[アクセス コントロール ポリシー(Access Control Policy)](syslog:ACPolicy)
イベントを生成した侵入ルール、プリプロセッサ ルール、またはデコーダ ルールが有効になっている侵入ポリシーに関連付けられているアクセス コントロール ポリシー。
アクセス コントロール ルール
イベントを生成した侵入ルールを呼び出したアクセス コントロール ルール。[デフォルト アクション(Default Action)] は、ルールが有効化されている侵入ポリシーが特定のアクセス コントロール ルールに関連付けられておらず、代わりに、アクセス コントロール ポリシーのデフォルト アクションとして設定されていることを示しています。
次の場合、このフィールドは空になります。
-
[関連付けられたルールなし/デフォルトアクションなし(No associated rule/default action)]:侵入インスペクションがアクセス コントロール ルールにもデフォルト アクションにも関連付けられていない場合。たとえば、パケットがデフォルトの侵入ポリシーによって検査された場合などです。
-
[関連付けられている接続イベントなし(No associated connection event)]:セッションに記録された接続イベントがデータベースから消去されている場合。たとえば、接続イベントに侵入イベントよりも高いターンオーバーがある場合などです。
[アプリケーション プロトコル(Application Protocol)](syslog:ApplicationProtocol)
(使用可能な場合)侵入イベントをトリガーとして使用したトラフィックで検出されたホスト間の通信を表す、アプリケーション プロトコル。
アプリケーション プロトコル カテゴリとタグ(Application Protocol Category and Tag)
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
[アプリケーションのリスク(Application Risk)]
侵入イベントをトリガーしたトラフィックで検出されたアプリケーションに関連付けられているリスク。[非常に高い(Very High)]、[高(High)]、[中(Medium)]、[低(Low)]、および [非常に低い(Very Low)]。接続で検出されるアプリケーションのタイプごとに関連するリスクがあります。このフィールドは、それらのうち最も高いリスクを表示します。
ビジネスとの関連性(Business Relevance)
侵入イベントをトリガーしたトラフィックで検出されたアプリケーションに関連付けられているビジネスとの関連性。[非常に高い(Very High)]、[高(High)]、[中(Medium)]、[低(Low)]、および [非常に低い(Very Low)]。接続で検出されるアプリケーションのタイプごとに関連するビジネスとの関連性があります。このフィールドは、それらのうち最も低い(関連性が最も低い)ものを表示します。
[分類(Classification)](syslog:Classification)
イベントを生成したルールが属する分類。
侵入イベント詳細で、使用可能な分類値のリストを参照してください。
このフィールドを検索するときは、表示するイベントを生成したルールの分類番号を入力するか、分類名または説明のすべてまたは一部を入力します。また、番号、名前、または説明のカンマ区切りリストを入力することもできます。最後に、カスタム分類を追加した場合、その名前または説明のすべてまたは一部を使用して検索することもできます。
[クライアント(Client)](syslog:Client)
(使用可能な場合)侵入イベントをトリガーとして使用したトラフィックで検出されたモニタ対象のホストで実行されているソフトウェアを表す、クライアント アプリケーション。
クライアント カテゴリとタグ(Client Category and Tag)
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
(Syslog のみ)
ある接続と別の同時接続を区別するカウンタ。このフィールドは、それ自体には意味がありません。
[Sensor UUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、特定の侵入イベントに関連付けられた接続イベントを一意に識別できます。
(Syslog のみ)
接続イベントを処理した Snort インスタンス。このフィールドは、それ自体には意味がありません。
[Sensor UUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、特定の侵入イベントに関連付けられた接続イベントを一意に識別できます。
メンバー数(Count)
各行に表示された情報と一致するイベントの数。[カウント(Count)] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。このフィールドは検索できません。
CVE ID
このフィールドは検索フィールド専用です。
MITRE の Common Vulnerabilities and Exposures(CVE)データベース(https://cve.mitre.org/)の脆弱性に関連付けられた識別番号による検索。
送信先の大陸(Destination Continent)
侵入イベントに関連する受信ホストの大陸。
送信先の国(Destination Country)
侵入イベントに関連する受信ホストの国。
[宛先IP(Destination IP)](syslog:DstIP)
侵入イベントに関連する受信ホストが使用する IP アドレス。
[宛先ポート/ICMPコード(Destination Port / ICMP Code)](syslog:DstPort、ICMPCode)
トラフィックを受信するホストのポート番号。ICMP トラフィックの場合は、ポート番号がないため、このフィールドには ICMP コードが表示されます。
宛先ユーザ(Destination User)
宛先ホストにログインしている既知のユーザのユーザ ID。
Device
アクセス コントロール ポリシーが展開された管理対象デバイス。
スタック構成設定では、プライマリ デバイスとセカンダリ デバイスは、別々のデバイスであるかのように侵入イベントをレポートすることに注意してください。
ドメイン(Domain)
侵入を検出したデバイスのドメイン。 This field is only present if you have ever configured the Firepower Management Center for multitenancy.
[出力インターフェイス(Egress Interface)](syslog:EgressInterface)
イベントをトリガーとして使用したパケットの出力インターフェイス。パッシブ インターフェイスの場合、このインターフェイスの列には入力されません。
[出力セキュリティ ゾーン(Egress Security Zone)]:(syslog:EgressZone)
イベントをトリガーとして使用したパケットの出力セキュリティ ゾーン。パッシブ展開環境では、このセキュリティ ゾーンのフィールドには入力されません。
電子メールの添付ファイル(Email Attachments)
MIME の Content-Disposition 見出しから取得された MIME 添付ファイル名。添付ファイルの名前を表示するには、SMTP プリプロセッサの [Log MIME Attachment Names] オプションを有効にする必要があります。複数の添付ファイル名がサポートされます。
電子メールのヘッダー(Email Headers)
このフィールドは検索フィールド専用です。
電子メールのヘッダーから取得したデータ。
電子メールのヘッダーを SMTP トラフィックの侵入イベントと関連付けるには、SMTP プリプロセッサの [ヘッダーのログ(Log Headers)] オプションを有効にする必要があります。
メール受信者(Email Recipient)
SMTP RCPT TO コマンドから取得された電子メール受信者のアドレス。このフィールドの値を表示するには、SMTP プリプロセッサの [Log To Addresses] オプションを有効にする必要があります。複数の受信者アドレスがサポートされます。
メール送信者(Email Sender)
SMTP MAIL FROM コマンドから取得された電子メール送信者のアドレス。このフィールドの値を表示するには、SMTP プリプロセッサの [Log From Address] オプションを有効にする必要があります。複数の送信者アドレスがサポートされます。
(Syslog のみ)
システムが最初のパケットを検出した時間。
[Sensor UUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、特定の侵入イベントに関連付けられた接続イベントを一意に識別できます。
ジェネレータ(Generator)
イベントを生成したコンポーネント。
次の侵入イベント フィールドに関する情報も参照してください。[GID]、[メッセージ(Message)]、および [Snort ID]
GID(syslog のみ)
ジェネレータ ID。イベントを生成したコンポーネントの ID。
次の侵入イベント フィールドに関する情報も参照してください。[ジェネレータ(Generator)]、[メッセージ(Message)]、および [Snort ID]
HTTP ホスト名(HTTP Hostname)
HTTP 要求のホスト 見出しから取得されたホスト名(存在する場合)。要求パケットにホスト名が常に含まれているわけではないことに注意してください。
ホスト名を HTTP クライアント トラフィックの侵入イベントと関連付けるには、HTTP 検査プリプロセッサの [ホスト名のログ(Log Headers)] オプションを有効にする必要があります。
テーブル ビューで、この列には、取得されたホスト名の最初の 50 文字が表示されます。ホストの省略名の表示部分にポインタを合わせると、最大 256 バイトまでの完全な名前を表示することができます。また、最大 256 バイトまでの完全なホスト名をパケット
ビューに表示することもできます。
[HTTP 応答コード(HTTP Response Code)](syslog:HTTPResponse)
イベントをトリガーした接続を介してクライアントの HTTP 要求に応答して送信される HTTP ステータス コード。
HTTP URI
(存在する場合)侵入イベントをトリガーとして使用した HTTP 要求パケットに関連付けられた raw URI。要求パケットに URI が常に含まれているわけではないことに注意してください。
URI を HTTP クライアント トラフィックの侵入イベントと関連付けるには、HTTP 検査プリプロセッサの [URI のログ(Log URI)] オプションを有効にする必要があります。
HTTP 応答によってトリガーとして使用された侵入イベントの関連 HTTP URI を参照するには、[両方のポートでのストリーム再構成の実行(Perform Stream Reassembly on Both Ports)] オプションに HTTP サーバのポートを設定する必要があります。ただし、これにより、トラフィックのリアセンブル用のリソース要求が増加することに注意してください。
この列には、取得された URI の最初の 50 文字が表示されます。省略 URI の表示部分にポインタを合わせると、最大 2048 バイトまでの完全な URI を表示することができます。また、最大 2048 バイトまでの完全な URI をパケット
ビューに表示することもできます。
Impact
このフィールドの影響レベルは、侵入データ、ネットワーク検出データ、脆弱性情報との関係を示します。
このフィールドを検索するときは、影響アイコンの色または一部の文字列を指定しないでください。たとえば、blue、level 1、または 0 を使用しないでください。有効な大文字と小文字を区別しない値は次のとおりです。
-
Impact 0、Impact Level 0
-
Impact 1、Impact Level 1
-
Impact 2、Impact Level 2
-
Impact 3、Impact Level 3
-
Impact 4、Impact Level 4
NetFlow データからネットワーク マップに追加されたホストに使用可能なオペレーティング システムの情報はないので、システムは、それらのホストに作用する侵入イベントに対し脆弱な(インパクト レベル 1:赤)インパクト レベルを割り当てることができません。このような場合は、ホスト入力機能を使用して、ホストのオペレーティング
システム ID を手動で設定します。
入力インターフェイス (Syslog:IngressInterface)
イベントをトリガーとして使用したパケットの入力インターフェイス。パッシブ インターフェイスの場合、このインターフェイスの列だけに入力されます。
[入力セキュリティ ゾーン(Ingress Security Zone)]:(syslog:IngressZone)
イベントをトリガーとして使用したパケットの入力セキュリティ ゾーンまたはトンネル ゾーン。パッシブ展開環境では、このセキュリティ ゾーン フィールドだけに入力されます。
[インライン結果(Inline Result)](syslog:InlineResult)
ワークフローとテーブル ビューでは、このフィールドには次のいずれかが表示されます。
表 1. ワークフロー ビュートテーブル ビューの [インライン結果(Inline Result)] フィールドの内容
|
アイコン
|
意味
|
|
黒の下矢印
|
ルールをトリガーとして使用したパケットをシステムがドロップしました
|
|
グレーの下矢印
|
[インライン時にドロップ(Drop when Inline)] 侵入ポリシー オプション(インライン展開環境)を有効にした場合、またはシステムがプルーニングしている間に [ドロップしてイベントを生成する(Drop and Generate)] ルールがイベントを生成した場合、IPS がパケットをドロップしたことを示します
|
|
アイコンなし(空白)
|
トリガーされたルールは [ドロップしてイベントを生成する(Drop and Generate Events)] に設定されていませんでした
|
パッシブ展開では、侵入ポリシーのルールの状態やインライン ドロップ動作に関係なく、インライン インターフェイスがタップ モードの場合を含めて、システムはパケットをドロップしません。
このフィールドを検索するときは、次のいずれかを入力します。
[侵入ポリシー(Intrusion Policy)](syslog:IntrusionPolicy)
イベントを生成した侵入ルール、プリプロセッサ ルール、またはデコーダ ルールが有効にされた侵入ポリシー。アクセス コントロール ポリシーのデフォルト アクションとして侵入ポリシーを選択するか、アクセス コントロール ルールと侵入ポリシーを関連付けることができます。
IOC(syslog:NumIOC)
侵入イベントをトリガーとして使用したトラフィックが、接続に関係するホストに対する侵入の痕跡(IOC)もトリガーとして使用したかどうか。
このフィールドを検索するときは、triggered または n/a を指定します。
[メッセージ(Message)](syslog:Message)
イベントを説明するテキスト。ルールベースの侵入イベントの場合、イベント メッセージはルールから取得されます。デコーダベースおよびプリプロセッサベースのイベントの場合は、イベント メッセージはハードコーディングされています。
ジェネレータおよび Snort ID(GID と SID)と SID バージョン(改訂)はカッコで囲んだコロン区切りの数字形式で各メッセージの末尾に付加されます(GID:SID:version)。例:(1:36330:2)。
[MPLS ラベル(MPLS Label)](syslog:MPLS_Label)
侵入イベントをトリガーしたパケットと関連付けられているマルチプロトコル ラベル スイッチング ラベル。
[ネットワーク分析ポリシー(Network Analysis Policy)](syslog:NAPPolicy)
イベントの生成に関連付けられているネットワーク分析ポリシー(ある場合)。
このフィールドには、取得された URI の最初の 50 文字が表示されます。省略 URI の表示部分にポインタを合わせると、最大 2048 バイトまでの完全な URI を表示することができます。また、最大 2048 バイトまでの完全な URI
をパケット ビューに表示することもできます。
クライアントのオリジナル IP(Original Client IP)
X-Forwarded-For(XFF)、True-Client-IP、またはカスタム定義の HTTP ヘッダーから取得された、元のクライアント IP アドレス。
このフィールドの値を表示するには、ネットワーク解析ポリシーで HTTP プリプロセッサ [元のクライアント IP アドレスの抽出(Extract Original Client IP Address)] オプションを有効にする必要があります。オプションで、ネットワーク解析ポリシーの同じエリアで、最大 6 つのカスタム クライアント IP 見出しを指定し、システムが [クライアントのオリジナル IP(Original Client IP)] イベント
フィールドの値を選択する優先順位を設定します。
[優先度(Priority)](syslog:Priority)
Cisco Talos Intelligence Group(Talos) で指定されたイベントの優先度。優先度は、priority キーワードの値または classtype キーワードの値に対応します。その他の侵入イベントの場合、プライオリティはデコーダまたはプリプロセッサによって決定されます。有効な値は、[高(high)]、[中(medium)]、および [低(low)] です。
確認者(Reviewed By)
イベントを確認したユーザの名前。このフィールドを検索するときは、unreviewed と入力すると、まだ確認されていないイベントを検索できます。
Revision(syslog のみ)
イベントの生成に使用された署名のバージョン。
次の侵入イベント フィールドに関する情報も参照してください。[ジェネレータ(Generator)]、[GID]、[メッセージ(Message)]、[SID]、および [Snort ID]
[セキュリティ コンテキスト(Security Context)](syslog:Context)
トラフィックが通過した仮想ファイアウォール グループを識別するメタデータ。システムがこのフィールドにデータを設定するのは、マルチ コンテキスト モードの ASA FirePOWER だけです。
(Syslog のみ)
イベントを生成した Firepower デバイスの一意の識別子。
[Sensor UUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、特定の侵入イベントに関連付けられた接続イベントを一意に識別できます。
SID(syslog のみ)
イベントを生成したルールの署名 ID(Snort ID ともいう)
次の侵入イベント フィールドに関する情報も参照してください。[ジェネレータ(Generator)]、[GID]、[メッセージ(Message)]、[改訂(Revision)]、および [Snort ID]
Snort ID
このフィールドは検索フィールド専用です。
(syslog フィールドについては、SID を参照してください。)
検索の実行時:イベントを生成したルールの [Snort ID](SID)を指定するか、オプションで、ルールの複合ジェネレータ ID(GID)および SID を指定します。ここで、GID および SID は、コロン(:)で区切られ、GID:SID の形式になります。次の表の任意の値を指定できます。
表 2. [Snort ID] 検索値
|
値
|
例
|
|
単一の SID
|
10000
|
|
SID の範囲
|
10000-11000
|
|
SID より大きい
|
>10000
|
|
SID 以上
|
>=10000
|
|
SID 未満
|
<10000
|
|
SID 以下
|
<=10000
|
|
SID のコンマ区切りリスト
|
10000,11000,12000
|
|
単一の GID:SID の組み合わせ
|
1:10000
|
|
GID:SID の組み合わせのコンマ区切りリスト
|
1:10000,1:11000,1:12000
|
|
SID および GID:SID の組み合わせのコンマ区切りリスト
|
10000,1:11000,12000
|
表示しているイベントの SID が [メッセージ(Message)] 列に表示されます。詳細については、この項の [メッセージ(Message)] フィールドについての説明を参照してください。
ソースの大陸(Source Continent)
侵入イベントに関連する送信ホストのある大陸。
ソースの国(Source Country)
侵入イベントに関連する送信ホストのある国。
[送信元 IP(Source IP)](syslog:SrcIP)
侵入イベントに関連する送信ホストが使用する IP アドレス。
[送信元ポート/ICMP タイプ(Source Port/ICMP Type)](syslog:SrcPort、ICMPType)
送信元ホストのポート番号。ICMP トラフィックの場合は、ポート番号がないため、このフィールドには ICMP タイプが表示されます。
[送信元ユーザ(Source User)](syslog:User)
送信元ホストにログインしている既知のユーザのユーザ ID。
SSL Actual Action (Syslog: SSLActualAction)
In the Firepower Management Center web interface, this field is a search field only.
システムが暗号化されたトラフィックに適用したアクション。
- [ブロック(Block)/リセットしてブロック(Block With Reset)]
-
ブロックされた暗号化接続を表します。
- [復号(再署名)(Decrypt (Resign))]
-
再署名サーバ証明書を使用して復号された発信接続を表します。
- [復号(キーの交換)(Decrypt (Replace Key))]
-
置き換えられた公開キーと自己署名サーバ証明書を使用して復号化された発信接続を表します。
- [復号(既知のキー)(Decrypt (Known Key))]
-
既知の秘密キーを使用して復号化された着信接続を表します。
- [デフォルトアクション(Default Action)]
-
接続がデフォルト アクションによって処理されたことを示します。
- [復号しない(Do not Decrypt)]
-
システムが復号化しなかった接続を表します。
フィールド値は、検索ワークフロー ページの [SSL ステータス(SSL Status)] フィールドに表示されます。
[SSL 証明書情報(SSL Certificate Information)]
このフィールドは検索フィールド専用です。
トラフィックを暗号化するための公開キー証明書に保存される次の情報:
-
サブジェクト/発行元共通名(Subject/Issuer Common Name)
-
サブジェクト/発行元組織(Subject/Issuer Organization)
-
サブジェクト/発行元組織単位(Subject/Issuer Organization Unit)
-
有効期間(Not Valid Before/After)
-
シリアル番号(Serial Number)
-
証明書フィンガープリント(Certificate Fingerprint)
-
公開キー フィンガープリント(Public Key Fingerprint)
SSL 失敗理由(SSL Failure Reason)
このフィールドは検索フィールド専用です。
システムが暗号化されたトラフィックの復号化に失敗した理由。
-
不明
-
No Match
-
Success
-
Uncached Session
-
不明な暗号スイート
-
サポートされていない暗号スイート
-
Unsupported SSL Version
-
SSL Compression Used
-
Session Undecryptable in Passive Mode
-
Handshake Error
-
Decryption Error
-
Pending Server Name Category Lookup
-
Pending Common Name Category Lookup
-
Internal Error
-
Network Parameters Unavailable
-
Invalid Server Certificate Handle
-
Server Certificate Fingerprint Unavailable
-
Cannot Cache Subject DN
-
Cannot Cache Issuer DN
-
Unknown SSL Version
-
External Certificate List Unavailable
-
External Certificate Fingerprint Unavailable
-
Internal Certificate List Invalid
-
Internal Certificate List Unavailable
-
Internal Certificate Unavailable
-
Internal Certificate Fingerprint Unavailable
-
Server Certificate Validation Unavailable
-
Server Certificate Validation Failure
-
無効なアクション(Invalid Action)
フィールド値は、検索ワークフローのページの [SSL ステータス(SSL Status)] フィールドに表示されます。
SSL ステータス(SSL Status)
暗号化接続をログに記録した [SSL の実際のアクション(SSL Actual Action)](SSL ルール、デフォルトのアクション、または復号化できないトラフィック アクション)に関連付けられているアクション。
システムが暗号化接続を復号できなかった場合は、[SSL の実際の動作(SSL Actual Action)](実行された復号不能のトラフィック アクション)と、[SSL 失敗理由(SSL Failure Reason)] が表示されます。たとえば、不明な暗号スイートによって暗号化されたトラフィックをシステムが検出し、それ以上のインスペクションをせずにこれを許可した場合、このフィールドには [Do Not Decrypt (Unknown Cipher Suite)] が表示されます。
証明書の詳細を表示するにはロック アイコン(
)をクリックします。
このフィールドを検索する場合は、[SSL の実際の動作(SSL Actual Action)] と [SSL 失敗理由(SSL Failure Reason)] の 1 つ以上の値を入力することで、システムが処理した、または復号に失敗した暗号化トラフィックが表示されます。
[SSL サブジェクト/発行元国(SSL Subject/Issuer Country)]
このフィールドは検索フィールド専用です。
暗号化証明書に関連付けられている件名または発行者の国に関する 2 文字の ISO 3166-1 アルファ 2 国コード。
時刻(Time)
イベントの日付と時刻。このフィールドは検索できません。
[VLAN ID](syslog:VLAN_ID)
侵入イベントをトリガーとして使用したパケットと関連付けられた最内部 VLAN ID。
[Web アプリケーション(Web Application)](syslog:WebApplication)
侵入イベントをトリガーとして使用したトラフィックで検出された HTTP トラフィックの内容または要求された URL を表す、Web アプリケーション。
システムが HTTP のアプリケーション プロトコルを検出し、特定の Web アプリケーションを検出できなかった場合、システムは代わりに一般的な Web ブラウジング指定を提供します。
Web アプリケーションのカテゴリとタグ(Web Application Category and Tag)
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
)をクリックして、ドロップダウン リストから [Time] をクリアすると、[Time]
)をクリックします。
)をクリックして検索制約を拡張し、[無効の列(Disabled Columns)]
)をクリックします。
フィードバック