FireSIGHT システム ユーザ ガイド バージョン 5.3.1
カスタム テーブルの使用
カスタム テーブルの使用
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

カスタム テーブルの使用

カスタム テーブルについて

可能なテーブルの結合について

カスタム テーブルの作成

カスタム テーブルの変更

カスタム テーブルの削除

カスタム テーブルに基づいたワークフローの表示

カスタム テーブルの検索

カスタム テーブルの使用

FireSIGHT システムがネットワークに関する情報を収集し、防御センターがその情報を一連のデータベース テーブルに保存します。結果として生成される情報を表示するためにワークフローを使用する場合、防御センターはそれらのテーブルのいずれかからデータを取り出します。たとえば、[Network Applications by Count(カウントに基づいたネットワーク アプリケーション)] ワークフローの各ページのカラムは、[Applications] テーブルのフィールドから取得されます。

さまざまなテーブルのフィールドを結合することにより、ネットワークのアクティビティの分析が向上する場合、カスタム テーブルを作成できます。たとえば、定義済みの [Host Attributes] テーブルのホスト重大度情報と、定義済みの [Connection Data] テーブルのフィールドを結合してから、新しいコンテキストで接続データを検証できます。

定義済みのテーブルまたはカスタム テーブルのどちらについても、カスタム ワークフローを作成できます。カスタム ワークフローの作成の詳細については、「カスタム ワークフローの作成」を参照してください。

以下のセクションでは、独自のカスタム テーブルを作成して使用する方法について説明します。

「カスタム テーブルについて」

「カスタム テーブルの作成」

「カスタム テーブルの変更」

「カスタム テーブルの削除」

「カスタム テーブルに基づいたワークフローの表示」

「カスタム テーブルの検索」

カスタム テーブルについて

ライセンス:FireSIGHT

カスタム テーブルには、2 つ以上の定義済みのテーブルのフィールドが含まれます。FireSIGHT システムでは、システム定義のカスタム テーブルが多数提供されていますが、自分のニーズに合った情報だけを含めるカスタム テーブルをさらに作成できます。

たとえば、FireSIGHT システムでは、侵入イベント データをホスト データと相関させるシステム定義のカスタム テーブルが提供されているので、重要なシステムに影響を与えるイベントを検索して、その検索の結果を 1 つのワークフローで表示できます。次の表は、システムに付属しているカスタム テーブルについて説明します。

 

表 46-1 システム定義のカスタム テーブル

テーブル
説明

Hosts with Servers

ネットワーク上で実行されている検出されたアプリケーションに関する情報と、それらのアプリケーションを実行しているホストに関する基本的なオペレーティング システム情報を提供する、[Hosts] および [Servers] テーブルのフィールドが含まれます。

Intrusion Events with Destination Criticality

侵入イベントに関する情報と、各侵入イベントに関係する宛先ホストのホスト重大度に関する情報を提供する、[Intrusion Events] および [Hosts] テーブルのフィールドが含まれます。

ヒント このテーブルは、ホスト重大度が高い宛先ホストが関係する侵入イベントを検索するために使用します。

Intrusion Events with Source Criticality

侵入イベントに関する情報と、各侵入イベントに関係する送信元ホストのホスト重大度に関する情報を提供する、[Intrusion Events] および [Hosts] テーブルのフィールドが含まれます。

ヒント このテーブルは、ホスト重大度が高い送信元ホストが関係する侵入イベントを検索するために使用します。

可能なテーブルの結合について

ライセンス:FireSIGHT + Protection

カスタム テーブルを作成する場合、関連データを含む定義済みのテーブルのフィールドを結合できます。次の表は、新しいカスタム テーブルを作成するために結合できる定義済みのテーブルをリストしています。3 つ以上の定義済みのカスタム テーブルのフィールドを結合してカスタム テーブルを作成できることに留意してください。

 

表 46-2 カスタム テーブルの結合

以下のテーブルのフィールドを
以下のテーブルのフィールドと結合可能

Applications

Correlation Events

Intrusion Events

Connection Summary Data

Host Attributes

Application Details

Discovery Events

Connection Events

Hosts

Servers

White List Events

Correlation Events

Applications

Host Attributes

Hosts

Intrusion Events

Applications

Host Attributes

Hosts

Servers

Connection Summary Data

Applications

Host Attributes

Hosts

Servers

Indications of Compromise

Applications

Application Details

Captured Files

Connection Events

Connection Summary Data

Correlation Events

Discovery Events

Host Attributes

Hosts

Intrusion Events

Security Intelligence Events

Servers

White List Events

Host Attributes

Applications

Correlation Events

Intrusion Events

Connection Summary Data

Application Details

Discovery Events

Connection Events

Hosts

Servers

White List Events

Application Details

Applications

Host Attributes

Hosts

Discovery Events

Applications

Host Attributes

Hosts

Connection Events

Applications

Host Attributes

Hosts

Servers

Security Intelligence Events

Applications

Host Attributes

Hosts

Servers

Hosts

Applications

Correlation Events

Intrusion Events

Connection Summary Data

Host Attributes

Application Details

Discovery Events

Connection Events

Servers

White List Events

Servers

Applications

Intrusion Events

Connection Summary Data

Host Attributes

Connection Events

Hosts

White List Events

Applications

Host Attributes

Hosts

あるテーブルのフィールドが、別のテーブルの複数のフィールドにマップされる場合があります。たとえば、定義済みの [Intrusion Events with Destination Criticality] カスタム テーブルは、[Intrusion Events] テーブルと [Hosts] テーブルのフィールドを結合します。[Intrusion Events] テーブルの各イベントは、2 つの IP アドレス(送信元 IP アドレスと宛先 IP アドレス)と関連付けられています。しかし、[Hosts] テーブルの「イベント」はそれぞれ、単一のホスト IP アドレスを表します(ホストに複数の IP アドレスが存在する場合があります)。したがって、[Intrusion Events] テーブルと [Hosts] テーブルに基づいてカスタム テーブルを作成する場合、[Intrusion Events] テーブルのホストの送信元 IP アドレスかホストの宛先 IP アドレスのどちらに適用するかを選択する必要があります。

新しいカスタム テーブルを作成すると、テーブルのすべてのカラムを表示するデフォルトのワークフローが自動的に作成されます。定義済みのテーブルと同じように、ネットワーク分析で使用するデータをカスタム テーブルで検索することもできます。また、定義済みのテーブルで行うのと同じように、カスタム テーブルに基づいてレポートを生成することもできます。

カスタム テーブルの作成の詳細については、以下を参照してください。

「カスタム テーブルの作成」

「カスタム テーブルの変更」

「カスタム テーブルの削除」

「カスタム テーブルに基づいたワークフローの表示」

「カスタム テーブルの検索」

カスタム テーブルの作成

ライセンス:FireSIGHT

さまざまなテーブルのフィールドを結合することにより、ネットワークのアクティビティの分析が向上する場合、カスタム テーブルを作成できます。


ヒント 新しいカスタム テーブルを作成する代わりに、別の防御センターからカスタム テーブルをエクスポートし、防御センターにインポートできます。その後、必要に合わせて、インポートしたカスタム テーブルを編集できます。詳細については、「設定のインポートおよびエクスポート」を参照してください。

カスタム テーブルを作成するには、FireSIGHT システムに付属しているどの定義済みテーブルに、カスタム テーブルに組み込むフィールドが含まれているかを判断します。その後、組み込むフィールドを選択できます。さらに、必要に応じて、共通フィールドのフィールド マッピングを設定することもできます。


ヒント [Hosts] テーブルを含むデータでは、1 つの IP アドレスではなく、1 つのホストのすべての IP アドレスに関連したデータを表示できます。

例として、[Correlation Events] テーブルと [Hosts] テーブルのフィールドを結合するカスタム テーブルについて考慮します。このカスタム テーブルを使用して、相関ポリシーの違反に関係するホストの詳細情報を取得できます。注意すべき点として、[Correlation Events] テーブルの送信元 IP アドレスと宛先 IP アドレスのどちらと一致する [Hosts] テーブルのデータを表示するかを決定する必要があります。

 

このカスタム テーブルのイベントのテーブル ビューを表示する場合、相関イベントが 1 行に 1 つずつ表示されます。次の情報が表示されます。

イベントが生成された日時

違反された相関ポリシーの名前

違反をトリガーとして使用した規則の名前

相関イベントに関係する送信元ホスト(開始ホスト)に関連付けられた IP アドレス

送信元ホストの NetBIOS 名

送信元ホストが実行しているオペレーティング システムおよびバージョン

送信元ホストの重大度


ヒント 宛先ホスト(応答ホスト)の同じ情報を表示する同じようなカスタム テーブルを作成することもできます。

上述の例のカスタム テーブルを作成する方法:

アクセス:Admin


ステップ 1 [Analysis] > [Custom] > [Custom Tables] を選択します。

[Custom Tables] ページが表示されます。

ステップ 2 [Create Custom Table] をクリックします。

[Create Custom Table] ページが表示されます。

ステップ 3 [Name] フィールドに、[Correlation Events with Host Information (Src IP)] などのカスタム テーブルの名前を入力します。

ステップ 4 [Tables] ドロップダウン リストから、[Correlation Events] を選択します。

[Correlation Events] テーブルのフィールドが [Fields] リストに表示されます。

ステップ 5 [Fields] で [Time] を選択し、[Add] をクリックして、相関イベントが生成された日時を追加します。

ステップ 6 ステップ 5 を繰り返して、[Policy] および [Rule] フィールドを追加します。


ヒント Ctrl または Shift を押しながらクリックすることにより、複数のフィールドを選択できます。また、クリックしてドラッグすることで、隣接する複数の値を選択できます。しかし、テーブルに関連したイベントのテーブル ビューでフィールドが表示される順序を指定する場合、フィールドを一度に 1 つずつ追加します。

ステップ 7 [Tables] ドロップダウン リストから [Hosts] を選択します。

[Hosts] テーブルのフィールドが [Fields] リストに表示されます。これらのフィールドの詳細については、「ホスト テーブルについて」を参照してください。

ステップ 8 [IP Address]、[NetBIOS Name]、[OS Name]、[OS Version]、および [Host Criticality] フィールドをカスタム テーブルに追加します。

ステップ 9 [Correlation Events] の隣にある [Common Fields] で、[Source IP] を選択します。

相関イベントに関係する送信元ホスト(開始ホスト)用にステップ 8 で選択したホスト情報を表示するように、カスタム テーブルが設定されます。


ヒント 相関イベントに関係する宛先ホスト(応答ホスト)に関する詳細なホスト情報を表示するカスタム テーブルを作成する場合、この手順に従うものの、[Source IP] ではなく、[Destination IP] を選択します。

ステップ 10 [Save] をクリックします。

カスタム テーブルが保存されます。


 

カスタム テーブルの変更

ライセンス:FireSIGHT

ニーズの変化に応じて、カスタム テーブルのフィールドを追加したり削除したりできます。

カスタム テーブルを変更する方法:

アクセス:Any/Admin


ステップ 1 [Analysis] > [Custom] > [Custom Tables] を選択します。

[Custom Tables] ページが表示されます。

ステップ 2 編集するテーブルの横にある編集アイコン( )をクリックします。

[Edit Custom Table] ページが表示されます。変更可能なさまざまな設定の詳細については、「カスタム テーブルの作成」を参照してください。

ステップ 3 除外するフィールドの横にある削除アイコン( )をクリックして、テーブルからフィールドを除外することもできます。


レポートで現在使用中のフィールドを削除すると、それらのフィールドを使用しているセクションをそれらのレポートから除外するか確認するプロンプトが出されます。


ステップ 4 必要に応じて他の変更を行い、[Save] をクリックします。

カスタム テーブルが更新されます。


 

カスタム テーブルの削除

ライセンス:FireSIGHT

必要なくなったカスタム テーブルを削除できます。カスタム テーブルを削除すると、そのカスタム テーブルを使用する保存済み検索も削除されます。

カスタム テーブルを削除する方法:

アクセス:Any/Admin


ステップ 1 [Analysis] > [Custom] > [Custom Tables] を選択します。

[Custom Tables] ページが表示されます。

ステップ 2 削除するカスタム テーブルの隣にある削除アイコン( )をクリックします。

テーブルが削除されます。


 

カスタム テーブルに基づいたワークフローの表示

ライセンス:FireSIGHT

カスタム テーブルを作成すると、そのデフォルトのワークフローがシステムによって自動的に作成されます。このワークフローの最初のページには、イベントのテーブル ビューが表示されます。カスタム テーブルに侵入イベントを含める場合、ワークフローの 2 番目のページはパケット ビューになります。それ以外の場合、ワークフローの 2 番目のページはホスト ページになります。カスタム テーブルに基づいて、独自のカスタム ワークフローを作成することもできます。


ヒント カスタム テーブルに基づいてカスタム ワークフローを作成する場合、それをそのテーブルのデフォルトのワークフローとして指定できます。詳細については、「イベント ビュー設定の設定」を参照してください。

同じ手法を使用して、定義済みのテーブルに基づいたイベント ビューに使用するカスタム テーブルでイベントを表示できます。詳細については、「ワークフローのページの使用」を参照してください。

カスタム テーブルに基づいたワークフローを表示する方法:

アクセス:Any/Admin


ステップ 1 [Analysis] > [Custom] > [Custom Tables] を選択します。

[Custom Tables] ページが表示されます。

ステップ 2 表示するワークフローが基づくカスタム テーブルの隣にある表示アイコン( )をクリックします。

カスタム テーブルのデフォルトのワークフローの最初のページが表示されます。別のワークフローを使用するには、ワークフローのタイトルの横にある [(switch workflow)] をクリックします。別のデフォルトのワークフローを指定する方法については、「イベント ビュー設定の設定」を参照してください。イベントが表示されず、ワークフローを時間によって制約できる場合は、時間範囲の調整が必要なことがあります。「イベント時間の制約の設定」を参照してください。


 

カスタム テーブルの検索

ライセンス:FireSIGHT

カスタム テーブルの検索を作成して保存できます。ネットワーク環境に合わせてカスタマイズされた検索を作成してから、後で再利用できるように保存することができます。カスタム テーブルを削除すると、そのカスタム テーブル用に保存したすべての検索も削除されるので注意してください。

使用できる検索基準は、カスタム テーブルを作成するために使用した定義済みのテーブルの基準と同じです。使用できる検索基準の詳細については、以下の表に示されているセクションを参照してください。

表 46-3 テーブルの検索基準

検索基準
参照先

Audit Events

「監査レコードの検索」

Application Details

「アプリケーションの詳細の検索」

Correlation Events

「相関イベントの検索」

Connection Data

「接続およびセキュリティ インテリジェンスのデータの検索」

Hosts

「ホストの検索」

Host Attributes

「ホスト属性の検索」

Hosts with Applications

「ホストの検索」および「サーバの検索」

Intrusion Events

「侵入イベントの検索」

Intrusion Events with Destination Criticality

「侵入イベントの検索」および「ホストの検索」

Intrusion Events with Source Criticality

「侵入イベントの検索」および「ホストの検索」

Status Events

「修復ステータス イベントの検索」

Discovery Events

「ディスカバリ イベントの検索」

User Events

「ユーザ アクティビティの検索」

Rule Update Import Log

「[Rule Update Import Log] の検索」

Applications

「アプリケーションの検索」

Security Intelligence Events

「接続およびセキュリティ インテリジェンスのデータの検索」

Users

「ユーザの検索」

Vulnerabilities

「脆弱性の検索」

White List Events

「コンプライアンス ホワイト リスト イベントの検索」

White List Violations

「ホワイト リスト違反の検索」

テーブル検索にそれらの基準を実装するには、次の手順を参照してください。

カスタム テーブルで検索を実行する方法:

アクセス:Any/Admin


ステップ 1 [Analysis] > [Custom] > [Custom Tables] を選択します。

[Custom Tables] ページが表示されます。

ステップ 2 検索するカスタム テーブルの隣にある表示アイコン( )をクリックします。

カスタム テーブルのデフォルトのワークフローの最初のページが表示されます。別のワークフロー(カスタム ワークフローを含む)を使用するには、ワークフローのタイトルの横にある [(switch workflow)] をクリックします。別のデフォルト ワークフローの指定方法については、「イベント ビュー設定の設定」を参照してください。イベントが表示されず、ワークフローを時間によって制約できる場合は、時間範囲の調整が必要なことがあります。「イベント時間の制約の設定」を参照してください。

ステップ 3 [Search] をクリックします。

カスタム テーブルの検索ページが表示されます。


ヒント さまざまな種類のイベントまたはデータをデータベースで検索するには、[Table] ドロップダウン リストから選択します。

ステップ 4 検索を保存する場合、[Name] フィールドでその名前を入力できます。

名前を入力しないと、検索を保存するときに自動的に名前が付けられます。

ステップ 5 該当するフィールドに検索基準を入力します。検索基準を選択する方法の詳細については、 「テーブルの検索基準」 を参照してください。

複数の基準を入力すると、検索では、すべての基準を満たすレコードだけが返されます。


ヒント 検索基準としてオブジェクトを使用する場合は、検索フィールドの横にあるオブジェクト アイコン()をクリックします。特別な検索構文、検索でのオブジェクトの使用、検索の保存およびロードなど、検索の詳細については、「検索設定の実行と保存」を参照してください。

ステップ 6 検索を保存して他のユーザがアクセスできるようにするには、[Save As Private] チェック ボックスをオフにします。そうしない場合は、このチェック ボックスを選択したままにして、検索をプライベートとして保存します。


ヒント カスタム ユーザ ロールに対するデータ制限として検索を使用する場合は、プライベート検索として保存する必要があります

ステップ 7 次の選択肢があります。

検索を開始するには、[Search] ボタンをクリックします。

検索結果は、現在の時間範囲によって制限されている、カスタム テーブルのデフォルトのワークフローに表示されます(該当する場合)。別のワークフロー(カスタム ワークフローを含む)を使用するには、ワークフローのタイトルの横にある [(switch workflow)] をクリックします。別のデフォルト ワークフローの指定方法については、「イベント ビュー設定の設定」を参照してください。

既存の検索を変更した場合、その変更を保存するには、[Save] をクリックします。

検索基準を保存する場合は、[Save as New Search] をクリックします。検索を保存し、[Save As Private] を選択してユーザ アカウントと関連付けると、検索を後で実行できます。