FireSIGHT システム ユーザ ガイド バージョン 5.3.1
ワークフローの概要と使用
ワークフローの概要と使用
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

ワークフローの概要と使用

ワークフローのコンポーネント

事前定義ワークフローとカスタム ワークフローの比較

事前定義テーブルとカスタム テーブルのワークフローの比較

事前定義の侵入イベント ワークフロー

事前定義のマルウェア ワークフロー

事前定義のファイル ワークフロー

事前定義されたキャプチャ ファイル ワークフロー

事前定義の接続データ ワークフロー

事前定義のセキュリティ インテリジェンス ワークフロー

事前定義のホスト ワークフロー

事前定義の侵害の痕跡ワークフロー

事前定義のアプリケーション ワークフロー

事前定義のアプリケーション詳細ワークフロー

事前定義のサーバ ワークフロー

事前定義のホスト属性ワークフロー

事前定義のディスカバリ イベント ワークフロー

事前定義のユーザ ワークフロー

事前定義の脆弱性ワークフロー

事前定義のサードパーティの脆弱性ワークフロー

事前定義の相関およびホワイトリスト ワークフロー

事前定義のシステム ワークフロー

保存済みのカスタム ワークフロー

ワークフローの使用

ワークフローの選択

ワークフローのツールバーについて

ワークフローのページの使用

共通のテーブル ビューまたはドリルダウン ページ機能の使用

地理情報の使用

テーブル ビュー ページの使用

ドリルダウン ページの使用

ホスト ビュー、パケット ビュー、または脆弱性の詳細ページの使用

イベント時間の制約の設定

時間枠の変更

イベント タイプのデフォルトの時間枠の変更

時間枠の一時停止

イベントの制約

複合的な制約の使用

テーブル ビュー ページのソートおよびレイアウトの変更

ドリルダウン ワークフロー ページのソート

ワークフロー ページの行の選択

ワークフロー内の他のページへのナビゲート

ワークフロー間のナビゲート

ブックマークの使用

ブックマークの作成

ブックマークの表示

ブックマークの削除

カスタムワークフローの使用

カスタム ワークフローの作成

カスタム接続データ ワークフローの作成

カスタム ワークフローの表示

事前定義のテーブルのカスタム ワークフローの表示

カスタム テーブルのカスタム ワークフローの表示

カスタム ワークフローの編集

カスタム ワークフローの削除

ワークフローの概要と使用

ワークフローは防御センターの Web インターフェイス上でユーザに合わせて作成された一連のデータ ページで、アナリストはワークフローを使用して、システムで生成されたイベントを評価することができます。防御センターには、次の 3 つのタイプのワークフローがあります。

事前定義ワークフロー :システムにインストールされているプリセット ワークフローで、ユーザは変更または削除できません。

保存済みのカスタム ワークフロー :事前に定義されているカスタム ワークフローで、ユーザは変更または削除できます。

カスタム ワークフロー :ユーザが作成し、自身のニーズに合わせてカスタマイズするワークフローです。

たとえば、侵入イベントを分析する場合は、このタスク用に作成されたいくつかの事前定義ワークフローから選択することができます。

ワークフローに表示されるデータは、ほとんどの場合、管理対象デバイスのライセンスおよび導入方法、データを提供する機能を設定しているかどうか(シリーズ 2 アプライアンスの場合は、アプライアンスがデータを提供する機能をサポートしているかどうか)によって異なります。たとえば、DC500 防御センターおよび シリーズ 2 のデバイスは、カテゴリおよびレピュテーションによる URL フィルタリングをサポートしていないため、DC500 防御センターではこの機能のデータが表示されず、シリーズ 2 デバイスはこのデータを検出しません。

事前定義ワークフローおよびカスタム ワークフローの使用に関する詳細は、次の項を参照してください。

「ワークフローのコンポーネント」

「ワークフローの使用」

「カスタムワークフローの使用」


ヒント カスタム ワークフローを、イベント レポートのベースとして使用することもできます。詳細については、「レポートの操作」を参照してください。

ワークフローのコンポーネント

ライセンス:任意

ワークフローには、以下の項に記載されているように、複数のタイプのページを含めることができます。

テーブル ビュー

テーブル ビューには、ワークフローのベースとなるデータベースの各フィールドに対するカラムが含まれています。

たとえば、検出イベントのテーブル ビューには、[Time]、[Event]、[IP Address]、[User]、[MAC Address]、[MAC Vendor]、[Port]、[Description]、および [Device] カラムが含まれています。

また、サーバのテーブル ビューには、[Last Used]、[IP Address]、[Port]、[Protocol]、[Application Protocol]、[Vendor]、[Version]、[Web Application]、[Application Risk]、[Business Relevance]、[Hits]、[Source Type]、[Device]、および [Current User] カラムが含まれています。

ドリルダウン ページ

ドリルダウン ページには、データベースで使用できるカラムのサブセットが含まれています。

たとえば、検出イベントのドリルダウン ページには、[IP Address]、[MAC Address]、および [Time] カラムのみが含まれています。また、侵入イベントのドリルダウン ページには、[Priority]、[Impact Flag]、[Inline Result]、および [Message] カラムが含まれています。

一般的にドリルダウン ページは、テーブル ビューのページに移動する前にユーザが使用して調査対象を絞り込むための中間ページです。

グラフ

接続データに基づくワークフローには、グラフ ページ( 接続グラフ とも呼ばれる)を含めることができます。

たとえば接続グラフには、一定期間にシステムで検出された接続の数を示す線グラフを表示することができます。一般的に接続グラフは、ドリルダウン ページと同様に、ユーザが調査対象を絞り込むために使用する中間ページです。詳細については、「接続グラフの使用」を参照してください。

最終ページ

ワークフローの最終ページは、ワークフローがベースとするイベントのタイプによって異なります。

ホスト ビューは、アプリケーション、アプリケーションの詳細、検出イベント、ホスト、侵害の痕跡(IOC)、サーバ、または任意のタイプの脆弱性に基づいたワークフローの最終ページです。このページからホスト プロファイルを表示することにより、ユーザは、複数のアドレスを持つホストに関連付けられているすべての IP アドレス上のデータを簡単に表示することができます。詳細については、「ホスト プロファイルの使用」を参照してください。

ユーザの詳細ビューは、ユーザ、およびユーザ アクティビティに基づいたワークフローの最終ページです。詳細については、「ユーザの詳細とホストの履歴について」を参照してください。

脆弱性の詳細ビューは、シスコの脆弱性に基づいたワークフローの最終ページです。詳細については、「脆弱性の詳細の表示」を参照してください。

パケット ビューは、侵入イベントに基づいたワークフローの最終ページです。詳細については、「パケット ビューの使用」を参照してください。

他の種類のイベント(監査ログ イベントやマルウェア イベントなど)に基づいたワークフローには、最終ページがありません。

ワークフローの詳細については、以下の項を参照してください。

「事前定義ワークフローとカスタム ワークフローの比較」

「事前定義テーブルとカスタム テーブルのワークフローの比較」

「事前定義の侵入イベント ワークフロー」

「事前定義のマルウェア ワークフロー」

「事前定義のファイル ワークフロー」

「事前定義されたキャプチャ ファイル ワークフロー」

「事前定義の接続データ ワークフロー」

「事前定義のセキュリティ インテリジェンス ワークフロー」

「事前定義のホスト ワークフロー」

「事前定義の侵害の痕跡ワークフロー」

「事前定義のアプリケーション ワークフロー」

「事前定義のアプリケーション詳細ワークフロー」

「事前定義のサーバ ワークフロー」

「事前定義のホスト属性ワークフロー」

「事前定義のディスカバリ イベント ワークフロー」

「事前定義のユーザ ワークフロー」

「事前定義の脆弱性ワークフロー」

「事前定義のサードパーティの脆弱性ワークフロー」

「事前定義の相関およびホワイトリスト ワークフロー」

「事前定義のシステム ワークフロー」

「保存済みのカスタム ワークフロー」

事前定義ワークフローとカスタム ワークフローの比較

ライセンス:任意

FireSIGHT システムには、(これ以降の項で説明されている) 事前定義 ワークフローのセットが付随しており、ユーザはこれを使用して、イベントや収集した他のデータを分析することができます。

カスタム ワークフローは、組織に特有のニーズに合わせて作成するワークフローです。カスタム ワークフローを作成する場合は、ワークフローのベースとなるイベント(またはデータベース テーブル)の種類を選択します。防御センターでは、カスタム ワークフローをカスタム テーブルのベースにすることができます。また、カスタム ワークフローに含まれるページを選択することもできます。カスタム ワークフローには、ドリルダウン、テーブル ビュー、ホストまたはパケット ビューのページを含めることができます。

防御センターには、いくつかの 保存済みのカスタム ワークフロー が付属しています。このワークフローは、防御センターに付属している保存済みのカスタム テーブルに基づいています。事前定義のテーブルとカスタム テーブルに基づいたワークフローの違いについては、次の項 事前定義テーブルとカスタム テーブルのワークフローの比較で説明します。

事前定義テーブルとカスタム テーブルのワークフローの比較

ライセンス:FireSIGHT

カスタム テーブルの機能を使用して、複数のイベント タイプのデータを使用するテーブルを作成することができます。これにより、たとえば、ユーザが侵入イベントのデータと検出データを関連付けるテーブルおよびワークフローを作成して、重要なシステムに影響を及ぼすイベントを簡単に検索できるようになるため、役立ちます。カスタム テーブルの作成については、「カスタム テーブルの使用」を参照してください。

それぞれのカスタム テーブルにはデフォルトでワークフローが含まれており、これを使用して、テーブルに関連付けられているイベントを表示することができます。ワークフローの機能は、使用するテーブルのタイプによって異なります。たとえば、侵入イベント テーブルに基づいたカスタム テーブルのワークフローは、必ずパケット ビューで終了します。ただし、検出イベントに基づいたカスタム テーブルのワークフローは、必ずホスト ビューで終了します。

事前定義のイベント テーブルに基づいたワークフローとは異なり、カスタム テーブルに基づいたワークフローには、他のタイプのワークフローへのリンクがありません。

事前定義の 侵入イベント ワークフロー

ライセンス:Protection

次の表で、FireSIGHT システムに含まれている事前定義の侵入イベント ワークフローについて説明します。これらのワークフローへのアクセスについては、「侵入イベントの表示」および「侵入イベントについて」を参照してください。

表 47-1 事前定義の侵入イベント ワークフロー

ワークフロー名
説明

Destination Port
(宛先ポート)

宛先ポートは通常、アプリケーションに関連付けられているため、このワークフローは、通常以上に大量のアラートが発生しているアプリケーションを検出するのに役に立ちます。[Destination Port] カラムは、ネットワークに存在してはいけないアプリケーションを識別するうえでも役に立ちます。

このワークフローは、侵入イベントに関連付けられている宛先ポートを表示するページから始まり、その後に、生成されたイベント タイプを表示するページが続きます。ここで、(イベントのテーブル ビューと呼ばれる)イベント情報の表形式のビューを表示し、次に、各イベントに関連付けられているパケットの復号化されたコンテンツを表示するパケット ビューを表示することができます。

Event-Specific
(イベント固有)

このワークフローには、2 つの便利な機能があります。頻繁に発生するイベントには、以下のことを示している可能性があります。

誤検出

ワーム

設定が大幅に間違っているネットワーク

頻繁に発生するイベントはほとんどの場合、攻撃の対象にされており、特別な注意が必要であることを意味しています。

このワークフローは、生成されたイベントのタイプを示すページから始まります。ここで、2 つのテーブル(イベントに関連付けられている送信元 IP アドレスを示すテーブルと、イベントに関連付けられている宛先 IP アドレスを示すテーブル)を持つページを表示できます。ワークフローの最終ページは、イベントのテーブル ビューとパケット ビューです。

Events by Priority and Classification
(優先度および分類に基づいたイベント)

このワークフローは、イベントおよびイベントのタイプを、イベントの優先度の順に表示し、各イベントが発生した回数も示します。

このワークフローは、優先度のレベル、分類、および表示されている各イベントのカウントが含まれているドリルダウン ページから始まります。ワークフローの最終ページは、イベントのテーブル ビューとパケット ビューです。

Events to Destinations
(イベントと宛先)

このワークフローは、どのホスト IP アドレスが攻撃されているか、また攻撃の性質について概要レベルのビューを提供します。可能な場合には、攻撃に関与している国の情報も表示することができます。

このワークフローは、イベント タイプと宛先 IP アドレスのペアが示されているページから始まります。これによりユーザは、特定の IP アドレスに対してどのタイプのイベントが発生しているかを調べることができます。ワークフローの最終ページは、イベントのテーブル ビューとパケット ビューです。

IP-Specific(IP 固有)

このワークフローは、最も多くのアラートを生成しているホスト IP アドレスを示します。最も多くのイベントが生じているホストは、公開されていて、ワーム タイプのトラフィックを受け取っている(チューニングに適した場所であることを示している)か、あるいはアラートの原因を決定するためにさらに調査が必要です。カウントが最も少ないホストも攻撃の対象となる可能性があるため、調査が必要です。カウントが少ないことは、ホストがネットワークに属していない可能性があることも示しています。

このワークフローは、2 つのテーブル(イベントに関連付けられている送信元 IP アドレスのテーブルと、イベントに関連付けられている宛先 IP アドレスのテーブル)を表示するページから始まります。次のページで、生成されたイベント タイプを示します。ワークフローの最終ページは、イベントのテーブル ビューとパケット ビューです。

Impact and Priority(影響および優先度)

このワークフローを使用して、影響が大きく、繰り返し発生するイベントをすばやく見つけることができます。報告される影響レベルは、イベントが発生した回数と合わせて表示されます。この情報を使用して、最も頻繁に再発する、影響の大きいイベントを特定することができます。このようなイベントは、ネットワーク上の広範囲に攻撃が存在していることを示している可能性もあります。

このワークフローは、各イベントに関連付けられている影響のレベル、優先度、およびカウントを示すページから始まります。次に、各イベントの送信元および宛先の IP アドレスを示したドリルダウン ページが表示されます。2 ページ目のイベントは、カウントでソートされています。ワークフローの最終ページは、イベントのテーブル ビューとパケット ビューです。

Impact and Source(影響および送信元)

このワークフローは、進行中の攻撃の発生源を特定する場合に役立ちます。報告される影響レベルは、イベントに関連付けられている送信元 IP アドレスと合わせて表示されます たとえば、特定の IP アドレスからレベル 1 の影響度のイベントが繰り返し発生している場合は、脆弱なシステムを特定し、それらのシステムをターゲットにしている攻撃者が存在していることを示している可能性があります。

このワークフローは、各イベントに関連付けられている影響のレベル、送信元 IP アドレス、優先度、およびカウントを示すページから始まります。各イベントのレベル内で、イベントはカウントでソートされ、次に優先度でソートされます。次に、各イベントの送信元および宛先の IP アドレスを示したドリルダウン ページが表示されます。2 ページ目のイベントは、カウントでソートされています。ワークフローの最終ページは、イベントのテーブル ビューとパケット ビューです。

Impact to Destination(影響と宛先)

このワークフローを使用して、脆弱なコンピュータで繰り返し発生しているイベントを特定することができます。これにより、システム上の脆弱性に対処し、進行中の攻撃を停止することが可能になります。

このワークフローは、各イベントに関連付けられている影響のレベル、インラインの結果(パケットがドロップしたか、またはドロップする可能性があったかどうか)、宛先 IP アドレス、優先度、およびカウントを示すページから始まります。各イベントのレベル内で、イベントはカウントでソートされ、次に優先度でソートされます。次に、各イベントの送信元および宛先の IP アドレスを示したドリルダウン ページが表示されます。2 ページ目のイベントは、カウントでソートされています。ワークフローの最終ページは、イベントのテーブル ビューとパケット ビューです。

Source Port
(送信元ポート)

このワークフローは、最も多くのアラートを生成しているサーバを示します。この情報を使用して、調整が必要なエリアを特定し、注意が必要なサーバを決定することができます。

このワークフローは、侵入イベントに関連付けられている送信元ポートを表示するページから始まり、その後に、生成されたイベント タイプを表示するページが続きます。ワークフローの最終ページは、イベントのテーブル ビューとパケット ビューです。

Source and Destination
(送信元および宛先)

このワークフローは、高レベルのアラートを共有しているホスト IP アドレスを特定します。リストの先頭のペアは誤検出である可能性がありますが、調整が必要なエリアを特定している場合があります。リストの下部に示されているペアをチェックして、対象となる攻撃、アクセスが禁止されているリソースにアクセスしているユーザ、ネットワークに属さないホストを調べることができます。

このワークフローは、各イベントの送信元および宛先 IP アドレスを表示するページから始まり、その後に、生成されたイベント タイプを表示するページが続きます。ワークフローの最終ページは、イベントのテーブル ビューとパケット ビューです。

事前定義のマルウェア ワークフロー

ライセンス:任意

サポート対象デバイス:機能に応じて異なる

サポート対象防御センター:機能に応じて異なる

次の表で、防御センターに含まれている事前定義のマルウェア ワークフローについて説明します。すべての事前定義のマルウェア ワークフローは、マルウェア イベントのテーブル ビューを使用します。

DC500 シリーズ 2 防御センターおよび シリーズ 2 のデバイスは、ネットワークベースの高度なマルウェア対策をサポートしていないため、DC500 防御センターではこの機能のデータが表示されず、シリーズ 2 デバイスはこのデータを検出しないことに注意してください。

マルウェア イベントへのアクセスについては、「マルウェア イベントの操作」を参照してください。

 

表 47-2 事前定義のマルウェア ワークフロー

ワークフロー名
説明

Malware Summary
(マルウェアの概要)

このワークフローは、ネットワーク トラフィックで検出されたマルウェア、またはエンドポイントベースの FireAMP コネクタで検出されたマルウェアを、脅威ごとにグループ化して表示します。

Malware Event Summary(マルウェア イベントの概要)

このワークフローは、さまざまなマルウェア イベントのタイプおよびサブタイプについて詳細な情報を迅速に提供します。

Hosts Receiving Malware(マルウェアを受信したホスト)

このワークフローは、マルウェアを受信したホスト IP アドレスのリストを、マルウェア ファイルに関連付けられている処理ごとにグループ化して提供します。

Hosts Sending Malware(マルウェアを送信したホスト)

このワークフローは、マルウェアを送信したホスト IP アドレスのリストを、マルウェア ファイルに関連付けられている処理ごとにグループ化して提供します。

Applications Introducing Malware(マルウェアを取り込んだアプリケーション)

このワークフローは、ファイルを受信したホスト IP アドレスのリストを、これらのファイルに関連付けられているマルウェアの処理ごとにグループ化して提供します。

事前定義のファイル ワークフロー

ライセンス:Protection

次の表で、防御センターに含まれている事前定義のファイル イベント ワークフローについて説明します。すべての事前定義のファイル イベント ワークフローは、ファイル イベントのテーブル ビューを使用します。ファイル イベントへのアクセスについては、「ファイル イベントの操作」を参照してください。

 

表 47-3 事前定義のファイル ワークフロー

ワークフロー名
説明

File Summary(ファイルの概要)

このワークフローは、さまざまなファイル イベントのカテゴリとタイプ、および関連するすべてのマルウェアの処理について詳細な情報を迅速に提供します。

Hosts Receiving Files(ファイルを受信したホスト)

このワークフローは、ファイルを受信したホスト IP アドレスのリストを、これらのファイルに関連付けられているマルウェアの処理ごとにグループ化して提供します。

Hosts Sending Files(ファイルを送信したホスト)

このワークフローは、ファイルを送信したホスト IP アドレスのリストを、これらのファイルに関連付けられているマルウェアの処理ごとにグループ化して提供します。

事前定義されたキャプチャ ファイル ワークフロー

ライセンス:Malware

サポート対象デバイス:機能に応じて異なる

サポート対象防御センター:機能に応じて異なる

次の表で、防御センターに含まれている事前定義のキャプチャ ファイルワークフローについて説明します。すべての事前定義のキャプチャ ファイル ワークフローは、キャプチャ ファイルのテーブル ビューを使用します。

DC500 シリーズ 2 防御センターおよび シリーズ 2 のデバイスは、ネットワークベースの高度なマルウェア対策をサポートしていないため、DC500 防御センターではこの機能のデータが表示されず、シリーズ 2 デバイスはこのデータを検出しないことに注意してください。

キャプチャ ファイルへのアクセスについては、「キャプチャ ファイルの操作」を参照してください。

 

表 47-4 事前定義されたキャプチャ ファイル ワークフロー

ワークフロー名
説明

Captured File Summary(キャプチャ ファイルの概要)

このワークフローは、タイプ、カテゴリ、および脅威のスコアに基づいてキャプチャ ファイルについての詳細な情報を提供します。

Dynamic Analysis Status(動的解析のステータス)

このワークフローは、キャプチャ ファイルが動的解析用に送信されたかどうかに基づいて、キャプチャ ファイルのカウントを提供します。

事前定義の接続データ ワークフロー

ライセンス:FireSIGHT

次の表で、防御センターに含まれている事前定義の接続データ ワークフローについて説明します。すべての事前定義の接続データ ワークフローは、接続データのテーブル ビューを使用します。接続データへのアクセスについては、「接続およびセキュリティ インテリジェンスのデータの表示」を参照してください。

 

表 47-5 事前定義の接続データ ワークフロー

ワークフロー名
説明

Connection Events(接続イベント)

このワークフローは、基本的な接続および検出されたアプリケーションの情報についての概要ビューを提供します。ユーザはこれを使用して、イベントのテーブル ビューへドリル ダウンすることができます。

Connections by Application(接続に基づいたアプリケーション)

このワークフローには、検出された接続の数に基づいて、モニタリング対象のネットワーク セグメントにおける最もアクティブな 10 個のアプリケーションのグラフが含まれています。

Connections by Initiator(接続に基づいた発信側)

このワークフローには、ホストが接続トランザクションを開始した接続の数に基づいて、モニタリング対象のネットワーク セグメントにおける最もアクティブな 10 個のホスト IP アドレスのグラフが含まれています。

Connections by Port(接続に基づいたポート)

このワークフローには、検出された接続の数に基づいて、モニタリング対象のネットワーク セグメントにおける最もアクティブな 10 個のポートのグラフが含まれています。

Connections by Responder(接続に基づいた応答側)

このワークフローには、ホスト IP が接続トランザクションの応答側であった接続の数に基づいて、モニタリング対象のネットワーク セグメントにおける最もアクティブな 10 個のホスト IP アドレスのグラフが含まれています。

Connections over Time(一定期間の接続)

このワークフローには、モニタリング対象のネットワーク セグメントにおける、一定期間の接続の合計数のグラフが含まれています。

Traffic by Application(トラフィックに基づいたアプリケーション)

このワークフローには、送信されたキロバイト数に基づいて、モニタリング対象のネットワーク セグメントにおける最もアクティブな 10 個のアプリケーションのグラフが含まれています。

Traffic by Initiator(トラフィックに基づいた発信側)

このワークフローには、各アドレスから送信されたキロバイト数の合計に基づいて、モニタリング対象のネットワーク セグメントにおける最もアクティブな 10 個のホスト IP アドレスのグラフが含まれています。

Traffic by Port(トラフィックに基づいたポート)

このワークフローには、送信されたキロバイト数に基づいて、モニタリング対象のネットワーク セグメントにおける最もアクティブな 10 個のポートのグラフが含まれています。

Traffic by Responder(トラフィックに基づいた応答側)

このワークフローには、各アドレスが受信したキロバイト数の合計に基づいて、モニタリング対象のネットワーク セグメントにおける最もアクティブな 10 個のホスト IP アドレスのグラフが含まれています。

Traffic over Time(一定期間のトラフィック)

このワークフローには、モニタリング対象のネットワーク セグメントにおける、一定期間に送信されたキロバイト数の合計のグラフが含まれています。

Unique Initiators by Responder(一意の発信側に基づいた応答側)

このワークフローには、各アドレスに接続した一意の発信側の数に基づいて、モニタリング対象のネットワーク セグメントにおける最もアクティブな応答側の 10 個のホスト IP アドレスのグラフが含まれています。

Unique Responders by Initiator(一意の応答側に基づいた発信側)

このワークフローには、アドレスが接続した一意の応答側の数に基づいて、モニタリング対象のネットワーク セグメントにおける最もアクティブな送信側の 10 個のホスト IP アドレスのグラフが含まれています。

事前定義のセキュリティ インテリジェンス ワークフロー

ライセンス:Protection

サポート対象デバイス:シリーズ 3、Virtual、X-Series、ASA FirePOWER

サポート対象防御センター:DC500 を除くすべて

次の表で、防御センターに含まれている事前定義のセキュリティ インテリジェンス ワークフローについて説明します。すべての事前定義のセキュリティ インテリジェンス ワークフローは、セキュリティ インテリジェンス イベントのテーブル ビューを使用します。セキュリティ インテリジェンス イベント データへのアクセスについては、「接続およびセキュリティ インテリジェンスのデータの表示」を参照してください。

 

表 47-6 事前定義のセキュリティ インテリジェンス ワークフロー

ワークフロー名
説明

Security Intelligence Events(セキュリティ インテリジェンス イベント)

このワークフローは、基本的なセキュリティ インテリジェンスおよび検出されたアプリケーションの情報についての概要ビューを提供します。ユーザはこれを使用して、イベントのテーブル ビューへドリル ダウンすることができます。

Security Intelligence Summary(キュリティ インテリジェンスの概要)

このワークフローは [Security Intelligence Events(セキュリティ インテリジェンス イベント)] ワークフローと同じですが、[Security Intelligence Summary] ページで始まります。このページには、カテゴリおよびカウントのみによってセキュリティ インテリジェンス イベントが表示されます。

事前定義のホスト ワークフロー

ライセンス:FireSIGHT

次の表で、ホスト データで使用できる事前定義のワークフローについて説明します。

 

表 47-7 事前定義のホスト ワークフロー

ワークフロー名
説明

Hosts(ホスト)

このワークフローには、ホストのテーブル ビューが含まれており、その後にホスト ビューが続きます。ホスト テーブルに基づいたワークフロー ビューにより、ホストに関連付けられているすべての IP アドレスに関するデータを簡単に表示することができます。詳細については、「ホストの表示」を参照してください。

Operating System Summary(オペレーティング システムの概要)

このワークフローを使用して、ネットワークで使用されているオペレーティング システムを分析することができます。このワークフローには一連のページがあり、ネットワーク上のオペレーティング システム、およびオペレーティング システムのベンダーのリストを示すページから始まり、オペレーティング システムの各バージョンを実行しているホスト数を示すページが続きます。次のページには、重要度、IP アドレス、および NetBIOS 名別にホストがリストされ、関連するオペレーティング システムおよびオペレーティング システムのベンダーも示されます。このワークフローは、ホストのテーブル ビュー、およびその後に続くホスト ビューで終了します。詳細については、「ホストの表示」を参照してください。

事前定義の侵害の痕跡ワークフロー

ライセンス:FireSIGHT

次の表は、IOC(侵害の痕跡)データで使用できる事前定義のワークフローについて説明します。

 

表 47-8 事前定義の侵害の痕跡ワークフロー

ワークフロー名
説明

Indications of Compromise(侵害の痕跡)

このワークフローは、カウントおよびカテゴリによってグループ化された IOC データの概要ビューで始まり、その後で、イベント タイプによってサマリー データを細分化した詳細ビューが示されます。次に、IOC データの完全なテーブル ビューが示されます。このワークフローは、ホスト ビューで終了します。IOC データの表示と解釈の詳細については、「侵害の痕跡の使用」を参照してください。

Indications of Compromise by Host(ホストごとの侵害の痕跡)

このワークフローを使用して、ネットワーク上のどのホストが最も侵害されそうかを(IOC データに基づいて)判断できます。このワークフローには、IOC データ カウント別のホスト IP アドレスのビューが含まれており、その後に IOC データのテーブル ビューがあり、ホスト ビューで終了します。IOC データの表示と解釈の詳細については、「侵害の痕跡の使用」を参照してください。

事前定義のアプリケーション ワークフロー

ライセンス:FireSIGHT

次の表で、アプリケーション データで使用できる事前定義のワークフローについて説明します。

 

表 47-9 事前定義のアプリケーション ワークフロー

ワークフロー名
説明

Application Business Relevance(アプリケーションのビジネスの関連性)

このワークフローを使用して、ネットワーク上で推定されるそれぞれのビジネスの関連性レベルの実行中アプリケーションを分析できます。これにより、ネットワーク リソースの適切な使用を監視することができます。このワークフローは、それぞれの関連性レベルのアプリケーションを実行しているホストのカウントで始まり、その後に対象のビジネスの関連性レベルおよびホスト カウントを持つ個々のアプリケーションのテーブルが続き、アプリケーションのテーブル ビュー、ホスト ビューと続きます。詳細については、「アプリケーションの表示」を参照してください。

Application Category(アプリケーションのカテゴリ)

このワークフローを使用して、ネットワーク上の各カテゴリ(電子メール、検索エンジン、ソーシャル ネットワークなど)の実行中アプリケーションを分析できます。これにより、ネットワーク リソースの適切な使用を監視することができます。このワークフローは、各カテゴリのアプリケーションを実行しているホストのカウントで始まり、その後に個々のアプリケーションを実行しているホストのカウント、アプリケーションのテーブル ビュー、ホスト ビューと続きます。詳細については、「アプリケーションの表示」を参照してください。

Application Risk(アプリケーションのリスク)

このワークフローを使用して、ネットワーク上で推定されるそれぞれのセキュリティ リスク レベルの実行中アプリケーションを分析できます。これにより、ユーザ アクティビティの潜在的なリスクを推定し、適切なアクションを実行することができます。このワークフローは、それぞれのリスク レベルのアプリケーションを実行しているホストのカウントで始まり、その後に対象のビジネスの関連性レベルおよびホスト カウントを持つ個々のアプリケーションのテーブルが続き、アプリケーションのテーブル ビュー、ホスト ビューと続きます。詳細については、「アプリケーションの表示」を参照してください。

Application Summary
(アプリケーションの概要)

このワークフローを使用して、ネットワーク上のアプリケーションおよび関連するホストの詳細情報を取得できます。これにより、ホスト アプリケーションのアクティビティについて詳しく調べることができます。このワークフローは、アプリケーションを実行する個々のホストの IP アドレスのリストで始まり、アプリケーションのテーブル ビュー、およびホスト ビューと続きます。

Applications(アプリケーション)

このワークフローを使用して、ネットワーク上で実行中のアプリケーションを分析できます。これにより、ネットワークがどのように使用されているか、概要を理解することができます。このワークフローは、個々のアプリケーションを実行しているホストのカウントで始まり、アプリケーションのテーブル ビュー、およびホスト ビューと続きます。詳細については、「アプリケーションの表示」を参照してください。

事前定義のアプリケーション詳細ワークフロー

ライセンス:FireSIGHT

次の表で、アプリケーションの詳細およびクライアント データで使用できる事前定義のワークフローについて説明します。

 

表 47-10 事前定義のアプリケーション詳細ワークフロー

ワークフロー名
説明

Application Details(アプリケーションの詳細)

このワークフローを使用して、ネットワーク上のクライアント アプリケーションを詳しく分析することができます。このワークフローには、ネットワーク上のクライアント アプリケーションとアプリケーション製品のリスト、および各アプリケーションを実行しているホスト数のカウントを示す一連のページが含まれています。対象のアプリケーションの各バージョンを実行しているホストの数を表示できます。次のページでは、特定のホストに対して最も頻繁にアクセスしたアプリケーションを特定することができます。次にワークフローはクライアント アプリケーションのテーブル ビューを提供し、続いてホスト ビューを提供します。詳細については、「アプリケーションの詳細の表示」を参照してください。

Clients(クライアント)

このワークフローには、クライアント アプリケーションのテーブル ビューが含まれており、その後にホスト ビューが続きます。詳細については、「アプリケーションの詳細の表示」を参照してください。

事前定義のサーバ ワークフロー

ライセンス:FireSIGHT

次の表で、サーバ データで使用できる事前定義のワークフローについて説明します。

 

表 47-11 事前定義のサーバ ワークフロー

ワークフロー名
説明

Network Applications by Count(カウントに基づいたネットワーク アプリケーション)

このワークフローを使用して、ネットワークで最も頻繁に使用されるアプリケーションを分析することができます。このワークフローには、アプリケーション、および各アプリケーションが存在するホストのカウントを示す一連のページが含まれています。さらに、各アプリケーションのベンダーとバージョンも示されます。ワークフローは、ホストごとのアプリケーションを示すテーブル ビュー、およびその後に続くホスト ビューで終了します。詳細については、「サーバの表示」を参照してください。

Network Applications by Hit(ヒットに基づいた ネットワーク アプリケーション)

このワークフローを使用して、ネットワークで最もアクティブなアプリケーションを分析することができます。このワークフローには、アプリケーション、および各アプリケーションがアクセスされた頻度のカウントを示す一連のページが含まれています。さらに、各アプリケーションのベンダーとバージョンの情報も示されます。ワークフローは、ホストごとのアプリケーションを示すテーブル ビュー、およびその後に続くホスト ビューが含まれているページで終了します。詳細については、「サーバの表示」を参照してください。

Server Details(サーバの詳細)

このワークフローを使用して、検出されたサーバ アプリケーション プロトコルのベンダーおよびバージョンを詳しく分析することができます。ワークフローには、ベンダーに関連付けられているサーバのリストが含まれています。その後に、ベンダーとバージョンの両方に関連するサーバのリストが続き、サーバのテーブル ビューとホスト ビューで終了します。

Servers(サーバ)

このワークフローには、アプリケーションのテーブル ビューが含まれており、その後にホスト ビューが続きます。詳細については、「サーバの表示」を参照してください。

事前定義のホスト属性ワークフロー

ライセンス:FireSIGHT

次の表で、ホスト属性のデータで使用できる事前定義のワークフローについて説明します。

 

表 47-12 事前定義のホスト属性ワークフロー

ワークフロー名
説明

Attributes(属性)

このワークフローを使用して、ネットワーク上のホストの IP アドレスおよびホストのステータスを監視することができます。このワークフローは、個々の IP アドレス、および現行のユーザ、ホストの重要度、注記、およびホワイトリストのコンプライアンスを示したホスト属性のテーブル ビューで始まります。そして、ホスト ビューで終了します。詳細については、「ホスト属性の表示」を参照してください。

事前定義のディスカバリ イベント ワークフロー

ライセンス:FireSIGHT

次の表で、ディスカバリ イベントのデータで使用できる事前定義のワークフローについて説明します。

 

表 47-13 事前定義のディスカバリ イベント ワークフロー

ワークフロー名
説明

Discovery Events(ディスカバリ イベント)

このワークフローは、ディスカバリ イベントについてテーブル ビューの形式で詳細なリストを提供し、その後にホスト ビューが続きます。詳細については、「ディスカバリ イベント テーブルについて」を参照してください。

事前定義のユーザ ワークフロー

ライセンス:FireSIGHT

次の表で、防御センターに含まれている事前定義のユーザ ワークフローについて説明します。

 

表 47-14 事前定義のユーザ ワークフロー

ワークフロー名
説明

Users(ユーザ)

このワークフローは、ユーザ イベントまたは LDAP サーバの接続から収集したユーザ情報のリストを提供します。ユーザ アイデンティティ ワークフローの詳細については、「ユーザの表示」を参照してください。

事前定義の脆弱性ワークフロー

ライセンス:FireSIGHT

次の表で、防御センターに含まれている事前定義の脆弱性ワークフローについて説明します。

 

表 47-15 事前定義の脆弱性ワークフロー

ワークフロー名
説明

Vulnerabilities(脆弱性)

このワークフローを使用して、データベース内のすべての脆弱性を示す脆弱性のテーブル ビューを確認することができます。その後に、ネットワーク上で検出されたホストに適合するアクティブな脆弱性のみのテーブル ビューが続きます。ワークフローは、脆弱性の詳細ビューで終了します。この詳細ビューには、ユーザの制約に一致するすべての脆弱性について詳しい説明が含まれています。詳細については、「脆弱性の表示」を参照してください。

事前定義のサードパーティの脆弱性ワークフロー

ライセンス:FireSIGHT

次の表で、防御センターに含まれている事前定義のサードパーティの脆弱性ワークフローについて説明します。

 

表 47-16 事前定義のサードパーティの脆弱性ワークフロー

ワークフロー名
説明

Vulnerabilities by IP Address(IP アドレスごとの脆弱性)

このワークフローを使用して、サードパーティの脆弱性が何個検出されたかを、モニタリング対象のネットワーク上のホスト IP アドレスごとにすぐに確認することができます。このワークフローは、サードパーティの脆弱性のテーブル ビュー、およびその後に続くホスト ビューで終了します。詳細については、「サードパーティの脆弱性の表示」を参照してください。

Vulnerabilities by Source(ソースごとの脆弱性)

このワークフローを使用して、サードパーティの脆弱性が何個検出されたかを、サードパーティの脆弱性ソース(QualysGuard Scanner など)ごとにすぐに確認することができます。このワークフローは、中間のドリルダウン ページ上にこれらの脆弱性に関する詳細な情報を提供し、サードパーティの脆弱性のテーブル ビュー、およびその後に続くホスト ビューで終了します。詳細については、「サードパーティの脆弱性の表示」を参照してください。

事前定義の相関およびホワイトリスト ワークフロー

ライセンス:FireSIGHT

相関データ、ホワイトリスト イベント、ホワイトリスト違反、および修正ステータス イベントの各タイプについて、1 つの事前定義ワークフローが用意されています。

 

表 47-17 事前定義の相関ワークフロー

ワークフロー名
説明

Correlation Events(相関イベント)

このワークフローには、相関イベントのテーブル ビューが含まれています。詳細については、「相関イベントの操作」を参照してください。

White List Events(ホワイトリスト イベント)

このワークフローには、ホワイトリスト イベントのテーブル ビューが含まれています。詳細については、「ホワイト リスト イベントの操作」を参照してください。

Host Violation Count(ホストの違反カウント)

このワークフローは、1 つ以上のホワイトリストに違反しているすべてのホスト IP アドレスを示す一連のページを提供します。最初のページはアドレスごとの違反の数に基づいてアドレスをソートし、違反数が最も多い IP アドレスがリストの最上部に示されます。あるホスト IP アドレスが複数のホワイトリストに違反している場合、違反したそれぞれのホワイトリストに対して別の行が示されます。ワークフローには、すべての違反を示すホワイトリスト違反のテーブル ビューも含まれ、最後に検出された違反がリストの最上部に示されます。テーブルの各行には、検出された 1 つの違反が含まれます。詳細については、「ホワイト リスト違反の処理」を参照してください。

White List Violations(ホワイトリスト違反)

ワークフローには、すべての違反を示すホワイトリスト違反のテーブル ビューも含まれ、最後に検出された違反がリストの最上部に示されます。テーブルの各行には、検出された 1 つの違反が含まれます。詳細については、「ホワイト リスト違反の処理」を参照してください。

Status(ステータス)

このワークフローには、修正ステータスのテーブル ビューが含まれています。このテーブル ビューには、違反したポリシーの名前、適用された修正の名前とステータスが含まれています。詳細については、「修復ステータス イベントの使用」を参照してください。

事前定義のシステム ワークフロー

ライセンス:任意

FireSIGHT システムには、ルール更新のインポートやアクティブ スキャンの結果を表示するワークフロー、およびシステム イベント(監査イベントやヘルス イベント)などのいくつかの追加ワークフローが用意されています。

 

表 47-18 その他の事前定義ワークフロー

ワークフロー名
説明

Audit Log(監査ログ)

このワークフローには、監査イベントを示す監査ログのテーブル ビューが含まれています。詳細については、「監査レコードの表示」を参照してください。

Health Events(ヘルス イベント)

このワークフローは、ヘルス モニタリング ポリシーによってトリガーされたイベントを表示します。詳細については、「ヘルス イベント テーブル ビューの操作」を参照してください。

Rule Update Import Log(ルール更新のインポート ログ)

このワークフローには、正常終了および失敗したルール更新のインポート両方の情報を示すテーブル ビューが含まれています。詳細については、「ルールの更新とローカル ルール ファイルのインポート」を参照してください。

Scan Results(スキャン結果)

このワークフローには、完了したそれぞれのスキャンを示すテーブル ビューが含まれています。詳細については、「アクティブ スキャンの結果での作業」を参照してください。

保存済みのカスタム ワークフロー

ライセンス:Protection + FireSIGHT

修正できない事前定義のワークフローだけでなく、防御センターには、保存済みのカスタム ワークフローがいくつか含まれています。これらのワークフローはそれぞれ 1 つのカスタム テーブルに基づいており、修正することができます。これらのワークフローへのアクセスについては、「カスタム テーブルに基づいたワークフローの表示」を参照してください。

 

表 47-19 保存済みのカスタム ワークフロー

ワークフロー名
説明

Events by Impact, Priority, and Host Criticality(影響、優先度、およびホストの重大度に基づいたイベント)

このワークフローを使用して、ネットワークにとって重要で、現在は脆弱な状態にあり、攻撃を受ける可能性があるようなホストをすばやく見つけて表示することができます。

デフォルトでは、このワークフローは、影響レベルでソートされ、次にホストの重要度、さらにイベントの発生数でソートされたイベントの概要で始まります。ワークフローの 2 ページ目を使用して、特定のイベントが発生した送信元および宛先のアドレスに対してドリルダウンし、表示することができます。ワークフローは、[Intrusion Events with Destination Criticality] のテーブル ビュー、およびパケット ビューで終了します。このワークフローは、[Intrusion Events with Destination Criticality] カスタム テーブルに基づいています。詳細については、「カスタム テーブルについて」を参照してください。

Events by Priority and Classification(優先度および分類に基づいたイベント)

このワークフローは、イベントおよびイベントのタイプを、イベントの優先度の順に表示し、各イベントが発生した回数も示します。

このワークフローは、優先度のレベル、分類、および表示されている各イベントのカウントが含まれているドリルダウン ページから始まります。ワークフローの最終ページは、イベントのテーブル ビューとパケット ビューです。このワークフローは、[Intrusion Events] カスタム テーブルに基づいています。詳細については、「カスタム テーブルについて」を参照してください。

Events with Destination, Impact, and Host Criticality(宛先、影響、およびホストの重大度に基づいたイベント)

このワークフローを使用して、ネットワークにとって重要で、現在脆弱な状態にあるホスト上の最近の攻撃を見つけることができます。

デフォルトでは、このワークフローは、影響レベルでソートされた最近のイベントのリストで始まります。ワークフローの次のページは、[Intrusion Events with Destination Criticality] のテーブル ビューを提供し、その後にパケット ビューが続きます。このワークフローは、[Intrusion Events with Destination Criticality] カスタム テーブルに基づいています。詳細については、「カスタム テーブルについて」を参照してください。

Hosts with Servers Default Workflow(サーバに接続しているホストのデフォルト ワークフロー)

このワークフローを使用して、[Hosts with Servers] カスタム テーブルの基本情報をすばやく表示することができます。

デフォルトでは、このワークフローはサーバに接続しているホストのテーブル ビューで始まり、その後にホスト ビューが続きます。このワークフローは、[Hosts with Servers] カスタム テーブルに基づいています。詳細については、「カスタム テーブルについて」を参照してください。

Intrusion Events with Destination Criticality Default Workflow(宛先の重大度に基づく侵入イベントのデフォルト ワークフロー)

このワークフローを使用して、Intrusion Events with Destination Criticality カスタム テーブルの基本情報をすばやく表示することができます。

デフォルトでは、このワークフローは Intrusion Events with Destination Criticality のテーブル ビューで始まり、その後にパケット ビューが続きます。このワークフローは、[Intrusion Events with Destination Criticality] カスタム テーブルに基づいています。詳細については、「カスタム テーブルについて」を参照してください。

Intrusion Events with Source Criticality Default Workflow(送信元の重大度に基づく侵入イベントのデフォルト ワークフロー)

このワークフローを使用して、[Intrusion Events with Source Criticality] カスタム テーブルの基本情報をすばやく表示することができます。

デフォルトでは、このワークフローは [Intrusion Events with Source Criticality] のテーブル ビューで始まり、その後にパケット ビューが続きます。このワークフローは、[Intrusion Events with Source Criticality] カスタム テーブルに基づいています。詳細については、「カスタム テーブルについて」を参照してください。

Server and Host Details(サーバとホストの詳細)

このワークフローを使用して、ネットワーク上で最も頻繁に使用されているサーバ、およびそれらのサーバを実行しているホストを決定できます。

デフォルトでは、このワークフローは、各サービスにアクセスする頻度が示されたサーバの概要で始まります。次のページには、オペレーティング システムのベンダーとバージョンごとにサーバが示されます。このワークフローは、サーバを実行しているホストのテーブル ビュー、およびその後に続くホスト ビューで終了します。このワークフローは、[Hosts with Servers] カスタム テーブルに基づいています。詳細については、「カスタム テーブルについて」を参照してください。

ワークフローの使用

ライセンス:任意

ワークフローのドリル ダウンおよびテーブル ビューのページを使用して、データのビューをすばやく絞り込むことができます。これにより、分析にとって重要なイベントに集中することが可能です。ワークフローのタイプによってデータは異なりますが、すべてのワークフローが共通の機能セットを共有しています。以降の項では、これらの機能について、およびこれらの機能の使用方法について説明します。

「ワークフローの選択」では、ワークフローの選択ページについて、および使用するワークフローを選択する方法について説明します。

「ワークフローのツールバーについて」では、ワークフローで使用できるツールバー オプションについて説明します。

「ワークフローのページの使用」では、すべてのワークフロー ページに表示される機能について、およびそれらの機能の使用方法について説明します。

「イベント時間の制約の設定」では、イベントベースのワークフローに対して時間範囲を設定する方法について説明します。ワークフローには、指定された時間範囲に生成されたイベントが含まれます。

「イベントの制約」では、ワークフローでデータのビューを制約して(絞り込んで)、次のワークフロー ページに進むために使用する機能について説明します。

「複合的な制約の使用」では、複合的な制約の使用方法を説明し、その例を示します。

「ドリルダウン ワークフロー ページのソート」では、ワークフローで表示されるデータをソートする機能について、および表示するテーブル カラムを削除および復元する機能について説明します。

「ワークフロー ページの行の選択」では、表示されるテーブル内で、分析の対象とする、または他のアクションを実行するデータ行を選択する方法について説明します。

「ワークフロー内の他のページへのナビゲート」では、選択されたすべてのイベントを含め、制約を使用して現行のワークフローから他のワークフローをオープンする方法について説明します。

「ワークフロー間のナビゲート」では、[Jump to] ドロップダウン リストについて、およびこのリストを使用して現行の制約を他のワークフローに適用する方法について説明します。

「イベントの検索」では、イベント データの検索に使用する機能について説明します。

「ブックマークの使用」では、ブックマークの作成、管理、および使用方法について説明します。

ワークフローの選択

ライセンス:任意

FireSIGHT システムは、次の表に記載されているデータのタイプに対して、事前定義のワークフローを提供しています。

 

表 47-20 ワークフローを使用する機能

機能
メニュー パス
オプション

侵入イベント

[Analysis] > [Intrusions]

Event

Reviewed Events

Clipboard

Incidents

マルウェア イベント

[Analysis] > [Files]

Malware Events

ファイル イベント

[Analysis] > [Files]

File Events

キャプチャ ファイル

[Analysis] > [Files]

Captured Files

接続イベント

[Analysis] > [Connections]

Event

セキュリティ インテリジェンス イベント

[Analysis] > [Connections]

Security Intelligence Events

ホスト イベント

[Analysis] > [Hosts]

Network Map

Hosts

Indications of Compromise

Applications

Application Details

Servers

Host Attributes

Discovery Events

ユーザ イベント

[Analysis] > [Users]

User Activity

Users

脆弱性イベント

[Analysis] > [Vulnerabilities]

Vulnerabilities

Third-Party Vulnerabilities

相関イベント

[Analysis] > [Correlation]

Correlation Events

White List Events

White List Violations

Status

監査イベント

[System] > [Monitoring]

Audit

ヘルス イベント

[Health] > [Health Events]

n/a

ルール更新のインポート ログ

[System] > [Updates]

n/a

スキャン結果

[Policies] > [Actions] > [Scanners]

n/a

上記の表に記載されているいずれかの種類のデータを表示する場合、そのデータのデフォルトのワークフローの最初のページにイベントが表示されます。

また、ワークフローのアクセスは、以下のとおりに、自身のユーザ ロールによって異なります(「ユーザ ロールの設定」を参照してください)。

Administrator ユーザはすべてのワークフローにアクセスできます。また、Administrator は監査ログ、スキャン結果、およびルール更新のインポート ログにアクセスできる唯一のユーザです。

Maintenance ユーザは、ヘルス イベントにアクセスできます。

Security Analyst および Security Analyst(読み取り専用)ユーザは、侵入、マルウェア、ファイル、接続、ディスカバリ、脆弱性、相関、およびヘルスのワークフローにアクセスできます。

デフォルト以外のワークフローを使用してデータを表示する方法:

アクセス:Admin/Any Security Analyst


ステップ 1 「ワークフローを使用する機能」 の表に記載されているように、適切なメニュー パスとオプションを選択します。

対象のデータ タイプに対するデフォルト ワークフローの最初のページが表示されます。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。

ステップ 2 必要に応じて、別のワークフローを使用します。ワークフローのタイトルの隣にある [(switch workflow)] をクリックして、使用するワークフローを選択します。

ステップ 3 選択したワークフローの最初のページが表示されます。


 

ワークフローのツールバーについて

ライセンス:任意

ワークフローの各ページには、関連する機能へすばやくアクセスするためのツールバーが含まれています。次の表に、ツールバー上の各リンクについて説明します。

 

表 47-21 ワークフローのツールバー リンク

機能
説明

Bookmark This Page

後でそのページに戻れるように、現在のページをブックマークします。ブックマークすると、表示中のページに適用されている制約が取得され、(データがまだ存在していれば)後で同じデータに戻ることができます。ブックマークの作成については、「ブックマークの使用」を参照してください。

Report Designer

現在制約されているワークフローを選択基準として使用して、Report Designer を開きます。レポートの作成については、「イベント ビューからのレポート テンプレートの作成」を参照してください。

Dashboard

現行のワークフローに関連するダッシュボードを開きます。たとえば、[Connection Events(接続イベント)] ワークフローは [Connection Summary] ダッシュボードと関連付けられています。ダッシュボードの使用については、「ダッシュボードの使用」を参照してください。

View Bookmarks

ユーザが選択できる、保存したブックマークのリストを表示します。ブックマークの作成および管理については、「ブックマークの使用」を参照してください。

Search

[Search] ページが表示され、ここでワークフローのデータについて高度な検索を実行することができます。下向きの矢印アイコンをクリックし、保存済みの検索を選択して使用することもできます。ワークフローの検索については、「イベントの検索」を参照してください。

ワークフローのページの使用

ライセンス:任意

ユーザがワークフローのページ上で実行できるアクションは、ページのタイプによって異なります。テーブル ビュー ページおよびドリルダウン ページには、ユーザが表示するイベント セットの制約、またはワークフローへのナビゲートに使用できる多数の機能が含まれています。各タイプのページで使用できる機能の詳細については、以降の項を参照してください。

「共通のテーブル ビューまたはドリルダウン ページ機能の使用」

「地理情報の使用」

「テーブル ビュー ページの使用」

「ドリルダウン ページの使用」

「ホスト ビュー、パケット ビュー、または脆弱性の詳細ページの使用」

共通のテーブル ビューまたはドリルダウン ページ機能の使用

ライセンス:任意

テーブル ビューおよびドリルダウン ワークフローのページでは、テーブル 見出しおよびテーブル行に一連のアイコンおよび他の機能が用意されています。これを使用して、表示されたデータについてアクションを実行できます。

次の表で機能について説明します。

 

表 47-22 テーブル ビューおよびドリルダウン ページの機能

機能
説明

 

青色の下向き矢印のアイコンをクリックして、ワークフローの次ページの該当する行を表示します。

(正常)

(マルウェア)

(カスタム検出)

(不明)

(利用不可)

ファイル名および SHA-256 ハッシュ値のカラムに表示されるネットワーク ファイルのトラジェクトリ アイコンをクリックして、ファイルのトラジェクトリ マップを新しいウィンドウに表示します。詳細については、「ネットワーク ファイル トラジェクトリの分析。」を参照してください。

DC500 防御センターおよび シリーズ 2 のデバイスはいずれもネットワークベースのマルウェア検出をサポートしていないため、これらのアプライアンスでは、ネットワークベースのマルウェアおよびファイル イベントに対するネットワーク ファイルのトラジェクトリは表示できないことに注意してください。

 

(侵害の可能性がある)

(ブラックリスト登録済み)

(ブラックリスト登録済み、監視対象に設定)

[IP address] カラムに表示されるホスト プロファイル アイコンをクリックして、IP アドレスに関連付けられているホスト プロファイルをポップアップ ウィンドウに表示します。詳細については、「ホスト プロファイルの使用」を参照してください。

侵害の痕跡(IOC)ルールによってトリガーされた侵害の可能性が存在するとタグ付けされたホストには、通常のアイコンではなく、侵害されたホストのアイコンが表示されます。IOC の詳細については、「侵害の兆候について」を参照してください。

ホスト プロファイルのアイコンがグレー表示になっている場合は、ネットワーク マップ内にそのホストが存在することができないため、ホスト プロファイルを表示できません( 0.0.0.0 など)。

セキュリティ インテリジェンス データに基づいてトラフィックのフィルタリングを実行する場合は、接続イベントで、ブラックリストに記載されている監視対象の IP アドレスの隣にあるホスト アイコンが少し異なります。これは、接続においてどのホストがブラックリストに記載されているかを識別するのに役に立ちます。DC500 防御センターおよび シリーズ 2 のデバイスはセキュリティ インテリジェンスのデータをサポートしていないことに注意してください。

(低脅威スコア)

(中脅威スコア)

(高脅威スコア)

(非常に高い脅威スコア)

脅威スコアのカラムに表示される脅威スコアのアイコンをクリックし、Dynamic Analysis Summary レポートで、ファイルに関連付けられている最高の脅威スコアを表示します。

DC500 防御センターと シリーズ 2 のデバイスはネットワークベースのマルウェア対策をサポートしていないため、これらのアプライアンスでは Dynamic Analysis Summary レポートを表示することはできません。

 

ユーザ アイデンティティのカラムに表示されるユーザ アイコンをクリックして、ユーザのプロファイル情報を表示します。詳細については、「ユーザの詳細とホストの履歴について」を参照してください。

ユーザ アイコンがグレー表示になっている場合は、そのユーザがデータベース内に存在することができないため、ユーザ プロファイルは表示できません(FireAMP コネクタ ユーザなどの場合)。

 

サードパーティの脆弱性 ID のカラムに表示される脆弱性アイコンをクリックし、サードパーティの脆弱性について詳細を表示します。詳細については、「脆弱性の詳細の表示」を参照してください。

チェック ボックス

ページ上で複数の行のチェック ボックスを選択して、処理を反映させる行を表示し、ページの下部にあるいずれかのボタン([View] ボタンなど)をクリックします。行の先頭にあるチェック ボックスを選択して、ページ上のすべての行を選択することもできます。

国旗およびコード

接続イベント、侵入イベント、ファイル イベント、マルウェア イベントなどのワークフローのページの中には、ルート可能な IP アドレスに、関連する国の情報が含まれているものがあります。このような 地理情報 が使用可能な場合は、その国の国旗および ISO コードが該当するカラム([Source Country] など)に表示されます。国名を表示するには、ポインタを国旗の上に移動します。(集約されたデータではなく)個別のデータ ポイントを表示する場合は、国旗のアイコンをクリックして、詳細な地理情報を表示することができます。詳細については、「地理情報の使用」を参照してください。

DC500 防御センターは地理情報データをサポートしていないことに注意してください。

検索の制約

データ ビューを制約する値が存在する場合に、その値を表示します。展開の矢印( )をクリックすると、アクティブな制約および無効なカラムのリストが表示され、縮小の矢印( )をクリックすると、ビューからリストが非表示になります。デフォルトでは、このリストは縮小されています。これは制約のリストが長く、画面には収まらない場合に便利です。

1 つの制約を解除するには、その制約をクリックします。複合的な制約を解除するには、[Compound Constraints] をクリックします。

現行の 1 つの制約により値が事前に挿入された検索ページを開くには、[Edit Search] または [Save Search] をクリックします。詳細については、「イベントの制約」を参照してください。

(注) 複合的な制約では、複数の不可算値を持つ行に基づいて制約が作成されます。複合的な制約について、検索および検索の保存を実行することはできません。

時間範囲

ページの右上隅に表示される日付範囲は、ワークフローに含めるイベントの時間範囲を設定します。詳細については、「イベント時間の制約の設定」を参照してください。

イベント ビューを時間によって制約している場合は、(グローバルかイベントに特有かに関係なく)アプライアンスに設定されている時間枠の範囲外に生成されたイベントがイベント ビューに表示されることがあることに注意してください。アプライアンスに対してスライドする時間枠を設定した場合でも、この状況が発生することがあります。

ワークフロー ページのリンク

ワークフロー ページのリンクは、事前定義されたワークフロー テーブル ビュー、およびドリルダウン ページの左上隅の、イベントの上で、ワークフロー名の下に示されます。ワークフロー ページのリンクをクリックして、アクティブな制約を使用しているページを表示します。

ワークフロー名

ページの上部にワークフロー名が表示されます。該当する場合は、ワークフロー名の隣に([switch workflows])リンクがあります。これを使用して、同じタイプの他のワークフローを選択することができます。

地理情報の使用

ライセンス:FireSIGHT

サポート対象デバイス:機能に応じて異なる

サポート対象防御センター:任意(DC500 を除く)

ネットワークの監視中、 地理情報 機能によって、ルート可能な IP アドレスの地理的な送信元について、追加のデータ(国や大陸など)が提供されます。たとえば、このデータを使用して、自身の組織と未接続の国が接続の発信元または宛先であるかどうかを判断することができます。

地理情報は、侵入イベント、接続イベント、ファイル イベント、マルウェア イベント、ホスト プロファイル、およびユーザ プロファイルで使用することができます。地理情報は、Context Explorer およびダッシュボードでも使用できます。

この目的でカスタムな地理情報オブジェクトを作成するだけでなく、アクセス コントロール ルールの条件として地理情報データ(送信元および宛先の国/大陸)を使用することもできます。詳細については、「位置情報オブジェクトの操作」および 「位置情報条件の追加」を参照してください。

地理情報データベース(GeoDB)の更新をインストールすると [Geolocation Details] ページが表示され、IP アドレスに関して使用可能な詳細情報(郵便番号、緯度/経度の座標、タイム ゾーン、自律システム番号(ASN)、インターネット サービス プロバイダ(ISP)、使用タイプ(個人または会社)、組織、ドメイン名、接続タイプ、プロキシ情報など)が示されます。また、サードパーティの 4 つのマップ ツールのいずれかを使用して、検出された場所を特定することもできます。GeoDB が更新されていない場合は、国旗アイコンおよび国名のみが表示され、[Geolocation Details] ページを参照することはできません。GeoDB のインストールと更新については、「地理情報データベースについて」を参照してください。[Help] > [About] をクリックして GeoDB 更新の最新バージョンを表示することができます。

使用可能なデータに応じて、[Geolocation Details] ページに多数のフィールドが表示されることがあります。情報が含まれないフィールドは表示されません。次の表で、これらのフィールドの情報について示します。

 

表 47-23 地理情報の詳細フィールド

フィールド
目次

Country

ホスト IP アドレスに関連付けられている国が国旗とともに示されます。大陸はカッコ内に表示されます。例: United States (North America) Equatorial Guinea (Africa)

Region

ホストが存在する国の州、県、またはその他の小区域。例: VA 35

City

ホストが存在する市。例: Seattle Fukuoka

Postal Code

ホストが存在する地域の郵便番号。例: 361000 90210

Latitude/Longitude

ホストの場所の正確な座標。例: 40.0375, -76.1053 53.4050, -0.5484

Maps

外部のマッピング サイト(Google Maps、Yahoo Maps、Bing Maps、OpenStreetMap など)へのリンク。ホストのおよその位置のコンテキスト マップを表示するには、リンクをクリックします。

Timezone

ホストの場所のタイム ゾーン(該当する場合には夏時間が示されます)。例: GMT+8:00 GMT-4:00 (In DST)

ASN

ホスト IP アドレスに関連付けられている自律システム番号(ASN)、およびその ASN に関する追加情報。例: 14618 (Amazon.com Inc.) 4837 (Cncgroup China169 Backbone)

ISP

ホストの IP アドレスに関連付けられているインターネット サービス プロバイダ(ISP)。例: Atlantic Broadband China Unicom Ip Network

Home/Business

ホストの接続が 個人 または 会社 のどちらの目的であるかを示します。

Organization

ホストの IP アドレスに関連付けられている組織。例: Amazon.com Bank of America

Domain Name

ホストの IP アドレスに関連付けられているドメイン名。例: amazonaws.com xmcnc.net

Connection Type

ホストの IP アドレスに関連付けられている接続タイプ。例: Broadband DSL

Proxy Type

使用するプロキシのタイプ。例: Anonymous Corporate

地理情報の詳細を表示する方法:

アクセス:Any


ステップ 1 イベント ビュー、ホスト プロファイル、またはその他の地理情報をサポートしているページで、個々のデータ ポイントのそばに表示される小さい国旗のアイコンまたは ISO 国コードをクリックします (国旗のアイコンが存在しても、[Connection Summary] ダッシュボードなどで、集約的な地理情報から詳細を表示することはできません)。


ヒント イベント ビューで国旗のアイコンの上にポインタを移動すると、ツールチップとして国名が示されます。

[Geolocation Details] ページが新しいウィンドウに表示されます。


 

テーブル ビュー ページの使用

ライセンス:任意

デフォルトでカラムが有効になっている場合、テーブル ビューには、データベースの各フィールドに対するカラムが含まれています。テーブル ビューでカラムを無効にし、そのカラムを無効にすることによって同じ行が複数生成される場合には、FireSIGHT システムはイベント ビューに [Count] カラムを追加します。テーブル ビュー ページで 1 つの値をクリックすると、その値によって制約することができます。カスタム ワークフローを作成する場合は、[Add Table View] をクリックしてテーブル ビューを追加します。

テーブル ビュー ページには、ドリルダウン、ホスト ビュー、パケット ビュー、または脆弱性の詳細ページでは利用できない追加機能が用意されています。次の表で、これらの機能の詳細な情報について説明します。

 

表 47-24 テーブル ビュー ページの追加機能

機能
説明

 

非表示にするカラムの見出しで、このアイコンをクリックします。表示されるポップアップ ウィンドウで、[Apply] をクリックします。

ヒント 他のカラムを表示または非表示にするには、[Apply] をクリックする前に、該当するチェック ボックスをオンまたはオフにします。

[Disabled Columns] リスト

ページからカラムを削除した場合、またはデフォルトでカラムを無効になっている場合、[Disabled Columns] リストにカラム名が表示されます。このリストは、テーブルの上にありますが、デフォルトでは非表示になっています。

無効になったカラムをイベント ビューに戻すには、[Search Constraints] の展開アイコン( )をクリックして検索の制約を展開し、[Disabled Columns] の下にあるカラム名をクリックします。

詳細については、「ドリルダウン ワークフロー ページのソート」を参照してください。

ドリルダウン ページの使用

ライセンス:任意

ドリルダウン ページには、データベースで使用できるカラムのサブセットが含まれています。事前定義のワークフローに対するドリルダウン ページには、必ず [Count] カラムがあることに注意してください。ドリルダウン ページでは、表示するイベントの範囲を絞り込んで、ワークフローの先へ進むことができます。ドリルダウン ページで 1 つの値をクリックすると(たとえば、その値によって制約を行い、ワークフローの次のページへ進むと)、選択した値に一致するイベントに絞り込むことができます。ドリルダウン ページで値をクリックした場合は、次のページがテーブル ビューであっても、値が存在するカラムは無効になりません。カスタム ワークフローを作成する場合は、[Add Page] をクリックして、ドリルダウン ページを追加します。

ドリルダウン ページの機能を使用して、ワークフローを移動するときにイベント セットを制約する方法の詳細については、「共通のテーブル ビューまたはドリルダウン ページ機能の使用」を参照してください。

ホスト ビュー、パケット ビュー、または脆弱性の詳細ページの使用

ライセンス:任意

検出イベント、ホスト、ホスト属性、侵害の痕跡、サーバ、クライアント アプリケーション、または接続データのワークフローの最終ページはホスト ビューです。脆弱性のワークフローの最終ページは、脆弱性の詳細ページです。侵入イベントのワークフローは必ず、パケット ビューで終了します。ワークフローの最終ページで詳細セクションを展開して、ワークフローの進行中に絞り込んだセットの各オブジェクトについて、具体的な情報を表示することができます。Web インターフェイスは、ワークフローの最終ページに制約を表示しませんが、以前に設定した制約は保持されており、データのセットに適用されます。

イベント時間の制約の設定

ライセンス:任意

各イベントには、そのイベントがいつ発生したかを示すタイム スタンプがあります。時間枠(時間範囲とも呼ばれる)を設定することによって、いくつかのワークフローに表示される情報を制約することができます。

時間によって制約できるイベントに基づいたワークフローには、ページの上部に次の図に示すような時間範囲を表す行が含まれています。

 

デフォルトでは、シスコ アプライアンス上のワークフローは、1 時間前が開始時間として設定された時間枠を使用します。たとえば、午前 11:30 にログインした場合、午前 10:30~11:30 の間に発生したイベントが表示されます。時間が経過するにしたがって、時間枠が拡張されます。午後 12:30 には、午前 10:30~午後 12:30 の間に発生したイベントが表示されます。

デフォルトで独自の時間枠を設定することによって、この動作を変更することができます。これにより、次の 3 つのプロパティが影響を受けます。

時間枠のタイプ(静的、拡張、またはスライディング)

時間枠の長さ

時間枠の数(複数の時間枠、または単一のグローバル時間枠)

デフォルトの時間枠の一般的な情報については、「デフォルトの時間枠」を参照してください。

ページの上部にある時間範囲をクリックして [Date/Time] ポップアップ ウィンドウを表示し、デフォルトの時間枠の設定に関係なく、イベントの分析中に時間枠を手動で変更することができます。設定した時間枠の数、および使用しているアプライアンスのタイプに応じて [Date/Time] ウィンドウを使用して、表示しているイベントのタイプに対するデフォルトの時間枠を変更することもできます。

時間枠を一時的に停止することもできます。このようにすると、時間枠を変更したり、対象外のイベントを削除または追加したりしなくても、ワークフローが提供するデータを調べることができます。ページの下部にあるリンクをクリックしてイベントの他のページを表示する場合は、異なるワークフロー ページで同じイベントを表示しないように、時間枠が自動的に一時停止することに注意してください。準備ができたら時間枠の一時停止を解除できます。

詳細については、次の項を参照してください。

「時間枠の変更」

「イベント タイプのデフォルトの時間枠の変更」

「時間枠の一時停止」

時間枠の変更

ライセンス:任意

デフォルトの時間枠に関係なく、イベントの分析中に時間枠を手動で変更することができます。


手動による時間枠の設定は、現行のセッションに対してのみ有効です。いったんログアウトしてからもう一度ログインすると、時間枠はデフォルトにリセットされます。


ユーザが設定した時間枠の数によっては、1 つのワークフローの時間枠の変更が、アプライアンス上の他のワークフローに影響を与えることがあります。たとえば、単一のグローバルな時間枠がある場合、1 つのワークフローの時間枠を変更すると、アプライアンス上の他のすべてのワークフローの時間枠が変更されます。一方、複数の時間枠を使用している場合は、監査ログまたはヘルス イベント ワークフローの時間枠を変更しても、他の時間枠には影響がありませんが、他の種類のイベントで時間枠を変更すると、時間によって制約されるすべてのイベント(監査イベントとヘルス イベントは除く)が影響を受けます。

すべてのワークフローを時間によって制約できるわけではないため、時間枠の設定は、ホスト、ホスト属性、アプリケーション、アプリケーションの詳細、脆弱性、ユーザ、またはホワイトリスト違反に基づいたワークフローには影響を与えないことに注意してください。

[Date/Time] ウィンドウの [Time Window] タブを使用して、時間枠を手動で設定します。デフォルトの時間枠設定で設定した時間枠の数によって、タブのタイトルは以下のいずれかになります。

[Events Time Window]:複数の時間枠を設定し、監査ログまたはヘルス イベント ワークフロー以外のワークフローに対して時間枠を設定している場合

[Health Monitoring Time Window]:複数の時間枠を設定し、ヘルス イベント ワークフローに対して時間枠を設定している場合

[Audit Log Time Window]:複数の時間枠を設定し、監査ログに対して時間枠を設定している場合

[Global Time Window]:単一の時間枠を設定している場合

時間枠を設定する場合には、最初に、使用する時間枠のタイプを決定する必要があります。

静的な 時間枠は、特定の開始時間から特定の終了時間の間に生成されたすべてのイベントを表示します。

拡張 時間枠は、特定の開始時間から現在までの間に生成されたすべてのイベントを表示します。時間の経過とともに時間枠が拡張され、イベント ビューに新しいイベントが追加されます。

スライディング 時間枠は、特定の開始時間(1 週間前など)から現在までの間に生成されたすべてのイベントを表示します。時間の経過とともに時間枠が「スライド」し、自身が設定した範囲(この例では、過去 1 週間)のイベントのみが表示されます。

選択するタイプによっては、[Date/Time] ウィンドウが変化し、さまざまな設定オプションを提供します。次の図は、拡張の時間枠を使用するよう指定した [Date/Time] ウィンドウを示しています。拡張の時間枠では、[End Time] カレンダーがグレー表示され、終了時間は「Now」と示されます。

 

静的な時間枠を使用する場合は、終了時間を設定できます。

 

スライディング時間枠を使用するよう選択すると、オプションがさらに変わります。

 


FireSIGHT システムは、タイム ゾーンのプリファレンスに指定された時間に基づいて、24 時間の時計を使用します。タイム ゾーンの設定の詳細については、「デフォルトのタイム ゾーンの設定」を参照してください。


次の表で、[Time Window] タブで設定できるさまざまな設定について説明します。

 

表 47-25 時間枠の設定

設定
時間枠のタイプ
説明

時間枠タイプのドロップダウン リスト

n/a

使用する時間枠のタイプを、静的、拡張、またはスライディングのいずれかから選択します。

イベント ビューを時間によって制約している場合は、(グローバルかイベントに特有かに関係なく)アプライアンスに設定されている時間枠の範囲外に生成されたイベントがイベント ビューに表示されることがあることに注意してください。アプライアンスに対してスライドする時間枠を設定した場合でも、この状況が発生することがあります。

[Start Time] カレンダー

静的および拡張

時間枠の開始日と時間を指定します。すべての時間枠の最大時間範囲は、1970 年 1 月 1 日午前 0 時(UTC)~ 2038 年 1 月 19 日午前 3 時 14 分 7 秒です。

ヒント カレンダーを使用する代わりに、下記で説明するプリセット オプションを使用できます。

[End Time] カレンダー

静的

時間枠の終了日付と時間を指定します。すべての時間枠の最大時間範囲は、1970 年 1 月 1 日午前 0 時(UTC)~ 2038 年 1 月 19 日午前 3 時 14 分 7 秒です。

拡張時間枠を使用している場合は、[End Time] カレンダーがグレー表示になり、終了時間が「Now」と示されることに注意してください。

ヒント カレンダーを使用する代わりに、下記で説明するプリセット オプションを使用できます。

[Show the Last] フィールドおよびドロップダウン リスト

スライディング

スライディング時間枠の長さを設定します。

プリセット:[Last]

すべて

リスト内のいずれかの時間範囲をクリックし、アプライアンスのローカル時刻に基づいて時間枠を変更します。たとえば、[1 week] をクリックすると、最後の 1 週間を反映するように時間枠が変わります。プリセットをクリックすると、選択したプリセットを反映するようにカレンダーが変わります。

プリセット:[Current]

静的および拡張

リスト内のいずれかの時間範囲をクリックし、アプライアンスのローカル時間と日付に基づいて時間枠を変更します。プリセットをクリックすると、選択したプリセットを反映するようにカレンダーが変わります。

次の点に注意してください。

現在日付は午前 0 時から始まる

現在の週は日曜日の午前 0 時から始まる

現在の月は、月の最初の日の午前 0 時から始まる

プリセット:[Synchronize with]

すべて(グローバルな時間枠を使用している場合は使用不可)

以下のいずれかをクリックします

[Events Time Window]:現在の時間枠とイベントの時間枠を同期する場合

[Health Monitoring Time Window]:現在の時間枠とヘルス モニタリングの時間枠を同期する場合

[Audit Log Time Window]:現在の時間枠と監査ログの時間枠を同期する場合

イベントの分析中に時間枠を変更する方法:

アクセス:Admin/Maint/Any Security Analyst


ステップ 1 時間に制約されるワークフローで、時間範囲のアイコン( )をクリックします。

[Date/Time] ウィンドウが表示されます。

ステップ 2 [Time Window] タブで、 「時間枠の設定」 の表に記載されているように時間枠を設定します。


ヒント 時間枠をデフォルトの設定に戻すには、[Reset] をクリックします。

ステップ 3 [Apply] をクリックします。

ウィンドウが閉じて、イベント ビュー ページに新しい時間枠のイベントが表示されます。


 

イベント タイプのデフォルトの時間枠の変更

ライセンス:任意

イベントの分析中に、[Date/Time] ウィンドウの [Preferences] タブを使用し、表示しているイベントのタイプに対するデフォルトの時間枠を(イベント ビューの設定を使用せずに)変更することができます(「デフォルトの時間枠」を参照してください)。

この方法でデフォルトの時間枠を変更すると、表示しているイベントのタイプのデフォルト時間枠のみが変わります。たとえば、複数の時間枠を設定しており、[Preferences] タブでデフォルトの時間枠を変更すると、イベント、ヘルス モニタリング、または監査ログ ウィンドウのいずれかの設定が変更されます。つまり、最初のタブで示されている時間枠が変更されます。1 つの時間枠を設定している場合に、[Preferences] タブでデフォルトの時間枠を変更すると、イベントのすべてのタイプのデフォルト時間枠が変わります。

次の図は、複数の時間枠が設定されているアプライアンスにおける、[Preferences] タブの防御センター バージョンを示しています。

 

次の表で、[Preferences] タブで設定できるさまざまな設定について説明します。

 

表 47-26 時間枠のプリファレンス

優先順位
説明

Refresh Interval

イベント ビューのリフレッシュ間隔を分単位で設定します。ゼロを入力すると、リフレッシュ オプションは無効になります。

Number of Time Windows

使用する時間枠の数を指定します。

監査ログ、ヘルス イベント、および時間によって制約可能なイベントに基づいたワークフローに対してそれぞれ別のデフォルト時間枠を設定する場合は、[Multiple] を選択します。

すべてのイベントに適用されるグローバルな時間枠を使用する場合は、[Single] を選択します。

Default Time Window: Show the Last - Sliding

この設定を選択すると、指定する長さのスライディングのデフォルト時間枠を設定できます。

アプライアンスは、特定の開始時刻(たとえば 1 時間前)から現在までに生成されたすべてのイベントを表示します。イベント ビューの変更と共に、時間枠は「スライド」して、常に最後の 1 時間内のイベントが表示されます。

Default Time Window: Show the Last - Static/Expanding

この設定を選択すると、指定する長さの、静的または拡張のデフォルト時間枠を設定できます。

静的な 時間枠の場合([Use End Time] チェック ボックスをオンにした場合)、アプライアンスは特定の開始時間(1 時間前などの)から、最初にユーザがイベントを参照した時間までに生成されたすべてのイベントを表示します。イベント ビューを変更しても時間枠は固定されており、静的な時間枠の間に発生したイベントのみが表示されます。

拡張 時間枠の場合([Use End Time] チェック ボックスをオフにしたの場合)、アプライアンスは特定の開始時間(1 時間前などの)から現在までに生成されたすべてのイベントを表示します。イベント ビューを変更すると、時間枠は現在まで拡張されます。

Default Time Window: Current Day - Static/Expanding

この設定を選択すると、現在の日付に対して静的または拡張のデフォルト時間枠を設定できます。現在の日付は、現行セッションのタイム ゾーン設定に基づいて午前 0 時に始まります。

静的な 時間枠の場合([Use End Time] チェック ボックスをオンにした場合)、アプライアンスは午前 0 時から、最初にユーザがイベントを参照した時間までに生成されたすべてのイベントを表示します。イベント ビューを変更しても時間枠は固定されており、静的な時間枠の間に発生したイベントのみが表示されます。

拡張 時間枠の場合([Use End Time] チェック ボックスをオフにした場合)、アプライアンスは午前 0 時から現在までに生成されたすべてのイベントを表示します。イベント ビューを変更すると、時間枠は現在まで拡張されます。ログアウトする前に 24 時間を超えて分析を続けた場合、この時間枠は 24 時間よりも長くなる可能性があることに注意してください。

Default Time Window: Current Week - Static/Expanding

この設定を選択すると、現在の週に対して静的または拡張のデフォルト時間枠を設定できます。現在の週は、現行セッションのタイム ゾーン設定に基づいて直前の日曜日の午前 0 時に始まります。

静的な 時間枠の場合([Use End Time] チェック ボックスをオンにした場合)、アプライアンスは午前 0 時から、最初にユーザがイベントを参照した時間までに生成されたすべてのイベントを表示します。イベント ビューを変更しても時間枠は固定されており、静的な時間枠の間に発生したイベントのみが表示されます。

拡張 時間枠の場合([Use End Time] チェック ボックスをオフにした場合)、アプライアンスは日曜日の午前 0 時から現在までに生成されたすべてのイベントを表示します。イベント ビューを変更すると、時間枠は現在まで拡張されます。ログアウトする前に 1 週間を超えて分析を続けた場合、この時間枠は 1 週間よりも長くなる可能性があることに注意してください。

イベントの分析中に時間枠のプリファレンスを変更する方法:

アクセス:Admin/Maint/Any Security Analyst


ステップ 1 時間に制約されるワークフローで、時間範囲のアイコン( )をクリックします。

[Date/Time] ウィンドウが表示されます。

ステップ 2 [Preferences] タブを選択し、 「時間枠のプリファレンス」 の表に記載されているようにプリファレンスを変更します。

ステップ 3 [Save Preferences] をクリックします。

プリファレンスが保存されます。

ステップ 4 次の 2 つのオプションから選択できます。

使用しているイベント ビューに新しいデフォルト時間枠の設定を適用するには、[Apply] をクリックして [Date/Time] ウィンドウを閉じてイベント ビューをリフレッシュします。

デフォルトの時間枠設定を適用せずに分析を続けるには、[Apply] をクリックせずに [Date/Time] ウィンドウを閉じます。


 

時間枠の一時停止

ライセンス:任意

時間枠を一時停止することができます。これにより、ワークフローで提供されたデータのスナップショットを調べることができます。一時停止されないワークフローが更新されると、調査するイベントが削除されたり、調査対象外のイベントが追加されたりすることがあるため、この機能は有用です。

静的な時間枠は一時停止できないので注意してください。また、イベント時間枠の一時停止はダッシュボードには影響を与えず、ダッシュボードの一時停止も時間枠の一時停止に影響しません。

分析が完了したら、時間枠の一時停止を解除できます。時間枠の一時停止を解除すると、プリファレンスに従って時間枠が更新されます。また、一時停止を解除した時間枠を反映するようにイベント ビューが更新されます。

1 つのワークフロー ページで表示できるイベントよりも多くのイベントがデータベースに含まれている場合は、ページの下部にあるリンクをクリックして、他のイベントを表示できます(「ワークフロー内の他のページへのナビゲート」を参照してください)。この際、同じイベントが 2 回表示されないように時間枠が自動的に一時停止します。準備ができたら、時間枠の一時停止を解除できます。

時間枠を一時停止する方法:

アクセス:Admin/Maint/Any Security Analyst


ステップ 1 時間枠のコントロールで、一時停止のアイコン( )をクリックします。

一時停止を解除するまで、時間枠は一時停止します。


 

時間枠の一時停止を解除する方法:

アクセス:Admin/Maint/Any Security Analyst


ステップ 1 時間範囲のコントロールで、再生のアイコン( )をクリックします。

時間枠の一時停止が解除され、プリファレンスに従って更新されます。現行の時間枠を反映するようにイベント ビューが更新されます。


 

イベントの制

ライセンス:任意

ワークフロー ページに表示される情報は、ユーザが設定した制約によって異なります。たとえばイベント ワークフローを最初に開いた場合、情報は、最後の 1 時間に生成されたイベントに制約されています。

ワークフローの次のページに進んで、表示されるデータを特定の値で制約する場合は、ページでこれらの値を持つ行を選択し、[View] をクリックします。現在の制約を保持し、すべてのイベントを含めた状態でワークフローの次のページに進むには、[View All] を選択します。


複数の不可算値を持つ行を選択し、[View] を選択すると、複合的な制約が作成されます。複合的な制約の詳細については、「複合的な制約の使用」を参照してください。


ワークフローのデータを制約するための 3 番目の方法があります 自身が選択した値を持つ行のみが表示されるようページを制約し、ページの上部に示される制約リストに選択した値を追加するには、ページの行で値をクリックします。

たとえば、次のイベントでページ上の [Initiator IP] カラムの [10.10.60.119] をクリックすると、

 

制約されたページには、この IP アドレスを持つイベントのみが示されます。

 


ヒント 監視ルールの条件に基づいて接続イベントを制約するための手順は少し異なり、いくつかの追加手順が必要になる場合があります。また、関連付けられているファイルや侵入情報によって接続イベントを制約することはできません。詳細については、「接続およびセキュリティ インテリジェンスのデータ テーブルの使用」を参照してください。

検索を使用して、ワークフローの情報を制約することもできます。検索ページで入力した検索条件はページの上部に制約として表示され、これに従って制約されたイベントが合わせて表示されます。防御センターでは、複合的な制約でない限り、他のワークフローにナビゲートしたときにも現在の制約が適用されます(「ワークフロー間のナビゲート」を参照してください)。

検索する場合は、検索対象のテーブルに検索の制約を適用するかどうかに注意する必要があります。たとえば、クライアント データは接続サマリーでは使用できません。接続で検出されたクライアントに基づいて接続イベントを検索し、結果を接続サマリー イベント ビューで表示すると、防御センターでは、制約が設定されていない場合と同じように接続データが表示されます。無効な制約は、非適用(N/A)とラベルが付けられ、取り消し線が付けられます。

次の表では、制約を適用する場合に実行できるそれぞれのアクションについて説明します。

 

表 47-27 検索の制約機能

目的
クリックする対象

ビューを、1 つの値に一致するイベントに制約する

テーブルの値。

たとえば、記録された接続のリストを表示する場合に、アクセス制御を使用して、自身が許可したものだけがリストに示されるよう制約する場合は、[Action] カラムで [Allow] をクリックします。他の例では、侵入イベントを表示する場合に、宛先ポートが 80 のイベントのみがリストに示されるよう制約する場合は、[DST Port/ICMP Code] カラムで [80 (http)/tcp] をクリックします。

ビューを、複数の値に一致するイベントに制約する

これらの値を持つイベントのチェック ボックスをオンにし、[View] をクリックします。

行に複数の不可算値が含まれている場合は、複合的な制約が追加されることに注意してください。複合的な制約の詳細については、「複合的な制約の使用」を参照してください。

制約を削除する

[Search Constraints] ボックスで制約の名前をクリックします。

検索ページを使用して制約を編集する

[Search Constraints] ボックスで [Edit Search] をクリックします。

1 つのカラム内の複数の値について制約する場合は、この機能を使用します。たとえば、2 つの IP アドレスに関連しているイベントを表示する場合は、[Edit Search] をクリックし、[Search] ページで対象の [IP address] フィールドを変更して両方のアドレスが含まれるようにして、[Search] をクリックします。

保存済みの検索として制約を保存する

[Search Constraints] ボックスで [Save Search] をクリックし、クエリに名前を指定します。

複合的な制約が含まれているクエリは保存できないことに注意してください。複合的な制約の詳細については、「複合的な制約の使用」を参照してください。

別のイベント ビューで同じ制約を使用する

[Jump to] をクリックしてイベント ビューを選択します。詳細については、「ワークフロー間のナビゲート」を参照してください。

別のワークフローに切り替えると、複合的な制約は保持されないことに注意してください。複合的な制約の詳細については、「複合的な制約の使用」を参照してください。

制約の表示を切り替える

展開の矢印( )をクリックします。制約のリストが長く、画面の大半を占有する場合に、この機能は役立ちます。

複合的な制約の使用

ライセンス:任意

複合的な制約は、特定のイベントに対するすべての不可算値に基づいています。複数の不可算値を持つ行を選択する場合は、ページ上の対象行におけるすべての不可算値と一致するイベントのみを取得する複合的な制約を設定します。たとえば、送信元 IP アドレスが 10.10.31.17 で、宛先 IP アドレスが 10.10.31.15 である行と、送信元 IP アドレスが 172.10.10.17 で宛先 IP アドレスが 172.10.10.15 である行を選択すると、次のすべての結果が取得されます。

送信元 IP アドレスが 10.10.31.17 で、かつ宛先 IP アドレスが 10.10.31.15 のイベント

または

送信元 IP アドレスが 172.10.31.17 で、かつ宛先 IP アドレスが 172.10.31.15 のイベント

複合的な制約と単純な制約を組み合わせると、複合的な制約の各セットに単純な制約が追加されます。たとえば、上記に記載されている複合的な制約に対して、プロトコル値 tcp の単純な制約を追加すると、次のすべての結果が取得されます。

送信元 IP アドレスが 10.10.31.17 で、かつ宛先 IP アドレスが 10.10.31.15 で、かつプロトコルが tcp であるイベント

または

送信元 IP アドレスが 172.10.31.17 で、かつ宛先 IP アドレスが 172.10.31.15 で、かつプロトコルが tcp であるイベント

複合的な制約について、検索および検索の保存を実行することはできません。また、別のワークフローに切り替えるのに、イベント ビューのリンクを使用した場合、または [(switch workflow)] をクリックした場合は、複合的な制約は保持できません。複合的な制約が適用されているイベント ビューをブックマークしても、制約はブックマークに保存されません。

複合的な制約をすべて消去するには、[Compound Constraints] をクリックします。

テーブル ビュー ページのソートおよびレイアウトの変更

ライセンス:任意

ワークフローのデータを表示する場合に、使用可能なカラムに基づいてデータをソートすることも、表示するカラムを削除して復元することもできます。カラムによってデータを昇順または降順でソートできます。


ヒント カスタム ワークフローを作成すると、ページ上のカラムの配置を完全にカスタマイズしたり、ページのソート順を事前定義したりできます。詳細については、「カスタム ワークフローの作成」を参照してください。

 

表 47-28 ソートおよびレイアウトの機能

目的
クリックする対象

カラムをソートする

カラムのタイトル。ソート順を逆にするには、カラムのタイトルをもう一度クリックします。

)は、データのソート基準になっているカラム、およびソートが昇順である(上向き矢印のアイコン)か、または降順である(下向き矢印のアイコン)かを表します。

テーブル ビューからカラムを削除する

非表示にするカラムの見出しの閉じるアイコン( )。表示されるポップアップ ウィンドウで、[Apply] をクリックします。

カラムを無効にすると、そのカラムは(後で元に戻さない限り)そのセッションの期間中は無効になります。最初のカラムを無効にすると、[Count] カラムが追加されることに注意してください。[Count] カラムは無効にすることができません。

)をクリックして検索の制約を展開し、[Disabled Columns] の下にあるカラム名をクリックします。

無効にしたカラムをビューに戻す

[Disabled Columns] の下のカラム名。

デフォルトで無効になっているカラムを有効にすると、そのカラムは(後で無効にしない限り)セッションの期間中は有効になります。カラムを有効にしても同一行が複数作成されない場合、[Count] カラムは削除されることに注意してください。

ドリルダウン ワークフロー ページのソート

ライセンス:任意

ワークフローまたはイベント ビューのデータを表示する場合に、使用可能なカラムに基づいてデータをソートしたり、表示するカラムを削除して復元したりすることができます。カラムによってデータを昇順または降順でソートできます。矢印のアイコン( )は、データのソート基準になっているカラム、およびソートが昇順である(上向き矢印のアイコン)か、または降順である(下向き矢印のアイコン)かを表します。


ヒント カスタム ワークフローを作成すると、ページ上のカラムの配置を完全にカスタマイズしたり、ページのソート順を事前定義したりできます。詳細については、「カスタム ワークフローの作成」を参照してください。

カラムをソートする方法:

アクセス:Admin/Maint/Any Security Analyst


ステップ 1 カラムのタイトルをクリックします。


 

ソートの順序を逆にする方法:

アクセス:Admin/Maint/Any Security Analyst


ステップ 1 カラムのタイトルをもう一度クリックします。


 

ワークフロー ページの行の選択

ライセンス:任意

ワークフロー ページで行を選択し、処理を行うにはいくつかの方法があります。

 

ページ上のすべての行を選択するには、ページの上部にあるチェック ボックスをオンにします。

ページの下部にあるいずれかのボタン([View] や [Delete] など)をクリックすると、そのページ上のすべてのイベントにそのアクションを実行することができます。

1 行を選択するには、それぞれの行の隣にあるチェック ボックスをオンにします。

ページの下部にあるいずれかのボタンをクリックすると、その行に関連付けられているイベントでのみ、そのアクションを実行することができます。

1 行を選択し、ワークフローの次のページでその行に関連するイベントを表示するには、矢印のアイコン( )をクリックします。


複数のページから一度に行を選択することはできません。


ワークフロー内の他のページへのナビゲート

ライセンス:任意

1 つのワークフロー ページで表示できるイベントよりも多くのイベントがデータベースに含まれている場合は、ページの下部にあるリンクをクリックして、さらにイベントを表示できます。

これらのリンクの 1 つをクリックすると時間枠が自動的に一時停止されるため、同じイベントが 2 回表示されません。準備ができたら時間枠の一時停止を解除できます。詳細については、「イベント時間の制約の設定」を参照してください。

次の表で、ナビゲート リンクの使用方法について説明します。

 

表 47-29 ページのナビゲート

目的
クリックする対象

別のページを表示する

ページ番号をクリックし、表示するページを入力して Enter キーを押します

次のページを表示する

>

前のページを表示する

<

最後のページに移動する

>|

最初のページに移動する

|<

ワークフロー間のナビゲート

ライセンス:任意

ワークフロー ページの [Jump to...] ドロップダウン リストのリンクを使用して、他のワークフローへナビゲートできます。ドロップダウン リストを選択し、追加のワークフローを表示および選択します。

新しいワークフローを選択すると、(適切な場合は)、選択する行で共有されているプロパティおよび設定する制約が、新しいワークフローで使用されます。設定した制約またはイベントのプロパティが、新しいワークフローのフィールドにマップされない場合は、これらはドロップされます。また、ワークフローを切り替えた場合には、複合的な制約は保持されません。キャプチャ ファイルのワークフローの制約は、ファイルおよびマルウェアのイベント ワークフローのみに転送されます。


所定の時間範囲のイベント数を表示する場合、詳細なデータを利用できるイベントの数が、イベントの総数に反映されないことがあります。これは、ディスク領域の使用率を管理するために、古いイベントの詳細がシステムによってプルーニングされることがあるために発生します。イベント詳細のプルーニングを最小限にするために、対象の展開にとって最も重要なイベントだけを記録するようにイベント ロギングを調整できます。詳細については、「接続、ファイル、マルウェアに関する情報のロギング」を参照してください。


時間枠を一時停止するか、または静的な時間枠を設定していない場合、ワークフローを変更したときに時間枠も変更されることに注意してください。詳細については、「イベント時間の制約の設定」を参照してください。

[Jump to] ドロップダウン リストを使用すると、次のテーブルのワークフローにすばやくアクセスできます。

接続イベント

セキュリティ インテリジェンス イベント

侵入イベント

マルウェア イベント

ファイル イベント

ホスト

侵害の痕跡

アプリケーション

アプリケーションの詳細

サーバ

ホスト属性

ディスカバリ イベント

ユーザ

脆弱性

サードパーティの脆弱性

相関イベント

ホワイトリスト イベント

この機能により、疑わしいアクティビティの調査が強化されます。たとえば、接続データを表示していて、内部ホストが異常に大量のデータを外部サイトに転送していることに気付いた場合は、応答側の IP アドレスとポートを制約として選択し、[Applications] ワークフローへ移動することができます。[Applications] ワークフローは応答側の IP アドレスとポートを IP アドレスとポートの制約として使用し、アプリケーションの種類などの追加情報を表示することができます。ページの上部にある [Hosts] をクリックして、リモート ホストのホスト プロファイルを表示することもできます。

アプリケーションに関する詳細を検索した後で、[Correlation Events ] を選択して接続データ ワークフローに戻る、制約から応答側の IP アドレスを削除する、制約にイニシエータの IP アドレスを追加する、[Application Details] を選択して、データをリモート ホストに転送するときに開始側のホストでユーザがどのクライアントを使用しているかを確認する、といったことができます。ポートの制約は、[Application Details] ページには転送されないことに注意してください。ローカル ホストを制約として保持したまま、追加情報を検索するために他のナビゲート ボタンを使用することもできます。

ローカル ホストがいずれかのポリシーに違反しているかどうかを検出するには、IP アドレスを制約として保持したままで [Jump to] ドロップダウン リストから [Correlation Events] を選択します。

ホストに対して侵入ルールがトリガーされた(侵害を表している)かどうかを確認するには、[Jump to] ドロップダウン リストから [Intrusion Events] を選択します。

ローカル ホストのホスト プロファイルを表示し、ホストが、悪用された可能性のある脆弱性の影響を受けやすくなっているかどうかを判断するには、[Jump to] ドロップダウン リストから [Hosts] を選択します。

ブックマークの使用

ライセンス:任意

イベントの分析中に所定の場所および時間にすばやく戻りたい場合には、ブックマークを作成します。ブックマークは、次の情報を保持します。

使用中のワークフロー

表示中のワークフローの部分

ワークフローのページ番号

検索の制約

無効になっているカラム

使用している時間範囲

あるユーザが作成したブックマークは、ブックマーク アクセスを持っているすべてのユーザ アカウントで利用できます。これは、より詳細な分析を必要とするイベント セットを見つけた場合、簡単にブックマークを作成し、適切な権限を持った他のユーザに調査を引き継ぐことが可能であることを意味します。


ブックマークに表示されているイベントが(ユーザによって直接、またはデータベースの自動クリーンアップによって)削除されると、そのブックマークにはイベントの元のセットは表示されません。


ブックマークの使用の詳細については、以下の項を参照してください。

「ブックマークの作成」では、新しいブックマークを作成する方法について説明します。

「ブックマークの表示」では、既存のブックマークを表示および使用する方法について説明します。

「ブックマークの削除」では、ブックマークを削除する方法について説明します。

ブックマークの作成

ライセンス:任意

新しいブックマークを作成するには、次の手順を使用します。

ブックマークを作成する方法:

アクセス:Admin/Maint/Any Security Analyst


ステップ 1 イベントの分析中に、表示されている対象のイベントで [Bookmark This Page] をクリックします。

[Create a Bookmark] ページが表示されます。

ステップ 2 [Bookmark Name] フィールドで、ブックマークの名前を(最大 80 文字の英数字とスペースで)入力し、[Save Bookmark] をクリックします。

ブックマークが保存され、ブックマークしたイベントのページがもう一度表示されます。


 

ブックマークの表示

ライセンス:任意

既存のブックマークを表示して使用するには、次の手順を使用します。

ブックマークを表示する方法:

アクセス:Admin/Maint/Any Security Analyst


ステップ 1 イベント ビューから [View Bookmarks] をクリックします。

[Bookmarks] ページが表示されます。

ステップ 2 使用するブックマークの隣にある [View] をクリックします。

ブックマークしたページが表示されます。


最初にブックマークに表示されていたイベントが(ユーザによって直接、またはデータベースの自動クリーンアップによって)削除されると、そのブックマークにはイベントの元のセットは表示されません。



 

ブックマークの削除

ライセンス:任意

ブックマークを削除するには、次の手順を使用します。ブックマークを削除しても、そのブックマークによって取得されるイベントは影響を受けないことに注意してください。

ブックマークを削除する方法:

アクセス:Admin/Maint/Any Security Analyst


ステップ 1 イベント ビューから [View Bookmarks] をクリックします。

[Bookmarks] ページが表示されます。

ステップ 2 削除するブックマークの隣にある [削除] をクリックします。

ブックマークが削除されます。


 

カスタムワークフローの使用

ライセンス:任意

シスコが提供する事前定義のカスタム ワークフローがニーズに合わない場合は、カスタム ワークフローを作成することができます。

詳細については、以下を参照してください。

「カスタム ワークフローの作成」(カスタム ワークフローを作成する手順)

「カスタム接続データ ワークフローの作成」(接続データに基づいてカスタム ワークフローを作成する手順)

「カスタム ワークフローの表示」(イベントおよびカスタム テーブルに基づいてカスタム ワークフローを表示する手順)

「カスタム ワークフローの編集」(カスタム ワークフローを編集する手順)

「カスタム ワークフローの削除」(カスタム ワークフローを削除する手順)

カスタム ワークフローの作成

ライセンス:任意

シスコが提供する事前定義のカスタム ワークフローがニーズに合わない場合は、カスタム ワークフローを作成することができます。


ヒント 新しいカスタム ワークフローを作成する代わりに、別のアプライアンスからカスタム ワークフローをエクスポートし、それを自身のアプライアンスへインポートすることができます。その後でニーズに合わせて、インポートしたワークフローを編集することができます。詳細については、「設定のインポートおよびエクスポート」を参照してください。

カスタム ワークフローを作成する場合は、次の操作を行います。

ワークフローのソースとなるテーブルを選択する

ワークフローの名前を指定する

ワークフローにドリル ダウン ページおよびテーブル ビュー ページを追加する

ワークフローの各ドリル ダウン ページでは、次のことができます。

Web インターフェイスのページの上部に表示される名前を指定する

1 ページにつき最大 5 個のカラムを含める

デフォルトのソート順(昇順または降順)を指定する

ワークフロー ページの順序において、任意の場所にテーブル ビュー ページを追加することができます。これらのページには編集可能なプロパティ(ページ名、ソート順、ユーザ定義可能なカラム位置など)がありません。

カスタム ワークフローの最終ページは、次の表に記載されているように、ワークフローのベースにしているテーブルによって異なります。これらの最終ページは、ワークフローを作成したときにデフォルトで追加されます。

 

表 47-30 カスタム ワークフローの最終ページ

ワークフローのベース
最終ページ

ディスカバリ イベント

ホスト

脆弱性

脆弱性の詳細

サードパーティの脆弱性

ホスト

ユーザ

ユーザ

侵害の痕跡

ホスト

侵入イベント

パケット

アプライアンスは、他の種類のイベント(監査ログやマルウェア イベントなど)に基づいたカスタム ワークフローには最終ページを追加しません。


接続データに基づいてカスタム ワークフローを作成するための手順は少し異なります。詳細は、次の項 カスタム接続データ ワークフローの作成を参照してください。


カスタム ワークフローを作成する方法:

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Custom] > [Custom Workflows] を選択します。

[Custom Workflows] ページが表示されます。

ステップ 2 [Create Custom Workflow] をクリックします。

[Edit Custom Workflow] ページが表示されます。

ステップ 3 [Name] フィールドにワークフローの名前を入力します。

名前には最大 60 文字の英数字およびスペースを使用できます。

ステップ 4 オプションで、[Description] フィールドに、ワークフローの説明を入力します。

最大 80 文字の英数字およびスペースを使用できます。

ステップ 5 [Table] ドロップダウン リストから、対象とするテーブルを選択します。

ステップ 6 オプションで、[Add Page] をクリックして、ワークフローに 1 つ以上のドリルダウン ページを追加します。

ドリルダウン ページのセクションが表示されます。

最大 80 文字の英数字(スペースは不可)を使用して、[Page Name] フィールドにページの名前を入力します。

[Column 1] で、ソートの優先度およびテーブルのカラムを選択します。このカラムは、ページの最も左のカラムとして表示されます。たとえば、対象とする宛先ポートを示すページを作成し、カウントでページをソートするには、[Sort Priority] ドロップダウン リストから [2] を選択し、[Field] ドロップダウン リストから [DST Port/ICMP Code] を選択します。

ページに表示するすべてのフィールドの指定が完了するまで、フィールドを選択してソートの優先度の設定を続けます。1 ページにつき最大 5 個のフィールドを指定できます。


ステップ 5 で [Table Type] として [Vulnerabilities] を選択し、テーブル カラムとして [IP Address] を追加しても、検索機能を使用して特定の IP アドレスまたはアドレスのブロックを表示するようワークフローを制約しない限り、カスタム ワークフローを使用して脆弱性を表示する場合に [IP Address] カラムは表示されません。脆弱性の検索の詳細については、「脆弱性の検索」を参照してください。


ステップ 7 オプションで、[Add Table View] をクリックして、ワークフローにテーブル ビュー ページを追加します。


カスタム ワークフローには、イベントのドリルダウン ページまたはテーブル ビューを少なくとも 1 つ追加する必要があります。


ステップ 8 [Save] をクリックします。

新しいワークフローが保存され、カスタム ワークフローのリストに追加されます。


 

カスタム接続データ ワークフローの作成

ライセンス:FireSIGHT

接続データに基づいたカスタム ワークフローは他のカスタム ワークフローと似ていますが、ドリルダウン ページとテーブル ビュー ページだけでなく、接続データ グラフのページも含めることができます。必要に応じて、ワークフローにそれぞれのタイプのページを任意の数だけ、任意の順序で含めることができます。それぞれの接続データ グラフのページには 1 つのグラフ(線グラフ、棒グラフ、または円グラフ)が含まれます。線グラフと棒グラフには、複数のデータセットを含めることができます。接続のサマリー、接続グラフ、データセットなどの接続データの詳細については、「接続データについて」を参照してください。


ヒント 新しいカスタム ワークフローを作成する代わりに、別のアプライアンスからカスタム ワークフローをエクスポートし、それを自身のアプライアンスへインポートすることができます。その後でニーズに合わせて、インポートしたワークフローを編集することができます。詳細については、「設定のインポートおよびエクスポート」を参照してください。

接続データに基づいてカスタム ワークフローを作成する方法:

アクセス:Admin


ステップ 1 [Analysis] > [Custom] > [Custom Workflow] を選択します。

ステップ 2 [Create Custom Workflow] をクリックします。

[Edit Custom Workflow] ページが表示されます。

ステップ 3 [Name] フィールドにワークフローの名前を入力します。

最大 60 文字の英数字およびスペースを使用できます。

ステップ 4 オプションで、[Description] フィールドに、ワークフローの説明を入力します。

最大 80 文字の英数字およびスペースを使用できます。

ステップ 5 [Table] ドロップダウン リストから、[Connection Events] を選択します。

ステップ 6 オプションで、ワークフローに 1 つ以上のドリルダウン ページを追加します。

個々の接続に関するデータが含まれているドリルダウン ページを追加するには、[Add Page] をクリックします。

接続のサマリー データが含まれているドリルダウン ページを追加するには、[Add Summary Page] をクリックします。

いずれの場合も、ドリルダウン ページのセクションが表示されます。

最大 80 文字の英数字(スペースは不可)を使用して、[Page Name] フィールドにページの名前を入力します。

[Column 1] で、ソートの優先度およびテーブルのカラムを選択します。このカラムは、ページの最も左のカラムとして表示されます。

ページに表示するすべてのフィールドの指定が完了するまで、フィールドを選択してソートの優先度の設定を続けます。1 ページにつき最大 5 個のフィールドを指定できます。

たとえば、監視対象ネットワーク経由で転送されるトラフィックの量を表示するページを作成し、トラフィックの転送量が最も多い応答側によってページをソートするには、[Sort Priority] ドロップダウン リストで [1] を選択し、[Field] ドロップダウン リストで [Responder Bytes] を選択します。

ステップ 7 オプションで、[Add Graph] をクリックして、ワークフローに 1 つ以上のグラフ ページを追加します。

グラフ セクションが表示されます。

最大 80 文字の英数字(スペースは不可)を使用して、[Graph Name] フィールドにページの名前を入力します。

次に、ページに含めるグラフの種類(線グラフ、棒グラフ、または円グラフ)を選択します。

グラフの X 軸と Y 軸を選択し、どのようなデータをグラフ化するのかを指定します。円グラフでは、X 軸は独立変数を表し、Y 軸は従属変数を表します。

最後に、グラフに含めるデータセットを選択します。円グラフには 1 つのデータセットしか含めることができないことに注意してください。

ステップ 8 オプションで、[Add Table View] をクリックして、接続データのテーブル ビューを追加します。

ステップ 9 [Save] をクリックします。

新しいワークフローが保存され、カスタム ワークフローのリストに追加されます。


 

カスタム ワークフローの表示

ライセンス:任意

ワークフローが、事前定義のイベント テーブルまたはカスタム テーブルのいずれに基づいているかによって、ワークフローの表示に使用する方法が異なります。

カスタム ワークフローが事前定義のイベント テーブルに基づいている場合は、アプライアンスに付属しているワークフローにアクセスするのと同じ方法でアクセスします。たとえば、ホスト テーブルに基づいているカスタム ワークフローにアクセスするには、[Analysis Hosts] を選択します。また、カスタム ワークフローがカスタム テーブルに基づいている場合は、[Custom Tables] ページからアクセスする必要があります。


ヒント 任意のイベント タイプについて、デフォルト ワークフローとしてカスタム ワークフローを設定することができます。「イベント ビュー設定の設定」を参照してください。

詳細については、以下を参照してください。

「事前定義のテーブルのカスタム ワークフローの表示」

「カスタム テーブルのカスタム ワークフローの表示」

事前定義のテーブルのカスタム ワークフローの表示

ライセンス:任意

カスタム テーブルに基づいて いない カスタム ワークフローを表示するには、次の手順を使用します。「ワークフローの選択」に記載されているように、ワークフローのアクセスは使用しているプラットフォームとユーザ ロールによって異なることに注意してください。

事前定義のテーブルに基づいたカスタム ワークフローを表示する方法:

アクセス:Admin/Any Security Analyst


ステップ 1 「ワークフローを使用する機能」 の表に記載されているように、カスタム ワークフローのベースとなるテーブルについて、適切なメニュー パスとオプションを選択します。

そのテーブルのデフォルト ワークフローの最初のページが表示されます。カスタム ワークフローも含め、別のワークフローを使用するには、現行のワークフロー タイトルの隣にある [(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。イベントが表示されず、ワークフローを時間によって制約できる場合は、時間範囲の調整が必要なことがあります。「イベント時間の制約の設定」を参照してください。


 

カスタム テーブルのカスタム ワークフローの表示

ライセンス:FireSIGHT

カスタム テーブルに基づいているカスタム ワークフローを表示するには、次の手順を使用します。

カスタム テーブルに基づいたカスタム ワークフローを表示する方法:

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Custom] > [Custom Tables] を選択します。

[Custom Tables] ページが表示され、使用できるカスタム テーブルが示されます。

ステップ 2 表示するカスタム テーブルの隣にある表示アイコンをクリックするか、またはカスタム テーブルの名前をクリックします。

そのテーブルのデフォルト ワークフローの最初のページが表示されます。カスタム ワークフローも含め、別のワークフローを使用するには、現行のワークフロー タイトルの隣にある [(switch workflow)] をクリックします。別のデフォルト ワークフローの指定については、「イベント ビュー設定の設定」を参照してください。イベントが表示されず、ワークフローを時間によって制約できる場合は、時間範囲の調整が必要なことがあります。「イベント時間の制約の設定」を参照してください。


 

カスタム ワークフローの編集

ライセンス:任意

イベント評価プロセスが変わった場合には、新しいニーズを満たすようにカスタム ワークフローを編集することができます。事前定義のワークフローは編集できないことに注意してください。

カスタム ワークフローを編集する方法:

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Custom] > [Custom Workflows] を選択します。

[Custom Workflows] ページが表示され、既存のカスタム ワークフローが示されます。

ステップ 2 編集するワークフロー名の隣にある編集アイコン( )をクリックします。

[Edit Workflow] ページが表示されます。

ステップ 3 ワークフローに必要な変更を加え、[Save] をクリックします。

ワークフローに対する変更が保存されます。


 

カスタム ワークフローの削除

ライセンス:任意

次の手順は、不要になったカスタム ワークフローを削除する方法について説明します。

カスタム ワークフローを削除する方法:

アクセス:Admin/Any Security Analyst


ステップ 1 [Analysis] > [Custom] > [Custom Workflows] を選択します。

[Custom Workflows] ページが表示され、使用できるカスタム ワークフローが示されます。

ステップ 2 削除するワークフロー名の隣にある削除アイコン( )をクリックします。

ワークフローが削除されます。