FireSIGHT システム ユーザ ガイド バージョン 5.3.1
ディスカバリ イベントの使用
ディスカバリ イベントの使用
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

ディスカバリ イベントの使用

ディスカバリ イベントの統計情報の表示

統計情報のサマリ

Event Breakdown

Protocol Breakdown

Application Protocol Breakdown

OS Breakdown

ディスカバリのパフォーマンス グラフの表示

ディスカバリ イベントのワークフローについて

ディスカバリ イベントとホスト入力イベントの使用

ディスカバリ イベントのタイプについて

ホスト入力イベントのタイプについて

ディスカバリ イベントおよびホスト入力イベントの表示

ディスカバリ イベント テーブルについて

ディスカバリ イベントの検索

ホストの使用

ホストの表示

ホスト テーブルについて

選択したホストのトラフィック プロファイルの作成

選択したホストに基づいたコンプライアンスのホワイト リストの作成

ホストの検索

ホスト属性の使用

ホスト属性の表示

ホスト属性のテーブルについて

選択したホストのホスト属性の設定

ホスト属性の検索

侵害の痕跡の使用

侵害の痕跡の表示

侵害の痕跡テーブルについて

侵害の痕跡の検索

サーバの使用

サーバの表示

サーバのテーブルについて

サーバの検索

アプリケーションの使用

アプリケーションの表示

アプリケーション テーブルについて

アプリケーションの検索

アプリケーションの詳細の使用

アプリケーションの詳細の表示

アプリケーションの詳細テーブルについて

アプリケーションの詳細の検索

脆弱性の処理

脆弱性の表示

脆弱性テーブルについて

脆弱性の非アクティブ化

脆弱性の検索

サードパーティの脆弱性の処理

サードパーティの脆弱性の表示

サードパーティの脆弱性テーブルについて

サードパーティの脆弱性の検索

ユーザの使用

ユーザの表示

ユーザ テーブルについて

ユーザの詳細とホストの履歴について

ユーザの検索

ユーザ アクティビティ の使用

ユーザ アクティビティ イベントの表示

ユーザ アクティビティ テーブルについて

ユーザ アクティビティの検索

ディスカバリ イベントの使用

ディスカバリ イベントは、ユーザにネットワーク上のアクティビティを警戒するよう警告し、適切に対応する必要がある情報を提供します。これらのイベントは、管理対象デバイスが監視しているネットワーク セグメント内で、管理対象デバイスが検出する変更によってトリガーされます。 ネットワーク検出ポリシー は、システムが収集するデータの種類、監視対象ネットワーク セグメント、およびシステムがトラフィックの監視で使用する特定のハードウェア インターフェイスについて明記しています。ネットワーク検出 の詳細については、「検出データ収集について」を参照してください。

ディスカバリ イベントの簡単な例として、会議室または予備の作業空間があり、そこへ来た従業員がネットワークにアクセスする場合があります。ユーザはこれらのセグメントで生成される New Host イベントを定期的に見ることが予想されますが、悪意のある行為だとは疑わないでしょう。ただし、ロック ダウンしたネットワーク セグメントで New Host イベントが見つかった場合は、それに応じて、応答のエスカレーションを行うことができます。

ユーザ ディスカバリ イベントは、ネットワーク上のホストにログインしているユーザに関する情報を提供します。ユーザは、ネットワーク上のユーザ アクティビティをカタログしているイベントを表示してドリル ダウンし、特定のユーザの情報を表示することができます。たとえば、新しいホストに関連付けられているユーザを表示する場合は、ホスト プロファイルを確認し、対象のホストとやりとりしているトラフィックで検出されたのがどのユーザかを特定することができます。

ディスカバリ イベントは、このような簡単な例に比べて、ネットワーク上のアクティビティを知るうえではるかに詳しく、精度の高い情報を提供します。監視されている各ホストについて、関連するアプリケーション プロトコル、ネットワーク プロトコル、クライアント、ユーザ、および潜在的な脆弱性を検出するようシステムを設定することができます。システムは、ユーザがホストの入力機能を使用して防御センターにインポートしたサードパーティのスキャナで検出された脆弱性についても情報を提供することができます。侵害の痕跡(IOC)は侵入、マルウェア、および他のデータを使用して、セキュリティが侵害される可能性があるホストを特定します。またユーザは、ユーザ インターフェイスを介して入力するホストの重要度、ホスト属性、脆弱性の設定における何らかの変更を追跡できます。

システムには事前定義のワークフロー セットが用意されており、これを使用して、システムで生成されるディスカバリ イベントを分析することができます。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。

分析用のネットワーク検出 データを収集および格納するには、ネットワーク上、およびシスコの管理対象デバイスおよび NetFlow 対応のデバイスがトラフィックを監視するゾーンで適切なデータを検出するよう、ネットワーク検出ポリシーが設定されていることを確認します。監視対象領域をディスカバリの範囲から除外するには、ネットワーク検出ポリシーで設定します。ネットワーク検出ポリシーを適用する前に、アクセス コントロール ポリシーを管理対象デバイスに適用する必要があります。詳細については、「ネットワーク検出ポリシーの作成」を参照してください。

詳細については、以下を参照してください。

「ディスカバリ イベントの統計情報の表示」

「ディスカバリのパフォーマンス グラフの表示」

「ディスカバリ イベントのワークフローについて」

「ディスカバリ イベントとホスト入力イベントの使用」

「ホストの使用」

「ホスト属性の使用」

「侵害の痕跡の使用」

「サーバの使用」

「アプリケーションの使用」

「アプリケーションの詳細の使用」

「脆弱性の処理」

「サードパーティの脆弱性の処理」

「ユーザの使用」

「ユーザ アクティビティ の使用」

ディスカバリ イベントの統計情報の表示

ライセンス:FireSIGHT

[Discovery Statistics Summary] ページには、システムで検出されたホスト、イベント、プロトコル、アプリケーション プロトコル、およびオペレーティング システムの概要が表示されます。

統計情報の概要は、イベントの合計、アプリケーション プロトコル、ホスト、ネットワーク デバイス、およびホストの使用制限に関する全般的な情報を提供します。「統計情報のサマリ」を参照してください。

イベントの明細には、システムで発生しているイベントのタイプに関する統計情報が示されます。「Event Breakdown」を参照してください。

プロトコルの明細には、検出されたホストで使用しているプロトコルに関する統計情報が示されます。「Protocol Breakdown」を参照してください。

アプリケーション プロトコルの明細には、ネットワーク上で稼動しているアプリケーション プロトコルの統計情報が示されます。「Application Protocol Breakdown」を参照してください。

オペレーティング システムの明細には、ネットワーク上で稼動しているオペレーティング システムについて、およびそれぞれのオペレーティング システムを何台のホストが使用しているかが示されます。「OS Breakdown」を参照してください。

ページには、最後の 1 時間の統計情報、および累計の統計情報が示されます。特定のデバイス、またはすべてのデバイスについての統計情報を選択することができます。サマリに示されているイベント、サーバー、オペレーティング システム、またはオペレーティング システムのベンダーをクリックして、ページ上のエントリに一致するイベントを表示することもできます。

イベントの統計情報サマリを表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Overview] > [Summary] > [Discovery Statistics] を選択します。

統計情報のサマリ ページが表示されます。

ステップ 2 [Select Device] リストから、統計情報を表示するデバイスを選択します。防御センターで管理されるすべてのデバイスの統計情報を表示するには、[All] を選択します。


 

統計情報のサマリ

ライセンス:FireSIGHT

統計情報のサマリは、イベントの合計、アプリケーション プロトコル、ホスト、ネットワーク デバイス、およびホストの使用制限に関する全般的な統計情報を提供します。

[Statistics Summary] セクションの行の説明は次のとおりです。

Total Events

防御センターに格納されているディスカバリ イベントの合計数。

Total Events Last Hour

最後の 1 時間に生成されたディスカバリ イベントの合計数。

Total Events Last Day

最後の 1 日に生成されたディスカバリ イベントの合計数。

Total Application Protocols

検出されたホストで実行されているサーバのアプリケーション プロトコルの合計数。

Total IP Hosts

一意の IP アドレスによって特定された検出済みホストの合計数。

Total MAC Hosts

IP アドレスで特定されない検出済みホストの合計数。

すべてのデバイス、または特定のデバイスのどちらについてのディスカバリ統計情報を参照している場合でも、[Total MAC Hosts] の統計情報は同じになることに注意してください。これは、管理対象デバイスが IP アドレスに基づいてホストを検出するためです。この統計情報は、他の方法によって識別され、特定の管理対象デバイスに依存しないすべてのホストの合計を表します。

Total Routers

ルータとして識別された検出ノードの合計数

Total Bridges

ブリッジとして識別された検出ノードの合計数

Host Limit Usage

使用中のホスト制限のパーセンテージ合計。ホストの制限は、FireSIGHT のライセンスによって定義されます。すべての管理対象デバイスについての統計情報を表示している場合は、ホストの使用制限のみが表示されることに注意してください。モニタリングしているホストの使用についての詳細は、「FireSIGHT ホスト使用量モニタリングの設定」を参照してください。


ホストの制限に達して、あるホストが削除された場合、ディスカバリを実行するよう設定されたすべての管理対象デバイスでネットワーク検出を再開するまで、ホストはネットワーク マップに表示されません。


Last Event Received

最後のディスカバリ イベントが行われた日付と時間。

Last Connection Received

最後の接続が完了した日付と時間。

Event Breakdown

ライセンス:FireSIGHT

[Event Breakdown] セクションには、データベースに格納されている各イベント タイプの合計数のカウントの他に、ネットワーク検出の各タイプのカウント、および最後の 1 時間で発生したホスト入力イベントが示されます。各イベント タイプの詳細な説明については、「ディスカバリ イベントのタイプについて」および「ホスト入力イベントのタイプについて」を参照してください。

[Event Breakdown] セクションを使用して、ディスカバリ イベントおよびホスト入力イベントの詳細を表示することもできます。

ネットワーク検出 イベントおよびホスト入力イベントをタイプごとに表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 表示するイベントのタイプをクリックします。

デフォルトのディスカバリ イベント ワークフローの最初のページが、選択したイベント タイプによって制約されて表示されます。カスタム ワークフローなどの別のワークフローを使用するには、ワークフロー タイトルの近くの [(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。イベントが表示されない場合は、時間範囲の調整が必要なことがあります。「イベント時間の制約の設定」を参照してください。

ディスカバリ イベントの使用については、「ディスカバリ イベントとホスト入力イベントの使用」を参照してください。


 

Protocol Breakdown

ライセンス:FireSIGHT

[Protocol Breakdown] セクションには、検出されたホストで使用されているプロトコルが示されます。このセクションでは、検出されたそれぞれのプロトコル名、プロトコル スタックの「レイヤ」、およびプロトコルを使用して通信しているホストの合計数を表示します。

Application Protocol Breakdown

ライセンス:FireSIGHT

[Application Protocol Breakdown] セクションには、検出されたホストで使用されているアプリケーション プロトコルが示されます。このセクションでは、プロトコル名、最後の 1 時間にアプリケーション プロトコルを実行したホストの合計数、いずれかのポイントでプロトコルの実行が検出されたホストの合計数を表示します。

[Application Protocol Breakdown] セクションにより、検出されたプロトコルを使用しているサーバの詳細を表示することもできます。

リストされたアプリケーション プロトコルを使用しているサーバを表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 表示するアプリケーション プロトコルの名前をクリックします。

デフォルトのサーバ ワークフローの最初のページが、選択したアプリケーション プロトコルによって制約されて表示されます。カスタム ワークフローなどの別のワークフローを使用するには、ワークフロー タイトルの近くの [(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。

サーバの使用については、「サーバの使用」を参照してください。


 

OS Breakdown

ライセンス:FireSIGHT

[OS Breakdown] セクションには、監視対象ネットワーク上で稼動しているオペレーティング システム、およびオペレーティング システムのベンダー、各オペレーティング システムを実行しているホストの合計数が示されます。

オペレーティング システムの名前またはバージョンの値が unknown の場合は、オペレーティング システムまたはそのバージョンが、システムのフィンガープリントの内容と一致しないことを意味します。値が pending の場合は、オペレーティング システムまたはそのバージョンを識別するための十分な情報がシステムで収集されていないことを意味します。

[OS Breakdown] セクションを使用して、検出されたオペレーティング システムの詳細を表示することができます。

オペレーティング システムまたはベンダーによってホストを表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 次の 2 つの選択肢があります。

特定のオペレーティング システムを実行しているすべてのホストを表示するには、[OS Name] の下でオペレーティング システムの名前をクリックします。

特定のベンダーからいずれかのオペレーティング システムを実行しているすべてのホストを表示するには、[OS Vendor] の下でベンダーの名前をクリックします。

デフォルトのホスト ワークフローの最初のページが、選択したオペレーティング システムまたはベンダーによって制約されて表示されます。カスタム ワークフローなどの別のワークフローを使用するには、ワークフロー タイトルの近くの [(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。

ホストの使用については、「ホストの使用」を参照してください。


 

ディスカバリのパフォーマンス グラフの表示

ライセンス:FireSIGHT

ディスカバリ イベントを使用して、管理対象デバイスのパフォーマンス統計情報を示すグラフを生成することができます。


新しいデータは、統計情報のグラフに 5 分ごとに累積されます。このため、グラフをすぐにリロードすると、次の 5 分の累積が実行されるまで、データが変わらないことがあります。


次に、使用できるグラフのタイプについて説明します。

Processed Events/Sec

Data Correlator が 1 秒間に処理するイベントの数を表します。

Processed Connections/Sec

Data Correlator が 1 秒間に処理する接続の数を表します。

Generated Events/Sec

システムが 1 秒間に生成するイベントの数を表します。

Mbits/Sec

ディスカバリ プロセスによって 1 秒間に分析されたトラフィック数(メガビット)を表します。

Avg Bytes/Packet

ディスカバリ プロセスによって分析された各パケットに含まれるバイト数の平均を表します。

K Packets/Sec

ディスカバリ プロセスで 1 秒間に分析されるパケット数を 1000 単位で表します。

ディスカバリのパフォーマンス グラフを生成するには、以下を行います。

アクセス:Admin/Maint


ステップ 1 [Overview] > [Summary] > [Discovery Performance] を選択します。

[Discovery Performance] ページが表示されます。

ステップ 2 [Select Device] リストから、防御センターまたは対象とする管理対象デバイスを選択します。

[Select Graph(s)] リストでは、選択するアプライアンスによって、使用できるグラフの表示が変わります。

ステップ 3 [Select Graph(s)] リストから、作成するグラフのタイプを選択します。


ヒント Ctrl キーまたは Shift キーを押しながらグラフのタイプをクリックすると、複数のグラフを選択できます。

ステップ 4 [Select Time Range] リストから、グラフで使用する時間範囲を選択します。直近の 1 時間、1 日、1 週間、または 1 月を選択できます。

ステップ 5 [Graph] をクリックして、選択した統計情報をグラフ化します。

選択したグラフが表示されます。


 

ディスカバリ イベントのワークフローについて

ライセンス:FireSIGHT

防御センターは、ネットワークで生成されるディスカバリ イベントの分析で使用できるワークフロー セットを提供します。ワークフローはネットワーク マップとともに、ネットワーク資産に関する主要な情報源になります。これらのワークフローには、システムによって生成されたディスカバリ データが挿入されたテーブルが含まれています。

[Analysis] > [Hosts] メニューから、ネットワークのディスカバリ ワークフローにアクセスします。防御センターには、検出されたホストとそのホストの属性、サーバ、アプリケーション、アプリケーションの詳細、脆弱性、ユーザ アクティビティ、およびユーザのワークフローだけでなく、ディスカバリ イベントの事前定義のワークフローが用意されています。ユーザはカスタム ワークフローを作成することもできます。ワークフローの詳細については、「ワークフローの概要と使用」を参照してください。


ヒント [Analysis] > [Custom] > [Custom Tables] を選択して、カスタム テーブルに基づいたワークフローにアクセスします。

ネットワークのディスカバリ ワークフローを使用している場合は、イベントのタイプに関係なく、多数の一般的なアクションを実行できます。これらの一般的な機能については、 「一般的なディスカバリ イベントのアクション」 で説明しています。

 

表 38-1 一般的なディスカバリ イベントのアクション

目的
操作

IP アドレスのホスト プロファイルを表示する

プロファイル アイコン( )をクリックするか、または侵害の痕跡(IOC)タグがアクティブになっているホストで、IP アドレスの隣に示されている侵害されているホストのアイコン( )をクリックします。IOC については、「侵害の痕跡の使用」を参照してください。

ユーザ プロファイルの情報を表示する

ユーザ ID の隣に表示されているユーザ アイコン( )をクリックします。詳細については、「ユーザの詳細とホストの履歴について」を参照してください。

データをソートする

カラム タイトルをクリックします。ソート順を反対にするには、カラムのタイトルをもう一度クリックします。

ワークフローの次のページにドリルダウンする

次のいずれかの方法を使用します。

特定の値に制約している次のワークフロー ページにドリルダウンするには、対象のロー内の値をクリックします。この操作はドリルダウン ページでのみ可能です。テーブルのロー内の値をクリックしても、テーブル ビューが制約されるだけで、次のページにはドリル ダウンしません。

いくつかのイベントについて制約している次のワークフロー ページへドリルダウンするには、次のワークフロー ページで表示するイベントの隣にあるチェック ボックスをオンにして、[View] をクリックします。

現行の制約を保持したまま次のワークフロー ページへドリルダウンするには、[View All] をクリックします。

ヒント テーブル ビューには必ず、ページ名に「Table View」 が含まれます。

詳細については、「イベントの制約」を参照してください。

表示するカラムを制約する

非表示にするカラムの見出しで、クローズ アイコン( )をクリックします。表示されるポップアップ ウィンドウで、[Apply] をクリックします。

ヒント 他のカラムを表示または非表示にするには、[Apply] をクリックする前に、対象のチェック ボックスをオンまたはオフにします。無効にしたカラムをビューに戻すには、展開の矢印をクリックして検索の制約を展開し、[Disabled Columns] の下のカラム名をクリックします。

現行のワークフロー ページ内で移動する

詳細については、「ワークフロー内の他のページへのナビゲート」で確認できます。

現在の制約を保持したまま、現行のワークフローのページ間を移動する

ワークフロー ページの左上にある、対象のページ リンクをクリックします。詳細については、「ワークフローのページの使用」を参照してください。

以下のアイテムをシステムから削除する

ディスカバリ イベント ワークフローからディスカバリ イベントおよびホスト入力イベントを削除する

ホスト ワークフローからホスト デバイスおよびネットワーク デバイスを削除する

ホスト属性のワークフローからホスト属性を削除する

サーバ ワークフローからサーバを削除する

アプリケーション ワークフローからアプリケーションを削除する

サードパーティの脆弱性ワークフローからサードパーティの脆弱性を削除する

ユーザ ワークフローからユーザを削除する

次のいずれかの方法を使用します。

いくつかのアイテムを削除するには、削除するアイテムの隣にあるチェック ボックスをオンにして [Delete] をクリックします。

現行の制約されているビューのすべてのアイテムを削除するには、[Delete All] をクリックして、すべてのアイテムを削除することを確認します。

これらのアイテムが再検出されても、システムのディスカバリ機能が再開されるまで、これらのアイテムは削除されたままになります。

ヒント データベースからすべてのディスカバリ イベントを削除する方法、およびディスカバリを再開する方法については、「データベースからの検出データの消去」を参照してください。

(サードパーティの場合とは異なり)、シスコの脆弱性は削除 できない ことに注意してください。ただし、確認済みとしてマークすることはできます。詳細については、「脆弱性の処理」を参照してください。

他のイベント ビューに移動して、関連するイベントを表示する

詳細については、「ワークフロー間のナビゲート」で確認できます。

ディスカバリ イベントとホスト入力イベントの使用

ライセンス:FireSIGHT

システムはディスカバリ イベントを生成します。このイベントは、監視対象ネットワーク セグメントにおける変更の詳細をやりとりします。新しく検出されたネットワーク機能に対しては、 新しい イベントが生成され、以前に認識されたネットワーク資産における何らかの変更に対しては、変更のイベントが生成されます。

最初のネットワーク検出のフェーズ中に、システムは各ホスト、および各ホスト上での稼動が検出された TCP または UDP サーバについて、新しいイベントを生成します。必要に応じて、NetFlow 対応のデバイスでエクスポートされたデータを使用してこれらの新しいホストおよびサーバのイベントを生成するよう、システムを設定することができます。

またシステムは、検出された各ホスト上で稼動しているネットワーク、トランスポート、およびアプリケーション プロトコルのそれぞれに対して新しいイベントを生成します。NetFlow 対応のデバイスが含まれるように設定したディスカバリ ルールを作成する場合は、アプリケーション プロトコルの検出を無効にすることができます。ただし、設定された NetFlow 対応のデバイスを使用しないディスカバリ ルールでは、アプリケーションの検出を無効にすることはできません。NetFlow 以外のディスカバリ ルールでホストまたはユーザの検出を有効にすると、アプリケーションが自動的に検出されます。

最初のネットワーク マッピングが完了すると、続けてシステムは、変更イベントを生成し、ネットワークの変更を記録します。変更イベントは、以前に検出された資産の設定が変更されるたびに生成されます。

ディスカバリ イベントが生成されると、データベースに記録されます。防御センターの Web インターフェイスを使用して、ディスカバリ イベントを表示、検索、および削除することができます。また、相関ルールでディスカバリ イベントを使用することもできます。ユーザが指定する他の基準だけでなく、生成されるディスカバリ イベントのタイプに基づいて、相関ルールを作成することができます。相関ルールは相関ポリシーで使用され、ネットワーク トラフィックが基準を満たしたときに、修復、syslog、SNMP、および電子メール アラートの応答を起動します。

ホスト入力機能を使用して、ネットワーク マップにデータを追加することができます。オペレーティング システムの情報を追加、修正、または削除することができますが、この場合、システムは対象のホストに対する情報の更新を停止します。アプリケーション プロトコル、クライアント、サーバ、およびホストの属性を手動で追加、変更、または削除することも、脆弱性の情報を変更することもできます。この処理を行う場合、システムはホスト入力機能を生成します。

詳細については、次の項を参照してください。

「ディスカバリ イベントのタイプについて」

「ホスト入力イベントのタイプについて」

「ディスカバリ イベントおよびホスト入力イベントの表示」

「ディスカバリ イベント テーブルについて」

「ディスカバリ イベントの検索」

ディスカバリ イベントのタイプについて

ライセンス:FireSIGHT

ディスカバリ イベントには多数のタイプがあります。たとえば、監視対象ネットワーク セグメントで新しいホストが検出された場合、システムは New Host イベントを生成し、記録します。ディスカバリ イベントのテーブルを表示すると、[Event] カラムにイベント タイプが表示されます。詳細については、「ディスカバリ イベントおよびホスト入力イベントの表示」を参照してください。

監視対象ネットワークでシステムが変更を検出した(以前に検出されなかったホストからトラフィックが検出されたなど)ときに生成されるディスカバリ イベントとは異なり、ホスト入力イベントは、ユーザが特別なアクションを実行した(手動でホストを追加するなど)ときに生成されます。ホスト入力イベントの詳細については、「ホスト入力イベントのタイプについて」を参照してください。

ネットワーク検出ポリシーを変更して、システムが記録するディスカバリ イベントのタイプを設定できます。デフォルトでは、システムですべてのタイプのディスカバリ イベントが記録されます。詳細については、「データベース イベント制限の設定」を参照してください。

さまざまなタイプのディスカバリ イベントが提示する情報を理解すると、どのイベントを記録およびアラートの対象にするか、相関ポリシーでこれらのアラートをどのように使用するかを効率よく判断できるようになります。また、イベント タイプの名前がわかると、より効率のよいイベント検索を作成するうえで役に立ちます。次に、ディスカバリ イベントのさまざまなタイプについて説明します。

Additional MAC Detected for Host

このイベントは、以前に検出したホストに対してシステムが新しい MAC アドレスを検出したときに生成されます。

このイベントは多くの場合、ルータを通じてトラフィックを渡すホストをシステムが検出したときに生成されます。それぞれのホストには 1 つの IP アドレスがありますが、これらの IP アドレスはすべて、ルータに関連付けられている MAC アドレスを持っているように見えます。システムは IP アドレスに関連付けられている実際の MAC アドレスを検出すると、ホスト プロファイル内でその MAC アドレスを太字で表示し、イベント ビューのイベント説明に「ARP/DHCP detected」のメッセージを表示します。

Client Timeout

このイベントは、非アクティブであるという理由で、システムがデータベースからクライアントをドロップしたときに生成されます。

Client Update

このイベントは、HTTP トラフィック内でシステムがペイロード(つまり音声やビデオ、Web メールなどの特別なタイプのコンテンツ)を検出したときに生成されます。

DHCP: IP Address Changed

このイベントは、DHCP アドレスの割り当てによってホスト IP アドレスが変わったことがシステムで検出された場合に生成されます。

DHCP: IP Address Reassigned

このイベントは、ホストが IP アドレスを再利用するとき、つまり他の物理ホストが以前に使用した IP アドレスを、別のホストが DHCP の IP アドレス割り当てによって取得した場合に生成されます。

Hops Change

このイベントは、ホストと、そのホストを検出するデバイス間でシステムがネットワーク ホップ数の変更を検出した場合に生成されます。

デバイスがさまざまなルータを介してホストのトラフィックを監視しており、ホストの場所についてより適切な決定ができる場合に、このような状況が発生することがあります。また、デバイスがホストから ARP 送信を検出し、ホストがローカル セグメント上にあることを示している場合に、このような状況が発生することもあります。

Host Deleted: Host Limit Reached

このイベントは、防御センター上でホストの制限を超えて、防御センターのネットワーク マップから監視対象のホストが削除されたときに生成されます。

Host Dropped: Host Limit Reached

このイベントは、防御センター上でホストの制限に達して新しいホストがドロップされたときに生成されます。このイベントとの相違点として、前述のイベントでは、ホストの制限に達したときに古いホストがネットワーク マップから削除されます。

ホストの制限に達したときに新しいホストをドロップするには、[Policies] > [Network Discovery] > [Advanced] を選択し、[When Host Limit Reached] を [Drop hosts] に設定します。詳細については、「データ保存の設定」を参照してください。

Host IOC Set

このイベントは、ホストに対して IOC(侵害の痕跡)が設定され、アラートが生成されたときに生成されます。

Host Timeout

このイベントは、ネットワーク検出ポリシーで定義された間隔内でホストがトラフィックを生成しなかったために、ネットワーク マップからホストがドロップされたときに生成されます。個々のホストの IP アドレスと MAC アドレスはそれぞれタイムアウトになることに注意してください。関連付けられているアドレスがすべてタイムアウトになるまで、ホストはネットワーク マップから消えません。ホストのタイムアウト値の設定については、「データ保存の設定」を参照してください。

ネットワーク検出ポリシーで監視するネットワークを変更する場合は、ネットワーク マップから古いホストを手動で削除して、それらのホストがFireSIGHT のライセンスに不利に作用しないようにします。詳細については、「ホストのネットワーク マップの使用」を参照してください。

Host Type Changed to Network Device

このイベントは、システムが、検出されたホストが実際はネットワーク デバイスであったことを認識したときに生成されます。

Identity Conflict

このイベントは、システムが、新しいサーバまたはオペレーティング システムに対する現行のアクティブなアイデンティティと競合する、そのサーバまたはオペレーティング システムのアイデンティティを検出したときに生成されます。

より新しいアクティブなアイデンティティ データを取得するためにホストを再スキャンして、アイデンティティの競合を解決する場合は、Identity Conflict イベントを使用して Nmap の修復をトリガーできます。詳細については、「Nmap 修復の設定」を参照してください。

詳細については、「ID の競合について」および「ID 競合解決の設定」を参照してください。手動による競合の解決については、「オペレーティング システムのアイデンティティの競合を解決する」および「サーバ アイデンティティの競合の解決」を参照してください。

Identity Timeout

このイベントは、アクティブなソースを介してネットワーク マップに追加されたアイデンティティ データがタイムアウトになったときに生成されます。

より新しいアクティブなアイデンティティ データを取得するために、ホストを再スキャンしてアイデンティティ データをリフレッシュする場合は、Identity Conflict イベントを使用して Nmap の修復をトリガーできます。詳細については、「Nmap 修復の設定」を参照してください。

詳細については、「サーバ アイデンティティの競合の解決」を参照してください。

MAC Information Change

このイベントは、特定の MAC アドレスまたは TTL 値に関連付けられている情報で、システムが変更を検出したときに生成されます。

このイベントは多くの場合、ルータを通じてトラフィックを渡すホストをシステムが検出したときに発生します。それぞれのホストには 1 つの IP アドレスがありますが、これらの IP アドレスはすべて、ルータに関連付けられている MAC アドレスを持っているように見えます。システムは IP アドレスに関連付けられている実際の MAC アドレスを検出すると、ホスト プロファイル内でその MAC アドレスを太字で表示し、イベント ビューのイベント説明に「ARP/DHCP detected」のメッセージを表示します。TTL は変わる可能性がありますが、これはトラフィックが複数のルータを通じて渡される可能性があるためです。また、システムがホストの実際の MAC アドレスを検出した場合も TTL が変わる可能性があります。

NETBIOS Name Change

このイベントは、システムがホストの NetBIOS 名に対する変更を検出したときに生成されます。このイベントは、NetBIOS プロトコルを使用するホストに対してのみ生成されます。

New Client

このイベントは、システムが新しいクライアントを検出したときに生成されます。


) 分析用にクライアント データを収集および格納するには、ネットワーク検出ポリシーのディスカバリ ルールでアプリケーションの検出が有効になっていることを確認します。詳細については、「アプリケーション検出について」を参照してください。


New Host

このイベントは、システムがネットワーク上で稼動している新しいホストを検出したときに生成されます。

NetFlow デバイスが選択されているネットワーク検出 ルールで [Discover] オプションを選択して [Hosts] を選択した場合、新しいホストに関係する NetFlow データをデバイスが処理したときにも、このイベントが生成されます。

New Network Protocol

このイベントは、ホストが新しいネットワーク プロトコル(IP、ARP など)と通信していることをシステムが検出したときに生成されます。

New OS

このイベントは、システムがホストの新しいオペレーティング システムを検出した、またはホストのオペレーティング システムで変更を検出したときに生成されます。

New TCP Port

このイベントは、新しい TCP サーバ ポート(SMTP または Web サービスで使用されているポートなど)をシステムが検出したときに生成されます。このイベントは、アプリケーション プロトコル、またはアプリケーション プロトコルに関連付けられているサーバの識別には使用されないことに注意してください。情報は、TCP Server Information Update イベントで伝送されます。

NetFlow データについて、ネットワーク検出 ルールで [Discover] オプションを選択して [Applications] を選択した場合、監視対象ネットワーク上のサーバに関連する NetFlow データで、ネットワーク マップにまだ存在しないデータをデバイスが処理したときにも、このイベントが生成されます。

New Transport Protocol

このイベントは、ホストが新しいトランスポート プロトコル(TCP、UDP など)と通信していることをシステムが検出したときに生成されます。

New UDP Port

このイベントは、システムが、ホスト上で稼動している新しい UDP サーバ ポートを検出したときに生成されます。

NetFlow データについて、ネットワーク検出 ルールで [Discover] オプションを選択して [Applications] を選択した場合、監視対象ネットワーク上のサーバに関連する NetFlow データで、ネットワーク マップにまだ存在しないデータをデバイスが処理したときにも、このイベントが生成されます。

TCP Port Closed

このイベントは、システムが、ホスト上で TCP ポートがクローズしたことを検出したときに生成されます。

TCP Port Timeout

このイベントは、システムのネットワーク検出ポリシーに定義された間隔内で、システムが TCP ポートからアクティビティを検出しなかったときに生成されます。サーバのタイムアウト値の設定については、「データ保存の設定」を参照してください。

TCP Server Information Update

このイベントは、ホスト上で稼動しており、すでに検出されている TCP サーバでシステムが変更を検出したときに生成されます。

このイベントは、TCP サーバが更新されたときに生成される場合があります。

UDP Port Closed

このイベントは、システムが、ホスト上で UDP ポートがクローズしていることを検出したときに生成されます。

UDP Port Timeout

このイベントは、ネットワーク検出ポリシーに定義された間隔内で、システムが UDP ポートからアクティビティを検出しなかったときに生成されます。サーバのタイムアウト値の設定については、「データ保存の設定」を参照してください。

UDP Server Information Update

このイベントは、ホスト上で稼動しており、すでに検出されている UDP サーバで、システムが変更を検出したときに生成されます。

このイベントは、UDP サーバが更新されたときに生成される場合があります。

VLAN Tag Information Update

このイベントは、システムが、VLAN タグ内でホストに起因する変更を検出したときに生成されます。VLAN タグの詳細については、「ホスト プロファイルでの VLAN タグの使用」を参照してください。

ホスト入力イベントのタイプについて

ライセンス:FireSIGHT

ホスト入力イベントには多数のタイプがあります。たとえば、ユーザがホスト インポート機能を使用してホストを追加すると、システムは Add Host イベントを生成および記録します。ディスカバリ イベントのテーブルを表示すると、[Event] カラムにイベント タイプが表示されます。詳細については、「ディスカバリ イベントおよびホスト入力イベントの表示」を参照してください。

ユーザが(手動でホストを追加するなどの)特定のアクションを実行したときに生成されるホスト入力イベントとは異なり、ディスカバリ イベントは、システムが、監視対象ネットワークで変更を検出したとき(以前は検出されなかったホストでトラフィックを検出した場合など)に生成されます。ホスト入力イベントの詳細については、「ディスカバリ イベントのタイプについて」を参照してください。

ネットワーク検出ポリシーを変更して、システムが記録するホスト入力イベントのタイプを設定できます。デフォルトでは、システムですべてのタイプのホスト入力イベントが記録されます。詳細については、「データベース イベント制限の設定」を参照してください。

さまざまなタイプのホスト入力イベントが提示する情報を理解すると、どのイベントを記録およびアラートの対象にするか、相関ポリシーでこれらのアラートをどのように使用するかを効率よく判断できるようになります。また、イベント タイプの名前がわかると、より効率のよいイベント検索を作成するうえで役に立ちます。次に、ホスト入力イベントのさまざまなタイプについて説明します。

Add Client

このイベントは、ユーザがクライアントを追加したときに生成されます。

Add Host

このイベントは、ユーザがホストを追加したときに生成されます。

Add Protocol

このイベントは、ユーザがプロトコルを追加したときに生成されます。

Add Scan Result

このイベントは、システムが Nmap スキャンの結果をホストに追加したときに生成されます。

Add Port

このイベントは、ユーザがサーバ ポートを追加したときに生成されます。

Delete Client

このイベントは、ユーザがシステムからクライアントを削除したときに生成されます。

Delete Host/Network

このイベントは、ユーザがシステムから IP アドレスまたはサブネットを削除したときに生成されます。

Delete Protocol

このイベントは、ユーザがシステムからプロトコルを削除したときに生成されます。

Delete Port

このイベントは、ユーザがシステムからサーバ ポートまたはサーバ ポートのグループを削除したときに生成されます。

Host Attribute Add

このイベントは、ユーザが新しいホスト属性を作成したときに生成されます。

Host Attribute Delete

このイベントは、ユーザが、ユーザ定義のホスト属性を削除したときに生成されます。

Host Attribute Delete Value

このイベントは、ユーザが、ホスト属性に割り当てられている値を削除したときに生成されます。

Host Attribute Set Value

このイベントは、ユーザがホストに対してホスト属性値を設定したときに生成されます。

Host Attribute Update

このイベントは、ユーザが、ユーザ定義のホスト属性の定義を変更したときに生成されます。

Set Host Criticality

このイベントは、ユーザがホストに対してホストの重要度の値を設定した、または変更したときに生成されます。

Set Operating System Definition

このイベントは、ユーザがホストに対してオペレーティング システムを設定したときに生成されます。

Set Server Definition

このイベントは、ユーザがサーバに対してベンダーおよびバージョンの定義を設定したときに生成されます。

Set Vulnerability Impact Qualification

このイベントは、脆弱性の影響の認定が設定されたときに生成されます。

脆弱性が、影響の認定に対する使用でグローバル レベルで無効になったとき、または脆弱性がグローバル レベルで有効になったときに、このイベントが生成されます。

Vulnerability Set Invalid

このイベントは、ユーザが 1 つ以上の脆弱性を無効にした(または確認した)ときに生成されます。

Vulnerability Set Valid

このイベントは、ユーザが、以前に無効であるとマークされた脆弱性を有効にしたときに生成されます。

ディスカバリ イベントおよびホスト入力イベントの表示

ライセンス:FireSIGHT

ディスカバリ イベントとホスト入力イベントは、[Discovery Events(ディスカバリ イベント)] ワークフローを使用して表示できます。ディスカバリ イベントは、アプライアンスに対して設定されているネットワーク検出ポリシーに基づいてネットワーク検出 データの検出を記録します。ホスト入力イベントは、ホスト入力機能を介してホスト データの入力をネットワーク マップへ記録します。詳細については、「ディスカバリ イベントのタイプについて」および「ホスト入力イベントのタイプについて」を参照してください。

防御センターを使用して、ディスカバリ イベントまたはホスト入力イベントのテーブルを表示することができます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。

ユーザがイベントにアクセスするときに表示されるページは、使用するワークフローによって異なります。ユーザは事前定義のワークフローを使用できますが、これにはディスカバリ イベントのテーブル ビューと、ホスト ビューの最終ページが含まれています。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。カスタム ワークフローの作成については、「カスタム ワークフローの作成」を参照してください。

「ディスカバリ イベントのアクション」 では、ディスカバリ イベントのワークフロー ページでユーザが実行できる特定のアクションについて説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。

 

表 38-2 ディスカバリ イベントのアクション

目的
操作

表示されたイベントの時間と日付の範囲を変更する

詳細については、「イベント時間の制約の設定」で確認できます。

(グローバル、またはイベント特有のいずれの場合も)アプライアンスに設定されている時間枠の範囲外で生成されたイベントは、イベント ビューを時間によって制約した場合、イベント ビューに表示されることがあるので注意してください。これは、アプライアンスに対してスライディングの時間枠を設定した場合でも発生することがあります。

テーブルのカラムの内容について詳細を参照する

詳細については、「ディスカバリ イベント テーブルについて」で確認できます。

ディスカバリ イベントを表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Hosts] > [Discovery Events] を選択します。

デフォルトのディスカバリ イベント ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。イベントが表示されない場合は、時間範囲の調整が必要なことがあります。「イベント時間の制約の設定」を参照してください。


 

ディスカバリ イベント テーブルについて

ライセンス:FireSIGHT

システムはディスカバリ イベントを生成します。このイベントは、監視対象ネットワーク セグメントにおける変更の詳細をやりとりします。新しく検出されたネットワーク機能に対しては、 新しい イベントが生成され、以前に認識されたネットワーク資産における何らかの変更に対しては、変更のイベントが生成されます。

最初のネットワーク検出のフェーズ中に、システムは各ホスト、および各ホストで検出する TCP または UDP サーバについて新しいイベントを生成します。またシステムは、検出された各ホスト上で稼動しているネットワーク、トランスポート、およびアプリケーション プロトコルのそれぞれに対して新しいイベントを生成します。NetFlow 関連のトラフィックについては、ホストで稼動しているアプリケーション プロトコルをシステムが検出したときに、システムが新しいイベントを作成するかどうかを制御できます。最初のネットワーク マッピングが完了すると、続けてシステムは、変更イベントを生成し、ネットワークの変更を記録します。以前に検出されたホスト、サーバ、またはクライアントの設定が変更されるたびに、変更イベントが生成されます。

次に、ディスカバリ イベント テーブルのフィールドについて説明します。

Time

システムがイベントを生成した時間。

Event

イベントのタイプ。使用可能な各イベントの説明については、「ディスカバリ イベントのタイプについて」および「ホスト入力イベントのタイプについて」を参照してください。

IP Address

イベントに関連するホストに関連付けられている IP アドレス。

User

イベントが生成される前に、イベントに関係するホストに最後にログインしたユーザ。権限のあるユーザの後に、権限のないユーザのみがログインした場合、権限のあるユーザが次にログインするまで、権限のあるユーザが現行のユーザとして保持されます。

MAC Address

ディスカバリ イベントをトリガーとして使用したネットワーク トラフィックが使用する NIC の MAC アドレス。この MAC アドレスは、イベントに関連するホストの実際の MAC アドレスであるか、またはトラフィックが通過したネットワーク デバイスの MAC アドレスになります。

MAC Vendor

ディスカバリ イベントをトリガーとして使用したネットワーク トラフィックが使用する NIC の MAC ハードウェア ベンダー。

Port

イベントをトリガーとして使用したトラフィックが使用するポート(該当する場合)。

Description

テキストによるイベントの説明。

Device

イベントを生成したデバイス名。NetFlow データに基づいた新しいホストおよび新しいサーバ イベントの場合、これは NetFlow データを処理したデバイスになります。

ディスカバリ イベントの検索

ライセンス:FireSIGHT

ユーザは特定のディスカバリ イベントを検索することができます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。

一般的な検索の構文

それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。

すべてのフィールドで否定( ! )を使用できます。

すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。

多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。

いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。

ほとんどのフィールドでは大文字/小文字が区別されません。

IP アドレスは CIDR 表記を使用して指定できます。

オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。

検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。

ディスカバリ イベントの特別な検索構文

次の表に、特定のディスカバリ イベント フィールドに固有の検索情報について示します。ディスカバリ イベントのフィールドの詳細は、「ホスト テーブルについて」を参照してください。

 

表 38-3 ディスカバリ イベントの検索条件のメモ

フィールド
検索条件のメモ

Event

イベント名の対象は、「ディスカバリ イベントのタイプについて」および「ホスト入力イベントのタイプについて」に記載されています。

MAC Vendor

仮想 MAC ベンダー(つまり、仮想マシンが含まれているイベント)を検索するには、 virtual_mac_vendor と入力します。

名前にカンマが含まれているベンダーを検索するには、検索語全体を引用符で囲みます。このようにしないと、防御センターは検索語を 2 つの検索として扱い、それぞれの検索語に一致するイベントを返します。

Port

注意すべき点として、次の処理は行うことはできません。

他の種類のイベントを検索するときと同じように、ポート/プロトコルの組み合わせを入力する

ポート番号または範囲を指定するときにスペースを使用する

ディスカバリ イベントを検索するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Search] を選択します。

[Search] ページが表示されます。

ステップ 2 [Table] ドロップダウン リストから [Discovery Events] を選択します。

ページが適切な制約を使用してリロードされます。

ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。

名前を入力しない場合は、検索を保存するときに自動的に名前が付けられます。

ステップ 4 「一般的な検索の構文」および「ディスカバリ イベントの特別な検索構文」に記載されているように、該当するフィールドに検索条件を入力します。

複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。

ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、検索は非公開として保存されます。

カスタム ユーザ ロールに対するデータの制約として検索を使用する場合は、検索を非公開として保存する 必要があります

ステップ 6 次の選択肢があります。

検索を開始するには、[Search] ボタンをクリックします。

検索結果は、現行の時間範囲によって制約され、デフォルトのディスカバリ イベント ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。

既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。

検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。


 

ホストの使用

ライセンス:FireSIGHT

システムがホストを検出し、ホスト プロファイルを作成するためにホストに関する情報を収集したときに、イベントが生成されます。防御センター Web インターフェイスを使用して、ホストを表示、検索、および削除できます。

ホストの表示中に、選択したホストに基づいてトラフィックのプロファイル、およびコンプライアンスのホワイト リストを作成できます。また、(ビジネスの重要度を設定する)ホストの重要度の値などのホスト属性をホスト グループに割り当てることもできます。そのあとで、相関ルールおよびポリシーの中でこれらの重要度の値、ホワイト リスト、およびトラフィック プロファイルを使用できます。

NetFlow 対応デバイスによってエクスポートされたデータに基づいてネットワーク マップにホストを追加するように、ネットワーク検出ポリシーを設定できますが、これらのホストについての情報は制限されます。たとえば、ホストの入力機能を使用してオペレーティング システムのデータを提供していない場合、これらのホストではオペレーティング システムのデータは使用できません。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。

詳細については、次の項を参照してください。

「ホストの表示」

「ホスト テーブルについて」

「選択したホストのトラフィック プロファイルの作成」

「選択したホストに基づいたコンプライアンスのホワイト リストの作成」

「ホストの検索」

「選択したホストのホスト属性の設定」

ホストの表示

ライセンス:FireSIGHT

防御センターを使用して、システムが検出したホストのテーブルを表示することができます。ここでユーザは、検索する情報に応じてビューを操作できます。

ユーザがホストにアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義のワークフローは両方とも、ホスト ビューで終了しますが、これにはユーザの制約を満たすすべてのホストのホスト プロファイルが含まれています。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。詳細については、「カスタム ワークフローの作成」を参照してください。

「ホスト アクション」 では、ホストのワークフロー ページでユーザが実行できる特定のアクションについて説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。

 

表 38-4 ホスト アクション

目的
操作

テーブルのカラムの内容について詳細を参照する

詳細については、「ホスト テーブルについて」で確認できます。

選択したホストにホスト属性を割り当てる

詳細については、「選択したホストのホスト属性の設定」で確認できます。

選択したホストのトラフィック プロファイルを作成する

詳細については、「選択したホストのトラフィック プロファイルの作成」で確認できます。

選択したホストに基づいて、コンプライアンスのホワイト リストを作成する

詳細については、「選択したホストに基づいたコンプライアンスのホワイト リストの作成」で確認できます。

ホストを表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Hosts] > [Hosts] を選択します。

デフォルトのホスト ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。


ヒント ホストのテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Hosts] を選択します。


 

ホスト テーブルについて

ライセンス:FireSIGHT

システムはホストを検出したときに、そのホストに関するデータを収集します。そのデータには、ホストの IP アドレス、ホストが実行しているオペレーティング システムなどが含めることが可能です。ユーザは、ホストのテーブル ビューでこれらの情報の一部を表示することができます。システムが、検出したホストに関して収集するデータの詳細は、「ホスト プロファイルの使用」を参照してください。

次に、ホスト テーブルのフィールドについて説明します。

NetFlow 対応デバイスによってエクスポートされたデータに基づいてネットワーク マップにホストを追加するように、ネットワーク検出ポリシーを設定できますが、これらのホストについての情報は制限されます。たとえば、ホストの入力機能を使用してオペレーティング システムのデータを提供していない場合、これらのホストではオペレーティング システムのデータは使用できません。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。

Last Seen

システムによっていずれかのホストの IP アドレスが最後に検出された日付と時間。Last Seen の値は、ホストの IP アドレスに対してシステムが新しいホスト イベントを生成したときだけでなく、少なくともユーザがネットワーク検出ポリシーに設定した更新間隔の頻度で更新されます。

ホスト入力機能を使用して、オペレーティング システムのデータを更新しているホストでは、Last Seen の値は、そのデータが最初に追加された日付と時間を表します。

IP Address

ホストに関連付けられている IP アドレス。

MAC Address

ホストが検出した NIC の MAC アドレス。

[MAC Address] フィールドは、[Hosts] ワークフローの [Table View of Hosts] に表示されます。以下のものに対して [MAC Address] フィールドを追加できます。

Hosts テーブルのフィールドが含まれているカスタム テーブル

Hosts テーブルに基づいたカスタム ワークフローのドリルダウン ページ

MAC Vendor

ホストが検出した NIC の MAC ハードウェア ベンダー。

[MAC Vendor] フィールドは、[Hosts] ワークフローの [Table View of Hosts] に表示されます。以下のものに対して [MAC Vendor] フィールドを追加できます。

Hosts テーブルのフィールドが含まれているカスタム テーブル

Hosts テーブルに基づいたカスタム ワークフローのドリルダウン ページ

Current User

ホストに現在ログインしているユーザの ID(ユーザ名)。

権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。

Host Criticality

ホストに割り当てられている、ユーザ指定の重要度の値。このフィールドの詳細については、「ホスト属性のテーブルについて」の [Host Criticality] カラムの説明を参照してください。

NetBIOS Name

ホストの NetBIOS 名。NetBIOS プロトコルを実行しているホストにのみ、NetBIOS 名があります。

VLAN ID

ホストが使用する VLAN ID。VLAN ID の詳細については、「ホスト プロファイルでの VLAN タグの使用」を参照してください。

Hops

ホストを検出したデバイスからホストへのネットワークのホップ数。

Host Type

ホストのタイプ(ホスト、モバイル デバイス、jailbroken モバイル デバイス、ルータ、ブリッジ、NAT デバイス、またはロード バランサ)。ネットワーク デバイスを区別するためにシステムでは次の方法を使用します。

Cisco Discovery Protocol(CDP)メッセージの分析。ネットワークのデバイスおよびそれらのタイプ(Cisco デバイスのみ)を特定できます。

スパニング ツリー プロトコル(STP)の検出。デバイスをスイッチまたはブリッジとして識別します。

同じ MAC アドレスを使用している複数のホストの検出。MAC アドレスを、ルータに属しているものとして識別します。

クライアント側からの TTL 値の変更、または通常のブート時間よりも頻繁に変更されている TTL 値の検出。この検出では、NAT デバイスとロード バランサを識別します。

デバイスがネットワーク デバイスとして識別されない場合は、ホストとして分類されます。

Hardware

モバイル デバイスのハードウェア プラットフォーム。

OS

ホスト上で稼動中の、検出されたオペレーティング システム(名前、ベンダー、およびバージョン)、または Nmap かホスト入力機能を使用して更新されたオペレーティング システム。このフィールドは、ダッシュボード上で [Custom Analysis] ウィジェットからホスト イベント ビューを起動したときに表示されます。また、これは [Hosts] テーブルに基づいたカスタム テーブルのフィールド オプションです。

システムが複数のアイデンティティを検出した場合は、これらのアイデンティティはカンマ区切りで列挙されて表示されます。

このフィールドでは、 unknown の値は、オペレーティング システムが既知のフィンガープリントのいずれにも一致しないことを意味します。値が pending の場合は、オペレーティング システムを識別するための十分な情報がシステムで収集されていないことを意味します。

OS Vendor

ホストで検出されたオペレーティング システムのベンダー、または Nmap かホスト入力機能を使用して更新されたオペレーティング システムのベンダー。

システムが複数のベンダーを検出した場合は、これらのベンダーはカンマ区切りで列挙されて表示されます。

このフィールドでは、 unknown の値は、オペレーティング システムが既知のフィンガープリントのいずれにも一致しないことを意味します。値が pending の場合は、オペレーティング システムを識別するための十分な情報がシステムで収集されていないことを意味します。

OS Name

ホスト上で稼動中の、検出されたオペレーティング システム、または Nmap かホスト入力機能を使用して更新されたオペレーティング システム。

システムが複数の名前を検出した場合は、これらの名前はカンマ区切りで列挙されて表示されます。

このフィールドでは、 unknown の値は、オペレーティング システムが既知のフィンガープリントのいずれにも一致しないことを意味します。値が pending の場合は、オペレーティング システムを識別するための十分な情報がシステムで収集されていないことを意味します。

OS Version

ホストで検出されたオペレーティング システムのバージョン、または Nmap かホスト入力機能を使用して更新されたオペレーティング システムのバージョン。

システムが複数のバージョンを検出した場合は、これらのバージョンはカンマ区切りで列挙されて表示されます。

このフィールドでは、 unknown の値は、オペレーティング システムが既知のフィンガープリントのいずれにも一致しないことを意味します。値が pending の場合は、オペレーティング システムを識別するための十分な情報がシステムで収集されていないことを意味します。

Source Type

ホストのオペレーティング システムのアイデンティティ ソースに対する次のいずれかの値

User: user_name

Application: app_name

Scanner: scanner_type (ネットワーク検出の設定を介して追加された Nmap またはスキャナ)

FireSIGHT(システムによって検出されたオペレーティング システムの場合)

システムでは、オペレーティング システムのアイデンティティを判断するために、複数のソースのデータを統合することができます。「現在の ID について」を参照してください。

Confidence

次のいずれかになります。

システムで検出されたホストについて、ホスト上で稼動しているオペレーティング システムのアイデンティティ内にシステムが保持している信頼度(パーセンテージ)。

100%(ホスト入力機能や Nmap スキャナなどのアクティブなソースによって識別されたオペレーティング システムの場合)。

unknown (システムがオペレーティング システムのアイデンティティを特定できないホスト、および NetFlow データに基づいてネットワーク マップに追加されたホストの場合)。

Notes

Notes ホスト属性の、ユーザ定義のコンテンツ。

Device

次のいずれかです。

トラフィックを検出した管理対象デバイス、または

ネットワーク マップへホストを追加した NetFlow またはホスト入力データを処理したデバイス

このフィールドが空白の場合は、次のいずれかです。

ホストがデバイスによってネットワーク マップに追加されたが、このデバイスは、ホストが存在しているネットワークに対してネットワーク検出ポリシーに定義されているとおりに明示的に監視していない。または、

ホストの入力機能を使用してホストが追加されたが、システムによって検出されていない

Count

各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。

選択したホストのトラフィック プロファイルの作成

ライセンス:FireSIGHT

トラフィック プロファイルは、指定した期間に収集された接続データに基づいた、ネットワーク上のトラフィックのプロファイルです。トラフィック プロファイルを作成した後で、正常なネットワーク トラフィックを表すと思われる新しいトラフィックをプロファイルに対して評価することにより、異常なネットワーク トラフィックを検出することができます。

[Hosts] ページを使用して、指定するホスト グループのトラフィック プロファイルを作成できます。トラフィック プロファイルは、指定したホストのいずれかが発信元ホストである、検出された接続に基づいています。ソートおよび検索機能を使用して、プロファイルを作成するホストを分離することができます。

選択したホストのトラフィック プロファイルを作成するには、以下を行います。

アクセス:Admin


ステップ 1 ホスト ワークフローのテーブル ビューで、トラフィック プロファイルを作成するホストの隣にあるチェック ボックスをオンにします。

ステップ 2 ページの下部で [Create Traffic Profile] をクリックします。

[Create Profile] ページが表示され、監視対象のホストとして指定されたホストの IP アドレスが示されます。

ステップ 3 特別なニーズに応じて、トラフィック プロファイルを変更し、保存します。

トラフィック プロファイルの作成の詳細については、「トラフィック プロファイルの作成」を参照してください。


 

選択したホストに基づいたコンプライアンスのホワイト リストの作成

ライセンス:FireSIGHT

コンプライアンスのホワイト リストでは、ネットワーク上で許可されるオペレーティング システム、クライアント、ネットワーク、トランスポート、またはアプリケーション プロトコルを指定することができます。

[Hosts] ページを使用して、ユーザが指定するホスト グループのホスト プロファイルに基づいて、コンプライアンスのホワイト リストを作成することができます。ソートおよび検索機能を使用して、ホワイト リストの作成に使用するホストを分離することができます。

選択したホストに基づいてコンプライアンスのホワイト リストを作成するには、以下を行います。

アクセス:Admin


ステップ 1 ホスト ワークフローのテーブル ビューで、ホワイト リストを作成するホストの隣にあるチェック ボックスをオンにします。

ステップ 2 ページの下部で [Create White List] をクリックします。

[Create White List] ページが表示され、指定したホストのホスト プロファイルの情報が示されます。

ステップ 3 特別なニーズに応じて、ホワイト リストを変更し、保存します。

コンプライアンスのホワイト リストの作成の詳細は、「コンプライアンス ホワイト リストの作成」を参照してください。


 

ホストの検索

ライセンス:FireSIGHT

事前定義のいずれかの検索、または独自の検索条件を使用して、特定のホストについて検索することができます。

ホストを検索する場合には、NetFlow 対応のデバイスによってエクスポートされたデータに基づいてネットワーク マップにホストを追加するように、ネットワーク検出ポリシーを設定できますが、これらのホストについて利用できる情報は制限されることに注意してください。たとえば、ホストの入力機能を使用してオペレーティング システムのデータを提供していない場合、これらのホストではオペレーティング システムのデータは使用できません。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。

ユーザは特定のディスカバリ イベントを検索することができます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。

一般的な検索の構文

それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。

すべてのフィールドで否定( ! )を使用できます。

すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。

多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。

いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。

ほとんどのフィールドでは大文字/小文字が区別されません。

IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IP アドレスの入力については、「IP アドレスの表記法」を参照してください。


) IP アドレスを使用してホストを検索した場合、結果には、少なくとも 1 つの IP アドレスが検索条件と一致するホストがすべて含まれます(つまり、IPv6 のアドレスの検索では、プライマリ アドレスが IPv4 であるホストが返されることがあります)。


IP アドレスを使用してホストを検索する場合は、次のようにする。

オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。

検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。

ホストの特別な検索構文

次の表に、特定のホスト フィールドに固有の検索情報について示します。ホストのフィールドに関する詳細は、「ホスト テーブルについて」を参照してください。

 

表 38-5 ホストの検索条件

フィールド
検索条件のメモ

Host Type

すべてのネットワーク デバイスを検索するには、 !host と入力します。

MAC Vendor

仮想 MAC ベンダー(つまり、仮想マシンが含まれているイベント)を検索するには、 virtual_mac_vendor と入力します。

名前にカンマが含まれているベンダーを検索するには、検索語全体を引用符で囲みます。このようにしないと、防御センターは検索語を 2 つの検索として扱い、それぞれの検索語に一致するイベントを返します。

OS Vendor/Name/Version

オペレーティング システムが不明であるホストを検索するには、 unknown と入力します。オペレーティング システムがまだ識別されていないホストを検索するには、 n/a と入力します。

Confidence

信頼度の前に、より大きい( > )、以上( >= )、より小さい( < )、以下( <= )、等しい( = )の演算子を付けることができます。

n/a の検索で一致するものには、NetFlow データに基づいてネットワーク マップに追加されたホストも含まれます。

OS Conflict

検索結果には、[OS Conflict] カラムは表示されないことに注意してください。表示しているホストにオペレーティング システムの競合が発生しているかどうかを判断するには、ワークフロー ページで検索の制約を展開します。オペレーティング システムにおける競合の解決の詳細については、「オペレーティング システムのアイデンティティの競合を解決する」を参照してください。

保存された検索のロードおよび削除方法など、検索の詳細については、「イベントの検索」を参照してください。

ホストを検索するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Search] を選択します。

[Search] ページが表示されます。

ステップ 2 [Table] ドロップダウン リストから [Hosts] を選択します。

ページが適切な制約を使用してリロードされます。


ヒント 別の種類のイベントについてデータベースを検索するには、[Table] ドロップダウン リストからデータベースを選択します。

ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。

名前を入力しない場合は、検索を保存するときに防御センターが自動的に名前を付加します。

ステップ 4 「ホストの検索条件」 に記載されているように、該当するフィールドに検索条件を入力します。複数の条件を入力すると、防御センターは、すべての条件に一致するレコードのみを返します。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。

ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。


ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります

ステップ 6 次の選択肢があります。

検索を開始するには、[Search] ボタンをクリックします。

検索結果は、デフォルトのホスト ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。

既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。

検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。


 

ホスト属性の使用

ライセンス:FireSIGHT

FireSIGHT システムは、検出したホストに関する情報を収集し、その情報を使用してホスト プロファイルを作成します。ただし、ネットワーク上のホストについて、アナリストに提供する追加情報が存在する場合があります。ユーザは、ホスト プロファイルにメモを追加する、ホストのビジネス重要度を設定する、選択する他の情報を提供する、といったことが可能です。それぞれの情報は、ホスト属性と呼ばれます。

ホスト プロファイルの認定でホスト属性を使用することができます。これにより、トラフィック プロファイルの作成中に収集するデータを制約し、相関ルールをトリガーする条件を制限することができます。相関ルールに応じて属性値を設定することもできます。

詳細については、以下を参照してください。

「ホスト属性の表示」

「ホスト属性のテーブルについて」

「選択したホストのホスト属性の設定」

「ホスト属性の検索」

「セット属性修復の構成」

ホスト属性の表示

ライセンス:FireSIGHT

防御センターを使用して、システムで検出されたホストのテーブル、およびそのホスト属性を表示することができます。ここでユーザは、検索する情報に応じてビューを操作できます。

ユーザがホスト属性にアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義のワークフロー(検出されたすべてのホスト、およびそのホストの属性が記載されているホスト属性のテーブル ビューが含まれており、ホスト ビュー ページで終了するワークフロー)を使用することができます。このワークフローには、制約を満たすすべてのホストについて 1 つのホスト プロファイルが含まれています。

また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。カスタム ワークフローの作成については、「カスタム ワークフローの作成」を参照してください。

次の 「ホスト属性のアクション」 では、ホスト属性のワークフロー ページで実行できる特定のアクションについて説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。

 

表 38-6 ホスト属性のアクション

目的
操作

テーブルのカラムの内容について詳細を参照する

詳細については、「ホスト属性のテーブルについて」で確認できます。

選択したホストにホスト属性を割り当てる

詳細については、「選択したホストのホスト属性の設定」で確認できます。

ホストの属性を表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Hosts] > [Host Attributes] を選択します。

デフォルトのホスト属性ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。


ヒント ホスト属性のテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Attributes] を選択します。


 

ホスト属性のテーブルについて

ライセンス:FireSIGHT

FireSIGHT システムは、検出したホストに関する情報を収集し、その情報を使用してホスト プロファイルを作成します。ただし、ネットワーク上のホストについて、アナリストに提供する追加情報が存在する場合があります。ユーザは、ホスト プロファイルにメモを追加する、ビジネスの重要度を設定する、選択する他の情報を提供する、といったことが可能です。それぞれの情報は、ホスト属性と呼ばれます。

ホスト プロファイルの認定でホスト属性を使用することができます。これにより、トラフィック プロファイルの作成中に収集するデータを制約し、相関ルールをトリガーする条件を制限することができます。

ホスト属性テーブルには、MAC アドレスでのみ識別されるホストは表示されないことに注意してください。

ホスト属性の詳細については、「事前定義のホスト属性の使用」および「ユーザ定義のホスト属性の使用」を参照してください。

次に、ホスト属性テーブルのフィールドについて説明します。

IP Address

ホストに関連付けられている IP アドレス。

Current User

ホストに現在ログインしているユーザの ID(ユーザ名)。

権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。

Host Criticality

ユーザが割り当てた、企業にとってのホストの重要度。ホストの重要度を相関ルールおよびポリシーで使用して、イベントに関するホストの重要度に対して、ポリシー違反および違反の応答を作成することができます。ホストの重要度に Low、Medium、High、または None を割り当てることができます。

ホストの重要度の設定については、「事前定義のホスト属性の使用」および「選択したホストのホスト属性の設定」を参照してください。

Notes

他のアナリストに提示する、ホストに関する情報。メモを追加する方法については、「事前定義のホスト属性の使用」を参照してください。

Any user-defined host attribute, including those for compliance white lists

ユーザ定義のホスト属性の値。

ホスト属性テーブルには、ユーザ定義のそれぞれのホスト属性のフィールドが含まれています。詳細については、「ユーザ定義のホスト属性の使用」を参照してください。

Count

各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。

選択したホストのホスト属性の設定

ライセンス:FireSIGHT

各ホストに割り当てることができる事前定義のホスト属性として、ホストの重要度とホスト特有のメモの 2 つの属性があります。

ホストの重要度を使用して、特定のホストのビジネス重要度を特定します。ホストの重要度に基づいて、相関ポリシーとアラートを作成することができます。たとえば、ユーザの業務にとって、組織のメール サーバは一般のユーザ ワークステーションよりも重要です。メール サーバや、他のビジネスに不可欠なサーバに対しては高いホスト重要度を割り当てて、その他のホストには中程度、または低い重要度を割り当てることができます。次に相関ポリシーを作成できます。これは、影響を受けるホストの重要度に基づいてさまざまなアラートを起動します。

メモを使用して、他のアナリストに提示するホストの情報を記録します。たとえば、ネットワーク上のコンピュータに、パッチが適用されていない古いバージョンの、テスト用オペレーティング システムが搭載されている場合、メモ機能を使用して、システムは意図的にパッチが適用されていないと示すことができます。

ユーザ定義のホスト属性を作成することもできます。たとえば、ファシリティ コード、市、または部屋番号など、ホストに対して物理的な場所の識別子を割り当てるホスト属性を作成することもできます。作成したユーザ定義のホスト属性の詳細については、「ユーザ定義のホスト属性の作成」を参照してください。

選択したホストのホスト重要度は、ホスト ワークフローで設定することも、ホスト プロファイル、または修復によって設定することもできます。詳細については、「事前定義のホスト属性の使用」または「セット属性修復の構成」を参照してください。

選択したホストのホスト属性を設定するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 ホスト属性に追加するホストの隣にあるチェック ボックスをオンにします。


ヒント ソートおよび検索機能を使用して、特別な属性を割り当てるホストを分離することができます。

ステップ 2 ページの下部にある [Set Attributes] をクリックします。

[Host Attributes] ポップアップ ウィンドウが表示されます。

ステップ 3 必要に応じて、選択したホストに対してホストの重要度を設定します。

[None]、[low]、[Medium]、または [High] を選択できます。

ステップ 4 必要に応じて、選択したホストのホスト プロファイルにメモを追加することができます。メモは、最大 255 文字の英数字、特殊文字、およびスペースを使用してテキスト ボックスに入力します。

ステップ 5 必要に応じて、自身で設定したユーザ定義のホストの属性を設定します。

ステップ 6 [Save] をクリックします。

指定したホスト属性は、選択されたホストに割り当てられます。


 

ホスト属性の検索

ライセンス:FireSIGHT

特定のホストの属性を持つホストを検索できます。たとえば、企業に複数の支社がある場合、いずれかのホストが存在する都市を示すホスト属性を設定することができます。ここで、特定の地域のホストを検索できます。ホスト属性の詳細については、「ユーザ定義のホスト属性の使用」を参照してください。

ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。ホスト属性のフィールドの詳細については、「ホスト属性のテーブルについて」を参照してください。

一般的な検索の構文

それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。

すべてのフィールドで否定( ! )を使用できます。

すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。

多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。

いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。

ほとんどのフィールドでは大文字/小文字が区別されません。

IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。

オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。

検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。

ホスト属性を検索するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Search] を選択します。

[Search] ページが表示されます。

ステップ 2 [Table] ドロップダウン リストから [Host Attributes] を選択します。

ページが適切な制約を使用してリロードされます。


ヒント 別の種類のイベントについてデータベースを検索するには、[Table] ドロップダウン リストからデータベースを選択します。

ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。

名前を入力しない場合は、検索を保存するときに防御センターが自動的に名前を付加します。

ステップ 4 「ホスト属性のテーブルについて」に記載されているように、該当するフィールドに検索条件を入力します。複数の条件を入力すると、防御センターは、すべての条件に一致するレコードのみを返します。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。

ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。


ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります

ステップ 6 次の選択肢があります。

検索を開始するには、[Search] ボタンをクリックします。

検索結果は、デフォルトのホスト属性ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。

既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。

検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。


 

侵害の痕跡の使用

ライセンス:FireSIGHT

FireSIGHT システムは、監視対象ネットワーク上でホストが悪意のある手段によって侵害されそうかどうかを判断するために、ホストに関連付けられているさまざまなタイプのデータ(侵入イベント、Security Intelligence、接続イベント、ファイルまたはマルウェア イベント)との関連性を示します。イベント データの特定の組み合わせと頻度は、影響を受けたホストの侵害の痕跡(IOC)タグをトリガーとして使用します。IOC のタグが付けられたホスト IP アドレスは、侵害されたホストの特別なアイコン( )付きでイベント ビューに表示されます。ユーザはコンプライアンス ルールを記述して、IOC のタグが付けられているホストについて説明することができます。

この機能を使用するには、ネットワーク検出ポリシーで IOC ルールを有効にしておく必要があります。侵害されたホストの IOC タグをトリガーするために、事前定義のいずれか、またはすべてのルールを有効にすることができます。詳細については、「侵害の兆候ルールの設定」を参照してください。

侵害の痕跡に関する詳細は、以降の項を参照してください。

「侵害の痕跡の表示」

「侵害の痕跡テーブルについて」

「侵害の痕跡の検索」

侵害の痕跡の表示

ライセンス:FireSIGHT

防御センターを使用して、トリガーされた侵害の痕跡(IOC)のテーブルを表示することができます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。

ユーザが IOC にアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義の IOC ワークフローは両方とも、ホスト ビューで終了しますが、これにはユーザの制約を満たすすべてのホストのホスト プロファイルが含まれています。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。詳細については、「カスタム ワークフローの作成」を参照してください。

次の表では、IOC のワークフロー ページでユーザが実行できる特定のアクションについて説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。

 

表 38-7 侵害の痕跡のアクション

目的
操作

テーブルのカラムの内容について詳細を参照する

詳細については、「侵害の痕跡テーブルについて」で確認できます。

侵害されたホストのホスト プロファイルを表示する

[IP Address] カラムで侵害されたホストのアイコン( )をクリックします。

選択した IOC イベントに解決済みとマークして、リストに表示されないようにする

編集する IOC イベントの隣にあるチェック ボックスをオンにして、[Mark Resolved] をクリックします。詳細については、「侵害の痕跡を解決済みにする」を参照してください。

IOC をトリガーとして使用したイベントの詳細を表示する

[First Seen] または [Last Seen] カラムで表示アイコン( )をクリックします。

侵害の痕跡を表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Hosts] > [Indications of Compromise] を選択します。

デフォルトの侵害の痕跡(IOC)ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。


ヒント IOC のテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Indications of Compromise] を選択します。


 

侵害の痕跡テーブルについて

ライセンス:FireSIGHT

FireSIGHT システムは、監視対象ネットワーク上でホストが悪意のある手段によって侵害されそうかどうかを判断するために、ホストに関連付けられているさまざまなタイプのイベント データとの関連性を示します。これらの相関は、ホストに関連付けられている侵害の痕跡(IOC)として表示されます。ホストの IOC を解決済みにマークして、ホストから IOC タグを削除することができます。1 つのホストで複数の IOC タグをトリガーできます。ユーザは、ホスト プロファイルの [Indications of Compromise] セクションで、ホストに関連付けられているすべての IOC タグを表示できます。ホスト プロファイルにおける IOC データの詳細については、「ホスト プロファイルでの侵害の痕跡の使用」を参照してください。

次に、IOC テーブルのフィールドについて説明します。

IP Address

IOC をトリガーとして使用したホストに関連付けられている IP アドレス。

Category

Malware Executed Impact 1 Attack など、示された侵害のタイプの簡単な説明。

Event Type

特定の侵害の痕跡(IOC)に関連付けられている識別子で、トリガーとして使用したイベントを参照します。

Description

侵害される可能性のあるホストについて、IOC が表している内容の説明( This host may be under remote control Malware has been executed on this host など)。

First/Last Seen

ホストの IOC をトリガーとして使用したイベントが発生した最初(または最新)の日付と時刻。

侵害の痕跡の検索

ライセンス:FireSIGHT

事前定義のいずれかの検索を使用するか、または独自の検索条件を使用して、監視対象のホスト上でトリガーされた特定の侵害の痕跡(IOC)タグを検索することができます。事前定義の検索は例として機能し、これを使用してネットワークに関する重要な情報へすばやくアクセスできます。

デフォルトの検索で特定のフィールドを変更し、ネットワーク環境に合わせてカスタマイズして、後で再使用するために保存することもできます。データを取得するために使用できるフィールドは、「侵害の痕跡テーブルについて」に記載されています。

一般的な検索の構文

それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。

すべてのフィールドで否定( ! )を使用できます。

すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。

多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。

いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。

ほとんどのフィールドでは大文字/小文字が区別されません。

IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。

オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。

検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。

侵害の痕跡を検索するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Search] を選択します。

[Search] ページが表示されます。

ステップ 2 [Table] ドロップダウン リストから [Indications of Compromise] を選択します。

ページが適切な制約を使用してリロードされます。


ヒント 別の種類のイベントについてデータベースを検索するには、[Table] ドロップダウン リストからデータベースを選択します。

ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。

名前を入力しない場合は、検索を保存するときに防御センターが自動的に名前を付加します。

ステップ 4 「侵害の痕跡テーブルについて」に記載されているように、該当するフィールドに検索条件を入力します。複数の条件を入力すると、防御センターは、すべての条件に一致するレコードのみを返します。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。

ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。


ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります

ステップ 6 次の選択肢があります。

検索を開始するには、[Search] ボタンをクリックします。

検索結果は、デフォルトの IOC ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。

既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。

検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。


 

サーバの使用

ライセンス:FireSIGHT

FireSIGHT システムは、監視対象ネットワーク セグメント上のホストで稼動しているすべてのサーバに関する情報を収集します。システムが収集する情報には、サーバ名、サーバが使用するアプリケーションおよびネットワークのプロトコル、サーバのベンダーとバージョン、サーバを実行しているホストに関連付けられている IP アドレス、およびサーバが通信しているポートが含まれています。

システムはサーバを検出すると、関連するホストがまだサーバの最大数に達していない場合は、ディスカバリ イベントを生成します。詳細については、「ホスト制限と検出イベント ロギング」を参照してください。防御センターの Web インターフェイスを使用して、サーバ イベントを表示、検索、および削除できます。

また、サーバ イベントを相関ルールのベースにすることもできます。たとえばシステムが、いずれかのホスト上で稼動している ircd などのチャット サーバを検出したときに相関ルールをトリガーできます。

NetFlow 対応のデバイスによってエクスポートされたアプリケーション データに基づいてサーバをネットワーク マップに追加するよう、ネットワーク検出ポリシーを設定できますが、これらのサーバについて使用できる情報は制限されます。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。

詳細については、次の項を参照してください。

「サーバの表示」

「サーバのテーブルについて」

「サーバの検索」

「サーバのアイデンティティの編集」

サーバの表示

ライセンス:FireSIGHT

防御センターを使用して、検出されたサーバのテーブルを表示できます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。

ユーザがサーバにアクセスしたときに表示されるページは、使用するワークフローによって異なります。事前定義のすべてのワークフローはホスト ビューで終了しますが、このホスト ビューには、制約を満たすすべてのホストに対して 1 つずつホスト プロファイルが含まれています。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。詳細については、「カスタム ワークフローの作成」を参照してください。

次の 「サーバの操作」 では、サーバ ワークフロー ページで実行できる特定の操作について説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。

 

表 38-8 サーバの操作

目的
操作

テーブルのカラムの内容について詳細を参照する

詳細については、「サーバのテーブルについて」で確認できます。

サーバ アイデンティティを編集する

編集するサーバのイベントの隣にあるチェック ボックスをオンにして、[Set Server Identity] をクリックします。詳細については、「サーバのアイデンティティの編集」を参照してください。

サーバを表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Hosts] > [Servers] を選択します。

デフォルトのサーバ ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。


ヒント サーバのテーブル ビューが含まれていないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Servers] を選択します。


 

サーバのテーブルについて

ライセンス:FireSIGHT

FireSIGHT システムは、監視対象ネットワーク セグメント上のホストで稼動しているサーバに関する情報を収集します。

次に、サーバのテーブルのフィールドについて説明します。

NetFlow 対応のデバイスによってエクスポートされたデータに基づいてサーバをネットワーク マップに追加するよう、ネットワーク検出ポリシーを設定できますが、これらのサーバについて使用できる情報は制限されます。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。

Last Used

ネットワーク上でサーバが最後に使用された日付と時間、またはホスト入力機能を使用してサーバが最初に更新された日付と時間。[Last Used] の値は、システムがサーバ情報の更新を検出したときだけでなく、少なくともユーザがネットワーク検出ポリシーに設定した更新間隔の頻度で更新されます。更新間隔の設定については、「データ保存の設定」を参照してください。

IP Address

サーバを実行しているホストに関連付けられている IP アドレス。

Port

サーバが稼動しているポート。

Protocol

サーバが使用するネットワークまたはトランスポート プロトコル。

Application Protocol

以下のいずれかによって示されるアプリケーション プロトコル

サーバのアプリケーション プロトコルの名前

pending :システムで、いずれかの理由のでサーバをポジティブまたはネガティブに識別できない場合

unknown :既知のサーバ フィンガープリントに基づいてシステムでサーバを識別できない場合、またはホストの入力を介してサーバが追加され、アプリケーション プロトコルが含まれていなかった場合

Category, Tags, Risk, or Business Relevance for Application Protocols

アプリケーション プロトコルに割り当てられているカテゴリ、タグ、リスク レベル、およびビジネス関連性。これらのフィルタを使用して、特定のデータ セットを対象にすることができます。

詳細については、 「アプリケーションの特徴」 の表を参照してください。

Vendor

次のいずれかになります。

サーバのベンダー:システム、Nmap、その他のアクティブなソースで識別された、またはホスト入力機能を使用して指定されたサーバのベンダー

空白:システムが既知のサーバ フィンガープリントに基づいてベンダーを識別できなかった場合、または NetFlow データを使用してサーバがネットワーク マップに追加された場合

Version

次のいずれかになります。

サーバのバージョン:システム、Nmap、その他のアクティブなソースで識別された、またはホスト入力機能を使用して指定されたサーバのバージョン

空白:システムが既知のサーバ フィンガープリントに基づいてバージョンを識別できない場合、または NetFlow データを使用してサーバがネットワーク マップに追加された場合

Web Application

http トラフィックでシステムが検出したペイロード コンテンツに基づいた Web アプリケーション。システムが HTTP のアプリケーション プロトコルを検出したものの、特定の Web アプリケーションを検出できない場合は、一般的な Web ブラウジングの指定が提示されるので注意してください。

Category, Tags, Risk, or Business Relevance for Web Applications

Web アプリケーションに割り当てられているカテゴリ、タグ、リスク レベル、およびビジネス関連性。これらのフィルタを使用して、特定のデータ セットを対象にすることができます。

詳細については、 「アプリケーションの特徴」 の表を参照してください。

Hits

サーバがアクセスされた回数。ホスト入力機能を使用して追加されたサーバの場合、この値は必ず 0 になります。

Source Type

次の値のいずれかを指定します。

User: user_name

Application: app_name

Scanner: scanner_type (ネットワーク検出の設定を介して追加された Nmap またはスキャナ)

FireSIGHT、FireSIGHT Port Match、または FireSIGHT Pattern Match(FireSIGHT システムで検出されたサーバの場合)

NetFlow(NetFlow データに基づいてネットワーク マップに追加されたサーバの場合)

システムでは、サーバのアイデンティティを判断するために、複数のソースのデータを統合することができます。「現在の ID について」を参照してください。

Device

サーバを検出したデバイスの名前、またはネットワーク マップにサーバを追加した NetFlow あるいはホスト入力データを処理したデバイスの名前。

Current User

ホストに現在ログインしているユーザの ID(ユーザ名)。

権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。

Count

各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。

サーバの検索

ライセンス:FireSIGHT

事前定義のいずれかの検索、または独自の検索条件を使用して、監視対象のホストで稼動中の特定のサーバを検索することができます。事前定義の検索は例として機能し、これを使用してネットワークに関する重要な情報へすばやくアクセスできます。

デフォルトの検索で特定のフィールドを変更し、ネットワーク環境に合わせてカスタマイズして、後で再使用するために保存することもできます。データを取得するために使用できるフィールドは、「サーバのテーブルについて」に記載されています。

サーバを検索する場合には、NetFlow 対応のデバイスによってエクスポートされたデータに基づいてアプリケーションやサーバをネットワーク マップに追加するよう、ネットワーク検出ポリシーを設定できますが、これらのサーバについて使用できる情報は制限されることに注意してください。詳細については、「NetFlow と FireSIGHT データの違い」を参照してください。

一般的な検索の構文

それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。

すべてのフィールドで否定( ! )を使用できます。

すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。

多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。

いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。

ほとんどのフィールドでは大文字/小文字が区別されません。

IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。

オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。

検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。

サーバを検索するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Search] を選択します。

[Search] ページが表示されます。

ステップ 2 [Table] ドロップダウン リストから [Servers] を選択します。

ページが適切な制約を使用してリロードされます。


ヒント 別の種類のイベントについてデータベースを検索するには、[Table] ドロップダウン リストからデータベースを選択します。

ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。

名前を入力しない場合は、検索を保存するときに防御センターが自動的に名前を付加します。

ステップ 4 該当するフィールドに検索基準を入力します。複数の条件を入力すると、防御センターは、すべての条件に一致するレコードのみを返します。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。

ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。


ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります

ステップ 6 次の選択肢があります。

検索を開始するには、[Search] ボタンをクリックします。

検索結果は、デフォルトのサーバ ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。

既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。

検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。


 

アプリケーションの使用

ライセンス:FireSIGHT

監視対象ホストが別のホストに接続すると、システムは多くの場合、どのアプリケーションが使用されたかを判断することができます。FireSIGHT システムは多くの電子メールの使用、インスタント メッセージ、ピア ツー ピア、Web アプリケーション、およびその他のタイプのアプリケーションの使用を検出します。

検出されたそれぞれのアプリケーションに対してシステムは、アプリケーションを使用した IP アドレス、製品、バージョン、および使用が検出された回数を記録します。Web インターフェイスを使用して、アプリケーション イベントを表示、検索、および削除できます。ホスト入力機能を使用して、1 つ以上のホスト上のアプリケーション データを更新することもできます。

どのアプリケーションがどのホストで稼動しているかがわかっている場合は、そのことを使用してホスト プロファイルの認定を作成し、この認定によって、トラフィック プロファイルの作成中に収集するデータを制約することができます。また、相関ルールをトリガーする条件を制約することもできます。また、アプリケーションの検出を相関ルールのベースにすることもできます。たとえば、従業員に特定のメール クライアントを使用させたい場合は、システムが、いずれかの対象ホストで別のメール クライアントが稼動していることを検出したときに相関ルールをトリガーすることができます。

更新されたディテクタの情報については、各 VDB 更新のアドバイザリの他に、FireSIGHT システムの各更新に関するリリース ノートをよく読んでください。

分析用にアプリケーション データを収集および格納するには、ネットワーク検出ポリシーでアプリケーションの検出が有効になっていることを確認します。詳細については、「検出データ収集について」を参照してください。

詳細については、次の項を参照してください。

「アプリケーションの詳細の表示」

「アプリケーションの詳細テーブルについて」

「アプリケーションの詳細の検索」

アプリケーションの表示

ライセンス:FireSIGHT

防御センターを使用して、検出されたアプリケーションのテーブルを表示できます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。

ユーザがアプリケーションにアクセスするときに表示されるページは、使用するワークフローによって異なります。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。詳細については、「カスタム ワークフローの作成」を参照してください。

「アプリケーションの操作」 では、アプリケーションのワークフロー ページでユーザが実行できる特定の操作について説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。

 

表 38-9 アプリケーションの操作

目的
操作

テーブルのカラムの内容について詳細を参照する

詳細については、「アプリケーション テーブルについて」で確認できます。

特定のアプリケーションに対する [Application Detail View] を開く

クライアント、アプリケーション プロトコル、または Web アプリケーションの隣にあるアプリケーション詳細ビューのアイコン( )をクリックします。

アプリケーションを表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Hosts] > [Applications Details] を選択します。

デフォルトのアプリケーション詳細ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。


ヒント アプリケーションの詳細のテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Clients] を選択します。

アプリケーション テーブルについて

ライセンス:FireSIGHT

監視対象ホストが別のホストに接続すると、FireSIGHT システムは多くの場合、どのアプリケーションが使用されたかを判断することができます。システムはさまざまな Web ブラウザやサーバ、電子メール クライアンやサーバ、インスタント メッセンジャー、ピア ツー ピア アプリケーションなどを検出します。システムは既知のクライアント、アプリケーション プロトコル、または Web アプリケーションに対してトラフィックを検出すると、アプリケーション、およびそのアプリケーションを実行しているホストに関する情報を記録します。

FireSIGHT システムはアプリケーション データを 3 つのタイプ(クライアント、Web アプリケーション、アプリケーション プロトコル)に分類します。アプリケーション テーブルは、アプライアンスで検出された 3 つのすべてのタイプのアプリケーションの組み合わせのリストを提供します。

次に、アプリケーション テーブルのフィールドについて説明します。

Application

検出されたアプリケーションの名前。

IP Address

アプリケーションを使用しているホストに関連付けられている IP アドレス。

Category

アプリケーションの最も不可欠な機能を表す一般的な分類。各アプリケーションは、少なくとも 1 つのカテゴリに属します。

Tag

アプリケーションに関する追加情報。アプリケーションには任意の数(0 を含む)のタグを付けることができます。

Risk

このアプリケーションが、組織のセキュリティ ポリシーに違反するかもしれない目的で使用される可能性がどの程度であるか。アプリケーションのリスクは、 Very Low から Very High までの範囲です。

侵入イベントをトリガーとして使用したトラフィックで検出された 3 つの Application Protocol Risk、Client Risk、および Web Application Risk の中で最も高いものとなります(有効な場合)。

Business Relevance

アプリケーションが、娯楽としてではなく、組織のビジネス活動の範囲内で使用される可能性。アプリケーションのビジネスとの関連性は、 Very Low から Very High までの範囲です。

侵入イベントをトリガーとして使用したトラフィックで検出された 3 つの Application Protocol Business Relevance、Client Business Relevance、および Web Application Business Relevance の中で、最も低いものとなります(有効な場合)。

Current User

ホストに現在ログインしているユーザの ID(ユーザ名)。

権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。

Type

アプリケーションのタイプ:

Application Protocols はホスト間の通信を表します。

Client Applications は、ホスト上で稼動しているソフトウェアを表します。

Web Applications は、HTTP トラフィックのコンテンツまたは要求された URL を表します。

Count

各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。

アプリケーションの検索

ライセンス:FireSIGHT

特定のクライアント、アプリケーション プロトコル、または Web アプリケーションを実行しているホストを検索することができます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。

一般的な検索の構文

それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。

すべてのフィールドで否定( ! )を使用できます。

すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。

多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。

いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。

ほとんどのフィールドでは大文字/小文字が区別されません。

IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。

オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。

検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。

アプリケーションを検索するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Search] を選択します。

[Search] ページが表示されます。

ステップ 2 [Table] ドロップダウン リストから [Applications] を選択します。

ページが適切な制約を使用してリロードされます。

ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。

名前を入力しない場合は、検索を保存するときに防御センターが自動的に名前を付加します。

ステップ 4 該当するフィールドに検索基準を入力します。複数の条件を入力すると、防御センターは、すべての条件に一致するレコードのみを返します。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。

ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。


ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります

ステップ 6 次の選択肢があります。

検索を開始するには、[Search] ボタンをクリックします。

検索結果は、デフォルトのクライアント ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。

既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。

検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。


 

アプリケーションの詳細の使用

ライセンス:FireSIGHT

監視対象ホストが別のホストに接続すると、システムは多くの場合、どのアプリケーションが使用されたかを判断することができます。FireSIGHT システムは多くの電子メールの使用、インスタント メッセージ、ピア ツー ピア、Web アプリケーション、およびその他のタイプのアプリケーションの使用を検出します。

検出されたそれぞれのアプリケーションに対してシステムは、アプリケーションを使用した IP アドレス、製品、バージョン、および使用が検出された回数を記録します。Web インターフェイスを使用して、アプリケーション イベントを表示、検索、および削除できます。ホスト入力機能を使用して、1 つ以上のホスト上のアプリケーション データを更新することもできます。

どのアプリケーションがどのホストで稼動しているかがわかっている場合は、そのことを使用してホスト プロファイルの認定を作成し、この認定によって、トラフィック プロファイルの作成中に収集するデータを制約することができます。また、相関ルールをトリガーする条件を制約することもできます。また、アプリケーションの検出を相関ルールのベースにすることもできます。たとえば、従業員に特定のメール クライアントを使用させたい場合は、システムが、いずれかの対象ホストで別のメール クライアントが稼動していることを検出したときに相関ルールをトリガーすることができます。

更新されたディテクタの情報については、各 VDB 更新のアドバイザリの他に、FireSIGHT システムの各更新に関するリリース ノートをよく読んでください。

分析用にアプリケーション データを収集および格納するには、ネットワーク検出ポリシーでアプリケーションの検出が有効になっていることを確認します。詳細については、「アプリケーション検出について」を参照してください。

詳細については、次の項を参照してください。

「アプリケーションの詳細の表示」

「アプリケーションの詳細テーブルについて」

「アプリケーションの詳細の検索」

アプリケーションの詳細の表示

ライセンス:FireSIGHT

防御センターを使用して、検出されたアプリケーションの詳細テーブルを表示できます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。

ユーザがアプリケーションの詳細にアクセスするときに表示されるページは、使用するワークフローによって異なります。2 つの事前定義されたワークフローがあります。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。詳細については、「カスタム ワークフローの作成」を参照してください。

「アプリケーションの詳細の操作」 では、アプリケーションの詳細ワークフロー ページでユーザが実行できる特定の操作について説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。

 

表 38-10 アプリケーションの詳細の操作

目的
操作

テーブルのカラムの内容について詳細を参照する

詳細については、「アプリケーションの詳細テーブルについて」で確認できます。

特定のアプリケーションに対する [Application Detail View] を開く

クライアントの隣にあるアプリケーション詳細ビューのアイコン( )をクリックします。

アプリケーションの詳細を表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Hosts] > [Applications Details] を選択します。

デフォルトのアプリケーション詳細ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。


ヒント アプリケーションの詳細のテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Clients] を選択します。


 

アプリケーションの詳細テーブルについて

ライセンス:FireSIGHT

監視対象ホストが別のホストに接続すると、FireSIGHT システムは多くの場合、どのアプリケーションが使用されたかを判断することができます。システムはさまざまな Web ブラウザ、電子メール クライアン、インスタント メッセンジャー、ピア ツー ピア アプリケーションなどを検出します。.

システムは既知のクライアント、アプリケーション プロトコル、または Web アプリケーションに対してトラフィックを検出すると、アプリケーション、およびそのアプリケーションを実行しているホストに関する情報を記録します。次に、アプリケーションの詳細テーブルのフィールドについて説明します。

Last Used

アプリケーションが最後に使用された時間、またはホスト入力機能を使用してアプリケーション データが更新された時間。[Last Used] の値は、システムがアプリケーション情報の更新を検出したときだけでなく、少なくともユーザがネットワーク検出ポリシーに設定した更新間隔の頻度で更新されます。更新間隔の設定については、「データ保存の設定」を参照してください。

IP Address

アプリケーションを使用しているホストに関連付けられている IP アドレス。

Client

アプリケーションの名前。システムがアプリケーション プロトコルを検出したものの、特定のクライアントを検出できなかった場合は、一般的な名前を提示するために、アプリケーション プロトコル名に client が付加されます。

Version

アプリケーションのバージョン。

Category, Tags, Risk, or Business Relevance for Clients

クライアントに割り当てられているカテゴリ、タグ、リスク レベル、およびビジネス関連性。これらのフィルタを使用して、特定のデータ セットを対象にすることができます。

詳細については、「アプリケーション検出について」を参照してください。

Application Protocol

アプリケーションによって使用されるアプリケーション プロトコル。システムがアプリケーション プロトコルを検出したものの、特定のクライアントを検出できなかった場合は、一般的な名前を提示するために、アプリケーション プロトコル名に client が付加されます。

Category, Tags, Risk, or Business Relevance for Application Protocols

アプリケーション プロトコルに割り当てられているカテゴリ、タグ、リスク レベル、およびビジネス関連性。これらのフィルタを使用して、特定のデータ セットを対象にすることができます。

詳細については、「アプリケーション検出について」を参照してください。

Web Application

http トラフィックでシステムが検出したペイロード コンテンツまたは URL に基づいた Web アプリケーション。システムが HTTP のアプリケーション プロトコルを検出したものの、特定の Web アプリケーションを検出できない場合は、一般的な Web ブラウジングの指定がここで提示されるので注意してください。

Category, Tags, Risk, or Business Relevance for Web Applications

Web アプリケーションに割り当てられているカテゴリ、タグ、リスク レベル、およびビジネス関連性。これらのフィルタを使用して、特定のデータ セットを対象にすることができます。

詳細については、「アプリケーション検出について」を参照してください。

Hits

システムが使用中のアプリケーションを検出した回数。ホスト入力機能を使用して追加されたアプリケーションの場合、この値は必ず 0 になります。

Device

アプリケーションの詳細が含まれているディスカバリ イベントを生成したデバイス。

Current User

ホストに現在ログインしているユーザの ID(ユーザ名)。

権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。

Count

各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。

アプリケーションの詳細の検索

ライセンス:FireSIGHT

特定のクライアント、アプリケーション プロトコル、または Web アプリケーションを実行しているホストを検索することができます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。

一般的な検索の構文

それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。

すべてのフィールドで否定( ! )を使用できます。

すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。

多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。

いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。

ほとんどのフィールドでは大文字/小文字が区別されません。

IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。

オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。

検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。

アプリケーションの詳細を検索するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Search] を選択します。

[Search] ページが表示されます。

ステップ 2 [Table] ドロップダウン リストから [Application Details] を選択します。

ページが適切な制約を使用してリロードされます。


ヒント 別の種類のイベントについてデータベースを検索するには、[Table] ドロップダウン リストからデータベースを選択します。

ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。

名前を入力しない場合は、検索を保存するときに防御センターが自動的に名前を付加します。

ステップ 4 該当するフィールドに検索基準を入力します。複数の条件を入力すると、防御センターは、すべての条件に一致するレコードのみを返します。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。

ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。


ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります

ステップ 6 次の選択肢があります。

検索を開始するには、[Search] ボタンをクリックします。

検索結果は、デフォルトのクライアント ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。

既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。

検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。


 

脆弱性の処理

ライセンス:FireSIGHT

FireSIGHT システムには、独自の脆弱性追跡データベースが含まれています。これはシステムのフィンガープリンティング機能と組み合わせて使用して、ネットワーク上のホストに関連付けられている脆弱性を特定します。

ホストで稼動しているオペレーティング システム、サーバ、およびクライアントには、関連付けられている一連の脆弱性があります。ホストにパッチを適用した後、またはホストが脆弱性に関して問題ないと判断された場合は、そのホストの脆弱性を非アクティブにすることができます。防御センターを使用して、各ホストに対する脆弱性を追跡および確認できます。

サーバで使用されるアプリケーション プロトコルがシステム ポリシー内でマップされない限り、ベンダーレスおよびバージョンレスのサーバに対する脆弱性はマップされないことに注意してください。ベンダーレスおよびバージョンレスのクライアントに対する脆弱性はマップできません。詳細については、「サーバの脆弱性のマッピング」を参照してください。

詳細については、以下を参照してください。

「脆弱性の表示」

「脆弱性テーブルについて」

「脆弱性の非アクティブ化」

「脆弱性の検索」

脆弱性の表示

ライセンス:FireSIGHT

防御センターを使用して、脆弱性のテーブルを表示できます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。

脆弱性にアクセスするときに表示されるページは、使用するワークフローによって異なります。ユーザは事前定義のワークフローを使用できますが、これには脆弱性のテーブル ビューが含まれています。検出されたいずれかのホストが脆弱性を示しているかどうかに関係なく、テーブル ビューにはデータベース内の各脆弱性に対して 1 つのローが含まれています。事前定義のワークフローの 2 ページ目には、ネットワーク上で検出されたホストに適用されるそれぞれの脆弱性(まだユーザが非アクティブにしていないもの)に対して 1 つのローが含まれています。事前定義のワークフローは脆弱性の詳細ビューで終了しますが、このビューには、制約を満たすすべての脆弱性について詳細な説明が含まれています。


ヒント 単一のホストまたはホストのセットに適用される脆弱性を表示する場合は、ホストの IP アドレスまたは IP アドレスの範囲を指定して、脆弱性の検索を実行します。脆弱性の検索の詳細については、「脆弱性の検索」を参照してください。

また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。カスタム ワークフローの作成については、「カスタム ワークフローの作成」を参照してください。

次の表では、脆弱性のワークフロー ページでユーザが実行できる特定の操作について説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。

 

表 38-11 脆弱性の操作

目的
操作

テーブルのカラムの内容について詳細を参照する

詳細については、「脆弱性テーブルについて」で確認できます。

脆弱性の詳細を表示する

[SVID] カラムの表示アイコン( )をクリックします。または、脆弱性 ID を制約して脆弱性の詳細ページへドリルダウンします。詳細については、「脆弱性の詳細の表示」を参照してください。

選択した脆弱性を非アクティブにして、現在脆弱な状態にあるホストについて、侵入の影響の相関に使用しないようにする

詳細については、「脆弱性の非アクティブ化」で確認できます。

脆弱性のタイトルの全テキストを表示する

タイトルを右クリックして [Show Full Text] を選択します。

脆弱性を表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Vulnerabilities] > [Vulnerabilities] を選択します。

デフォルトの脆弱性ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。


ヒント 脆弱性テーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Vulnerabilities] を選択します。


 

脆弱性テーブルについて

ライセンス:FireSIGHT

FireSIGHT システムには、独自の脆弱性追跡データベースが含まれています。これはシステムのフィンガープリンティング機能と組み合わせて使用して、ネットワーク上のホストに関連付けられている脆弱性を特定します。

ホストで稼動しているオペレーティング システム、サーバ、およびクライアントには、関連付けられている一連の脆弱性があります。ホストにパッチを適用した後、またはホストが脆弱性に関して問題ないと判断された場合は、そのホストの脆弱性を非アクティブにすることができます。防御センターを使用して、各ホストに対する脆弱性を追跡および確認できます。

脆弱性の詳細については、「脆弱性のネットワーク マップの使用」および「ホスト プロファイルでの脆弱性の使用」を参照してください。

次に、脆弱性テーブルのフィールドについて説明します。

SVID

脆弱性を追跡するためにシステムで使用するシスコの脆弱性の識別番号。

SVID について脆弱性の詳細にアクセスするには、表示アイコン( )をクリックします。詳細については、「脆弱性の詳細の表示」を参照してください。

Bugtraq ID

Bugtraq データベースにおいて脆弱性に関連付けられている識別番号。(http://www.securityfocus.com/bid/)

Snort ID

Snort ID(SID)データベースにおいて脆弱性に関連付けられている識別番号。つまり、侵入ルールで特定の脆弱性を悪用するネットワーク トラフィックを検出できると、その脆弱性は、侵入ルールの SID に関連付けられます。

脆弱性は複数の SID に関連付けることが可能(または SID に関連付けないことも可能)であることに注意してください。脆弱性が複数の SID に関連付けられている場合、脆弱性テーブルには、各 SID に対して 1 つのローが含まれています。

Title

脆弱性のタイトル。

IP Address

脆弱性の影響を受けるホストに関連付けられている IP アドレス。

Date Published

脆弱性が公開された日付。

Vulnerability Impact

Bugtraq データベースにおいて脆弱性に割り当てられている重大度を示します。0~10の値で、10 は最も重大であることを示します。脆弱性の影響は、Bugtraq エントリの作成者によって決定されます。この作成者は、自身の判断および SANS Critical Vulnerability Analysis(CVA)の基準に従って脆弱性の影響を決定します。

Remote

脆弱性がリモートで不正利用されるかどうかを示します。

Available Exploits

脆弱性に対して既知の不正利用があるかどうかを示します。

Description

脆弱性についての簡単な説明。

Technical Description

脆弱性に関する詳細な技術的説明。

Solution

脆弱性の修復に関する情報。

Count

各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。

脆弱性の非アクティブ化

ライセンス:FireSIGHT

ネットワーク上のホストにパッチを適用した後、またはホストが脆弱性に関して問題ないと判断された後に、脆弱性を非アクティブにします。非アクティブにした脆弱性は、侵入の影響の相関には使用されなくなります。システムが、この脆弱性によって影響を受けている新しいホストを検出すると、脆弱性はこのホストに対して有効であると見なされます(自動的には非アクティブになりません)。

ユーザは、ネットワーク上の特定のホストに対して脆弱性を示すワークフローのページ(以下を参照)で のみ 、脆弱性ワークフロー内で脆弱性を非アクティブにすることができます。

デフォルトの脆弱性ワークフローの 2 ページ目の [Vulnerabilities on the Network]。これは、ネットワーク上のホストに適用される脆弱性のみを示します。

脆弱性の(カスタムまたは事前定義の)ワークフローの任意のページ。このワークフローは、検索を使用して IP アドレスに基づいて制約されます。

IP アドレスで制約されていない脆弱性ワークフロー内で脆弱性を非アクティブにすると、ネットワーク上で検出された すべての ホストに対する脆弱性が非アクティブ化されます。1 つのホストに対して脆弱性を非アクティブにするには、次の 3 つの方法があります。

ネットワーク マップを使用する。

詳細については、「脆弱性のネットワーク マップの使用」を参照してください。

ホストのホスト プロファイルを使用する。

詳細については、「個々のホストに対する脆弱性の設定」を参照してください。

脆弱性を非アクティブにする 1 つ以上のホストの IP アドレスに基づいて、脆弱性ワークフローを制約する。関連する複数の IP アドレスを持つホストの場合、この機能は 1 つのアドレス(そのホストで選択された IP アドレス)のみに適用されます。

IP アドレスに基づいてビューを制約するには、脆弱性を非アクティブにするホストに対して 1 つの IP アドレス、または IP アドレスの範囲を指定して、脆弱性の検索を実行します。脆弱性の検索の詳細については、「脆弱性の検索」を参照してください。

脆弱性を非アクティブにするには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Vulnerabilities on the Network] ページで、非アクティブにする脆弱性の隣にあるチェック ボックスをオンにして [Review] をクリックします。


 

脆弱性の検索

ライセンス:FireSIGHT

ネットワーク上のホストに影響を及ぼす脆弱性を検索できます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。

一般的な検索の構文

それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。

すべてのフィールドで否定( ! )を使用できます。

すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。

多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。

いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。

ほとんどのフィールドでは大文字/小文字が区別されません。

IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。

オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。

検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。

脆弱性に対する特定の検索条件

以下の、脆弱性の検索に特有な情報に注意してください。

Bugtraq ID 番号の検索は http://www.securityfocus.com/bid で行います。

エクスプロイトされる脆弱性を検索する場合は TRUE を入力し、そのような脆弱性を除外する場合は FALSE を入力します。

脆弱性を検索するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Search] を選択します。

[Search] ページが表示されます。

ステップ 2 [Table] ドロップダウン リストから [Vulnerabilities] を選択します。

ページが適切な制約を使用してリロードされます。

ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。

名前を入力しない場合は、検索を保存するときに自動的に名前が付けられます。

ステップ 4 該当するフィールドに検索基準を入力します。

複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。

ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。

カスタム ユーザ ロールに対するデータの制約として検索を使用する場合は、検索を非公開として保存する 必要があります

ステップ 6 次の選択肢があります。

検索を開始するには、[Search] ボタンをクリックします。

検索結果は、デフォルトの脆弱性ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。

既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。

検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。


 

サードパーティの脆弱性の処理

ライセンス:FireSIGHT

FireSIGHT システムには、独自の脆弱性追跡データベースが含まれています。これはシステムのフィンガープリンティング機能と組み合わせて使用して、ネットワーク上のホストに関連付けられている脆弱性を特定します。

組織でスクリプトを記述するか、またはコマンドライン インポート ファイルを作成して、サードパーティのアプリケーションからネットワーク マップ データをインポートすることが可能な場合は、サードパーティの脆弱性データをインポートして、システムの脆弱性データを増やすことができます。詳細については、『 FireSIGHT System Host Input API Guide 』を参照してください。

インポートしたデータを影響の相関に含めるには、サードパーティの脆弱性情報を、データベース内のオペレーティング システムおよびアプリケーションの定義にマップする必要があります。サードパーティの脆弱性情報はクライアント定義にマップできません。

詳細については、以下を参照してください。

「サードパーティの脆弱性の表示」

「サードパーティの脆弱性テーブルについて」

「サードパーティの脆弱性の検索」

サードパーティの脆弱性の表示

ライセンス:FireSIGHT

ホスト入力機能を使用してサードパーティの脆弱性データをインポートした後で、防御センターを使用してサードパーティの脆弱性のテーブルを表示することができます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。

サードパーティの脆弱性にアクセスするときに表示されるページは、使用するワークフローによって異なります。2 つの事前定義されたワークフローがあります。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。詳細については、「カスタム ワークフローの作成」を参照してください。

次の表では、サードパーティ脆弱性のワークフロー ページでユーザが実行できる特定の操作について説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されているタスクも実行できます。

 

表 38-12 サードパーティの脆弱性の操作

目的
操作

テーブルのカラムの内容について詳細を参照する

詳細については、「サードパーティの脆弱性テーブルについて」で確認できます。

サードパーティの脆弱性の詳細を表示する

[SVID] カラムの表示アイコン( )をクリックします。または、脆弱性 ID を制約して脆弱性の詳細ページへドリルダウンします。詳細については、「脆弱性の詳細の表示」を参照してください。

サードパーティの脆弱性を表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Vulnerabilities] > [Third-Party Vulnerabilities] を選択します。

デフォルトのサードパーティの脆弱性ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。


ヒント サードパーティの脆弱性のテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Vulnerabilities by Source] を選択するか、または [Vulnerabilities by IP Address] を選択します。


 

サードパーティの脆弱性テーブルについて

ライセンス:FireSIGHT

ホスト入力機能を使用して、サードパーティの脆弱性情報をインポートすると、システムはその情報をデータベースに格納します。サードパーティの脆弱性テーブルのフィールドについては、次の表で説明します。

Vulnerability Source

サードパーティの脆弱性のソース(QualysGuard、NeXpose など)。

Vulnerability ID

ソースで脆弱性に関連付けられている ID 番号。

IP Address

脆弱性の影響を受けるホストに関連付けられている IP アドレス。

Port

ポート番号(脆弱性が、特定のポート上で実行されているサーバに関連付けられている場合)。

Bugtraq ID

Bugtraq データベースにおいて脆弱性に関連付けられている識別番号。(http://www.securityfocus.com/bid/)

CVE ID

MITRE の Common Vulnerabilities および Exposures(CVE)データベースにおいて、脆弱性に関連付けられている識別番号(http://www.cve.mitre.org/)。

SVID

脆弱性を追跡するためにシステムで使用する Sourcefire Vulnerability の識別番号。

SVID について脆弱性の詳細にアクセスするには、表示アイコン( )をクリックします。詳細については、「脆弱性の詳細の表示」を参照してください。

Snort ID

Snort ID(SID)データベースにおいて脆弱性に関連付けられている識別番号。つまり、侵入ルールで特定の脆弱性を悪用するネットワーク トラフィックを検出できると、その脆弱性は、侵入ルールの SID に関連付けられます。

脆弱性は複数の SID に関連付けることが可能(または SID に関連付けないことも可能)であることに注意してください。脆弱性が複数の SID に関連付けられている場合、脆弱性テーブルには、各 SID に対して 1 つのローが含まれています。

Title

脆弱性のタイトル。

Description

脆弱性についての簡単な説明。

Count

各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。

サードパーティの脆弱性の検索

ライセンス:FireSIGHT

ネットワーク上のホストに影響を及ぼすサードパーティの脆弱性を検索できます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。

一般的な検索の構文

それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。

すべてのフィールドで否定( ! )を使用できます。

すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。

多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。

いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。

ほとんどのフィールドでは大文字/小文字が区別されません。

IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。

オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。

検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。

脆弱性に対する特定の検索条件

以下の、脆弱性の検索に特有な情報に注意してください。

Bugtraq ID 番号の検索は http://www.securityfocus.com/bid で行います。

エクスプロイトされる脆弱性を検索する場合は TRUE を入力し、そのような脆弱性を除外する場合は FALSE を入力します。

サードパーティの脆弱性を検索するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Search] を選択します。

[Search] ページが表示されます。

ステップ 2 [Table] ドロップダウン リストで、[Third-Party Vulnerabilities] を選択します。

ページが適切な制約を使用してリロードされます。

ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。

名前を入力しない場合は、検索を保存するときに自動的に名前が付けられます。

ステップ 4 該当するフィールドに検索基準を入力します。

複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。

ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、本人のみが使用できるように検索が保存されます。

カスタム ユーザ ロールに対するデータの制約として検索を使用する場合は、検索を非公開として保存する 必要があります

ステップ 6 次の選択肢があります。

検索を開始するには、[Search] ボタンをクリックします。

検索結果は、デフォルトのサードパーティ脆弱性ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。

既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。

検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。


 

ユーザの使用

ライセンス:FireSIGHT

Active Directory Agent または管理対象デバイスがデータベースにないユーザのユーザ ログインを検出した場合、そのログイン タイプが特に制限されていない限り、そのユーザはデータベースに追加されます(「ユーザ ロギングの制限」を参照してください)。


システムは SMTP ログインを検出しますが、電子メール アドレスが一致するユーザがデータベースにない場合、それらのログインは記録されず、ユーザは、SMTP ログインに基づいたデータベースに追加されません


新しいユーザについてどの情報を格納するかは、次の表に記載されている、システムが検出したログインのタイプによって判断されます。

 

表 38-13 ログインのタイプと格納されるユーザ データ

ログイン タイプ
格納されるユーザ データ

LDAP
AIM
Oracle
SIP

ユーザ名

現行の IP アドレス

ログイン タイプ( aim ldap oracle 、または sip

POP3
IMAP

ユーザ名

現行の IP アドレス

電子メール アドレス

ログイン タイプ( pop3 または imap

防御センターと LDAP サーバとの接続を設定すると、防御センターは LDAP サーバに 5 分ごとに問い合わせして、ユーザ データベースの新しいユーザに関するメタデータを取得します。それと同時に防御センターは、レコードが防御センターデータベースに格納されており、12 時間以上経過しているユーザの更新情報を LDAP サーバに問い合わせします。システムが新しいユーザのログインを検出してから、防御センターデータベースがユーザのメタデータを更新するまでに、5~10 分かかることがあります。防御センターは LDAP サーバから、各ユーザについて次の情報とメタデータを取得します。

LDAP ユーザ名

姓と名

電子メール アドレス

部門

電話番号

防御センターがデータベースに格納できるユーザの数は、FireSIGHT のライセンスによって異なります。AIM、Oracle、および SIP のログインは、システムが LDAP サーバから取得したどのユーザ メタデータにも関連付けられないため、これらのログインにより重複したユーザ レコードが作成されることに注意してください。これらのプロトコルでのユーザ レコードの重複により、ユーザ カウントが過剰に使用されないようにするために、ネットワーク検出ポリシーではプロトコルのロギングを無効にします。詳細については、「ユーザ ロギングの制限」を参照してください。

データベースからユーザを検索、表示、削除することができます。また、データベースからすべてのユーザを消去することもできます。詳細については、次の項を参照してください。

「ユーザの表示」

「ユーザ テーブルについて」

「ユーザの詳細とホストの履歴について」

「ユーザの検索」

ユーザの表示

ライセンス:FireSIGHT

ユーザのテーブルを表示して、検索する情報に応じてイベント ビューを操作することができます。

ユーザにアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義のワークフローを使用することができますが、これには、検出されたすべてのユーザが記載されているユーザのテーブル ビューが含まれています。このワークフローは、ユーザの詳細ページで終了します。ユーザの詳細ページは、制約を満たす各ユーザについての情報を提供します。

また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。カスタム ワークフローの作成については、「カスタム ワークフローの作成」を参照してください。

テーブルのカラムの内容については、「ユーザ テーブルについて」に詳しく記載されています。次の表は、ユーザ ワークフロー ページで実行できる特定の操作について説明します。 「一般的なディスカバリ イベントのアクション」 の表に記載されている操作も実行できます。

ユーザを表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Users] > [Users] を選択します。

デフォルトのユーザ ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。


ヒント ユーザのテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [Users] を選択します。


 

ユーザ テーブルについて

ライセンス:FireSIGHT

システムはユーザを検出したときに、そのユーザに関するデータを収集してデータベースに格納します。次に、ユーザ テーブルのフィールドについて説明します。

User

次のいずれかになります。

ユーザの名前と姓、およびユーザ名(オプションの防御センターと LDAP サーバの接続を介して収集されたもの)

ユーザ名のみ(防御センターと LDAP サーバの接続を設定していない場合、または防御センターが LDAP レコードと相関できなかったユーザの場合)

防御センターは、ユーザの検出に使用したプロトコルも表示します。

成功しなかった AIM ログインの試行も記録されるため、防御センターには、(ユーザが入力するユーザ名のスペルを間違っていた場合など)無効な AIM ユーザが格納されている可能性があることに注意してください。

Current IP

ユーザがログインしたホストに関連付けられている IP アドレス。(あるユーザが権限を持っており、新しいユーザが権限を持っていない場合を除いて)、ユーザがログインした後で、権限を持っている他のユーザが同じ IP アドレスでホストにログインすると、このフィールドは空白になります (システムは、IP アドレスと、最後にホストにログインした権限のあるユーザを関連付けます)。権限のあるユーザと権限のないユーザの詳細については、「ユーザ データベース」を参照してください。

First Name

ユーザの名前(オプションの防御センターと LDAP サーバとの接続で取得されたもの)。以下の場合、このフィールドは空白になります。

防御センターと LDAP サーバの接続を設定していない

防御センターが、防御センター データベースのユーザと LDAP レコードを相関させていない(AIM、Oracle、または SIP ログインによってユーザがデータベースに追加された場合など)

LDAP サーバに、対象のユーザと関連付けられている名前がない

Last Name

オプション防御センターの- LDAP サーバ接続から抽出したユーザの姓。以下の場合、このフィールドは空白になります。

防御センターと LDAP サーバの接続を設定していない

防御センターが、防御センター データベースのユーザと LDAP レコードを相関させていない(AIM、Oracle、または SIP ログインによってユーザがデータベースに追加された場合など)

LDAP サーバに、対象のユーザと関連付けられている姓がない

E-Mail

ユーザの電子メール アドレス。以下の場合、このフィールドは空白になります。

AIM ログインによってユーザがデータベースに追加された

LDAP ログインによってユーザがデータベースに追加されており、LDAP サーバ上にユーザと関連付けられている電子メール アドレスがない

Department

ユーザの部門(オプションの防御センターと LDAP サーバとの接続で取得されたもの)。LDAP サーバ上のユーザに明示的に関連付けられている部門がない場合、この部門は、サーバが割り当てるいずれかのデフォルト グループとして示されます。たとえば、Active Directory では、これは Users (ad) となります。以下の場合、このフィールドは空白になります。

防御センターと LDAP サーバの接続を設定していない

防御センターが、防御センター データベースのユーザと LDAP レコードを相関させていない(AIM、Oracle、または SIP ログインによってユーザがデータベースに追加された場合など)

Phone

ユーザの電話番号(オプションの防御センターと LDAP サーバとの接続で取得されたもの) 以下の場合、このフィールドは空白になります。

防御センターと LDAP サーバの接続を設定していない

防御センターが、防御センター データベースのユーザと LDAP レコードを相関させていない(AIM、Oracle、または SIP ログインによってユーザがデータベースに追加された場合など)

LDAP サーバに、対象のユーザと関連付けられている電話番号がない

User Type

ユーザの検出に使用されるプロトコル。たとえば、POP3 ログインを検出したときにデータベースに追加されるユーザの場合、ユーザ タイプは pop3 になります。

Count

各ローに示される情報と一致するユーザの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。

ユーザの詳細とホストの履歴について

ライセンス:FireSIGHT

特定のユーザについて詳細を示すために、ユーザのテーブル ビューだけでなく、ユーザ ID データを他の種類のイベントに関連付けているイベント ビューを利用して [User Identity] ポップアップ ウィンドウを表示することができます。ユーザ ワークフローの最終ページには、ユーザの情報も表示されます。

このユーザ データは、ユーザのテーブル ビューで表示されるものと同じです。詳細については、「ユーザ テーブルについて」を参照してください。

ホストの履歴は、最後の 24 時間に行われたユーザ アクティビティをグラフィックで表示します。ユーザがログインおよびログオフしたホストの IP アドレスのリストは、ログインとログアウトの回数の概数を棒グラフで示します。一般的なユーザは、1 日の間に複数のホストに対してログオンおよびログオフする可能性があります。たとえば、メール サーバに対する定期的な自動ログインは複数回の短いセッションとして示されますが、(勤務時間中などの)長時間のログインは、長いセッションとして示されます。

ホストに対して権限のないユーザがログインしていることが検出された場合、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、ホストに対して権限のあるユーザのログインが検出された後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。ネットワーク検出ポリシーで、失敗したログインのキャプチャを設定した場合、ホストの履歴には、ユーザがログインに失敗したホストも示されます。

ホストの履歴を生成するのに使用されるデータは、ユーザの履歴データベースに格納されています。このデータベースは、デフォルトで 1000 万のユーザ ログイン イベントが格納されます。ホストの履歴で特定のユーザに関するデータが表示されない場合、そのユーザが非アクティブであるか、またはデータベースの制限を増やさなければならないことが考えられます。詳細については、「データベース イベント制限の設定」を参照してください。

ユーザの詳細およびホストの履歴を表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 次の 2 つの選択肢があります。

ユーザが示されているいずれかのイベント ビューで、ユーザ ID の隣に示されているユーザ アイコン( )をクリックします。

いずれかのユーザ ワークフローで、[Users] の最終ページをクリックします。

ユーザの詳細が表示されます。

ユーザの検索

ライセンス:FireSIGHT

特定のユーザを検索することができます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。

一般的な検索の構文

それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。

すべてのフィールドで否定( ! )を使用できます。

すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。

多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。

いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。

ほとんどのフィールドでは大文字/小文字が区別されません。

IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。

オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。

検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。

特定のユーザの検索条件

ユーザ タイプについては、有効な検索条件は ldap pop3 imap 、および aim です。ユーザは SMTP ログインに基づいてデータベースに追加されないため、 smtp と入力しても結果は返されません。

ユーザを検索するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Search] を選択します。

[Search] ページが表示されます。

ステップ 2 [Table] ドロップダウン リストから [Users] を選択します。

[Users search] ページが表示されます。


ヒント 別の種類のイベントについてデータベースを検索するには、[Table] ドロップダウン リストからデータベースを選択します。

ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。

名前を入力しない場合は、検索を保存するときに自動的に名前が付けられます。

ステップ 4 該当するフィールドに検索基準を入力します。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。

ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、検索は非公開として保存されます。


ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります

ステップ 6 次の選択肢があります。

検索を開始するには、[Search] ボタンをクリックします。

検索結果は、デフォルトのユーザ ワークフローに表示されます。別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。

既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。

検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。


 

ユーザ アクティビティ の使用

ライセンス:FireSIGHT

FireSIGHT システムは、ネットワーク上のユーザ アクティビティの詳細についてやりとりするイベントを生成します。次に、ユーザ アクティビティの 4 つのタイプについて説明します。

New User Identity

このイベントは、システムが、データベースに存在しないユーザのユーザ ログインを検出したときに生成されます。

User Login

このイベントは、以下の後に生成されます。

Active Directory サーバにインストールした Active Directory Agent が LDAP ログインを検出した

管理対象デバイスが LDAP、POP3、IMAP、SMTP、AIM、Oracle または SIP のログインを検出した

ユーザ ログイン イベントについては、以下の点について留意しておく必要があります。

一致する電子メール アドレスを持つユーザがすでにデータベースに存在する場合を除いて、SMTP ログインは記録されません。

失敗したログインは LDAP、IMAP、および POP3 で、トラフィック内で検出された場合のみです。ログインに失敗すると、検出されたユーザ データベースにユーザは追加されません。ただし、ネットワーク検出ポリシーのユーザ ログインの設定に基づいて、ユーザ アクティビティ データベースにオプションとしてアクティビティが記録されます。

特別にログイン タイプを制限している場合は、ユーザ ログインは記録されません。「ユーザ ロギングの制限」を参照してください。

権限のないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されることに注意してください。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。また、権限のないユーザがホストの現行ユーザである場合、そのユーザを使用してユーザ制御を行うことはできません。

Delete User Identity

このイベントは、データベースからユーザを手動で削除したときに生成されます。

User Identity Dropped: User Limit Reached

このイベントは、システムがデータベースに存在しないユーザを検出したものの、FireSIGHT ライセンスで設定されているデータベースの最大ユーザ数に達したためにユーザを追加できなかったときに生成されます。

検出されたユーザについて、防御センターが格納できる総数は、FireSIGHT のライセンスによって異なります。ライセンス制限に達すると、ほとんどの場合、システムはデータベースへの新しいユーザの追加を停止します。新しいユーザを追加するには、古いユーザまたは非アクティブなユーザをデータベースから手動で削除するか、データベースからすべてのユーザを消去する必要があります。

ただし、システムでは権限のあるユーザが優先されます。すでに制限に達しており、以前は検出されなかった権限のあるユーザのログインが検出された場合、システムは、長期間非アクティブな状態の非権限ユーザを削除し、そのユーザと権限のある新しいユーザを置き換えます。

システムがユーザ アクティビティを検出すると、そのアクティビティはデータベースに記録されます。ユーザ アクティビティを表示、検索、および削除することも、データベースからすべてのユーザ アクティビティを消去することもできます。

可能な場合はいつでも、FireSIGHT システムがユーザ活動とその他のタイプのイベントを関連付けます。たとえば、侵入イベントは、イベント発生時に送信元ホストおよび宛先ホストにログインしていたユーザを通知することができます。これにより、攻撃の対象になっていたホストの所有者、または内部攻撃やポートスキャンを開始したユーザがわかります。

また、相関ルールでユーザ アクティビティを使用することもできます。ユーザ アクティビティのタイプだけでなく、自分で指定する他の条件に基づいて、相関ルールを作成することができます。相関ルールは相関ポリシーで使用され、ネットワーク トラフィックが条件を満たしたときに、修復およびアラートの応答を起動します。ユーザ アクティビティの詳細については、「ユーザ データ収集について」を参照してください。

詳細については、次の項を参照してください。

「ユーザ アクティビティ イベントの表示」

「ユーザ アクティビティ テーブルについて」

「ユーザ アクティビティの検索」

ユーザ アクティビティ イベントの表示

ライセンス:FireSIGHT

ユーザ アクティビティのテーブルを表示して、検索する情報に応じてイベント ビューを操作することができます。

ユーザ アクティビティにアクセスするときに表示されるページは、使用するワークフローによって異なります。事前定義のワークフローを使用することができます。このワークフローにはユーザ アクティビティのテーブル ビューが含まれており、制約を満たすすべてのユーザの詳細が含まれている、ユーザの詳細ページで終了します。また、特定のニーズにあった情報のみを表示するカスタム ワークフローを作成することもできます。カスタム ワークフローの作成については、「カスタム ワークフローの作成」を参照してください。

テーブルのカラムの内容については、「ユーザ アクティビティ テーブルについて」に詳しく記載されています。次の表は、ユーザ アクティビティのワークフロー ページで実行できる特定の操作について説明しています。 「一般的なディスカバリ イベントのアクション」 の表に記載されている操作も実行できます。

ユーザ アクティビティを表示するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Users] > [User Activity] を選択します。

デフォルトのユーザ アクティビティ ワークフローの最初のページが表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。イベントが表示されない場合は、時間範囲の調整が必要なことがあります。「イベント時間の制約の設定」を参照してください。


ヒント ユーザ アクティビティのテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(switch workflow)] をクリックして [User Activity] を選択します。


 

ユーザ アクティビティ テーブルについて

ライセンス:FireSIGHT

システムがユーザ アクティビティを検出すると、そのアクティビティはデータベースに記録されます。次に、ユーザ テーブルのフィールドについて説明します。

Time

システムがユーザ アクティビティを検出した時間。

Event

ユーザ アクティビティのタイプ。詳細については、「ユーザ アクティビティ の使用」を参照してください。

User

アクティビティに関連付けられているユーザ。このフィールドには少なくとも、ユーザの検出に使用されたユーザ名とプロトコルが含まれています。ユーザの LDAP メタデータがある場合は、このフィールドには、ユーザの名前と姓も含まれることがあります。

User Type

ユーザの検出に使用されるプロトコル。たとえば、システムが POP3 ログインを検出したときにデータベースに追加されるユーザの場合、ユーザ タイプは pop3 になります。

IP Address

User Login アクティビティの場合、これはログインに関連する IP アドレスになります。ユーザのホストの IP アドレス(LDAP、POP3、IMAP、および AIM ログインの場合)、サーバの IP アドレス(SMTP および Oracle ログインの場合)、またはセッションの開始者の IP アドレス(SIP ログインの場合)のいずれかになります。

関連付けられている IP アドレスは、そのユーザが IP アドレスの現行のユーザであることを意味するわけではないので注意してください。権限を持たないユーザがホストにログインすると、そのログインはユーザおよびホストの履歴に記録されます。権限のあるユーザがホストに関連付けられていない場合、権限のないユーザがそのホストの現行ユーザとなることが可能です。ただし、権限のあるユーザがホストにログインした後は、権限のある別のユーザがログインした場合のみ、現行ユーザが変わります。

他のタイプのユーザ アクティビティの場合、このフィールドは空白です。

Description

Delete User Identity and User Identity Dropped アクティビティの場合、データベースから削除されたユーザの名前、またはデータベースへの追加に失敗したユーザの名前になります。ネットワーク リソースへのログインの場合、 network login が表示されます。他のタイプのユーザ アクティビティの場合、このフィールドは空白です。

Device

管理対象デバイスで検出したユーザ アクティビティの場合は、そのデバイスの名前。他のタイプのユーザ アクティビティの場合は、管理している防御センターになります。

Count

各ローに表示される情報に一致するイベントの数。[Count] フィールドは、2 つ以上の同じローを作成する制約を適用した場合のみ表示されることに注意してください。

ユーザ アクティビティの検索

ライセンス:FireSIGHT

特定のユーザ アクティビティを検索することができます。ネットワーク環境に合わせてカスタマイズした検索を作成し、後で再使用するために保存することもできます。

一般的な検索の構文

それぞれの検索フィールドの隣には、使用できる構文の例が表示されます。検索条件を入力する場合、次の点に注意してください。

すべてのフィールドで否定( ! )を使用できます。

すべてのフィールドでカンマ区切りの列挙を使用できます。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。

多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク( * )を使用できます。

いくつかのフィールドでは、フィールドに n/a または blank を指定して、そのフィールドで情報を使用できないイベントを特定することができます。 !n/a または !blank を使用して、フィールドに値が挿入されるイベントを特定することができます。

ほとんどのフィールドでは大文字/小文字が区別されません。

IP アドレスは CIDR 表記を使用して指定できます。FireSIGHT システムへの IPv4 および IPv6 のアドレスの入力については、「IP アドレスの表記法」を参照してください。

オブジェクトを検索条件として使用するには、検索フィールドの隣にあるオブジェクトの追加アイコン( )をクリックします。

検索でのオブジェクトの使用など、検索構文の詳細については、「イベントの検索」を参照してください。

ユーザ アクティビティを検索するには、以下を行います。

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Search] を選択します。

[Search] ページが表示されます。

ステップ 2 [Table] ドロップダウン リストから [User Activity] を選択します。

[User Activity search] ページが表示されます。


ヒント 別の種類のイベントについてデータベースを検索するには、[Table] ドロップダウン リストからデータベースを選択します。

ステップ 3 必要に応じて、検索を保存するには、検索の名前を [Name] フィールドに入力します。

名前を入力しない場合は、検索を保存するときに自動的に名前が付けられます。

ステップ 4 該当するフィールドに検索基準を入力します。複数の条件を入力すると、検索で、すべての条件に一致するレコードのみが返されます。オブジェクトを検索条件として使用するには、検索フィールドの隣にある追加アイコン( )をクリックします。

ステップ 5 検索を保存して他のユーザがアクセスできるようにする場合は、[Save As Private] チェック ボックスをオフにします。そうしない場合、チェック ボックスは選択されたままになり、検索は非公開として保存されます。


ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります

ステップ 6 次の選択肢があります。

検索を開始するには、[Search] ボタンをクリックします。

検索結果は、現行の時間範囲によって制約され、デフォルトのユーザ アクティビティ ワークフローに表示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。

既存の検索を変更しており、その変更を保存する場合は、[Save] をクリックします。

検索条件を保存する場合は、[Save as New Search] をクリックします。後で実行できるように、検索が保存されます([Save As Private] を選択した場合は、ユーザ アカウントに関連付けられます)。