国または大陸（地理的な場所）、あるいはトラフィックに使用されるプロトコルやポートを定義します。デフォルトは任意のゾーン、アドレス、地理的な場所、プロトコル、およびポートです。

条件を変更するには、その条件内の [+]ボタンをクリックして、対象のオブジェクトまたは要素を選択し、[OK]をクリックします。条件がオブジェクトを必要とする場合で、必要なオブジェクトが存在しない場合、[オブジェクトの新規作成（Create New Object）]をクリックします。ポリシーからオブジェクトまたは要素を削除するには、[X]をクリックします。

次の条件を使用して、ルールに一致する送信元と宛先を特定できます。

送信元ゾーン、宛先ゾーン

トラフィックが通過するインターフェイスを定義する、セキュリティ ゾーンのオブジェクト。一方または両方の基準を定義することもできれば、どちらも定義しないでおくこともできます。指定されていない基準は、あらゆるインターフェイスのトラフィックに適用されます。

• ゾーン内のインターフェイスからデバイスを離れるトラフィックを照合するには、そのゾーンを [宛先ゾーン（Destination Zones）]に追加します。

• ゾーン内のインターフェイスからデバイスに入るトラフィックを照合するには、そのゾーンを [送信元ゾーン（Source Zones）]に追加します。

• 送信元ゾーン条件と宛先ゾーン条件の両方をルールに追加する場合、一致するトラフィックは指定された送信元ゾーンの 1 つから発生し、宛先ゾーンの 1 つを通って出力する必要があります。

トラフィックがデバイスに入出力する場所に基づいてルールを適用する必要がある場合に、この基準を使用します。たとえば、内部ホストに向かうすべてのトラフィックに IPS インスペクションを受けさせるには、内部ゾーンを [送信元ゾーン（Destination Zones）]として選択し、宛先ゾーンを空にします。ルールに IPS フィルタリングを実装するには、ルール アクションは [許可（Allow）]として、ルールの侵入ポリシーを選択する必要があります。

送信元ネットワーク、宛先ネットワーク

トラフィックのネットワーク アドレスまたは場所を定義するネットワーク オブジェクトまたは地理的位置です。

• IP アドレスまたは地理的位置からのトラフィックを照合するには、[送信元ネットワーク（Source Networks）]を設定します。

• IP アドレスまたは地理的位置へのトラフィックを照合するには、[宛先ネットワーク（Destination Networks）]を設定します。

• 送信元（Source）ネットワーク条件と宛先（Destination）ネットワーク条件の両方をルールに追加する場合、送信元 IP アドレスから発信されかつ宛先 IP アドレスに送信されるトラフィックの照合を行う必要があります。

この基準を追加する場合は、次のタブから選択します。

• [ネットワーク（Network）]：制御するトラフィックの送信元または宛先 IP アドレスを定義するネットワーク オブジェクトまたはグループを選択します。

• [地理位置情報置（Geolocation）]：送信元または宛先の国または大陸に基づいてトラフィックを制御するための地理的位置を選択します。ある大陸を選択すると、大陸内のすべての国が選択されます。ルールで地理的位置を直接選択するほか、作成した地理位置情報オブジェクトを選択して場所を定義することもできます。地理的位置を使用すると、そこで使用される可能性のある IP アドレスをすべて把握する必要なく、アクセスを特定の国へ容易に制限できます。

  （注）	常に最新の地理的位置データを使用してネットワーク トラフィックをフィルタ処理できるように、シスコでは、位置情報データベース（GeoDB）を定期的に更新することを強くお勧めします。

送信元ポート、宛先ポート/プロトコル

トラフィックで使用されるプロトコルを定義するポート オブジェクトです。TCP/UDP の場合は、これにポートが含まれる場合があります。ICMP では、コードとタイプが含まれる場合があります。

• プロトコルまたはポートからのトラフィックを照合するには、[送信元ポート（Source Ports）]を設定します。送信元ポートに指定できるのは、TCP/UDP のみです。

• プロトコルまたはポートへのトラフィックを照合するには、[宛先ポート/プロトコル（Destination Ports/Protocols）]を設定します。宛先ポートだけを条件に追加する場合は、異なるトランスポート プロトコルを使用するポートを追加できます。ICMP およびその他の非 TCP/UDP 仕様は宛先ポートのみで許可され、送信元ポートでは許可されません。

• 特定の TCP/UDP ポートから発信されるトラフィックと、特定の TCP/UDP ポート宛てのトラフィックの両方を照合するには、両方を設定します。送信元ポートと宛先ポートの両方を条件に追加する場合は、単一のトランスポート プロトコル（TCP または UDP）を共有するポートのみを追加できます。たとえば、TCP/80 から TCP/8080 へのトラフィックを対象にすることができます。

アクセス ルールのアプリケーション条件は、IP 接続またはフィルタで使用されるアプリケーションを定義します。アプリケーションの定義は、タイプ、カテゴリ、タグ、リスク、またはビジネスとの関連性に基づいて行われます。デフォルトは、すべてのアプリケーションです。

ルール内に個々のアプリケーションを指定することもできますが、アプリケーション フィルタを使用することで、ポリシーを簡単に作成および管理できます。たとえば、リスクが高く、ビジネスとの関連性が低いアプリケーションをすべて認識してブロックするアクセス コントロール ルールを作成できます。ユーザがそれらのアプリケーションの 1 つを使用しようとすると、セッションがブロックされます。

また、シスコでは、システムおよび脆弱性データベース（VDB）の更新により、さらなるアプリケーション検出プログラムを高頻度で更新および追加しています。したがって、ルールを手動で更新しなくても、リスクの高いアプリケーションをブロックするルールが新規アプリケーションにも自動的に適用されます。

アプリケーションおよびフィルタをルール内で直接指定することも、これらの特性を定義するアプリケーション フィルタ オブジェクトを作成することもできます。どちらの指定方法も同機能ですが、オブジェクトを使用したほうが、複合ルールを作成する場合に、「1 条件につき 50 アイテム」というシステム制限に容易に準拠できます。

アプリケーションおよびフィルタ リストを変更するには、条件内の [+] ボタンをクリックし、必要なアプリケーションまたはアプリケーション フィルタ オブジェクト（個別のタブにリスト）を選択して、ポップアップ ダイアログ ボックスの [OK] をクリックします。いずれかのタブで [高度なフィルタ（Advanced Filter）] をクリックすると、特定のアプリケーションの検索に役立つフィルタ条件を選択できます。ポリシーから削除するには、アプリケーション、フィルタ、またはオブジェクトの [x] をクリックします。まだオブジェクト化されていない、複数の条件の組み合わせを 1 つの新規アプリケーション フィルタ オブジェクトとして保存するには、[フィルタとして保存（Save As Filter）] リンクをクリックします。

以下の [高度なフィルタ（Advanced Filter）] 条件を使用すると、ルールと一致するアプリケーションまたはフィルタを識別できます。これらは、アプリケーション フィルタ オブジェクトで使用される要素と同じです。

（注）

単一のフィルタ条件内で選択された複数の項目は、互いに「論理和（OR）」の関係となります。たとえば、リスクが「高（High）」または（OR）「非常に高い（Very High）」となります。フィルタ間の関係は「論理積（AND）」であるため、リスクが「高（High）」または（OR）「非常に高い（Very High）」であり、かつ（AND）ビジネスとの関連性が「低（Low）」または（OR）「非常に低い（Very Low）」となります。フィルタを選択すると、条件を満たすものだけが表示されるように、画面のアプリケーション リストが更新されます。これらのフィルタを使用すると、個別に追加しようとするアプリケーションを特定したり、ルールに追加する必要のあるフィルタが選択されているか確認する場合に役立ちます。

リスク

アプリケーションが、組織のセキュリティ ポリシーに反するおそれのある目的で使用される可能性。「非常に低い（Very Low）」～「非常に高い（Very High）」。

ビジネスとの関連性

娯楽としてではなく、組織の事業運営のコンテキスト内でアプリケーションが使用される可能性。「非常に低い（Very Low）」～「非常に高い（Very High）」。

タイプ

アプリケーションのタイプ。

• アプリケーション プロトコル：HTTP や SSH など、ホスト間の通信を表すアプリケーション プロトコル。

• クライアント プロトコル：Web ブラウザや電子メール クライアントなど、ホスト上で実行されるソフトウェアを表すクライアント。

• Web アプリケーション：MPEG ビデオや Facebook など、HTTP トラフィックのコンテンツ、または要求された URL を表す Web アプリケーション。

カテゴリ

アプリケーションの最も重要な機能を説明する一般分類。

タグ

アプリケーションの補足情報。カテゴリに似ています。

暗号化トラフィックに対しては、SSL プロトコルのタグが付いたアプリケーションだけを使用するトラフィックが識別およびフィルタ処理されます。このタグがないアプリケーションは、暗号化されていないまたは復号されたトラフィックでのみ検出できます。また、システムは（暗号化トラフィックまたは暗号化されていないトラフィックではなく）復号トラフィックのみで検出できるアプリケーションに対し、復号トラフィックタグを割り当てます。

アプリケーション リスト（画面下部）

このリストは、リスト上のオプションからフィルタを選択すると更新されます。したがって、現時点でフィルタに一致するアプリケーションを確認できます。このリストを使用すると、フィルタ条件をルールに追加する場合、必要なアプリケーションがフィルタのターゲットとなっているかどうかを確認できます。特定のアプリケーションを追加するには、このリストから選択します。

アクセス ルールの URL 条件は、Web リクエストで使用される URL を定義するか、または要求された URL が属するカテゴリを定義します。カテゴリを一致させるために、許可またはブロックするサイトの相対的なレピュテーションを指定することもできます。デフォルトでは、すべての URL が許可されます。

URL のカテゴリおよびレピュテーションにより、アクセス コントロール ルールの URL 条件をすぐに作成することができます。たとえば、すべてのゲームサイトやリスクの高いすべてのソーシャル ネットワーキング サイトをブロックすることもできます。ユーザがそのカテゴリとレピュテーションの組み合わせで URL を閲覧しようとすると、セッションがブロックされます。

カテゴリ データおよびレピュテーション データを使用することで、ポリシーの作成と管理も簡素化されます。この方法では、システムが Web トラフィックを期待通りに確実に制御します。最後に、シスコの脅威インテリジェンスは新しい URL だけでなく、既存の URL に対する新しいカテゴリとリスクで常に更新されるため、システムは確実に最新の情報を使用して要求された URL をフィルタします。マルウェア、スパム、ボットネット、フィッシングなど、セキュリティに対する脅威を表す悪意のあるサイトは、組織でポリシーを更新したり新規ポリシーを展開したりするペースを上回って次々と現れては消える可能性があります。

URL リストを変更するには、条件内の [+]ボタンをクリックし、次の方式のいずれかを使用して、適切なカテゴリまたは URL を選択します。ポリシーからカテゴリまたはオブジェクトを削除するには、[X]をクリックします。

[URL] タブ

[+]をクリックし、URL のオブジェクトまたはグループを選択して、[OK]をクリックします。必要なオブジェクトがなければ、[新規 URL の作成（Create New URL）]をクリックします。

（注）	特定のサイトを対象とする URL オブジェクトを設定する前に、手動 URL フィルタリングに関する情報をよくお読みください。URL のマッチングは想定されるようには行われないため、意図せずにサイトをブロックしてしまう可能性があります。たとえば、ゲーム サイト ign.com を明示的にブロックしようとすると、verisign.com、およびその他の「ign」で終わる任意のサイトもブロックしてしまいます。

[カテゴリ（Categories）] タブ

[+]をクリックして必要なカテゴリを選択し、[OK] をクリックします。

デフォルトでは、レピュテーションに関係なく、選択したカテゴリ内のすべての URL にルールが適用されます。レピュテーションに基づいてルールを制限するには、各カテゴリの下向き矢印をクリックし、[任意（Any）]チェックボックスの選択を解除してから、[レピュテーション（Reputation）]スライダを使用してレピュテーション レベルを選択します。レピュテーション スライダの左側は許可されるサイトを、右側はブロックされるサイトを示します。レピュテーションがどのように使用されるかは、ルール アクションによって異なります。

• Web アクセスをブロックまたはモニタするルールの場合、あるレピュテーション レベルを選択すると、そのレベルよりも重大度が高いすべてのレピュテーションが同様に選択されます。たとえば疑わしいサイト（レベル 2）をブロックまたはモニタするようルールを設定した場合、高リスク（レベル 1）のサイトも自動的にブロックまたはモニタされます。

• Web アクセスを許可するルールの場合、あるレピュテーション レベルを選択すると、そのレベルよりも重大度が低いすべてのレピュテーションが同様に選択されます。たとえば無害なサイト（Benign sites）（レベル 4）を許可するようルールを設定した場合、有名（Well known）（レベル 5）サイトもまた自動的に許可されます。

アクセス ルールのユーザ条件は、IP 接続のためのユーザまたはユーザ グループを定義します。アクセス ルールにユーザまたはユーザ グループの条件を含めるには、アイデンティティ ポリシー、および関連付けられたディレクトリ サーバを設定する必要があります。

アイデンティティ ポリシーは、ユーザ ID が特定の接続のために収集されるかどうかを決定します。ID が確立されると、ホストの IP アドレスは指定されたユーザに関連付けらます。したがって、送信元 IP アドレスがユーザにマッピングされるトラフィックは、そのユーザからのものであると見なされます。IP パケット自体にユーザ ID 情報は含まれないため、この IP アドレスとユーザのマッピングが、使用できる最高の近似値となります。

ルールには最大 50 のユーザまたはグループを追加できるため、通常は個々のユーザを選択するよりもグループを選択した方が有意義です。たとえば、エンジニアリング グループに開発ネットワークへのアクセスを許可するルールを作成し、ネットワークへのその他すべてのアクセスを拒否する後続のルールを作成することができます。次に、このルールを新しいエンジニアに適用するために必要なことは、ディレクトリ サーバのエンジニアリング グループにエンジニアを追加するだけです。

ユーザ リストを変更するには、条件内の [+]ボタンをクリックし、次の方式のいずれかを使用して、適切なユーザまたはユーザ グループを選択します。ポリシーからユーザまたはグループを削除するには、[X]をクリックします。

• [ユーザおよびグループ（Users and Groups）タブ：目的のユーザまたはユーザ グループを選択します。グループは、ディレクトリ サーバでグループを設定している場合のみ利用できます。グループを選択すると、ルールは、サブグループを含むすべてのグループのメンバーに適用されます。サブグループで異なる処理を希望する場合、サブグループ用に別のアクセス ルールを作成し、それをアクセス コントロール ポリシーの親グループ用のルールの上に配置する必要があります。

  （注）	デフォルトでは、Active Directory サーバはセカンダリ グループから報告するユーザの数を制限します。この制限は、セカンダリ グループ内のすべてのユーザが報告され、ユーザ条件を含むアクセス コントロール ルールでの使用に適するようにカスタマイズする必要があります。Firepower Device Manager では、ユーザの合計人数が 2000 人に制限されているため、ディレクトリに 2000 人以上のユーザがいる場合、使用可能なすべてのユーザ名が表示されません。

• [特別なエンティティ（Special Entities）]タブ：次から選択してください。

  • [失敗した認証（Failed Authentication）]：認証を促されたユーザが、許容される最大試行回数以内で有効なユーザ名/パスワードのペアを入力できませんでした。認証の失敗それ自体によってユーザがネットワークにアクセスできなくなることはありませんが、これらのユーザのネットワーク アクセスを制限するアクセス ルールを記述することはできます。

  • [ゲスト（Guest）]：これらのユーザをゲストと呼ぶアイデンティティ ルールが設定されていることを除き、ゲスト ユーザとは認証に失敗したユーザと同様です。ゲスト ユーザは認証を促されましたが、最大試行回数以内で認証できませんでした。

  • [認証の必要なし（No Authentication Required）]：ユーザの接続が認証を指定しないアイデンティティ ルールに一致するため、認証が促されませんでした。

  • [不明（Unknown）]：IP アドレスのユーザ マッピングがなく、認証の失敗記録がまだありません。

Firepower システムには、いくつかの侵入ポリシーが用意されています。これらのポリシーは、侵入およびプリプロセッサ ルールの状態と詳細設定を規定する Cisco Talos Security Intelligence and Research Group によって設計されています。これらのポリシーは変更できません。

トラフィックを許可するアクセス コントロール ルールの場合は、次の侵入ポリシーのいずれかを選択して、侵入およびエクスプロイトに関してトラフィックのインスペクションを実行できます。侵入ポリシーは、パターンに基づいて攻撃に関してデコードされたパケットを調べ、悪意のあるトラフィックをブロックまたは修正できます。

侵入インスペクションを有効にするには、[侵入ポリシー（Intrusion Policy）] > [オン（On）] を選択し、スライダを使用して目的のポリシーを選択します。ポリシーは、安全性が最低なものから最高なものへの順序で一覧されます。

• セキュリティより接続を優先（Connectivity over Security）：このポリシーは、接続（すべてのリソースにアクセスできること）がネットワーク インフラストラクチャのセキュリティより優先される組織向けに作成されています。この侵入ポリシーは、Security over Connectivity ポリシー内で有効になっているルールよりもはるかに少ないルールを有効にします。トラフィックをブロックする最も重要なルールだけが有効にされます。ある程度の侵入保護の適用を希望するが、ネットワークのセキュリティにはかなり自信がある場合に、このポリシーを選択します。

• バランスのとれたセキュリティと接続（Balanced Security and Connectivity）：このポリシーはネットワーク インフラストラクチャのセキュリティと全体的なネットワーク パフォーマンスとのバランスをとるように設計されています。このポリシーは、大半のネットワークに適しています。侵入防御の適用を希望する大半の状況では、このポリシーを選択します。

• 接続よりセキュリティを優先（Security over Connectivity）：このポリシーは、ネットワーク インフラストラクチャのセキュリティがユーザの利便性より優先される組織向けに作成されています。この侵入ポリシーは、正式なトラフィックに対して警告またはドロップする可能性のある膨大な数のネットワーク異常侵入ルールを有効にします。セキュリティが最重要の場合、またはハイリスクなトラフィックの場合に、このポリシーを選択します。

• 最大限検出（Maximum Detection）：このポリシーは、操作性にさらに大きく影響する可能性があっても、[接続よりセキュリティを優先（Security over Connectivity）] ポリシー以上にネットワーク インフラストラクチャのセキュリティを重視する組織向けに作成されています。たとえば、侵入ポリシーは、マルウェア、エクスプロイト キット、古い脆弱性や共通の脆弱性、既知のインザワイルド エクスプロイトを含む多数の脅威カテゴリでルールを有効にします。このポリシーを選択する場合は、ドロップされる正当なトラフィックが過剰でないかどうか慎重に評価してください。

ファイル ポリシーを使用すると、Advanced Malware Protection for FirePOWER（AMP for FirePOWER）を使用してマルウェア（悪意のあるソフトウェア）を検出できます。ファイル ポリシーを使用してファイル制御を実行することもできます。この場合、ファイルにマルウェアが含まれるかどうかにかかわらず、特定の種類の全ファイルを制御できます。

AMP for FirePOWER では AMP クラウドを使用して、ネットワーク トラフィック内で検出された潜在的なマルウェアの性質を取得します。また、ローカルなマルウェア分析、および分類前のファイル更新情報も取得します。管理インターフェイスには、AMP クラウドに到達し、マルウェア検索を実行できるように、インターネットへのパスが必要となります。デバイスは適格ファイルを検出すると、このファイルの SHA-256 ハッシュ値を使用して、AMP クラウドにファイルの性質を問い合わせます。ファイルの性質には、次のような種類があります。

• マルウェア：ファイルが AMP によってマルウェアと分類されました。アーカイブ ファイル（zip ファイルなど）の場合、アーカイブ内のいずれかのファイルにマルウェアが含まれていると、マルウェアとして識別されます。

• クリーン：ファイルが AMP によって、マルウェアを含まないクリーン ファイルと分類されました。アーカイブ ファイルは、アーカイブ内の全ファイルがクリーンであった場合にクリーンとして識別されます。

• 不明：AMP クラウドによってファイルに性質が割り当てられていません。アーカイブ ファイルは、アーカイブ内のいずれかのファイルが不明であれば、不明として識別されます。

• 使用不可：システムは AMP クラウドに対し、このファイルの性質を問い合わせることができませんでした。この性質に関するイベントが、わずかながら存在する可能性があります。これは予期された動作です。多数の「使用不可」イベントが連続して出現した場合は、管理アドレス宛てのインターネット接続が正しく機能しているかどうか確認してください。

アクセス ルールのロギング設定は、ルールに一致するトラフィックで接続イベントが発生しているかどうかを判別します。イベント ビューアでルールに関連するイベントを表示するには、ロギングを有効にする必要があります。また、システムをモニタするために使用できるさまざまなダッシュボードに一致するトラフィックを反映させる場合もロギングを有効にする必要があります。

組織のセキュリティ上およびコンプライアンス上の要件に従って接続をロギングしてください。目標が生成するイベントの数を抑えパフォーマンスを向上させることである場合は、分析のために重要な接続のロギングのみを有効にします。しかし、プロファイリングの目的でネットワーク トラフィックの広範な表示が必要な場合は、追加の接続のロギングを有効にできます。

注意	サービス妨害（DoS）攻撃時にブロックされた TCP 接続のロギングは、システム パフォーマンスに影響し、複数の類似のイベントでデータベースが圧倒される場合があります。ブロック ルールのロギングを有効にする前に、ルールがインターネットに面するインターフェイスに対応しているか、または DoS 攻撃に脆弱なその他のインターフェイスに対応しているかどうかを考慮してください。

次のロギング アクションを設定できます。

ログ アクションの選択（Select Log Action）

次のアクションのいずれかを選択できます。

• 接続の開始および終了時にロギング（Log at Beginning and End of Connection）：接続の開始および終了時にイベントが発生します。接続の終了（end-of-connection）イベントには、接続の開始（start-of-connection）イベントに含まれるすべてのものと、接続中に収集できたすべての情報が含まれるため、許可しているトラフィックに対してこのオプションを選択しないことをお勧めします。両方のイベントをロギングすると、システム パフォーマンスに影響する可能性があります。ただし、これはブロックされたトラフィックに対して許可されている唯一のオプションです。

• 接続の終了時にロギング（Log at End of Connection）：接続の終了時の接続のロギングを有効にする場合は、このオプションを選択します。これは、許可または信頼されるトラフィックの場合に推奨されます。

• 接続時にロギングなし（Log at End of Connection）：ルールに関するロギングを無効にするには、このオプションを選択します。これがデフォルトです。

（注）	アクセス コントロール ルールによって呼び出された侵入ポリシーが侵入を検出し、侵入イベントを生成した場合は、ルールのロギング設定に関係なく、システムは自動的に侵入の発生した接続の終了時にロギングします。侵入がブロックされた接続では、接続ログ内の接続のアクションは[ブロック（Block）]、理由は [侵入ブロック（Intrusion Block）] ですが、侵入インスペクションを実行するには、許可ルールを使用する必要があります。

ファイル イベント

禁止されたファイルまたはマルウェア イベントのロギングを有効にするには、[ファイルのロギング（Log Files）]を選択します。このオプションを設定するには、ルール内でファイル ポリシーを選択する必要があります。ルールのファイル ポリシーを選択した場合、デフォルトでは、オプションは有効になっています。このオプションは有効なままにしておくことをお勧めします。

システムは、禁止されたファイルを検出すると、次のいずれかのタイプのイベントを自動的にロギングします。

• ファイル イベント：マルウェア ファイルを含むファイルが検出またはブロックされたことを表します。

• マルウェア イベント：マルウェア ファイルのみが検出またはブロックされたことを表します。

• レトロスペクティブ マルウェア イベント：以前に検出されたファイルのマルウェア ディスポジションが変更された場合に生成されます。

ファイルがブロックされた接続の場合、接続ログにおける接続のアクションは [ブロック（Block）]ですが、ファイルおよびマルウェアのインスペクションを実行するには、許可ルールを使用する必要があります。接続の [理由（Reason）] は、[ファイル モニタ（File Monitor）]（ファイル タイプまたはマルウェアが検出された場合）、[マルウェア ブロック（Malware Block）] または [ファイル ブロック（File Block）]（ファイルがブロックされた場合）のいずれかです。

接続イベントの送信先

外部 syslog サーバにイベントのコピーを送信する場合は、syslog サーバを定義するサーバ オブジェクトを選択します。必要なオブジェクトが存在しない場合は、[Syslog サーバの新規作成（Create New Syslog Server）]をクリックして、新たに作成します（syslog サーバへのロギングを無効にするには、サーバ リストから [任意（Any）]を選択します）。

デバイスのイベント ストレージは限定されているため、外部 syslog サーバへイベントを送信することで、より長期的なストレージを提供し、イベント分析を強化できます。