コンテキスト エクスプローラについて
Firepower システムの Context Explorer には、モニタ対象ネットワークのステータスに関するコンテキストでの詳細でインタラクティブなグラフィカル情報が表示されます。これには、アプリケーション、アプリケーション統計、接続、位置情報、侵害の兆候、侵入イベント、ホスト、サーバ、セキュリティ インテリジェンス、ユーザ、ファイル(マルウェア ファイルを含む)、関連 URL に関するデータが含まれます。各セクションには、このデータが鮮やかな色の折れ線グラフ、棒グラフ、円グラフ、ドーナツ グラフの形式で表示され、グラフとともに詳しいリストが示されます。1 番目のセクションに表示される時間の経過に伴うトラフィックとイベント数の変化を示した折れ線グラフは、ネットワークのアクティビティにおける最近の傾向の概要を示します。
分析を細かく調整するためのカスタム フィルタを容易に作成および適用できます。またグラフ エリアをクリックするか、カーソルをグラフ エリアに置くことでデータ セクションを詳しく調べることができます。過去 1 時間から過去 1 年までの期間を反映するように Explorer の時間範囲を設定することもできます。Context Explorer にアクセスできるユーザは、管理者、セキュリティ アナリスト、またはセキュリティ アナリスト(読み取り専用)のユーザ ロールが割り当てられているユーザだけです。
Firepower システムのダッシュボードは細かくカスタマイズすることができます。このダッシュボードは区分化されており、リアルタイムで更新されます。一方、Context Explorer は手動で更新され、より幅広いデータのコンテキストを提供することを目的としており、アクティブなユーザ操作のために単一で一貫性のあるレイアウトを備えています。
特定のニーズに基づいてネットワークとアプライアンスのリアルタイムのアクティビティをモニタするには、ダッシュボードを使用します。逆に、詳細かつ明確なコンテキストで事前に定義されている最新のデータ セットを調査するには、Context Explorer を使用します。たとえば、ネットワークのホストのうち Linux を使用しているホストは 15% であるが、ほぼすべての YouTube トラフィックはこれらのホストによるものであることが判明した場合、Linux ホストのデータのみを表示するフィルタ、YouTube 関連のアプリケーション データのみを表示するフィルタ、あるいはこの両方のフィルタを簡単に適用できます。コンパクトで対象が絞り込まれているダッシュボード ウィジェットとは異なり、Context Explorer の各セクションは、Firepower システムの専門知識を持つユーザと一般的なユーザの両方に役立つ形式で、システム アクティビティを鮮明なビジュアル表現で提供します。
表示されるデータは、管理対象デバイスのライセンスおよび導入状況や、そのデータを提供する機能を設定しているかどうかによって異なります。また、Context Explorer のすべてのセクションで、フィルタを適用して表示するデータを制限することもできます。
マルチドメイン導入では、先祖ドメインで Context Explorer を表示すると、すべてのサブドメインからの集約データが表示されます。リーフ ドメインでは、そのドメインに固有のデータだけを表示できます。
ダッシュボードと Context Explorer の違い
次の表に、ダッシュボードと Context Explorer の主な相違点の要約を示します。
機能 |
ダッシュボード |
Context Explorer |
---|---|---|
表示可能なデータ |
Firepower システムによってモニタされる任意の対象 |
アプリケーション、アプリケーション統計、位置情報、ホストの侵害の兆候、侵入イベント、ファイル(マルウェア ファイルを含む)、ホスト、セキュリティ インテリジェンス イベント、サーバ、ユーザ、および URL |
カスタマイズ可能かどうか |
|
|
データの更新頻度 |
自動(デフォルト)、ユーザ設定 |
手動 |
データのフィルタリング |
一部のウィジェットで可能です(ウィジェット設定を編集する必要があります) |
Explorer のすべての部分で可能であり、複数フィルタに対応しています |
グラフィカル コンテキスト |
一部のウィジェット(特に Custom Analysis)では、データをグラフ形式で表示できます。 |
すべてのデータの豊富なグラフィカル コンテキスト(独自の詳細なドーナツ グラフを含む) |
関連 Web インターフェイス ページへのリンク |
一部のウィジェット |
すべてのセクション |
表示データの時間範囲 |
ユーザ設定 |
ユーザ設定 |
[時系列のトラフィックおよび侵入イベント数(Traffic and Intrusion Event Counts Time)] グラフ
Context Explorer の上部には、時間の経過に伴うトラフィックおよび侵入イベント数の変化を示す折れ線グラフが表示されます。X 軸は時間間隔を示します(選択されている時間枠に応じて、5 分~ 1 か月)。Y 軸は、KB 単位のトラフィック(青色の線)と侵入イベント数(赤色の線)を示します。
X 軸の最小間隔が 5 分であることに注意してください。これに対応するため、選択された時間範囲の開始点と終了点が、システムにより、最も近い 5 分間間隔に調整されます。
デフォルトでは、このセクションには選択された時間範囲のすべてのネットワーク トラフィックおよび生成されたすべての侵入イベントが示されます。フィルタを適用すると、フィルタに指定されている条件に関連するトラフィックおよび侵入イベントだけがグラフに表示されます。たとえば、[OS
Name] に Windows
を指定してフィルタリングすると、時間グラフには Windows オペレーティング システムを使用するホストに関連するトラフィックとイベントだけが表示されます。
侵入イベント データ([Priority] がHigh
に設定されたものなど)に基づいて Context Explorer をフィルタリングすると、青色のトラフィックを示す線が非表示になり、侵入イベントだけに集中することができます。
トラフィックおよびイベント数に関する正確な情報を確認するには、グラフ線上の任意のポイントにポインタを置きます。色付きの線の 1 つにポインタを置くと、その線がグラフの前面に移動し、コンテキストがより明確になります。
このセクションのデータは、主に [侵入イベント(Intrusion Events)] テーブルと [接続イベント(Connection Events)] テーブルから取得されます。
[侵害の兆候(Indications of Compromise)] セクション
コンテキスト エクスプローラの [侵害の兆候(IOC)(Indications of Compromise (IOC))] セクションには、モニタ対象ネットワーク上でセキュリティが侵害されている可能性があるホストの概要を示す 2 つのインタライクティブ セクション(トリガーとして使用された主な IOC 種類の割合のビューと、トリガーとして使用された兆候の数をホストごとに表したビュー)が表示されます。
IOC に関する詳細については、侵害の兆候データを参照してください。
[兆候別ホスト(Hosts by Indication)] グラフ
[兆候別ホスト(Hosts by Indication)] グラフはドーナツ形式であり、モニタ対象ネットワーク上のホストでトリガーとして使用された侵害の兆候(IOC)を割合で表示します。内側のリングは IOC カテゴリ(CnC Connected
や Malware Detected
など)ごとに分割されており、外側のリングではそれがさらに具体的なイベントの種類(Impact 2 Intrusion Event — attempted-admin
や Threat Detected in File Transfer
など)ごとに分割されています。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
このグラフのデータは主に [ホスト(Hosts)] テーブルと [ホスト侵害の兆候(Indications of Compromise)] テーブルから取得されます。
[ホスト別兆候(Indications by Host)] グラフ
[ホスト別兆候(Indications by Host)] グラフは棒グラフ形式であり、モニタ対象ネットワーク上の最も IOC が顕著な 15 のホストでトリガーとして使用された固有の侵害の兆候(IOC)の数を表示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
このグラフのデータは主に [ホスト(Hosts)] テーブルと [ホスト侵害の兆候(Indications of Compromise)] テーブルから取得されます。
[ネットワーク情報(Network Information)] セクション
Context Explorer の [ネットワーク情報(Network Information)] セクションには、モニタ対象ネットワーク上の接続トラフィックの全体の概要(トラフィックに関連付けられている送信元、宛先、ユーザ、およびセキュリティ ゾーン、ネットワーク上のホストで使用されているオペレーティング システムの内訳、Firepower システムがネットワーク トラフィックに対して実行したアクセス制御アクションの割合のビュー)を示す 6 つのインタラクティブ グラフが含まれています。
[オペレーティング システム(Operating Systems)] グラフ
[オペレーティング システム(Operating Systems)] グラフはドーナツ グラフ形式で、モニタ対象ネットワークのホストで検出されたオペレーティング システムを割合で表示します。内側のリングは OS 名(Windows
や Linux
など)ごとに分割され、外側のリングではそのデータがさらにオペレーティング システムのバージョン(Windows Server 2008
や Linux 11.x
など)ごとに分割されています。密接に関連するいくつかのオペレーティング システム(Windows 2000、Windows XP、Windows Server 2003 など)は 1 つにまとめられます。ごく少数の認識されないオペレーティング
システムは [Other] にまとめられます。
このグラフは日時制約に関係なく、使用可能なすべてのデータを反映することに注意してください。Explorer の時間範囲を変更しても、グラフは変化しません。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
このグラフのデータは、主に [ホスト(Hosts)] テーブルから取得されます。
[送信元 IP 別トラフィック(Traffic by Source IP)] グラフ
[送信元 IP 別トラフィック(Traffic by Source IP)] グラフは棒グラフ形式で、モニタ対象ネットワーク上の最もアクティブな上位 15 の送信元 IP アドレスのネットワーク トラフィック カウント(KB/秒)と固有接続数を表示します。リストされた送信元 IP アドレスごとに、青色の棒はトラフィック データ、赤色の棒は接続データを示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
(注) |
侵入イベントの情報でフィルタリングすると、[Traffic by Source IP] グラフは非表示になります。 |
このグラフのデータは、主に [接続イベント(Connection Events)] テーブルから取得されます。
[送信元ユーザ別トラフィック(Traffic by Source User)] グラフ
[送信元ユーザ別トラフィック(Traffic by Source User)] グラフは棒グラフ形式で、モニタ対象ネットワーク上の最もアクティブな上位 15 の送信元ユーザのネットワーク トラフィック カウント(KB/秒)と固有接続数を表示します。リストされた送信元 IP アドレスごとに、青色の棒はトラフィック データ、赤色の棒は接続データを示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
(注) |
侵入イベントの情報でフィルタリングすると、[Traffic by Source User] グラフは非表示になります。 |
このグラフのデータは主に [接続イベント(Connection Events)] テーブルから取得されます。このグラフには、権限のあるユーザのデータが表示されます。
[アクセス コントロール アクション別の接続(Connections by Access Control Action)] グラフ
[アクセス コントロール アクション別の接続(Connections by Access Control Action)] グラフは円グラフ形式であり、Firepower システム導入でモニタ対象トラフィックに対して実行されたアクセス制御アクション([ブロック(Block)]
や [許可(Allow)]
など)の割合のビューを表示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
(注) |
侵入イベントの情報でフィルタリングすると、[Traffic by Source User] グラフは非表示になります。 |
このグラフのデータは主に [接続イベント(Connection Events)] テーブルから取得されます。
[宛先 IP 別トラフィック(Traffic by Destination IP)] グラフ
[宛先 IP 別トラフィック(Traffic by Destination IP)] グラフは棒グラフ形式で、モニタ対象ネットワーク上の最もアクティブな上位 15 の宛先 IP アドレスのネットワーク トラフィック カウント(KB/秒)と固有接続数を表示します。リストされた宛先 IP アドレスごとに、青色の棒はトラフィック データ、赤色の棒は接続データを示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
(注) |
侵入イベントの情報でフィルタリングすると、[Traffic by Destination IP] グラフは非表示になります。 |
このグラフのデータは、主に [接続イベント(Connection Events)] テーブルから取得されます。
[入力/出力のセキュリティ ゾーン別トラフィック(Traffic by Ingress/Egress Security Zone)] グラフ
[入力/出力のセキュリティ ゾーン別トラフィック(Traffic by Ingress/Egress Security Zone)] グラフは棒グラフ形式で、モニタ対象ネットワークで設定されているセキュリティ ゾーンごとに、その着信/発信ネットワーク トラフィック カウント(KB/秒)および固有接続数を表示します。必要に応じて、このグラフに入力(デフォルト)セキュリティ ゾーン情報または出力セキュリティ ゾーン情報のいずれかを表示するように設定できます。
リストされたセキュリティ ゾーンごとに、青色の棒はトラフィック データ、赤色の棒は接続データを示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
ヒント |
グラフに制約を適用して、出力セキュリティ ゾーンのトラフィックだけが表示されるようにするには、グラフにポインタを置き、表示されるトグル ボタンの [Egress] をクリックします。デフォルト ビューに戻すには [Ingress] をクリックします。Context Explorer から外部へ移動することでも、グラフがデフォルトの [Ingress] ビューに戻ることに注意してください。 |
(注) |
侵入イベントの情報でフィルタリングすると、[Traffic by Ingress/Egress Security Zone] グラフは非表示になります。 |
このグラフのデータは、主に [接続イベント(Connection Events)] テーブルから取得されます。
[アプリケーション情報(Information)] セクション
Context Explorer の [アプリケーション情報(Information)] セクションには、3 つのインタラクティブ グラフと 1 つの表形式リストが表示されます。これらのグラフとリストは、モニタ対象ネットワーク上でのアプリケーション アクティビティの概要(アプリケーションに関連するトラフィック、侵入イベント、およびホストを、各アプリケーションに割り当てられている推定リスクまたは推定ビジネス関連度ごとに編成したもの)を示します。[Application Details List] は、各アプリケーションとそのリスク、ビジネス関連度、カテゴリ、およびホスト数を示すインタラクティブなリストです。
このセクションのすべての「アプリケーション」インスタンスについて、[Application Information] のグラフのセットは、デフォルトでは特にアプリケーション プロトコル(DNS、SSH など)を検査します。クライアント アプリケーション(PuTTY や Firefox など)や Web アプリケーション(Facebook や Pandora など)を特に検査するように [アプリケーション情報(Application Information)] セクションを設定することもできます。
[アプリケーション情報(Application Information)] セクションへのフォーカスの移動
スマート ライセンス |
従来のライセンス |
サポートされるデバイス数 |
サポートされるドメイン数 |
アクセス |
---|---|---|---|---|
機能に応じて異なる |
機能に応じて異なる |
いずれか(Any) |
いずれか(Any) |
Admin/Any Security Analyst |
マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。
手順
ステップ 1 |
を選択します。 |
||
ステップ 2 |
[アプリケーション プロトコル情報(Application Protocol Information)] セクションにポインタを重ねます。
|
||
ステップ 3 |
[アプリケーション プロトコル(Application Protocol)]、[クライアント アプリケーション(Client Application)]、または [Web アプリケーション(Web Application)] をクリックします。 |
[リスク/ビジネスとの関連性とアプリケーション別トラフィック(Traffic by Risk/Business Relevance and Application)] グラフ
[リスク/ビジネスとの関連性とアプリケーション別トラフィック(Traffic by Risk/Business Relevance and Application)] グラフはドーナツ形式で、モニタ対象ネットワークで検出されたアプリケーション
トラフィックを、アプリケーションの推定リスク(デフォルト)または推定のビジネスとの関連性(ビジネス関連度)ごとの割合で表示します。内側のリングは推定リスク/ビジネス関連度レベル(Medium
または High
など)ごとに分割され、外側のリングではそのデータがさらに具体的なアプリケーション(SSH
または NetBIOS
など)ごとに分割されます。稀に検出されるアプリケーションは [Other] にまとめられます。
このグラフは日時制約に関係なく、使用可能なすべてのデータを反映することに注意してください。Explorer の時間範囲を変更しても、グラフは変化しません。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
ヒント |
グラフに制約を適用して、ビジネス関連度とアプリケーションごとにトラフィックが表示されるようにするには、グラフにポインタを置き、表示されるトグル ボタンの [Business Relevance] をクリックします。デフォルト ビューに戻すには [Risk] をクリックします。Context Explorer から外部へ移動することでも、グラフがデフォルトの [Risk] ビューに戻ることに注意してください。 |
(注) |
侵入イベントの情報でフィルタリングすると、[Traffic by Risk/Business and Application] グラフは非表示になります。 |
このグラフのデータは、主に [接続イベント(Connection Events)] テーブルと [アプリケーション統計(Application Statistics)] テーブルから取得されます。
[リスク/ビジネスとの関連度別侵入イベントおよびアプリケーション(Intrusion Events by Risk/Business Relevance and Application)] グラフ
[リスク/ビジネスとの関連度別侵入イベントおよびアプリケーション(Intrusion Events by Risk/Business Relevance and Application)] グラフはドーナツ形式であり、モニタ対象ネットワークで検出された侵入イベントと、これらのイベントに関連するアプリケーションを、アプリケーションの推定リスク(デフォルト)または推定ビジネス関連度ごとの割合で表示します。内側のリングは推定リスク/ビジネス関連度レベル(Medium
または High
など)ごとに分割され、外側のリングではそのデータがさらに具体的なアプリケーション(SSH
または NetBIOS
など)ごとに分割されます。稀に検出されるアプリケーションは [Other] にまとめられます。
ドーナツ グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされるか、または(該当する場合には)アプリケーション情報が表示されます。
ヒント |
グラフに制約を適用して、ビジネス関連度とアプリケーションごとに侵入イベントが表示されるようにするには、グラフにポインタを置き、表示されるトグル ボタンの [Business Relevance] をクリックします。デフォルト ビューに戻すには [Risk] をクリックします。Context Explorer から外部へ移動することでも、グラフがデフォルトの [Risk] ビューに戻ることに注意してください。 |
このグラフのデータは主に [侵入イベント(Intrusion Events)] テーブルと [アプリケーションの統計(Application Statistics)] テーブルから取得されます。
[リスク/ビジネスとの関連度別ホストおよびアプリケーション(Hosts by Risk/Business Relevance and Application)] グラフ
[リスク/ビジネスとの関連度別ホストおよびアプリケーション(Hosts by Risk/Business Relevance and Application)] グラフはドーナツ形式であり、モニタ対象ネットワークで検出されたホストと、これらのホストに関連するアプリケーションを、アプリケーションの推定リスク(デフォルト)または推定ビジネス関連度ごとの割合で表示します。内側のリングは推定リスク/ビジネス関連度レベル(Medium
または High
など)ごとに分割され、外側のリングではそのデータがさらに具体的なアプリケーション(SSH
または NetBIOS
など)ごとに分割されます。非常に少数のアプリケーションは [Other] にまとめられます。
ドーナツ グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
ヒント |
グラフに制約を適用して、ビジネス関連度とアプリケーションに基づいてホストが表示されるようにするには、グラフにポインタを置き、表示されるトグル ボタンの [Business Relevance] をクリックします。デフォルト ビューに戻すには [Risk] をクリックします。Context Explorer から外部へ移動することでも、グラフがデフォルトの [Risk] ビューに戻ることに注意してください。 |
このグラフのデータは主に [アプリケーション(Applications)] テーブルから取得されます。
アプリケーション詳細リスト
[アプリケーション情報(Application Information)] セクション下部に表示される [アプリケーション詳細リスト(Application Details List)] は、モニタ対象ネットワークで検出される各アプリケーションの推定リスク、推定ビジネス関連度、カテゴリ、ホスト数の情報を示す表です。アプリケーションは、関連ホスト数の降順でリストされます。
[Application Details List] 表はソートできませんが、表の項目をクリックして、その情報でフィルタリングまたはドリルダウンしたり、(該当する場合に)アプリケーション情報を表示したりすることができます。この表のデータは主に [Applications] 表から取得されます。
このリストは日時制約に関係なく、使用可能なすべてのデータを反映することに注意してください。Explorer の時間範囲を変更しても、リストは変化しません。
[セキュリティ インテリジェンス(Security Intelligence)] セクション
Context Explorer の [セキュリティ インテリジェンス(Security Intelligence)] セクションには、3 つのインタラクティブな棒グラフが表示されます。これらのグラフには、モニタ対象ネットワーク上の、ブラックリストに登録されているトラフィック、または Security Intelligence によってモニタされているトラフィックの全体の概要が示されます。これらのグラフでは、カテゴリ、送信元 IP アドレス、および宛先 IP アドレスに基づいてそれらのトラフィックがソートされ、トラフィックの量(KB/秒)と該当する接続の数の両方が表示されます。
[カテゴリ別セキュリティ インテリジェンス トラフィック(Security Intelligence Traffic by Category)] グラフ
[カテゴリ別セキュリティ インテリジェンス トラフィック(Security Intelligence Traffic by Category)] グラフは棒グラフ形式で、モニタ対象ネットワーク上のトラフィックのセキュリティ インテリジェンスの上位のカテゴリに関する、ネットワーク トラフィック カウント(KB/秒)と固有接続数を表示します。リストされたカテゴリごとに、青色の棒はトラフィック データ、赤色の棒は接続データを示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でドリルダウンされます。
(注) |
侵入イベントの情報でフィルタリングすると、[Security Intelligence Traffic by Category] グラフは非表示になります。 |
このグラフのデータは主に [セキュリティ インテリジェンス イベント(Security Intelligence Events)] テーブルから取得されます。
[送信元 IP 別セキュリティ インテリジェンス トラフィック(Security Intelligence Traffic by Source IP)] グラフ
[送信元 IP 別セキュリティ インテリジェンス トラフィック(Security Intelligence Traffic by Source IP)] グラフは棒グラフ形式で、モニタ対象ネットワーク上でセキュリティ インテリジェンスによってモニタされたトラフィックの上位の送信元 IP アドレスに関する、ネットワーク トラフィック カウント(KB/秒)と固有接続数を表示します。リストされたカテゴリごとに、青色の棒はトラフィック データ、赤色の棒は接続データを示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でドリルダウンされます。
(注) |
侵入イベントの情報でフィルタリングすると、[Security Intelligence Traffic by Source IP] グラフは非表示になります。 |
このグラフのデータは主に [セキュリティ インテリジェンス イベント(Security Intelligence Events)] テーブルから取得されます。
[宛先 IP 別セキュリティ インテリジェンス トラフィック(Security Intelligence Traffic by Destination IP)] グラフ
[宛先 IP 別セキュリティ インテリジェンス トラフィック(Security Intelligence Traffic by Destination IP)] グラフは棒グラフ形式で、モニタ対象ネットワーク上でセキュリティ インテリジェンスによってモニタされたトラフィックの上位の宛先 IP アドレスに関する、ネットワーク トラフィック カウント(KB/秒)と固有接続数を表示します。リストされたカテゴリごとに、青色の棒はトラフィック データ、赤色の棒は接続データを示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でドリルダウンされます。
(注) |
侵入イベントの情報でフィルタリングすると、[Security Intelligence Traffic by Destination IP] グラフは非表示になります。 |
このグラフのデータは主に [セキュリティ インテリジェンス イベント(Security Intelligence Events)] テーブルから取得されます。
[侵入情報(Intrusion Information)] セクション
Context Explorer の [侵入情報(Intrusion Information)] セクションには 6 つのインタラクティブ グラフと 1 つの表形式リストが表示されます。これらのグラフとリストは、モニタ対象ネットワークの侵入イベントの概要(侵入イベントに関連付けられている影響レベル、攻撃元、攻撃対象先、ユーザ、優先レベル、およびセキュリティ ゾーンと、侵入イベントの分類、優先度、カウントを示す詳細なリスト)を示します。
[影響別侵入イベント(Intrusion Events by Impact)] グラフ
[影響別侵入イベント(Intrusion Events by Impact)] グラフは円グラフ形式であり、モニタ対象ネットワークの侵入イベントを推定影響レベル(0 ~ 4)のグループごとの割合で表示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
このグラフのデータは、主に侵入検知([IDS統計(IDS Statistics)] テーブル)および [侵入イベント(Intrusion Events)] テーブルから取得されます。
[上位の攻撃者(Top Attackers)] グラフ
[上位の攻撃者(Top Attackers)] グラフは棒グラフ形式で、モニタ対象ネットワーク上の(侵入イベントを発生させた)上位の各攻撃元ホスト IP アドレスの侵入イベント数を表示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
このグラフのデータは、主に [侵入イベント(Intrusion Events)] テーブルから取得されます。
[上位のユーザ(Top Users)] グラフ
[上位のユーザ(Top Users)] グラフは棒グラフ形式で、モニタ対象ネットワーク上の最大侵入イベント数に関連付けられたユーザと、イベント数を表示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
このグラフのデータは、主に侵入検知(IDS)の [ユーザ統計(User Statistics)] テーブルおよび [侵入イベント(Intrusion Events)] テーブルから取得されます。このグラフには、権限のあるユーザのデータが表示されます。
[優先度別侵入イベント(Intrusion Events by Priority)] グラフ
[優先度別侵入イベント(Intrusion Events by Priority)] グラフは円グラフ形式であり、モニタ対象ネットワークの侵入イベントを、推定優先度レベル([高(High)]、[中(Medium)]
、[低(Low)]
など)のグループごとの割合で表示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
このグラフのデータは、主に [侵入イベント(Intrusion Events)] テーブルから取得されます。
[上位のターゲット(Top Targets)] グラフ
[上位のターゲット(Top Targets)] グラフは棒グラフ形式で、モニタ対象ネットワーク上の(侵入イベントを発生させた接続で攻撃対象となった)上位のターゲット ホスト(攻撃対象ホスト)の IP アドレスの侵入イベント数を表示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
このグラフのデータは、主に [侵入イベント(Intrusion Events)] テーブルから取得されます。
[入力/出力の上位セキュリティ ゾーン(Top Ingress/Egress Security Zones)] グラフ
[入力/出力の上位セキュリティ ゾーン(Top Ingress/Egress Security Zones)] グラフは棒グラフ形式で、モニタ対象ネットワーク上で設定されている各セキュリティ ゾーン(グラフ設定に応じて入力または出力)に関連付けられている侵入イベントの数を表示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
ヒント |
グラフに制約を適用して、出力セキュリティ ゾーンのトラフィックだけが表示されるようにするには、グラフにポインタを置き、表示されるトグル ボタンの [Egress] をクリックします。デフォルト ビューに戻すには [Ingress] をクリックします。Context Explorer から外部へ移動することでも、グラフがデフォルトの [Ingress] ビューに戻ることに注意してください。 |
このグラフのデータは主に [Intrusion Events] 表から取得されます。
このグラフは、必要に応じて、入力(デフォルト)セキュリティ ゾーン情報または出力セキュリティ ゾーン情報のいずれかを表示するように設定できます。
侵入イベント詳細リスト
[侵入情報(Intrusion Information)] セクション下部に表示される [イベント詳細リスト(Event Details List)] は、モニタ対象ネットワークで検出された各侵入イベントの分類、推定優先度、イベント数の情報を示すテーブルです。イベントは、イベント数の降順でリストされます。
[Event Details List] 表はソートできませんが、表の項目をクリックして、その情報でフィルタリングまたはドリルダウンすることができます。このテーブルのデータは主に [侵入イベント(Intrusion Events)] テーブルから取得されます。
[ファイル情報(Files Information)] セクション
Context Explorer の [ファイル情報(Files Information)] セクションには、6 つのインタラクティブ グラフが表示されます。これらのグラフは、モニタ対象ネットワーク上のファイルとマルウェア イベントの概要を示します。
このうち 5 つのグラフには、(以前は AMP for Firepower と呼ばれていた)ネットワーク向け AMP に関連するデータ(ネットワーク トラフィックで検出されたファイルのファイル タイプ、ファイル名、マルウェアの性質、これらのファイルを送信(アップロード)および受信(ダウンロード)したホスト)が表示されます。最後のグラフには、ネットワーク向け AMP または AMP for Endpoints のどちらで検出されたかにかかわらず、組織内で検出されたすべてのマルウェア脅威が表示されます。
(注) |
侵入情報でフィルタリングすると、[ファイル情報(File Information)] セクション全体が非表示になります。 |
[上位のファイル タイプ(Top File Types)] グラフ
[上位のファイル タイプ(Top File Types)] グラフはドーナツ グラフ形式で、ネットワーク トラフィックで検出されたファイル タイプの割合のビュー(外側のリング)と、ファイル カテゴリのグループごとの割合のビュー(内側のリング)を表示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
このグラフに ネットワーク向け AMP データを表示するには、マルウェア ライセンスが必要であることに注意してください。
このグラフのデータは主に [ファイル イベント(File Events)] 表から取得されます。
[上位のファイル名(Top File Names)] グラフ
[上位のファイル名(Top File Names)] グラフは棒グラフ形式で、ネットワーク トラフィックで検出された上位の一意のファイル名の数を表示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
このグラフに ネットワーク向け AMP データを表示するには、マルウェア ライセンスが必要であることに注意してください。
このグラフのデータは主に [ファイル イベント(File Events)] 表から取得されます。
[性質別ファイル(Files by Disposition)] グラフ
[上位のファイル タイプ(Top File Types)] グラフは円グラフ形式であり、(以前は AMP for Firepower と呼ばれていた)ネットワーク向け AMP 機能で検出されたファイルのマルウェアの性質の割合のビューを表示します。Firepower Management Center がマルウェア クラウド検索を行ったファイルにのみ性質が設定されることに注意してください。クラウド検索をトリガーしなかったファイルには、N/A
という性質が設定されます。Unavailable
という性質は、Firepower Management Center がマルウェア クラウド検索を実行できなかったことを示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
このグラフに ネットワーク向け AMP データを表示するには、マルウェア ライセンスが必要であることに注意してください。
このグラフのデータは主に [ファイル イベント(File Events)] 表から取得されます。
[送信ファイル数上位のホスト(Top Hosts Receiving Files)] グラフ
[送信ファイル数上位のホスト(Top Hosts Receiving Files)] グラフは棒グラフ形式で、ネットワーク トラフィックで検出された、送信ファイル数上位のホストの IP アドレスに関するファイルの数を表示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
ヒント |
グラフに制約を適用して、マルウェアを送信するホストだけが表示されるようにするには、グラフにポインタを置き、表示されるトグル ボタンの [Malware] をクリックします。デフォルトのファイルのビューに戻すには [Files] をクリックします。Context Explorer から外部への移動でも、グラフがデフォルトのファイルのビューに戻ることに注意してください。 |
このグラフに ネットワーク向け AMP データを表示するには、マルウェア ライセンスが必要であることに注意してください。
このグラフのデータは主に [ファイル イベント(File Events)] 表から取得されます。
[受信ファイル数上位のホスト(Top Hosts Receiving Files)] グラフ
[受信ファイル数上位のホスト(Top Hosts Receiving Files)] グラフは棒グラフ形式で、ネットワーク トラフィックで検出された、受信ファイル数上位のホストの IP アドレスに関するファイルの数を表示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
ヒント |
グラフに制約を適用して、マルウェアを受信するホストだけが表示されるようにするには、グラフにポインタを置き、表示されるトグル ボタンの [Malware] をクリックします。デフォルトのファイルのビューに戻すには [Files] をクリックします。Context Explorer から外部への移動でも、グラフがデフォルトのファイルのビューに戻ることに注意してください。 |
このグラフに ネットワーク向け AMP データを表示するには、マルウェア ライセンスが必要であることに注意してください。
このグラフのデータは主に [ファイル イベント(File Events)] 表から取得されます。
[上位のマルウェア検出(Top Malware Detections)] グラフ
[上位のマルウェア検出(Top Malware Detections)] グラフは棒グラフ形式で、ネットワーク向け AMP と AMP for Endpoints のいずれによるものかに関係なく、組織で検出された上位のマルウェア脅威の数を表示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
このグラフに ネットワーク向け AMP データを表示するには、マルウェア ライセンスが必要であることに注意してください。
このグラフのデータは主に [ファイル イベント(File Events)] 表と [マルウェア イベント(Malware Events)] 表から取得されます。
[地理位置情報(Geolocation Information)] セクション
Context Explorer の [地理位置情報(Geolocation Information)] セクションには、3 つのインタラクティブなドーナツ グラフが表示されます。これらのグラフは、モニタ対象ネットワークのホストがデータを交換している国の概要(イニシエータ国またはレスポンダ国ごとの固有接続数、送信元または宛先の国ごとの侵入イベント数、および送信側または受信側の国ごとのファイル イベント数)を示します。
[イニシエータ/レスポンダの国別接続(Connections by Initiator/Responder Country)] グラフの表示
[イニシエータ/レスポンダの国別接続(Connections by Initiator/Responder Country)] グラフはドーナツ グラフ形式であり、ネットワーク上での接続にイニシエータ(デフォルト)またはレスポンダとして関わる国の割合のビューを表示します。内側のリングでは、これらの国が大陸別にグループ化されています。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
ヒント |
グラフに制約を適用して、接続でレスポンダとなっている国だけが表示されるようにするには、グラフにポインタを置き、表示されるトグル ボタンの [Responder] をクリックします。デフォルト ビューに戻すには [Initiator] をクリックします。Context Explorer から外部へ移動することでも、グラフがデフォルトの[Initiator] ビューに戻ることに注意してください。 |
このグラフのデータは主に [接続サマリー データ(Connection Summary Data)] テーブルから取得されます。
[送信元/宛先国別侵入イベント(Intrusion Events by Source/Destination Country)] グラフ
[送信元/宛先国別侵入イベント(Intrusion Events by Source/Destination Country)] グラフはドーナツ グラフ形式であり、ネットワーク上の侵入イベントにイベントの送信元(デフォルト)または宛先として関わる国の割合を表示します。内側のリングでは、これらの国が大陸別にグループ化されています。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
ヒント |
グラフに制約を適用して、侵入イベントの宛先となっている国だけが表示されるようにするには、グラフにポインタを置き、表示されるトグル ボタンの [Destination] をクリックします。デフォルト ビューに戻すには [Source] をクリックします。Context Explorer から外部へ移動することでも、グラフがデフォルトの [Source] ビューに戻ることに注意してください。 |
このグラフのデータは主に [侵入イベント(Intrusion Events)] テーブルから取得されます。
[送信側/受信側の国別ファイル イベント(File Events by Sending/Receiving Country)] グラフ
[送信側/受信側の国別ファイル イベント(File Events by Sending/Receiving Country)] グラフはドーナツ グラフ形式であり、ネットワーク上のファイル イベントでファイルの送信側(デフォルト)または受信側として検出された国の割合のビューを表示します。内側のリングでは、これらの国が大陸別にグループ化されています。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でフィルタリングまたはドリルダウンされます。
ヒント |
グラフに制約を適用して、ファイルを受信する国だけが表示されるようにするには、グラフにポインタを置き、表示されるトグル ボタンの [Receiver] をクリックします。デフォルト ビューに戻すには [Sender] をクリックします。Context Explorer から外部へ移動することでも、グラフがデフォルトの [Sender] ビューに戻ることに注意してください。 |
このグラフのデータは主に [ファイル イベント(File Events)] テーブルから取得されます。
[URL 情報(URL Information)] セクション
Context Explorer の [URL 情報(URL Information)] セクションには、3 つのインタラクティブな棒グラフが表示されます。これらのグラフには、モニタ対象ネットワーク上のホストがデータを交換するために使用する URL の全体の概要(URL に関連付けられているトラフィックと固有接続数を個々の URL、URL カテゴリ、および URL レピュテーションでソートしたもの)が示されます。URL 情報でフィルタリングすることはできません。
(注) |
侵入イベントの情報でフィルタ処理を実行すると、[URL 情報(URL Information)] セクション全体が非表示になります。 |
このグラフで URL カテゴリとレピュテーション データを含めるには、URL フィルタリング ライセンスを所有している必要があることに注意してください。
[URL 別トラフィック(Traffic by URL)] グラフ
[URL 別トラフィック(Traffic by URL)] グラフは棒グラフ形式で、モニタ対象ネットワーク上の最も要求される上位 15 の URL のネットワーク トラフィック カウント(KB/秒)と固有接続数を表示します。リストされた URL ごとに、青色の棒はトラフィック データ、赤色の棒は接続データを示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でドリルダウンされます。
(注) |
侵入イベントの情報でフィルタ処理を実行すると、[URL 別トラフィック(Traffic by URL)] グラフは非表示になります。 |
このグラフで URL カテゴリとレピュテーション データを含めるには、URL フィルタリング ライセンスを所有している必要があることに注意してください。
このグラフのデータは、主に [接続イベント(Connection Events)] テーブルから取得されます。
[URL カテゴリ別トラフィック(Traffic by URL Category)] グラフ
[URL カテゴリ別トラフィック(Traffic by URL Category)] グラフは棒グラフ形式で、モニタ対象ネットワーク上の最も要求される URL カテゴリ(Search Engines
や Streaming Media
など)のネットワーク トラフィック カウント(KB/秒)と固有接続数を表示します。リストされた URL カテゴリごとに、青色の棒はトラフィック データ、赤色の棒は接続データを示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でドリルダウンされます。
(注) |
侵入イベントの情報でフィルタ処理を実行すると、[URL カテゴリ別トラフィック(Traffic by URL Category)] グラフは非表示になります。 |
このグラフで URL カテゴリとレピュテーション データを含めるには、URL フィルタリング ライセンスを所有している必要があることに注意してください。
このグラフのデータは、主に [URL 統計(URL Statistics)] テーブルと [接続イベント(Connection Events)] テーブルから取得されます。
[URL レピュテーション別トラフィック(Traffic by URL Reputation)] グラフ
[URLレピュテーション別のトラフィック(Traffic by URL Reputation)] グラフは棒グラフ形式であり、モニタ対象ネットワーク上の最も要求される URL レピュテーション グループ(Well knownまたはBenign sites with security risks)のネットワーク トラフィック カウント(KB/秒)および固有接続数を表示します。リストされた URL レピュテーションごとに、青色の棒はトラフィック データ、赤色の棒は接続データを示します。
グラフ上の任意の部分にポインタを置くと、詳細情報が表示されます。グラフの任意の部分をクリックすると、その情報でドリルダウンされます。
(注) |
侵入イベントの情報でフィルタ処理を実行すると、[URL レピュテーション別トラフィック(Traffic by URL Reputation)] グラフは非表示になります。 |
このグラフで URL カテゴリとレピュテーション データを含めるには、URL フィルタリング ライセンスを所有している必要があることに注意してください。
このグラフのデータは、主に [URL 統計(URL Statistics)] テーブルと [接続イベント(Connection Events)] テーブルから取得されます。