ASA CX および Cisco Prime Security Manager 9.3 ユーザ ガイド
ダッシュボードとレポートの表示
ダッシュボードとレポートの表示

ダッシュボードとレポートの表示

さまざまな期間における、さまざまな項目についてのダッシュボードまたはレポートを表示できます。 ダッシュボードには、さまざまなダッシュボードや表を含めることができます。また、デバイスの動作状況とパフォーマンス、およびネットワークの使用状況についての情報を含めることができます。 次のトピックで、ダッシュボードとレポートについて説明します。

ダッシュボードの概要

ダッシュボードは、ネットワーク トラフィックのさまざまな側面の情報を集計します。 ネットワーク上のトラフィックを分析するため、さまざまな期間のダッシュボードを表示できます。 ほとんどの場合、一般情報から特定の情報にドリル ダウンできます(たとえば、すべてのユーザのダッシュボードを表示してから、特定のユーザの詳細を表示できます)。

次の図は、シングル デバイス モードのネットワーク概要ダッシュボードを示しています。 マルチ デバイス モードでは、デバイスを選択し、ASA と ASA CX を切り替えることができるセレクタが存在します。

図 1. ネットワーク概要ダッシュボード、シングル デバイス モード



1

デバイス サマリー ダッシュボード。

4

ヘルスおよびパフォーマンス ダッシュボード。 概要ダッシュボードには数項目のダッシュボードがあります。

2

ダッシュボードのデータ範囲を決定する時間セレクタ。

5

グラフの上にマウスを置くと、個々のデータ ポイントに関するポップアップ詳細が表示されます。

3

トランザクション カウントまたはスループット(ビット毎秒)に基づいてデータの表示を切り替えます。

6

すべてのトランザクション、許可トランザクション、拒否トランザクションの表示を切り替えます。

マルチ デバイス モードのネットワークの概要のデバイス サマリーにはセレクタがあり、次の図に示すように、デバイスの選択および ASA と ASA CX の間の切り替えを行うことができます。 独立したデバイスには、切り替えはありません。

図 2. デバイス サマリー ダッシュボード(マルチ デバイス モード



1

ASA と ASA CX の間で切り替えます。

4

選択した期間の、選択したデバイスに関する CPU、メモリ、およびスループット使用量。

2

デバイス表示名。

5

[View More] リンク。 このリンクをクリックすると、デバイス サマリー ダッシュボードに移動して、上位 5 つだけでなく、すべての管理対象デバイスが表示されます。

3

デバイスに対するアラート。 アラートが 1 つであればテキスト全体が表示され、そうでなければ、アラート数のサマリーが表示されます。 テキストをクリックすると、特定のアラートを表示するデバイス ダッシュボードに移動します。

概要ダッシュボードと詳細ダッシュボードには、[Top Sources] や [Top Destinations] など、複数のダッシュボード コンポーネントがあります。 これらのダッシュボードには、表示しているダッシュボードのそのタイプで最も発生頻度の高い項目が示されます。 たとえば、特定のユーザの詳細ダッシュボードを表示している場合、上位宛先にはそのユーザが最も多くアクセスした宛先が示されます。

図 3. [Top Destinations] ダッシュボード



1

ダッシュボード タイトル。

4

[View More] リンク。 このリンクをクリックすると、そのレポート可能項目のサマリー ダッシュボードに移動します。

2

トランザクション カウントまたはデータ使用量(送受信された合計バイト数)に基づいてデータの表示を切り替えます。

Next Generation IPS ダッシュボードの場合、切り替えは脅威のヒットとデータの使用量の間で行われます。 脅威のヒットは、トランザクション数を上回る可能性があります。

5

すべてのトランザクション、許可トランザクション、拒否トランザクションの表示を切り替えます。

Next Generation IPS ダッシュボードの場合、切り替えはトランザクションでなく、脅威のヒットに対して行われます。

3

ダッシュボードには複数のレポート項目が含まれることがあります。 上位宛先には、Web カテゴリ、Web 宛先、アプリケーション、およびアプリケーション タイプの 4 つの項目を表示できます。 ダッシュボードは複数のダッシュボード タイプで表示されますが、ダッシュボードの実際の内容は変動し、表示項目は表示しているダッシュボードに固有のものに常になります。 その項目の詳細ダッシュボードに移動するには、名前をクリックします。

利用可能なダッシュボード

次は、製品で使用できるメイン ダッシュボードです。 [Dashboard] メニューからこれらを開くことができます。

一般に、名前、アイコン、[View More] リンクなど、多くの項目をクリックして、個々の項目または監視するカテゴリ全体に関する詳細な情報を取得できます。 マルチ デバイス モードでは、統計情報は、すべての管理対象デバイスの要約です。

[Network Overview]

このダッシュボードは、ネットワークのトラフィックおよびデバイスのヘルスとパフォーマンスに関するサマリー情報を表示します。 マルチ デバイス モードでは、ASA およびその ASA CX を含むすべての管理対象デバイスに対する、ヘルスおよびパフォーマンスの情報を入手できます。シングル デバイス モードでは、CX デバイスのみに対する情報を入手できます。 この情報は、詳細な分析を必要とするエリアの識別、またはネットワークが一般的な予期内で動作していることの確認に使用します。

[Malware Traffic]

このダッシュボードは、参照する Web サーバの Web レピュテーションに基づいてトランザクションの結果を示します。 トランザクションは、サイトの Web レピュテーションが -6 以下の場合に悪意があると見なされます。 この情報は、より詳細な分析や既存のポリシーの変更を必要とするエリアの識別、またはレピュテーション フィルタリングが一般的な予期内で実行されていることの確認に使用します。

また、ネットワークの概要の [Malicious Transactions] ダッシュボードで[View All] をクリックしても、このダッシュボードを表示できます。

[NG Intrusion Prevention]

このダッシュボードは、Next Generation IPS フィルタリングの結果を示します。 IPS フィルタリングを有効にし、NG IPS プロファイルを 1 つ以上のアクセス ポリシーに適用する場合にのみ、ダッシュボードにデータが表示されます。 この情報は、より詳細な分析や既存のポリシーの変更を必要とするエリアの識別、または Next Generation IPS フィルタリングが一般的な予期内で実行されていることの確認に使用します。

また、ネットワークの概要の [CX IPS Threatss] ダッシュボードで[View All] をクリックしても、このダッシュボードを表示できます。

[ASA Traffic]マルチ デバイス モードのみ)。

このダッシュボードは、ASA デバイスを経由した接続の最上位の送信元、宛先、およびサービスを表示します。 ドリル ダウン レポートで、ASA ファイアウォールの拒否ルールの適用を示す、拒否されたトラフィック情報を表示できます。 許可されたトラフィックの場合、デバイスに CX モジュールが含まれる場合、ASA によって許可されたトラフィックは、最終的に CX ポリシーによって拒否される場合があることに注意してください。 ネットワークを通過するトラフィックのタイプを評価するためにこの情報を使用します。

[Users]

これには、合計トランザクション数、許可トランザクション数、ブロック トランザクション数、データ使用量、および送受信バイト数に基づいてネットワークの上位ユーザが表示されます。 ユーザ名の形式は Realm\username です。実行中の認証に失敗したユーザはユーザ名の領域でユーザのダッシュボードにユーザ名がゲストのゲスト アクセスがイネーブルになっていない場合、\匿名表されます。 認証の必要がないためマッピングをもたないユーザは、IP アドレスで表示されます。この情報は、ユーザの異常活動の識別に役立ちます。


ヒント


ユーザ名は、ユーザの ID 情報がトラフィック フローに関連付けられている場合に限り使用できます。 少なくとも、ディレクトリ レルムを定義し、レルムのアイデンティティ ポリシーを作成する必要があります。 ユーザ ID が大多数のトラフィックのダッシュボードで使用できるようにする場合は、アイデンティティ ポリシーでアクティブ認証を使用する必要があります。 また、パッシブ認証を提供し、必要に応じてバックアップ方法としてアクティブ認証を使用するように、CDA または AD エージェントを設定できます。


[Web Destinations]

このダッシュボードには、www.cisco.com など、アクセス先のサーバが表示されます。 この情報を使用すると、上位宛先の識別に役立ち、望ましくないサーバの使用量を減らすために追加のアクセス コントロールが必要かどうかを判断できます。 サーバのドメイン名を入手できない場合は、IP アドレスが使用されます。

[Web Categories]

このダッシュボードは、参照する Web サイトのカテゴリに基づいて、ネットワークで使用されている Web サイトのカテゴリ(ギャンブル、広告、検索エンジン、ポータルなど)を示します。 ユーザが参照する上位カテゴリを識別し、アクセス コントロールによって望ましくないカテゴリが十分にブロックされているかどうかを判別するために、この情報を使用します。

[Policies]

このダッシュボードには、アクセス ポリシーがネットワーク トラフィックにどのように適用されたかが表示されます。 ポリシーを削除した場合は、名前に「- DELETED」が付きます。この情報を使用すると、ポリシーの効果の評価に役立ちます。

[User Devices]

このダッシュボードには、ネットワークに対してリモート アクセス VPN 接続を行っているユーザ デバイスのタイプが表示されます。 VPN ユーザ デバイス情報は、リモート アクセス VPN 接続時に AnyConnect Secure Mobility クライアントにより取得されます。 この情報を使用すると、ネットワークに接続しているクライアントのタイプの評価に役立ちます。

[Applications]

このダッシュボードには、Application Visibility and Control(AVC)エンジンによるネットワーク トラフィックの分析に基づいて、ネットワークで使用中のアプリケーション(Facebook など)が表示されます。 この情報を使用すると、ネットワークで使用された上位アプリケーションの識別に役立ち、不要なアプリケーションの使用量を減らすために追加のアクセス コントロールが必要かどうかを判断できます。

[Application Types]

このダッシュボードには、Application Visibility and Control(AVC)エンジンによるネットワーク トラフィックの分析に基づいて、ネットワークで使用中のアプリケーション タイプ(検索エンジンまたはインスタント メッセージングなど)が表示されます。 この情報を使用すると、ネットワークで使用された上位アプリケーション タイプの識別に役立ち、不要なアプリケーション タイプの使用量を減らすために追加のアクセス コントロールが必要かどうかを判断できます。

クラウド

このダッシュボードは、どのアプリケーションをクラウド ベースでにサービスがアプリケーションの可視化に基づいてネットワークで使用される、(AVC) Engine のネットワーク トラフィックの分析を制御するか表示します。 この情報を使用すると、ネットワークで使用された上位アプリケーションの識別に役立ち、不要なアプリケーションの使用量を減らすために追加のアクセス コントロールが必要かどうかを判断できます。

[Devices](マルチ デバイス モードのみ)。

このダッシュボードには、この PRSM サーバによって管理される各デバイスのサマリー情報が表示されます。 デバイス詳細のドリル ダウン レポートで、デバイスのインターフェイスに関する情報も表示できます。 この情報を使用すると、ネットワークのさまざまなデバイスの使用量およびポリシー適用の違いや、デバイスのヘルスおよびパフォーマンスの分析に役立ちます。


(注)  


デバイスをインベントリから削除した場合、履歴期間中そのデータは使用可能な状態のままになります。 デバイス名に「DELETED」が付きます。


ダッシュボードの基本

ここでは、ダッシュボード使用の基本を説明します。 以降のトピックは、いずれか 1 つの特定のダッシュボードではなくダッシュボード全般に適用されます。

ダッシュボードとレポート データの概要

ダッシュボードのデータはデバイスからすぐに収集されるので、ダッシュボードに反映されるデータとネットワーク アクティビティの間に遅延時間はほとんどありません。 ただし、データを分析するときは次の点に注意してください。
  • データは、アクセス ポリシーのデフォルト設定である [Eventing: On] を選択したアクセス ポリシーに一致するトラフィックだけについて収集されます。 アクセス ポリシーのイベント生成をオフにした場合、ポリシーに一致するトラフィックはいずれもダッシュボードに示されず、Event Viewer にイベントを生成しません。

  • Next Generation IPS ダッシュボードの場合、データ コレクションはさらにモニタリングしている脅威に制限されます。 無視している脅威は、脅威シグニチャ ヒット カウントに表示されません。

  • データは 5 分バケットで集約されるため、30 分グラフと 1 時間グラフではデータ ポイントは 5 分刻みで表示されます。 時間の終了時に、 5 台の微細なバケットは、日、および週のバケットを集計される 1 時間のバケットに集約されます。 5 台の微細なバケットは 31 日間、 7 日 1 時間のバケット、および 365 日間日のバケットに保持されます。 前にさかのぼるほど、データはさらに集約されます。 古いデータを照会すると、これらのデータ バケットの可用性にクエリーを調整します、最善の結果が得られます。 複数の計算、 UTC 時刻に基づいています; サーバまたはクライアントの時間は無視されます。


    (注)  


    たとえば、5 分間よりも長い間デバイスが到達不能になったなどの理由により、データ ポイントが欠けている場合は、折れ線グラフが途切れます。


  • 「Top N」ダッシュボードは一定のデータ ポイントに限定されます。 5 分のバケットの制限よりも多くのデータ ポイントがある場合、制限内のデータ・ポイントのみがカウントされます; 制限外のデータ ポイントは、これらの項目に関するイベントが再発する)が無視されます。 その結果、データが 5 個の微細なバケットから集約されるため、 1 バケット Top N に表示される別の品目ではなく、不完全なメトリックがあります。

    たとえば、 Top Users レポートを考慮します。 最初の 5 微細なウィンドウ中、ユーザ John Doe は上位 N ユーザです。 次の 5 微細なバケットの間に、 John Doe は、ネットワーク トラフィックを生成していますが、その時間の上位 N にありません。 その後、毎時の概要がその時間を構成する 12 バケットから 5 分間計算されたとき、その要約ユーザー John Doe のエントリは最初の 5 分のデータが含まれますが、 John Doe がその期間内 Top-N にないため 2 5 分分から開始して、 John Doe のトラフィックで何も含まれません。

  • イベントおよびレポート データのストレージ領域がいっぱいになると、システムは新しいデータを保存するスペースを確保するために、自動的に古いデータを削除します。 したがって、使用可能な履歴データの量は、システムのイベント レートやストレージ容量によって異なります。

  • マルチ デバイス モードのみ)。デバイスからのデータ取得がとぎれた場合、ダッシュボードの上部の時間範囲バーにアラートが表示されます。 このアラートは、ダッシュボードに表示される少なくとも 1 つのデバイスに対してデータの中断を含む時間範囲を選択した場合だけ表示されます。 メッセージは、「接続の途切れのためにレポート データが欠落している可能性がある」ことを示しています。関連するシステム イベントを表示するには、リンクをクリックしてイベント ビューアを開きます。 Event Receiver Disconnected、Event Receiver Connected メッセージがギャップを示します。

  • PRSM マルチ デバイス モードでダッシュボードを表示する場合、データはすべての管理対象デバイスから集約されます。 1 つのデバイスに固有の情報を表示するには、[Devices] ダッシュボードを使用します。

  • マルチ デバイス モードのみ)アプリケーション ベースのデータの品質は、デバイスのレポートで使用される AVC シグニチャ セットが PRSMサーバのセットより最近の場合、劣化する可能性があります。 シグニチャ セットが長時間同期していない場合、データに不明なアプリケーションの数の増加が含まれることがあります。 PRSM サーバが長期間アップデートをダウンロードできず、管理対象デバイスは正常にアップデートをダウンロードしている場合、または、シグニチャ セットがすでに同期されていないときにアップデートをディセーブルにした場合に、同期の欠落が発生することがあります。 すべてのデバイスが同じシグニチャ セットを使用すると、最善の結果が得られます。

  • マルチ デバイス モードのみ)。ASA データは、デバイスおよび Syslog イベントから取得されます。 マルチコンテキスト モードのデバイスの場合、データはシステム コンテキストから取得されます。 PRSM サーバを ASA の Syslog サーバとして定義しない場合、接続データはデバイスから取得されるヘルスおよびパフォーマンスのモニタリング データから取得され、許可または拒否された接続の統計情報を表示できません。 6 以上の Syslog ロギング レベルを設定します。

  • マルチ デバイス モードのみ)。ハイ アベイラビリティ ペアはペアの論理名の下に表示されます。

ダッシュボードのドリルダウン

ダッシュボードには、必要な情報にドリルダウンするための多くのリンクが含まれます。 項目の上にマウスを置くと、どの項目でその詳細に進めるかがわかります。

たとえば、次の図に示す上位 5 アプリケーション リストなどの一般的なダッシュボード レポート項目において、[View More] リンクをクリックすると、その項目のサマリー ダッシュボードに移動できます。

図 4. 上位 5 ダッシュボードからフル サマリー ダッシュボードへの移動



1

[Items shown]。ダッシュボードに表示する項目の個数を選択します。

2

未処理値でのデータ表示とトラフィック ボリューム全体の比率でのデータ表示の切り替えを行います。

サマリー ダッシュボードの上位 5 ダッシュボードで項目をクリックして、特定の項目の詳細ダッシュボードに移動することもできます。 次の図に示すように、上位 5 アプリケーション ダッシュボードまたはアプリケーション サマリー ダッシュボードのいずれかで [Hypertext Transfer Protocol] をクリックすると、HTTP のアプリケーション詳細ダッシュボードに進みます。

図 5. 上位 5 ダッシュボードまたはサマリー ダッシュボードから詳細ダッシュボードへの移動



トランザクション カウントをクリックしてサマリー ダッシュボードから Event Viewer に移動し、データの収集に使用されたイベントを表示することもできます。 次の図に示すように、Event Viewer はダッシュボード項目およびダッシュボードに選択した時間範囲に基づいて自動的にフィルタリングされます。


(注)  


表示されるイベント数は、古い期間クエリーのトランザクション数およびディスク スペースが減り、新しいイベントの到着時にイベントがストレージから除外されるため、特に異なる場合があります。 前に 30 日間にわたり期間のクエリーは、一致するイベントを返さないことがあります。 逆に、トランザクション数と、それらのピリオドが含まれていないため、項目がマスクされた各 5 微細なバケットの上位 N 個の 1 台の範囲でない場合は、トランザクションよりもイベントが表示されることがあります。


図 6. サマリー ダッシュボードからイベント ビューアへのトランザクション リンクによる移動



ダッシュボードの時間範囲の変更

ダッシュボードを表示するときは、[Time Range] リストを使用して、ダッシュボードに含める情報を定義する時間範囲を変更できます。 時間範囲のリストは各ダッシュボードの上部にあり、これを使用して最近 1 時間または 1 週間などの定義済みの時間範囲を選択したり、特定の開始時刻と終了時刻でカスタムの時間範囲を定義したりできます。 選択した時間範囲は、選択を変更するまで、表示する他のすべてのダッシュボードに引き継がれます。

ダッシュボードは自動的に 10 分ごとに更新します。


(注)  


時刻はご使用のワークステーションで設定されているタイムゾーンではなく、デバイスで定義されているゾーンに基づいたものになります。


次の表に、時間範囲オプションの説明を示します。

表 1 ダッシュボードの時間範囲

Time Range

戻されるデータ

Last 30 minutes

5 分間隔で 30 分間と、追加で最大 5 分間。

Last Hour

5 分間隔で 60 分間と、追加で最大 5 分間。

Last 24 Hours

直前の時間境界に丸めた、1 時間間隔で最近 24 時間。 たとえば、現在時刻が 13:45 の場合、[Last 24 Hour] は昨日の 13:00 から今日の 13:00 までの期間になります。

Last 7 Days

直前の時間境界に丸めた、1 時間間隔で最近 7 日間。

Last 30 Days

直前の午前 0 時から始まり、1 日間隔で最近 30 日間。

Custom Range

ユーザ定義の時間範囲。 開始日、開始時刻、終了日、および終了時刻用に [Edit] ボックスが表示されます。各ボックスをクリックして、目的の値を選択します。 作業が完了したら、[Apply] をクリックしてダッシュボードを更新します。

カスタム時間範囲を接続する必要があります。この場合、データ バケットの可用性と範囲を調整する必要があります。 範囲のために以前 7-31 日は時間のクエリーを合わせます。 古い範囲ごとに、時刻、整合; 年間の範囲に、週内の位置を合わせます。

いずれの場合も、日の境界を定める使用 UTC 時間; クエリーの時間帯、サーバとクライアントは、データ バケットに関連しません。 たとえば、時間帯を太平洋夏時間 (PDT) 場合、 UTC (PDT にオフセットされる 8 時間)に携わる前に 40 日、 2 日の 1 日の使用および日曜日の午後データを照会します。

ダッシュボードに表示されるデータの制御

概要および詳細ダッシュボードには [Top Sources] や [Top Destinations] などいくつかの下位ダッシュボードが含まれます。 各ダッシュボード パネルにあるコントロールを使用すると、データのさまざまな側面を表示できます。 次のコントロールを使用できます。

[Transactions] または [Threats][Data Usage]

これらのリンクをクリックすると、トランザクション数またはトランザクションのデータ量に基づいたグラフが表示されます。 Next Generation IPS ダッシュボードの場合、[Transactions] は、モニタリングしている脅威のヒット カウントである [Threats] で置き換えられます。 1 つのトランザクションは複数の脅威に一致できるため、脅威の数が一致するトランザクションの数より多い場合があります。

図 7. トランザクション数とデータ使用量の切り替え



[All][Denied][Allowed]

各ダッシュボートの右上にあるラベルのないドロップダウン リストに、これらのオプションがあります。 これらを使用して、拒否接続のみ、許可接続のみ、あるいは拒否または許可にかかわらずすべての接続の表示に変更します。

Next Generation IPS ダッシュボードの場合、これらの数は、モニタリングしている脅威のるヒット カウント、およびそれらのヒットに関連するトランザクションのデータ使用量です。

ASA ダッシュボードの場合、これらのオプションは、PRSM サーバを ASA の syslog サーバとして定義した場合にだけ使用できます。

図 8. すべてのトランザクションと拒否トランザクション(拒否されたサイト名はブランク)の切り替え



[View More]

表示する項目のダッシュボードに移動するには、[View More] リンクをクリックします。 たとえば、[Top Destinations] ダッシュボードの [Web Destinations] グラフで [View More] をクリックすると、[Web Destinations] ダッシュボードに進みます。 詳細ダッシュボードのダッシュボードを表示している場合は、詳細を表示している項目の詳細な [Web Destinations] ダッシュボードに移動します。

ダッシュボードのカラム

通常、ダッシュボードにはグラフ形式で表示される情報に加えて、情報を提供する 1 つ以上のテーブルが含まれています。

  • 多くのカラムの意味は、そのカラムを含むダッシュボードによって変わります。 たとえば、トランザクションのカラムには、レピュテーションなど、レポートの基準になる項目タイプのトランザクション数が示されます。 未処理の数値で行うか、項目に報告されたすべての未処理値の比率で行うか、値の切り替えを行うこともできます。

  • カラム ヘッダーをクリックすると、カラムのソート順を変更できます。

次の表に、各種ダッシュボードで使用されるすべてのカラムの説明を示します。 標準カラムはすべてのダッシュボードにあり、可変カラムはその項目のダッシュボードのみに表示されます。

PDF レポートにも同じカラムが多数含まれています。

表 2 ダッシュボードのカラム

カラム

説明

標準カラム

Transactions

報告された項目のトランザクション総数。 トップ レベルのダッシュボードでは、数値はリンクになっています。クリックすると、表示している項目に基づいてフィルタリングされたイベント テーブルが Event Viewer に表示されます。

表示されるイベント数は、古い期間クエリーのトランザクション数およびディスク スペースが減り、新しいイベントの到着時にイベントがストレージから除外されるため、特に異なる場合があります。 前に 30 日間にわたり期間のクエリーは、一致するイベントを返さないことがあります。 逆に、トランザクション数と、それらのピリオドが含まれていないため、項目がマスクされた各 5 微細なバケットの上位 N 個の 1 台の範囲でない場合は、トランザクションよりもイベントが表示されることがあります。

Transactions allowed

報告された項目で許可されたトランザクションの数。

Transactions denied

報告された項目で(ポリシーに基づいて)ブロックされたトランザクションの数。

Data Usage

報告された項目の送受信バイト数の合計。

Bytes sent

報告された項目の送信バイト数。

Bytes received

報告された項目の受信バイト数。

可変カラム

Application

AVC エンジンで判定された、トランザクションのアプリケーションの名前。

Application type

AVC エンジンで判定された、トランザクションで使用されたアプリケーションのアプリケーション タイプの名前。

Attacker

Next Generation IPS 脅威と一致するトランザクションのトラフィック送信元。

Device Name

マルチ デバイス モード)。管理対象デバイスの名前または IP アドレス。 デバイスをインベントリから削除した場合は、名前に「- DELETED」が付きます。

Domain name

トランザクションに関係した Web サイトの DNS 名または IP アドレス。

Policy name

トランザクションと一致したコンテキスト対応アクセス ポリシーの名前。 ポリシーを削除した場合は、名前に「- DELETED」が付きます。

Target

Next Generation IPS 脅威と一致するトランザクションのトラフィック宛先。

Theat

トランザクションと一致する Next Generation IPS 脅威の名前。

User device

トランザクションを行ったリモート アクセス VPN クライアントで使用された、オペレーティング システムまたはデバイスの名前。

User name

トランザクションを行ったユーザのユーザ ID。実行中の認証に失敗したユーザはユーザ名の領域でユーザのダッシュボードにユーザ名がゲストのゲスト アクセスがイネーブルになっていない場合、\匿名表されます。 認証の必要がないためマッピングをもたないユーザは、IP アドレスで表示されます。 ユーザ名の形式は Realm\username です。

Web category

Web(URL)カテゴリの名前。 カテゴリの情報は、そのカテゴリに属すすべての URL のサマリーになっています。

レポートの作成

ダッシュボードに表示されるデータのスナップショットをキャプチャするレポートを作成できます。 次のトピックで、レポートについて説明します。

「Generating Reports」

ダッシュボードに表示されるデータのスナップショットをキャプチャするレポートを生成できます。 レポートは PDF 形式であるため、表示するには Adobe Acrobat Reader が必要です。

手順
    ステップ 1   [Dashboard] メニューからダッシュボードを選択します。
    ステップ 2   ダッシュボードのタイトル行の右側にある [Generate Report] をクリックします。
    ステップ 3   目的のレポート タイプと時間範囲を選択します。

    また、レポートで使用するロゴをアップロードできます。 レポート プロパティの詳細については、レポート プロパティを参照してください。

    ステップ 4   [Generate] をクリックします。

    準備ができると、レポートが開きます。


    レポート プロパティ

    レポートを生成するには、次のプロパティを設定する必要があります。 必要なプロパティを選択したら、[Generate] をクリックします。

    Report Type

    生成するレポート。 詳細については、レポート タイプを参照してください。

    Time Range

    レポートに表示されるデータを定義する範囲。 過去 30 分、1 時間、24 時間、7 日、30 日を選択するか、[Custom] を選択し、表示されたボックスで開始日と終了日を選択します。

    Report Logo

    組織独自のロゴを追加するには、[Upload Logo] をクリックします。 ページに、イメージの制限に関する説明が表示されます。

    レポート タイプ

    次のタイプのレポートを生成できます。 各レポート

    • トランザクション データは、トランザクションの総数、許可された数、および拒否された数を示します。

    • バイト データは、トランザクションの合計バイト数に基づいてトランザクションを示し、許可されたトランザクションのバイト数および拒否されたトランザクションのバイト数を示します。

    • [Top 5 by transactions] カラムには、項目名(ユーザ、Web カテゴリなど)とその項目のトランザクション数の両方が含まれます。

    次のレポート タイプを使用できます。

    [Administrative] レポート

    次の表およびグラフがあります。

    • ポリシーの変更。変更履歴情報が表示されます。 各行は、変更したユーザ、ポリシー名、チケット番号、日時、変更されたデバイス、変更の詳細(変更されたフィールド、変更のタイプ(アクション)、古いデータと新しいデータを含む)を示します。 新しい項目の場合、[old] カラムがブランクで、削除済みアイテムの場合、[new] カラムがブランクです。

    • トランザクション数で示す、ヒットした上位ポリシー。各アクセス ポリシーの上位ユーザ、Web カテゴリおよびアプリケーション タイプが含まれます。

    • トランザクション数およびデータ量で示す、トラフィック合計。ネットワークのローカル ユーザとリモート アクセス VPN ユーザ間の詳細を示します。

    [Application and Web Destination Analysis] レポート

    次の表があります。

    • トランザクション数で示す、上位アプリケーション。各アプリケーションの上位ユーザおよび Web 宛先が含まれます。

    • トランザクション数で示す、上位 Web 宛先。各 Web 宛先の上位ユーザ、デバイス、および Web カテゴリが含まれます。

    • トランザクション数で示す、上位アプリケーション タイプ。各アプリケーション タイプの上位アプリケーションおよびユーザが含まれます。

    • トランザクション数で示す、上位 Web カテゴリ。各 Web カテゴリの上位ユーザおよび Web 宛先が含まれます。

    [Threat Analysis] レポート

    次の表があります。

    • トランザクション数で示す、上位脅威。脅威平均スコアおよび上位攻撃者、ターゲット、および各 Next Generation IPS 脅威に対するアクセス ポリシー ヒットが含まれます。

    • トランザクション数で示す、上位攻撃者。各攻撃者によって生成された上位の脅威、そのターゲット、トラフィックが最もヒットしたアクセス ポリシーが含まれます。

    • トランザクション数で示す、上位ターゲット。上記脅威、攻撃者、およびポリシー ヒットが含まれます。

    • トランザクション数で示す、最大脅威を検出する上位ポリシー。上位脅威、攻撃者、およびターゲットが含まれます。

    [User and Device Analysis] レポート

    次の表があります。

    • トランザクション数で示す、上位ユーザ。各ユーザの上位アプリケーション、Web カテゴリおよびユーザ デバイスが含まれます。

    • トランザクション数で示す、上位ユーザ デバイス。

    ネットワーク概要ダッシュボードの解釈

    ネットワーク概要にはネットワーク トラフィックに関するサマリー情報と、デバイスのヘルスおよびパフォーマンスが表示されます。 マルチ デバイス モードでは、ASA およびその ASA CX を含むすべての管理対象デバイスに対する、ヘルスおよびパフォーマンスの情報を入手できます。シングル デバイス モードでは、CX デバイスのみに対する情報を入手できます。

    ネットワークの概要を表示するには、[Dashboard] > [Network Overview] を選択します。

    トランザクションとデータ使用量ビュー間でさまざまなダッシュボードを切り替え、すべての、拒否された、または許可されたトランザクションに基づいてフィルタリングできます。 名前、アイコン、[View More] リンクなど、多くの項目をクリックして、個々の項目または監視するカテゴリ全体に関する詳細な情報を取得できます。 マルチ デバイス モードでは、統計情報は、すべての管理対象デバイスの要約です。 この情報は、詳細な分析を必要とするエリアの識別、またはネットワークが一般的な予期内で動作していることの確認に使用します。

    次のダッシュボードが、ネットワーク概要ダッシュボードとドリルダウン レポートで使用可能です。

    • オンボックス サマリー、デバイス サマリー:デバイス(シングル デバイス モード)または管理対象デバイス(マルチ デバイス モード)に関する情報。 詳細については、ヘルスとパフォーマンスのモニタリングおよびデバイス アラートの解決を参照してください。

    • ヘルスとパフォーマンス:CPU とメモリの使用状況に関する情報。 詳細については、ヘルスとパフォーマンスのモニタリングを参照してください。

    • 悪意のあるトランザクション:処理される合計トランザクションと比較した、Web レピュテーションが低い(-6 以下)サイトが検出されたトランザクション。 検出された悪意のあるトランザクションの場合、許可された数が表示されます。 [View More] をクリックして [Malware Traffic] ダッシュボードを開き、マルウェア トラフィック ダッシュボードの解釈 を参照します。

    • CX IPS 脅威:また、許可とブロックされた回数を基準として、モニタリングされる Next Generation IPS 脅威に一致する数の全体像を提供します。 送受信バイト数を表示するデータ使用量にビューを切り替えることができます。 [View More] をクリックして [NG Intrusion Prevention] ダッシュボードを開き、NG 侵入防御ダッシュボードの解釈 を参照します。

    • 上位ポリシー:トランザクション数またはデータ使用量で示す、最も多くのトラフィック フローと一致したアクセス ポリシー。

    • 上位の発信元:トランザクション数またはデータ使用量で示す、最も多くのトラフィックを生成したユーザと、該当する場合、そのリモート アクセス VPN ユーザ デバイスに関する情報。

    • 上位 CXマルチ デバイス モードのみ)。トランザクション数またはデータ使用量で示す、最も多くのトラフィックを処理した CX デバイス。

    • ロケーションごとのトラフィック:トランザクション数またはデータ使用量で示す、ローカル(非 VPN)接続とリモート アクセス VPN 接続の間の関係を示す円グラフ。

    • 上位の宛先:トランザクション数またはデータ使用量で示す、トラフィック宛先またはアプリケーションの特性に関する情報。

    • 上のクラウド サービス アプリケーション:データやトランザクションを使用してクラウドベースのアプリケーションとして、対応アプリケーションに関する情報。

    ヘルスとパフォーマンスのモニタリング

    デバイスの基本システムのヘルスおよびパフォーマンス情報を表示するには、ネットワーク概要ダッシュボードを使用できます。 マルチ デバイス モードでは、デバイス ダッシュボードも使用できます。

    次の機能は、ヘルスとパフォーマンスのモニタリングに使用可能です。

    オンボックス サマリー、ネットワーク概要(シングル デバイス モードのみ)。

    対処が必要なすべてのアラートを含む、ログイン先の CX デバイスについてのサマリー情報。 サマリーには、次の情報が含まれます。

    • 左側のリストには、デバイス上で実行されているソフトウェア バージョン、デバイス モデル、および最終展開日(最後に設定変更がデバイスに保存された時)が表示されます。

    • 右側のグラフとテーブルには、システムを通過するネットワーク活動の量が表示されます。グラフの上のリンクを使用すると、トランザクション(未処理の接続数)とスループット(データ レート)間で切り替えることができます。 ドロップダウン リストを使用して、拒否トランザクション、許可トランザクション、あるいはすべてのトランザクションを表示します。 グラフの上にマウスを置くと、そのデータ ポイントの時刻と値がわかります。

    デバイス サマリー、ネットワーク概要(マルチ デバイス モードのみ)

    この PRSM サーバを使用して管理している各 ASA および CX デバイスについてのサマリー情報。 [ASA|CX] アイコンはトグル動作となり、それぞれの側のトグルをクリックすると、ASA とそれに含まれる CX の間でデータ表示が切り替わります。 検討しているデバイスを確認するには、デバイス名のカラムを使用します。

    サマリーにはデバイスごとに次の情報が含まれます。

    • デバイスに問題がある場合、最新の問題についてのアラート。 複数のアラートがある場合は、特定のアラートではなくサマリー カウントが表示されます。リンクをクリックすると、詳細ダッシュボードに移動し、すべてのアラートがリストされます。 アラートの詳細については、デバイス アラートの解決を参照してください。

    • 現在の CPU とメモリの使用率、および最小、最大、および平均メトリックを含むデバイスのデータ スループット。

    • 管理しているデバイス数が多くサマリーに収まり切らない場合は、[View More] をクリックするとリスト全体が表示されます。

    ヘルスとパフォーマンス、ネットワーク概要、およびデバイス詳細

    デバイスの負荷がわかる、CPU とメモリの使用率が集約された別々のグラフ。 グラフは動作モードによって異なります。

    シングル デバイス モード

    線の上にマウスを置くと、グラフのデータ ポイントの特定の時刻と値がわかります。 データ ポイントが入手できなかった場合は、線が途切れます。 使用率が 85% を超えると、高いことがマークで示されます。

    マルチ デバイス モード

    棒グラフは、定義済みの使用量範囲に収まるデバイスの数を示します。 範囲に収まるデバイスのデバイス ダッシュボードを表示するには、範囲をクリックします。 範囲にあるのが 1 つのデバイスの場合は、そのデバイスの詳細ダッシュボードに直接進みます。 複数ある場合は、範囲にあるデバイスのリストが表示され、デバイスをクリックして詳細を表示します。

    デバイス詳細ビューでは、ASA と CX の線は別になっています。凡例のデバイス タイプをクリックして、線の追加または削除ができます。 線の上にマウスを置くと、グラフのデータ ポイントの特定の時刻と値がわかります。 データ ポイントが入手できなかった場合は、線が途切れます。 使用率が 85% を超えると、高いことがマークで示されます。 ハイ アベイラビリティ デバイスの場合、アクティブ デバイスとスタンバイ デバイス間で切り替えることができます。

    デバイス サマリー、デバイス詳細ダッシュボード(マルチ デバイス モードのみ)

    対処する必要のあるアラートを含む、管理対象デバイスに関するサマリー情報。 サマリーには、次の情報が含まれます。

    • 左側のリストには、各デバイス上で実行されているソフトウェア バージョン、デバイス モデル、および最終展開日(最後に設定変更がデバイスに保存された時)が表示されます。 デバイス上で使用可能なネットワーク インターフェイスおよびその現在のステータスもグラフに表示されます。赤は停止を意味し、緑は稼働中で動作していることを意味し、色なしはインターフェイスが設定されていないことを示します。 ポートをクリックすると、インターフェイスに関する詳細情報が表示されます。

    • ハイ アベイラビリティ デバイスの場合、デバイス情報の上のリンクを使用して、アクティブ デバイスとスタンバイ デバイス間で切り替えることができます。

    • 右側のグラフとテーブルには、システムを通過するネットワーク活動の量がトランザクション/接続(未処理の接続数)、スループット(データ レート)、および変換(ASA 用)に基づいて表示されます。 グラフの上のリンクを使用すると、ASA と CX の間で切り替わります。 ドロップダウン リストを使用して、拒否トランザクション、許可トランザクション、あるいはすべてのトランザクションを表示します。 グラフの上にマウスを置くと、そのデータ ポイントの時刻と値がわかります。

      グラフの凡例で [Transactions]、[Connections]、[Translates]、または [Throughput] をクリックすると、線の追加または削除ができます。

    インターフェイス ダッシュボード(マルチ デバイス モードのみ)

    インターフェイス ダッシュボードは、VLAN を含むデバイス上に設定されたインターフェイスの詳細情報を表示します。 CX デバイスの場合、インターフェイスは CX デバイスをホストするデバイスにあります。 この情報を使用すると、インターフェイス パフォーマンスの分析およびトラブルシューティングに役立ちます。

    インターフェイス ダッシュボードを表示するには、デバイス詳細ダッシュボードのポート アイコンをクリックします。 詳細ダッシュボードに移動するには、[Dashboard] > [Devices] を選択し、インターフェイスを表示するデバイスの名前をクリックします。 次に、設定済みポートをクリックします。未設定ポートには使用可能なインターフェイス ダッシュボードがありません。

    ダッシュボードには次のメイン情報が表示されます。

    • トラフィック使用状況グラブ:トラフィック レートを示します。 線の上にマウスを置くと、特定のデータ ポイントの時刻と値がわかります。 特定の VLAN のデータ レート、毎秒のパケット レート、ビット毎秒のスループット、バイトでの平均パケット サイズ、およびドロップされたパケット数を表示するようにグラフを操作できます。 パケット レートの場合、凡例のラベルをクリックして削除できる入出力用に別々の行があります。

    • トラブルシューティング グラフ:さまざまなエラー率を示します。 線の上にマウスを置くと、特定のデータ ポイントの時刻と値がわかります。 ほとんどのグラフで、凡例のラベルをクリックして線の追加または削除ができます。 [Refresh] をクリックすると、新しいデータでグラフが更新されます。 パケット エラー(CRC およびフレーム)、バッファ リソース(オーバーランがおよびアンダーラン)、衝突数、およびその他(ブロードキャスト パケット)を表示するようにグラフを操作できます。

    デバイス アラートの解決

    特定のタイプの問題がデバイスで発生した場合、ネットワークの概要でそのデバイス サマリーにアラートが表示されます。 マルチ デバイス モードでは、これらのアラートはデバイス詳細ダッシュボードでも表示されます。 さらに、マルチ デバイス モードのデバイス インベントリ ページにアラートがいくつか表示されることがあります。 アラートは 5 分ごとに更新されます。

    いずれかの管理対象デバイスにアラートがないか確認するには、次の操作を実行します。
    • [Dashboard] > [Network Overview] を選択してデバイス サマリーを調べます。 マルチ デバイス モードで、簡単に表示できないほど多くのアラートがデバイスにある場合、アラートの数の要約が表示されます。特定のアラートを表示するには、アラート要約をクリックしてデバイス詳細ダッシュボードを表示します。 次の図はこれを示しています。

    • マルチ デバイス モードのみ)。[Dashboard] > [Devices] を選択し、次にデバイス名をクリックします。 デバイス詳細ダッシュボードのみにアラートが表示されます。

    • マルチ デバイス モードのみ)。Configurations > Policies/Settings を選択し、リポジトリ ビューに切替え、[Overview][Overview]タブを選択します。 インベントリ テーブルでアラートを探します。

    図 9. 概略アラートから特定アラートへの移動



    次に、表示される可能性があるアラートのリストを示します。これらのアラートの多くは、シングル デバイス モードには適用されません。

    CX Config Version Out-dated

    CX デバイスで実行されているコンフィギュレーション バージョンが、PRSM データベースに保存されているものと大幅に異なります。 これは、古いバックアップを回復した場合、または複数の連続した展開が長期間失敗している場合に発生することがあります。 このアラートを取得した場合、CX ホーム ページにログインし、デバイスのデータベースと PRSM のデータベースを再同期するオプションを選択します。 CX の設定を維持する場合は、PRSM インベントリからデバイスを削除してから追加し、PRSM データベースをアップデートする必要があります。

    Delete failed

    このサービスのインベントリからの削除を完了できませんでした。 CX デバイスにログインし、リンクをクリックしてシングル デバイス モードに切り替えます。

    Device Failed Over

    ハイ アベイラビリティ ペアのアクティブ デバイスで障害が発生し、スタンバイ デバイスが引き継ぎました。 障害が発生したデバイスの問題を評価し、オンラインに戻します。

    Device_type Deploy failed

    デバイスの展開ジョブに失敗しました。 この問題を評価するには、[Administration] > [Change History] を選択し、フィルタ コントロールを使用してデバイスに関係する最新ジョブを入手します。 失敗の原因がタイムアウトまたはデバイスが使用できないことである場合は、デバイスの接続に問題がないか調べてください(Device Unavailable アラートの説明を参照)。 見つかった問題をすべて修正します。

    展開を再試行するには、メニュー バーの [Changes Pending] リンクをクリックし、[Deployment Status] タブを選択します。 再展開を試みるデバイスを決定し、[Redeploy] ボタンをクリックします。

    Device_type Device unreachable
    PRSM サーバとデバイス間の通信に失敗しています。 いくつかの原因が考えられます。
    • デバイスが停止しています。 デバイスに直接ログインを試みて、正しく機能しているかを判断します。 ASA CX の場合は、親 ASA にログインして次のコマンドを使用します。
      • show moduleASA CX モジュールのステータスは [Up] となるはずです。 その他のステータス [Down]、[Init]、[Unresponsive] はモジュールに問題があることを示しています。

      • show service-policy:トラフィックを ASA CX に送っている場合は、ASA CX モジュールから戻ったパケットを探します。

    • サーバとデバイス間のネットワーク パスに問題があります。 サーバにログインし、ping コマンドと traceroute コマンドを使用して接続を確認します。 問題は、ルータの誤設定などの論理的なものであったり、ケーブルの抜けや断線などの物理的なものであったりします。

    • TLS/SSL 証明書が失効しました。 最新の証明書を取得するには、インベントリ リストでデバイスを選択し、[Refresh Certificate] コマンドを使用します。

    • デバイスをインベントリに追加するときに指定したユーザ アカウントの、パスワードを変更しました。 これが問題の原因である場合、デバイスの概要タブでクレデンシャルを更新します。

    Discovery failed

    このアラートは、デバイスを追加したときにデバイス設定のディスカバリに失敗した場合に、デバイス インベントリに表示されます。 デバイスの上にマウスを置き、[Delete Device] をクリックします。 ネットワーク接続を含むデバイスの状態を確認して再試行します。

    Discovery in progress

    このアラートは、デバイスを追加したときに PRSM がその設定の検出中である場合に、デバイス インベントリに表示されます。 ディスカバリが完了するまで待ってから、デバイスへの変更の展開を試みます。

    Interface interface_name down

    示されたインターフェイスが停止しています。 この状況は、意図的なものであることも、問題を示していることもあります。 インターフェイスが管理目的で停止しているかを判断するには、デバイス詳細ダッシュボードに移動し(デバイス名をネットワークの概要でクリックし)、赤いインターフェイスをクリックしてインターフェイス ダッシュボードを開きます。 管理者がインターフェイスをシャットダウンしたことがアラートで示されている場合、その状態は意図的なものです。 そうでなければ、ASA にログインして問題を評価します。 たとえば、ネットワーク ケーブルの抜けや断線など、物理的な問題である可能性があります。

    N license expired

    示された数のライセンスが失効しました。 新しいライセンスをアップロードし、それをデバイスに適用して中断したサービスを確保する必要があります。 ライセンスをアップロードして適用するには、[Administration] > [Licenses] を選択します。

    N license expiring in nn days

    示された数のライセンスが、示された日数で失効します。 中断したサービスを確保するには、それまでに新しいライセンスを入手できることを確認する必要があります。

    No Events Processed
    システムがデバイスからイベントを受信していません。 これはデバイスがトラフィックを処理していない場合、または ASA に関しては、PRSM を ASA の syslog サーバとして設定していない場合には、正常である可能性があります。 デバイスからイベントを受け取る必要がある場合は、次のようにします。
    • CX デバイス:CLI にログインし、show services status を使用してプロセスが正常に機能していることを確認します。 プロセスを停止してから開始してみるか、最後の手段としてはシステムをリブートします。

    • ASA:PRSM を正しいポートと設定で syslog サーバとして設定したこと、および ASA が正常に機能していることを確認します。

    PRSM-CX Version mismatch

    このアラートは、管理対象の CX デバイスが PRSM データベースに定義されているものとは異なる設定を実行していることを示しています。 不一致を修正する必要があります。 各 CX ホーム ページにログインし、再同期リンクをクリックして古い設定に戻すか、デバイスをインベントリから削除し、その再検出を行って現在の設定を維持します。

    マルウェア トラフィック ダッシュボードの解釈

    マルウェア トラフィック ダッシュボードには、Web レピュテーション フィルタリングの結果が表示されます。

    ダッシュボードを表示するには、[Dashboard] > [Malware Traffic] を選択します。 また、ネットワークの概要の [Malicious Transactions] ダッシュボードで[View All] をクリックしても、ダッシュボードを表示できます。

    マルウェア トラフィック ダッシュボードには、処理される合計トランザクションと比較した、Web レピュテーションが低い(-6 以下)サイトが検出されたトランザクションが表示されます。 検出された悪意のあるトランザクションの場合、許可された数が表示されます。 許可されたトランザクションの数は、次の理由のいずれかで、ゼロ以外になる場合があります。

    • Web レピュテーション サービスを有効にしていない。

    • Web レピュテーション プロファイルなしのアクセス ポリシーがある。

    • -6 より下のレピュテーションのトラフィックを許可する Web レピュテーション プロファイルを使用している。 このダッシュボードは低レピュテーション メトリックの区切りとして常に -6 を使用します。

    許可されたトラフィックのイベントを表示するには、Event Viewer を開き、次のクエリー要素を使用します。

    • Reputation Score<-5.9

    • Event Type=HTTP Complete

    • Event Type=TLS Complete


    ヒント


    [ コンポーネント > 網フィルタリング カテゴリサイトの評判を調べると、ネットワークのレピュテーション スコアを確認し > たい[i]を選択します。


    個々の項目または全体としてモニタされるカテゴリに関する詳細情報を取得するには、[View More] リンクおよび一部の名前とアイコンをクリックします。 マルチ デバイス モードでは、統計情報は、すべての管理対象デバイスの要約です。 この情報は、より詳細な分析や既存のポリシーの変更を必要とするエリアの識別、またはレピュテーション フィルタリングが一般的な予期内で実行されていることの確認に使用します。

    ダッシュボードには、レピュテーション フィルタリングで検出されたマルウェア タイプも表示されます。 潜在的なマルウェア タイプには、次のものが含まれます。

    • Adware

    • Conficker

    • 悪意のない。 レピュテーション スコアが低くても、トラフィックは悪意があると見なされません。

    • フィッシングに関連する

    • スパムに関連する

    • スパイウェア

    • 陽性と疑わしいマルウェア

    • トロイの木馬

    NG 侵入防御ダッシュボードの解釈

    NG 侵入防御ダッシュボードには、Next Generation IPS フィルタリングの結果が表示されます。 IPS フィルタリングを有効にし、NG IPS プロファイルを 1 つ以上のアクセス ポリシーに適用する場合にのみ、ダッシュボードにデータが表示されます。

    ダッシュボードを表示するには、[Dashboard] > [NG Intrusion Prevention] を選択します。

    ダッシュボードには、脅威を検出した上位ポリシー、上位攻撃者とそのターゲット、および発生した脅威を表示する複数のグラフが含まれます。 マルチ デバイス モードでは、統計情報はすべての管理対象デバイスの要約であり、これらの脅威が発生している上位デバイスも表示されます。

    Next Generation IPS ダッシュボードで使用されるメトリックは、他のレポートとは若干異なります。 トランザクションが表示されるのではなく、このダッシュボードにはモニタリングしているこれらの脅威のヒットが表示されます。 1 つのトランザクションは複数の脅威に一致できるため、脅威の数はトランザクション数に等しい必要はありません。トランザクションの数より多い場合があります。

    モニタ対象脅威数とデータ使用量ビュー間でさまざまなダッシュボードを切り替え、すべての、拒否された、または許可された脅威に基づいてフィルタリングできます。 そのメトリックの完全なレポートを表示するには、任意のグラフで [View More] をクリックします。 これらのレポートから特定のレポート項目の詳細情報にドリル ダウンできます。

    次のダッシュボードが、NG 侵入防御ダッシュボードとドリルダウン レポートで使用可能です。

    • CX IPS 脅威円グラフ:このダッシュボードは、ネットワーク概要でも使用可能です。 また、許可またはブロックされた回数を基準として、Next Generation IPS 脅威に一致するトランザクションの数の全体像を提供します。 送受信バイト数を表示するデータ使用量にビューを切り替えることができます。

    • 最大の脅威を検出するポリシー:これらのトランザクションが一致したポリシーの名前。

    • 上位攻撃者:これらのトランザクションのトラフィック送信元。

    • 上位攻撃対象者:これらのトランザクションのトラフィック宛先。

    • 上位脅威:最も頻繁に発生した脅威の名前。

    ASA トラフィック ダッシュボードの解釈

    マルチ デバイス モードのみ)。ASA トラフィック ダッシュボードは、ASA デバイスの接続統計情報を表示します。 PRSM サーバをデバイスの Syslog サーバとして定義する場合にだけ、ダッシュボードにはデバイスからのデータが表示されます。 また、ASA がマルチ コンテキスト モードで設定されているか、サポートされていないソフトウェア バージョンを実行しているか、またはフェールオーバー モードで動作している場合は、統計情報は表示されません。 統計情報は、Syslog メッセージ 302013、302015、および 106023 から取得されます。

    ダッシュボードを表示するには、[Dashboard] > [ASA Traffic] を選択します。 デバイス詳細ダッシュボードの情報も表示できます。

    上位 ASA トラフィックのダッシュボードには、上位の送信元、宛先、サービスを表示するための複数のグラフが含まれます。 このダッシュボードは、デバイス詳細などの他のダッシュボードでも使用可能です。

    接続とデータ使用量ビュー間でさまざまなダッシュボードを切り替え、すべての、拒否された、または許可されたトランザクションに基づいてフィルタリングできます。 そのメトリックの完全なレポートを表示するには、任意のグラフで [View More] をクリックします。 これらのレポートから特定のレポート項目の詳細情報にドリル ダウンできます。


    ヒント


    許可された接続統計情報は、トラフィックを CX にリダイレクトする前の、ASA ファイアウォール ルールの最初の適用に基づいていることに注意してください。 したがって、「許可された」接続はその後 CX ポリシーによって拒否された場合もあります。 また、許可または拒否された接続に基づいてデータを表示するオプションは、PRSM サーバを ASA の syslog サーバとして定義した場合にだけ使用できます。