FireSIGHT システム ユーザ ガイド バージョン 5.3.1
Glossary
Glossary
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

Glossary

7000 シリーズ
シリーズ 3 管理対象デバイスのグループ。このシリーズのデバイスには、70xx ファミリ(3D7010/7020/7030 モデル)および71xx ファミリ(3D7110/7120/3D7115/3D7125 および AMP7150 モデル)が含まれます。
8000 シリーズ
シリーズ 3 管理対象デバイスのグループ。このシリーズのデバイスには、81xx ファミリ(3D8120/8130/8140 および AMP8150 モデル)、82xx ファミリ(3D8250/8260/8270/8290 モデル)、および 83xx ファミリ(3D8350/8360/8370/8390 モデル)が含まれます。8000 シリーズ デバイスは、通常 7000 シリーズ デバイスより高性能です。
ASA FirePOWER
CLI
CRL
証明書失効リスト(CRL)を参照してください。
Cisco ASA with FirePOWER Services
Cisco Adaptive Security Appliance (ASA) 管理対象デバイスのグループ。このシリーズのデバイスには、ASA5512-X、ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X、ASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40、および ASA5585-X-SSP-60 のモデルが含まれます。
Collective Security Intelligence クラウド
クラウド サービス と呼ばれることもあります。 ヘルス イベントが最新の関連情報(マルウェア、 セキュリティ インテリジェンス URL フィルタリング データを含む)を取得できるシスコがホストする外部サーバ。 マルウェア クラウド ルックアップも参照してください。
Context Explorer
侵入 接続、ファイル、 位置情報、マルウェア、および ディスカバリ データを使用して、モニタ対象ネットワークに関する詳細でインタラクティブなグラフィカル情報を表示するページ。明確に区切られたセクションには、鮮明な線グラフ、棒グラフ、円グラフ、ドーナツ グラフの形式で情報が、詳細リストとともに表示されます。カスタム フィルタを簡単に作成および適用して、分析をきめ細かく調整することができます。また、グラフ領域をクリックするか、グラフ領域の上にカーソルを移動することによって、データ セクションの詳細を確認することができます。高度にカスタマイズ可能で、細分化され、リアルタイムで更新される ダッシュボードとは対照的に、Context Explorer は手動で更新され、より広範囲に及ぶデータのコンテキストを提供するように設計されています。また、ユーザが積極的に調査することができるようにレイアウトは 1 つの一貫した設計になっています。
Control ライセンス
ユーザや アプリケーションの条件を アクセス コントロール ルールに追加することによって、 ユーザ制御 アプリケーション制御を実装することを許可するライセンス。また、管理対象 クラスタリングのスイッチング、ルーティング(DHCP リレーや NAT)、およびクラスタリングを実行するように、管理対象 デバイスを設定することもできるようになります。
eStreamer
ヘルス イベントまたは管理対象 デバイスから外部 クライアント アプリケーション イベント データをストリーミングできるようにする FireSIGHT システムのコンポーネント。
FireAMP
マルウェアの発生、存在する脅威、および標的型攻撃を検出、把握、ブロックするのエンタープライズ クラスのシスコ ベースの高度なマルウェア分析および防御ソリューション。 エンドポイント組織に FireAMP サブスクリプションがある場合、個々のユーザがエンドポイント(コンピュータ、モバイル デバイス)にインストールした軽量の FireAMP コネクタ Collective Security Intelligence クラウドと通信します。これにより、マルウェアを瞬時に識別して検疫するだけでなく、マルウェアの発生を識別し、その伝搬経路を追跡し、その影響を把握して、正常にリカバリする方法を知ることができます。 FireAMP ポータルを使用して、カスタム保護を作成したり、特定のアプリケーションの実行をブロックしたり、カスタム ホワイトリストを作成したりすることもできます。ネットワークベースの 高度なマルウェア対策と比較してください。
FireAMP コネクタ
サブスクリプションベースの FireAMP 展開のユーザがコンピュータやモバイル デバイスなどの エンドポイントにインストールする軽量のエージェント。コネクタは、 Collective Security Intelligence クラウドと通信し、情報を交換します。これにより、組織全体でマルウェアを識別し検疫できます。また、エンドポイントのホストで 侵害の痕跡も識別できます。
FireAMP サブスクリプション
組織が 高度なマルウェア対策(AMP)ソリューションとして FireAMP を使用するために別個に購入するサブスクリプション。ネットワークベースの AMP を実行するために管理対象 デバイスで有効にする Malware ライセンスと比較してください。
FireAMP ポータル
組織のサブスクリプションベースの FireAMP 展開を設定できる Web サイト(http://amp.sourcefire.com/)。
FireSIGHT 推奨ルール
侵入ポリシーの情報に基づいて、 ネットワーク マップでどのルールを有効/無効にしたらよいかを推奨する機能。推奨に基づいてシステムが ルール状態を変更することを許可することを選択できます。これを許可すると、システムによって読み取り専用の FireSIGHT 推奨レイヤが追加されます。
FireSIGHT 推奨レイヤ
FireSIGHT 推奨ルール機能によって推奨される状態に ルール状態を変更することをシステムに許可している場合に存在する 侵入ポリシー 組み込み レイヤ
FireSIGHT ライセンス
ホスト アプリケーション、およびユーザ ディスカバリを実行するための ヘルス イベントのデフォルト ライセンス。FireSIGHT ライセンスは、 ヘルス イベントとその管理対象 デバイスを使用してモニタできる ホストとユーザの数、および ユーザ制御を実行するために アクセス コントロール ルールで使用できる アクセス制御ユーザの数を決定します。
GID
ジェネレータ ID。FireSIGHT システムのどのコンポーネントが 侵入イベントを生成したかを示す番号。GID は、ルールの SID が、ルールをトリガーとして使用するパケットのコンテキストを提供するのと同じ方法でイベントの種類を分類することによって、より効率的にイベントを分析するのに役立ちます。
GeoDB
位置情報データベースを参照してください。
HA リンク インターフェイス
ハイ アベイラビリティ リンク インターフェイスとも呼ばれ、デバイス間でヘルス情報を共有するため冗長通信チャネルとして機能する デバイスのクラスタ化されたペアの各メンバーに対して設定される 物理インターフェイス
HTTP 応答ページ
アクセス コントロール ポリシーによって、ユーザの HTTP 要求がブロックされたときにそのことが表示されるようにシステムを設定できる Web ページ。シスコ提供の汎用応答ページを表示するか、カスタム HTML を提供できます。 インタラクティブ ブロック ルールによって要求がブロックされる場合、ユーザが応答ページのボタンをクリックして、要求元のサイトに戻って続行できるようにすることができます。
ID の競合
現在のアクティブ ID および以前に報告されたパッシブ ID と競合する、新しいパッシブ オペレーティング システムまたは サーバの ID がシステムによって報告されると発生する競合。
LDAP 認証
ユーザ クレデンシャルを Lightweight Directory Access Protocol (LDAP)ディレクトリ サーバに保存されている LDAP ディレクトリと比較することによって、ユーザ クレデンシャルを確認する 外部認証の形式。
Lights Out Management (LOM)
アウトバンド Serial over LAN (SOL)管理接続を使用することにより、アプライアンスの Web インターフェイスにログインせずに、 アプライアンスをリモートでモニタまたは管理することができる シリーズ 3 の機能。シャーシのシリアル番号の表示や、ファンの速度や温度などの設定のモニタといった、限られたタスクを実行できます。
Malware ライセンス
ネットワーク トラフィックで 高度なマルウェア対策(AMP)を実行することができるライセンス。 ファイル ポリシーを使用して、管理対象 デバイスによって検出された特定の ファイル タイプについて マルウェア クラウド ルックアップを実行するようにシステムを設定できます。 FireAMP サブスクリプションと比較してください。
NAT
ネットワーク アドレス変換。プライベート ネットワーク上の複数の ホストで単一のインターネット接続を共有するために最も一般的に使用される機能。 ディスカバリを使用することで、システムは ネットワーク デバイス ロード バランサとして識別できます。また、FireSIGHT システムのレイヤ 3 展開で、 NAT ポリシーを使用して NAT によるルーティングを設定できます。
NAT ポリシー
NAT ルールを使用して NATによるルーティングを実行するポリシー。
NAT ルール
ネットワーク トラフィックを評価し、条件に一致するトラフィックの変換方法を指定する一連の設定と条件。NAT ルールは、 NAT を使用してルーティングを実行するために既存の NAT ポリシーに追加されます。
NetFlow
Cisco IOS 対応機器で実行するために Cisco Systems によって開発された、IP トラフィック情報を収集するための公開されている独自のネットワーク プロトコル。NetFlow 対応デバイスによって収集された情報は、システムによって収集されたディスカバリ データと 接続データを補足したり、管理対象 デバイスがカバーしないネットワークをモニタしたりするために使用できます。
NetMod
管理対象 デバイスのシャーシにインストールするモジュール。これには、そのデバイスの センシング インターフェイスが含まれます。
Nmap
Network Mapper。ホストで実行しているオペレーティング システムと アプリケーション プロトコルを検出するために使用できるオープン ソースのアクティブ スキャナ。 Nmap スキャンを実行すると、検出された情報が ネットワーク マップに追加されます。
RADIUS 認証
Remote Authentication Dial In User Service。ネットワーク リソースへのユーザ アクセスを認証、許可、および説明するために使用されるサービス。外部 認証オブジェクトを作成して、FireSIGHT システム ユーザが RADIUS サーバを介して認証できるようにすることができます。
Protection ライセンス
侵入検知と防御 ファイル制御、および セキュリティ インテリジェンス フィルタリングを実行できるようにする、 シリーズ 3 のデバイス、 仮想デバイス、および Sourcefire Software for X-Series のライセンス。ライセンスがなくても、 シリーズ 2 のデバイスでは、セキュリティ インテリジェンス以外のProtection機能を自動的に使用できます。
SFP モジュール
71xx ファミリ デバイスのネットワーク モジュールに挿入された Small Form-Factor Pluggable トランシーバ。SFP モジュールのセンシング インターフェイスは、 設定可能なバイパスを許可しません。
SHA-256 ハッシュ値
マルウェア クラウド ルックアップを実行するファイルを表す 32 ビット文字列。SHA256 と略記されることもあります。ハッシュ値は、暗号ハッシュ関数を使用して計算されます。複数のファイルの SHA-256 値が同じであれば、コンテンツが同じである可能性が非常に高くなります。
SID
シグニチャ ID (または Snort ID)。それぞれの 侵入ルールに割り当てられた一意の識別番号。新しいルールを作成するか、既存の 標準テキスト ルールを変更すると、1,000,000 かそれより大きな SID が割り当てられます。FireSIGHT システムで提供される 共有オブジェクト ルールおよび標準テキスト ルールの SID は、1,000,000 より小さくなります。また、 プリプロセッサおよび デコーダは、SID を使用して、検出するさまざまな種類のパケットを識別します。
SVID
脆弱性 IDを参照してください。
Snort
IP ネットワークでのリアルタイム トラフィック分析およびパケット ロギングを実行するオープン ソースの侵入検知システム。Snort は、プロトコル分析、コンテンツ検索、およびコンテンツ マッチングを実行できます。また、さまざまな攻撃やプローブを検出できます。Snort では、柔軟なルールの言語を使用して、収集または通過させるべきネットワーク トラフィックを示します。FireSIGHT システムは、Snot を使用して、 デコーダ プリプロセッサ、および 侵入ルールに照らしてパケットをテストします。
Sourcefire Software for X-Series
仮想デバイスの機能を提供するBlue Coat のスケーラブルなシャーシベースのシステム上に構築されたソフトウェアベースのアプリケーション。
Spero 分析
マルウェア分析のために、 Collective Security Intelligence クラウドにファイル構造特性を送信する方法。結果は 動的分析を補足します。
URL Filtering ライセンス
URL カテゴリおよび URL レピュテーションの情報に基づいて URL フィルタリングを実行することができるライセンス。URL Filtering ライセンスは期限切れになる可能性があります。
URL オブジェクト
個々の URL を表す再利用可能な オブジェクト
URL カテゴリ
マルウェアやソーシャル ネットワーキングなど、URL の一般的な分類。
URL フィルタリング
モニタ対象ホストによって要求された URL に基づいて、ネットワークを通過できるトラフィックを決定する アクセス コントロール ルールを作成できる機能。 ヘルス イベントによって Collective Security Intelligence クラウドから取得される、それらの URL の URL カテゴリおよび URL レピュテーションの情報に相関します。許可するまたはブロックする個々の URL または URL グループを指定することによって、Web トラフィックに関するよりきめの細かいカスタム コントロールを実現することもできます。
URL レピュテーション
組織の セキュリティ ポリシーに反する可能性のある目的に URL が使用される可能性を示す表現。 Collective Security Intelligence クラウド によって判定されます。
UTC 時間
協定世界時。グリニッジ標準時(GMT)とも呼ばれる、UTC は世界中のあらゆる場所で認識されている標準時間です。タイム ゾーン機能を使用して現地時間を設定することができますが、FireSIGHT システムは UTC を使用します。
VDB
脆弱性データベースを参照してください。
VLAN
仮想ローカル エリア ネットワーク VLAN は、地理的な場所ではなく、その他の基準(部門や主な使用方法など)に従ってホストをマッピングします。モニタ対象ホストの ホスト プロファイルには、そのホストに関連付けられた VLAN 情報が示されます。VLAN 情報は、イベントをトリガーしたパケットの最も内側の VLAN タグとして 接続イベントおよび 侵入イベントにも含まれています。VLAN で侵入ポリシーをフィルタリングしたり、VLAN ごとに コンプライアンス ホワイトリストのターゲットを設定したりできます。レイヤ 2 およびレイヤ 3 の展開では、VLAN のタグが付けられたトラフィックを適切に処理するように、管理対象 デバイス 仮想スイッチおよび 仮想ルータを設定できます。
VLAN タグ オブジェクト
個々の VLAN タグを表す再利用可能な オブジェクト
VPN
シスコの管理対象 デバイス 仮想ルータ間にセキュアな VPN トンネルを構築できる機能。
VPN ライセンス
シスコの 管理対象デバイス 仮想ルータ間にセキュアな VPN トンネルを構築できるようにするライセンス。
VRT
シスコ VRTを参照してください。
VRT の分析レポート
動的分析のために送信された キャプチャされたファイル シスコ VRT 分析のレコード。 動的分析サマリ レポートで提供される情報および動的分析中に検出された追加の情報の詳細を示します。
Web アプリケーション
HTTP トラフィックの内容または要求された URL を表示する、 アプリケーションの 1 つの種類。
X-Series
しきい値
イベントしきい値を参照してください。
アクセス コントロール ポリシー
管理対象 デバイスがモニタするネットワーク トラフィックに対して アクセス制御を実施するために、それらのデバイスに 適用する ポリシー。アクセス コントロール ポリシーには、複数の アクセス コントロール ルールが含まれる場合があります。これらのルールの基準を満たさないトラフィックの処理とロギングは、同じくアクセス コントロール ポリシーによって指定される デフォルト アクションによって決定されます。アクセス コントロール ポリシーでは、 HTTP 応答ページ セキュリティ インテリジェンス、およびその他の詳細設定も指定できます。
アクセス コントロール ルール
モニタ対象のネットワーク トラフィックを調べるために FireSIGHT システムが使用する一連の条件。これにより、きめ細かい アクセス制御が可能になります。 アクセス コントロール ポリシーに組み込まれるアクセス コントロール ルールは、簡単な IP アドレスのマッチングを実行したり、各種のユーザ 接続、ポート、URL が関係する複雑な アプリケーションの特性を示したりすることがあります。 アクセス コントロール ルール アクションは、ルールの条件を満たすトラフィックをシステムがどのように処理するかを決定します。その他のルール設定は、接続をログに記録する方法(および記録するかどうか)と、 侵入ポリシー ファイル ポリシーによって該当トラフィックが検査されるかどうかを決定します。
アクセス コントロール ルール アクション
システムが アクセス コントロール ルールの条件を満たすネットワーク トラフィックをどのように処理するかを決定する設定。該当トラフィックを ブロック することができます( 接続の再設定はしてもしなくても構いません)。HTTP トラフィックでは、ブロックをバイパスするオプションを提供できます。また、トラフィックを 信頼 して、それ以上検査せずに通過させることも、該当トラフィック(必要に応じて 侵入ポリシー ファイル ポリシーを使用して検査することが可能)を 許可 することも、または追加のアクセス コントロール ルールを使用してトラフィックを モニタ し続けることもできます。
アクセス リスト
アプライアンスにアクセス可能な ホストを表す IP アドレスのリスト。 システム ポリシーで設定されます。デフォルトでは、だれでもポート 443 (HTTPS)を使用してアプライアンスの Web インターフェイスに、またポート 22 (SSH)を使用してコマンドラインにアクセスできます。さらに、ポート 161 を使用する SNMP アクセスも追加できます。
アクセス制御
ネットワークを通過するトラフィックの指定、検査、記録を可能にする FireSIGHT システムの機能。アクセス制御には、 侵入検知と防御 ファイル制御、および 高度なマルウェア対策の機能が含まれます。また、 ディスカバリ機能を使用して検査できるトラフィックは、アクセス制御によって決まります。
アクセス制御ユーザ
アクセス制御によってネットワークの使用を制御されるユーザ。Microsoft Active Directory サーバと ヘルス イベントの間の接続を設定する場合は、アクセス制御ユーザが所属する必要のある LDAP グループを指定します。 ユーザ エージェントがアクセス制御ユーザによるログインをレポートする場合、それらのユーザは IP アドレスと関連付けられます。これにより、ユーザ条件が指定された アクセス コントロール ルールのトリガーが可能になります。 非アクセス制御ユーザと比較してください。
アクティブ検出
アクティブ ソースを使用した ホスト アプリケーション、およびユーザ情報のディスカバリ。アクティブ ソースには、 Nmap のようなスキャナ、システムの Web インターフェイスへのユーザ入力、またはコマンド ラインやサードパーティのアプリケーション API 呼び出しを使用した ネットワーク マップへの ホスト入力が含まれます。 非保留中(アプリケーション プロトコル)と比較してください。
アプライアンス
ヘルス イベントまたは管理対象 デバイス。アプライアンスは、物理アプライアンスか、ソフトウェアベース(仮想または Sourcefire Software for X-Series)のアプライアンスとなります。
アプライアンス統計情報
稼働時間、システム メモリの使用率、負荷平均、ディスク使用率、システム プロセスのサマリなど、 アプライアンスに関する取得可能な情報。また、 ヘルス イベントでは データ コリレータプロセスに関する情報。
アプリケーション
作成する アクセス コントロール ルールの対象にできる、検出されたネットワーク資産、通信手段、または HTTP コンテンツ。システムは 3 種類のアプリケーション( アプリケーション プロトコル クライアント アプリケーション Web アプリケーション)を検出します。
アプリケーション カテゴリ
アプリケーションの最も本質的な機能を示す一般分類。各アプリケーションは、少なくとも 1 つのカテゴリに属します。
アプリケーション タイプ
アプリケーション タグ
アプリケーション カテゴリでは説明されない、 アプリケーションに関する情報。たとえば、ビデオ ストリーミングの Web アプリケーションには「高帯域幅」や「ディスプレイ広告」というタグが付けられることがあります。アプリケーションには、任意の数のタグを付けることができます(タグを全く付けないこともできます)。
アプリケーション ディテクタ
ネットワーク上の アプリケーションを識別するためにシステムが使用するツール。アプリケーション ディテクタは、パケット 見出し内の ASCII または 16 進数のパターンか、トラフィックが使用するポート、あるいはその両方を使用して、アプリケーションを識別します。シスコでは、システムのアップデート、 脆弱性データベースのアップデート、または インポート/ エクスポート機能を介して追加のディテクタを提供することがあります。独自の アプリケーション プロトコル ディテクタを作成することもできます。
アプリケーション フィルタ
アプリケーション リスク ビジネスとの関連性、種類、カテゴリ、およびタグに関連した基準に従ってグループ化された 1 つ以上の アプリケーション。これらのフィルタを使用して、 アクセス コントロール ルール、検索、一部の ダッシュボード ウィジェット、およびレポートを制約することができます。 オブジェクト マネージャまたはその場でアクセス コントロール ルール エディタを使用してアプリケーション フィルタを作成します。
アプリケーション プロトコル
サーバとホスト上の クライアント アプリケーションの間の通信中に検出されるアプリケーション プロトコル トラフィックを表す アプリケーションの種類(たとえば、SSH や HTTP)。
アプリケーション リスク
アプリケーションの使用方法が組織の セキュリティ ポリシーに違反している可能性。アプリケーションのリスクは、Very Low から Very High までの範囲です。
アプリケーションのビジネスとの関連性
アプリケーションが、娯楽目的ではなく、組織の事業運営のコンテキスト内でが使用される可能性。アプリケーションのビジネスとの関連性は、Very Low から Very High までの範囲です。
アプリケーション制御
ネットワークを通過可能な アプリケーション トラフィックを指定することのできる、 アクセス制御の一環を成す機能。
アラート
システムが特定の イベントを生成したことを示す通知。 侵入イベント 影響を含む)、 ディスカバリ イベント、ネットワークベースの マルウェア イベント 相関ポリシー違反、ヘルス ステータスの変更、および特定の アクセス コントロール ルールによって記録された 接続に基づいて警告できます。ほとんどの場合、電子メール、Syslog、または SNMP トラップで通知できます。
アラート応答
システムが電子メール、Syslog、または SNMP トラップで アラートを送信することを許可する一連の設定。単一のアラート応答を使用して複数のタイプの イベントについてのアラートを受けることができます。
位置情報
モニタ対象ネットワークのトラフィックで検出されるルーティング可能な IP アドレスの位置情報のデータを提供する機能。これには、接続タイプ、インターネット サービス プロバイダーなどが含まれます。 位置情報データベース 接続イベント 侵入イベント ファイル イベント マルウェア イベント、および ホスト プロファイルに保存される位置情報を参照できます。
位置情報データベース
GeoDB とも呼ばれ、ルーティング可能な IP アドレスに関連付けられた既知の 位置情報データの、定期的に更新されるデータベース。
イベント
ワークフローを使用して イベント ビューアで表示できる特定の発生に関する詳細のコレクション。イベントは、ネットワークへの攻撃、検出されたネットワーク資産への変更、組織のセキュリティおよびネットワーク使用ポリシーに対する違反などを表す場合があります。システムは、 アプライアンスのヘルス ステータスの変更、Web インターフェイスの使用、オンライン変更のヘルス ステータス、 ルール更新、起動された 修復に関する情報を含むイベントも生成します。また、システムは、その他の特定の情報もイベントとして示します。それらの「イベント」は必ずしも特定の発生を表すとは限りません。たとえば、イベント ビューアを使用して、検出された ホスト アプリケーション、およびそれらの脆弱性に関する詳細情報を表示することができます。
イベント ストリーマ
ヘルス イベントを参照してください。
イベント ビューア
イベントを表示したり、処理したりできるシステムのコンポーネント。イベント ビューアは、 ワークフローを使用して、幅広いイベント ビューや、目的のイベントだけを含むより的の絞られたイベント ビューを提供します。イベント ビューのイベントを制約するには、ワークフローをドリル ダウンするか、検索を使用します。
イベントしきい値
指定した時間内にイベントが生成される回数に基づいて、システムがログを記録したり、 侵入イベントを表示したりする回数を制限する機能。同一のイベントが大量に発生して悩まされている場合には、イベントしきい値を使用します。
イベント抑制
特定の IP アドレスまたは IP アドレスの範囲によって 侵入ルールがトリガーとして使用された場合に、抑制 侵入イベントを使用できるようにする機能。イベント抑制は、誤検出を低減するのに役立ちます。たとえば、特定のエクスプロイトのように見えるパケットを送信する電子メール サーバがある場合、そのサーバによってトリガーとして使用されるルールのイベントを抑止することにより、本物の攻撃に対するイベントのみが表示されるようにすることができます。
インシデント
予想される セキュリティ ポリシーの違反に関与している疑いのある 1 つ以上の 侵入イベント。システムには、インシデントの調査に関連した情報の収集および処理に使用できるインシデント処理機能が備えられています。
インタラクティブ ブロック
ユーザが HTTP 応答ページのボタンをクリックして、最初にブロックされた Web サイトを続行できるようにする アクセス コントロール ルール アクション
インポート
アプライアンスからアプライアンスにさまざまな設定を転送するために使用できる方法。同じ種類の別のアプライアンスから以前に エクスポートされた設定をインポートできます。
インライン インターフェイス
インライン展開でトラフィックを処理するように設定された センシング インターフェイス。インライン インターフェイスを インライン セットにペアで追加する必要があります。
インライン セット
インライン展開
管理対象 デバイスがネットワーク上にインラインで配置される FireSIGHT システムの展開。この設定では、デバイスはスイッチング、ルーティング、 アクセス制御、および 侵入検知と防御を使用するネットワーク トラフィック フローに影響を与える可能性があります。
ウィジェット
ダッシュボード ウィジェットを参照してください。
影響
侵入イベントに関する、 侵入データ、 ディスカバリ データ、および 脆弱性の間の相関関係を示す番号付きインジケータ。たとえば、影響レベル 1 (赤色の影響アイコン)は、ターゲット ホストが、侵入イベントによって表される攻撃に対して 脆弱 であることを意味します。影響レベル 2 (オレンジ色の影響アイコン)は、 潜在的に脆弱 であることを意味します。 ネットワーク検出ポリシーによってモニタされていないネットワーク上のホストに向けられた攻撃は、影響レベル 0 (灰色の影響アイコン)になります。これは、 ヘルス イベントがイベントの影響を判別できないことを示しています。
エクスポート
アプライアンスからアプライアンスへのさまざまな設定(ポリシーなど)を転送するために使用できる方法。1 つのアプライアンスから設定をエクスポートしたら、同じタイプの別のアプライアンスにその設定を インポートできます。
エンドポイント
組織の 高度なマルウェア対策戦略の一部として FireAMP コネクタ をインストールするコンピュータまたはモバイル デバイス。
応答
相関ポリシー違反に対する反応( アラートまたは 修復)。
オブジェクト
名前を値に関連付ける再利用可能な設定(IP アドレスまたは URL など)。その値を使用したいときは、その名前のオブジェクトを代わりに使用できます。 ディスカバリ ルール アクセス コントロール ルール、レポート、 ダッシュボード、および イベント検索など Web インターフェイスのさまざまな場所でオブジェクトを使用できます。 ネットワーク オブジェクト セキュリティ インテリジェンス オブジェクト ポート オブジェクト VLAN タグ オブジェクト URL オブジェクト アプリケーション フィルタ HA リンク インターフェイス、および セキュリティ ゾーンも参照してください。
オブジェクト マネージャ
オブジェクトおよびオブジェクト グループ( アプリケーション フィルタ HA リンク インターフェイス セキュリティ ゾーンなどを含む)を管理する Web インターフェイスのページ。
オペレーティング システム ID
オペレーティング システム ベンダーと、 ホスト上のオペレーティング システムのバージョンの詳細。
カスタム テーブル
FireSIGHT システムによって提供される事前定義された 2 つ以上のテーブルからのフィールドを組み合わせた、ユーザが構築できるテーブル。たとえば、新しいコンテキストで接続データを調べるために、 ホスト属性テーブルからの ホストの重要度情報と 接続 データ テーブルからの情報を組み合わせることができます。
カスタム トポロジー
ホスト モバイル デバイス、および ネットワーク デバイス ネットワーク マップのサブネットを意味ある仕方で編成および識別することを可能にする機能。
カスタム フィンガープリント
フィンガープリントを参照してください。
カスタム ユーザ ロール
特殊なアクセス権限を持つ ユーザ ロール。カスタム ユーザ ロールには、メニューベースの権限とシステム権限を任意で組み合わせて付与することができます。また、カスタム ユーザ ロールは、完全にオリジナルなロールとして作成することもできれば、事前定義されたユーザ ロールを基に作成することもできます。
カスタム ワークフロー
組織の固有のニーズを満たすために作成する ワークフロー
カスタム検出リスト
SHA-256 ハッシュ値によって表されるファイルのリスト。システムはこのリストにあるファイルを検出した場合、 Collective Security Intelligence クラウドでそのファイルの 処理が [Clean] であっても、そのファイルをマルウェアとして見なして マルウェア クラウド ルックアップを実行しません。
仮想スイッチ
ネットワークを通過するインバウンドおよびアウトバウンドのトラフィックを処理する スイッチド インターフェイスのグループ。レイヤ 2 展開では、論理セグメントにネットワークを分割しながら、スタンドアロン ブロードキャスト ドメインとして機能するように管理対象 デバイスで仮想スイッチを設定できます。仮想 デバイスまたはスタックのいずれかに障害が発生した場合に、ピアがトラフィック フローを中断することなく引き継ぐことができるようにするために、クラスタ化されたデバイスまたはスタックを同期できる機能。状態共有は、厳密な TCP の適用、単方向のアクセス コントロール ルール、ブロックの持続性、および動的 NAT が適切にフェールオーバーすることを保証します。スイッチは、ホストからの Media Access Control (MAC)アドレスを使用して、パケットの送信先を決定します。
仮想デバイス
仮想ホスティング環境の独自の機器に配置できる管理対象 デバイス。仮想デバイスは、 ハイ アベイラビリティ クラスタリング スタッキング NAT VPN 高速パス ルールなどのハードウェアベースの機能をサポートしません。また、仮想デバイスを 仮想スイッチまたは 仮想ルータとして設定することはできません。
仮想防御センター
仮想ホスティング環境の独自の機器に配置できる ヘルス イベント
仮想ルータ
レイヤ 3 トラフィックをルーティングする ルーテッド インターフェイスのグループ。レイヤ 3 展開では、仮想ルータを設定し、宛先 IP アドレスに従ってパケット転送を決定することによって、パケットをルーティングできます。スタティック ルートを定義し、Routing Information Protocol (RIP)および Open Shortest Path First (OSPF)のダイナミック ルーティング プロトコルを設定して、ネットワーク アドレス変換( NAT)を実装できます。
カテゴリ
監査イベント
Web インターフェイスとの特定の FireSIGHT システム ユーザ インタラクションを示す イベント。各監査イベントには、タイム スタンプ、イベントを生成したアクションを実行したユーザのユーザ名、送信元 IP アドレス、イベントを説明するテキストが含まれます。監査イベントは、 監査ログに記録されます。
監査ログ
Web インターフェイスとのユーザ インタラクションの記録。監査ログは、 監査イベントで構成されます。
管理インターフェイス
FireSIGHT システムの アプライアンスを管理するために使用するネットワーク インターフェイス。ほとんどの展開では、管理インターフェイスは、内部 保護されたネットワークに接続されます。 センシング インターフェイスと比較してください。
管理対象デバイス
デバイスを参照してください。
外部認証
ユーザが FireSIGHT システム アプライアンスにログインする際、外部に保存されたユーザ クレデンシャルを使用してユーザ名とパスワードを認証する方法( LDAP 認証 RADIUS 認証など)。 内部認証と比較してください。
基本ポリシー
選択可能な一連の設定。シスコによって提供されるデフォルトの 侵入ポリシーか、カスタム ポリシーを基本ポリシーにできます。
基本ポリシー レイヤ
デフォルト設定から成る 侵入ポリシー 組み込み レイヤ。侵入ポリシーとして選択された 基本ポリシーが、基本ポリシー レイヤの設定を決定します。
キャプチャされたファイル
ネットワーク トラフィックで検出され、 動的分析または Spero 分析のために Collective Security Intelligence クラウド へ送信するため、あるいはデバイスへの ファイル ストレージのために デバイスによってコピーされたファイル。 イベント ビューアからキャプチャされたファイルに関する情報を確認できます。
脅威スコア
ファイルを 動的分析のために、 Collective Security Intelligence クラウドに送信した結果としてファイルに割り当てられ、ファイルにマルウェアが含まれる可能性の尺度となる 1 ~ 100 の評価。
共有オブジェクト ルール
C ソース コードからコンパイルされたバイナリ モジュールとして提供される 侵入ルール。共有オブジェクト ルールを使用すると、 標準テキスト ルールでは検出できない方法で、攻撃を検出できます。共有オブジェクト ルールのルール キーワードおよび引数は変更できません。できるのは、ルールで使用される 変数を変更したり、送信元と宛先のポートや IP アドレスなどの側面を変更したり、カスタム共有オブジェクト ルールとしてルールの新規インスタンスを保存したりすることに限られます 共有オブジェクト ルールの GID (ジェネレータ ID)は 3 です。
共有レイヤ
その他の侵入ポリシーによって使用されることをユーザーが許可した 侵入ポリシー レイヤ 共有レイヤを使用するポリシーは、共有レイヤの 侵入ルールおよび 詳細設定への変更によって、それらの変更がコミットされたときに更新されます。共有レイヤは、その共有を許可するポリシーでのみ変更できます。共有レイヤを使用するポリシーでは共有レイヤは読み取り専用になります。
組み込み レイヤ
侵入ポリシーの読み取り専用 レイヤ。侵入ポリシーには、常に組み込み 基本ポリシー レイヤが含まれ、オプションで組み込み FireSIGHT 推奨レイヤを含めることができます。
クライアント
クライアント アプリケーションとも呼ばれる、 ホストで実行され、一部の操作を別のホスト( サーバ)に頼って実行する アプリケーション。たとえば、電子メール クライアントは、電子メールの送受信を実行できます。あるホスト上のユーザが別のホストにアクセスするために特定のクライアントを使用していることをシステムが検出すると、クライアントの名前とバージョン(該当する場合)などを含めてその情報を ホスト プロファイル ネットワーク マップでレポートします。
クライアント アプリケーション
クライアントを参照してください。
クラウド サービス
クラスタリング
2 つの シリーズ 3 のピア デバイスまたはピア スタック間でネットワーキング機能と設定データの冗長性を実現する機能。クラスタリングは、 ポリシーの適用、システムの更新、および登録のための、 1 つの論理システムを提供します。冗長 ヘルス イベントの設定を可能にする ハイ アベイラビリティと比較してください。
クリーン リスト
SHA-256 ハッシュ値によって表されるファイルのリスト。システムはこのリストにあるファイルを検出した場合、 Collective Security Intelligence クラウドでのそのファイルの 処理が [Malware] であっても、そのファイルをクリーンとして見なして マルウェア クラウド ルックアップを実行しません。
クリップボード
後から インシデントに追加できる 侵入イベントを最大 25,000 個までコピーできる保持領域。
グローバル ブラックリスト
すべての アクセス コントロール ポリシー セキュリティ インテリジェンス ブラックリストにデフォルトで含められる セキュリティ インテリジェンス オブジェクト。グローバル ブラックリストは、すべての セキュリティ ゾーンに適用されます。 ダッシュボード Context Explorer、および多くの イベント ビューア ページの IP アドレスのコンテキスト メニューを使用して、個々の IP アドレスをグローバル ブラックリストに追加できます。
グローバル ホワイトリスト
すべての アクセス コントロール ポリシー セキュリティ インテリジェンス ホワイトリストにデフォルトで含められる セキュリティ インテリジェンス オブジェクト。グローバル ホワイトリストは、すべての セキュリティ ゾーンに適用されます。 ダッシュボード Context Explorer、および多くの イベント ビューア ページの IP アドレスのコンテキスト メニューを使用して、個々の IP アドレスをグローバル ホワイトリストに追加できます。
現在の ID
特定のネットワーク資産に対して、システムが最も正しいと見なすオペレーティング システムまたは サーバの ID。システムは多くの方法でこのデータを使用します。たとえば、統計の計算、 脆弱性情報の割り当て、攻撃の影響の評価、および 相関ルールの評価のために使用します。
現在のユーザ
システムが ホストと関連付けるユーザ。ユーザが アクセス制御ユーザである場合、システムはそのホストとの間のトラフィックに対して ユーザ制御を実行できます。ホストに関連付けられたアクセス制御ユーザがいない場合は、 非アクセス制御ユーザがホストの現在のユーザとなることができます。ただし、アクセス制御ユーザがホストにログインした後は、別のアクセス制御ユーザがログインした場合のみ、現在のユーザが変更されます。
高速パス ルール
分析する必要のないトラフィックが処理をバイパスできるようにするために、限定された基準セットを使用して、 デバイスのハードウェア レベルで設定する ルール
高度なマルウェア対策
略称は AMP。FireSIGHT システムのネットワークベースの マルウェア検出 マルウェア ブロッキングの機能。この機能を FireAMP FireAMP サブスクリプションを必要とするシスコのエンドポイントベースの AMP ツール)と比較してください。
コマンドライン インターフェイス
シリーズ 3 および仮想 デバイス上の制限されたテキストベースのインターフェイス。CLI ユーザが実行できるコマンドは、ユーザに割り当てられたアクセス レベルによって異なります。
コンテキスト メニュー
Web インターフェイスの多くのページで使用可能なポップアップ メニュー。FireSIGHT システムのその他の機能にアクセスするためのショートカットとして使用できます。メニューの内容は、表示しているページ、調べている特定のデータ、 ユーザ ロールなどの複数の要因によって異なります。コンテキスト メニュー オプションには、 侵入ルール イベント、ホスト情報へのリンク、さまざまな侵入ルール 設定、 Context Explorer へのクイック リンク、ホストを セキュリティ インテリジェンス グローバル ブラックリストまたは グローバル ホワイトリストに追加するオプション(IP アドレスで指定)、およびファイルを グローバル ホワイトリストに追加するオプション( SHA-256 ハッシュ値で指定)が含まれます。
コンプライアンス ホワイトリスト
相関ルールと同様、ネットワーク トラフィックが 相関ポリシーに違反していると見なされる場合に満しているべき基準を指定する方法の 1 つ。どのオペレーティング システム、 アプリケーション、およびプロトコルが特定のサブネットの ホスト上で実行できるかを指定するコンプライアンス ホワイトリストは、 ヘルス イベントを使用して設定できます。ホワイトリストに違反した場合に、 アラート 修復のような応答を起動するように防御センターを設定することもできます。コンプライアンス ホワイトリストは他のタイプの しきい値とは関連付けられないことに注意してください。
コンプライアンス ホワイトリスト イベント
ホワイトリスト イベントを参照してください。
コンプライアンス ホワイトリスト違反
ホワイトリスト違反を参照してください。
サードパーティの脆弱性
サードパーティから取得された脆弱性データ。組織でスクリプトを作成するか、またはコマンドライン インポート ファイルを作成して、サードパーティ アプリケーションから ネットワーク マップ データを インポートできる場合、システムの脆弱性データを補強するために、 ホスト入力機能を使用してサードパーティの 脆弱性データをインポートすることができます。
サーバ
アプリケーション プロトコル トラフィックで識別される ホスト上にインストールされたサーバ アプリケーション クライアント アプリケーションと比較してください)。
サーバ ID
ホスト上の サーバ アプリケーション プロトコルの種類、ベンダー、バージョンの詳細。
サーバ バナー
サーバを識別するうえで役立つ追加情報を提供する サーバに関して検出された最初のパケットの最初の 256 バイト。システムは、初めてサーバが検出されたときに、一度だけサーバ バナーを収集します。
サーバ証明書
認証局によって発行される暗号化された証明書。サーバ ID の変更できない証明書を提供します。任意の認証局に証明書を要求し、そのカスタム証明書をアプライアンスにアップロードできます。
最適化ポリシー
IP 最適化 プリプロセッサ 侵入検知と防御のコンポーネント)により、ターゲット ホストのオペレーティング システムに基づいて、フラグメント化された IP パケットを再構成する方法を示すポリシー。 適応型プロファイルは適応型最適化ポリシーを使用することに注意してください。
サブサーバ
同じホスト上の別のサーバによって呼び出される サーバ
シスコ VRT
シスコの脆弱性調査チーム。
シスコ インテリジェンス フィード
シスコ VRT によってレピュテーションが低いと判定される IP アドレスの定期的に更新されるリストの集合。フィードの各リストは、特定のカテゴリ(オープン リレー、既知の攻撃者、偽の IP アドレス(bogon)など)を表します。 アクセス コントロール ポリシーでは、 セキュリティ インテリジェンスを使用して、すべてまたはいずれかのカテゴリを ブラックリストに登録できます。インテリジェンス フィードは定期的に更新されるため、このフィードを使用することによって、システムで最新の情報を使用してネットワーク トラフィックをフィルタリングすることができます。
システム ポリシー
メール中継ホスト設定や時刻同期設定のような、展開内の複数の アプライアンスで同じになる可能性のある設定。システム ポリシーは、 ヘルス イベントを使用して、防御センター自体または管理対象 デバイス 適用します。
修復
システムに対する潜在的な攻撃を軽減するアクション。修復を設定し、 相関ポリシー内でそれらを 相関ルールおよび コンプライアンス ホワイトリストと関連付けることにより、それらがトリガーとして使用されるときに、 ヘルス イベントによって修復が起動されるようにすることができます。これは、ユーザがすぐに対応できないときに攻撃を自動的に緩和するだけでなく、システムが組織の セキュリティ ポリシーに準拠し続けるようにします。防御センターは、事前定義された 修復モジュールとともに出荷されます。柔軟性のある API を使用して、カスタム修復を作成することもできます。
修復インスタンス
修復モジュールの一連の設定。モジュールごとに複数のインスタンスを設定できます。たとえば、異なる相関ポリシーの違反に対し、同一のモジュールの、設定の違う異なるインスタンスを使用して対応することができます。修復インスタンスがトリガーとして使用されると、その結果実行されるアクションを 修復と呼びます。
修復ステータス イベント
修復が起動すると、生成される イベント
修復モジュール
修復インスタンスと呼ばれる一連の設定を使用して 修復を起動するプログラム。FireSIGHT システムは、さまざまなアクションを実行するいくつかの修復モジュールとともに出荷されます。柔軟性のある API を使用して、独自の修復を作成することもできます。
詳細設定
設定するのに特定の専門知識を必要とする プリプロセッサまたはその他の 侵入ポリシーの機能。通常、詳細設定はほとんど、あるいはまったく変更する必要がありません。詳細設定は導入環境ごとに異なります。
証明書失効リスト(CRL)
アプライアンスのユーザ証明書を発行した 認証局によって取り消された証明書のリスト。これによって、クライアント ブラウザの証明書チェックを使用して FireSIGHT システム Web インターフェイスへのアクセスを制限することができます。失効した証明書として CRL にリストされている証明書をユーザが選択した場合、ブラウザは Web インターフェイスをロードできません。
処理
マルウェア処理を参照してください。
シリーズ 2
シスコ アプライアンス モデルの 2 番目のシリーズ。リソース、アーキテクチャ、およびライセンス制限のため、シリーズ 2 アプライアンスは、限定された一連の FireSIGHT システムの機能をサポートします。シリーズ 2 デバイスには、3D500、 3D1000、 3D2000、 3D2100、 3D2500、 3D3500、 3D4500、 3D6500 および 3D9900 が含まれます。シリーズ 2 ヘルス イベントには、DC500、DC 1000、および DC3000 が含まれます。
シリーズ 3
シスコ アプライアンス モデルの 3 番目のシリーズ。シリーズ 3 アプライアンスには、 7000 シリーズおよび 8000 シリーズ デバイスと、DC750、 DC1500、および DC3500 の ヘルス イベントが含まれます。
侵害の痕跡
FireSIGHT システム データ コリレータおよび FireAMP エンドポイント データ分析により、セキュリティ侵害を示している可能性のあるイベントとモニタ対象ネットワークのホストが関連付けられる機能。 ネットワーク検出ポリシーで設定されます。侵害を受けた可能性のあるホストには、そのステータスを示すタグが付けられます。このタグは、 ホスト プロファイルや関連するイベント ビューで表示されます。略称は IOC です。
侵入
ネットワーク上で発生したセキュリティ違反、攻撃、またはエクスプロイト。
侵入イベント
侵入ポリシー違反を記録する イベント。侵入イベント データには、日付、時刻、エクスプロイトの種類、および攻撃とそのターゲットに関するその他のコンテキスト情報が含まれます。
侵入検知と防御
セキュリティ ポリシー違反についてのネットワーク トラフィックのモニタリング、および インライン展開で悪質なトラフィックをブロックまたは変更する機能。FireSIGHT システムでは、侵入ポリシーをアクセス コントロール ルールまたはデフォルト アクションと関連付けているときに、侵入検知と防御が実行されます。
侵入ポリシー
侵入および セキュリティ ポリシー違反についてネットワーク トラフィックを検査するために設定できる各種のコンポーネント。これらのコンポーネントには、プロトコル 見出し値、ペイロードの内容、および特定のパケット サイズの特性を検査する 侵入ルール、侵入ルールで一般的に使用される 変数 FireSIGHT 推奨ルール設定、 プリプロセッサやその他の検出およびパフォーマンスの機能などの 詳細設定、および関連するプリプロセッサ オプションのイベントを生成することを可能にする プリプロセッサ ルールが含まれます。ネットワーク トラフィックが アクセス コントロール ルールの条件を満たす場合、侵入ポリシーでそのトラフィックを検査することができます。また、侵入ポリシーと デフォルト アクションを関連付けることもできます。
侵入ルール
モニタ対象のネットワーク トラフィックに適用される場合に、潜在的な 侵入 セキュリティ ポリシー違反、およびセキュリティ違反を識別する一連のキーワードおよび引数。システムはルールの条件とパケットを比較します。パケット データが条件に一致した場合、ルールがトリガーとして使用され、 侵入イベントが生成されます。侵入ルールには、 廃棄ルール パス ルールが含まれます。
時間枠
任意のイベント ビューにおける イベントの時間的制約。それぞれのイベント ビューには、ユーザ設定に応じた異なるデフォルトの時間枠がある場合があります。すべてのイベント ビューが時間で制約されるわけではないことに注意してください。
自動アプリケーション バイパス(AAB)
インターフェイスを通過するパケットを処理する時間を制限し、時間が超過したときにパケットが処理をバイパスすることを可能にする高度な デバイス設定。シスコは、非実稼働環境での インライン展開に、この機能を使用することを推奨します。
状態共有
デバイスまたはスタックのいずれかに障害が発生した場合に、ピアがトラフィック フローを中断することなく引き継ぐことができるようにするために、クラスタ化された デバイスまたは スタックを同期できる機能。状態共有は、厳密な TCP の適用、単方向の アクセス コントロール ルール、ブロックの持続性、および動的 NAT が適切にフェールオーバーすることを保証します。スイッチ
マルチポート ブリッジとして機能する ネットワーク デバイス ネットワーク検出を使用することで、システムはスイッチをブリッジとして識別します。また、管理対象 デバイスを、2 つ以上のネットワークの間でパケット スイッチングを実行する 仮想スイッチとして設定できます。
スイッチド インターフェイス
レイヤ 2 展開でトラフィックをスイッチするために使用するインターフェイス。タグなし VLAN トラフィックを処理するための物理スイッチド インターフェイスと、VLAN タグが指定されたトラフィックを処理するための論理スイッチド インターフェイスを設定できます。
スケジュール タスク
一度だけ、または定期的に実行するようにスケジュールできる管理タスク。
スタッキング
スタック構成で 2 ~ 4 台の物理 デバイスを接続することによって、ネットワーク セグメントで検査されるトラフィックの量を増加させることができる機能。スタック構成を確立したら、スタックされた各デバイスのリソースを単一の共有設定に統合します。
スタック
検出リソースを共有する、2 ~ 4 台の接続された デバイス
スヌーズ期間
相関ルールがトリガーとして使用された後に、 ヘルス イベントがそのルールのトリガーを停止する間隔(秒、分、時間単位で指定される)。そのルールが再度違反されても、この期間内はトリガーしません。スヌーズ期間が終了したら、ルールを再びトリガーできるようになります(そしてトリガーとして使用された時点から新しいスヌーズ期間が開始します)。 非アクティブな期間も参照してください。
セキュリティ インテリジェンス
送信元または宛先の IP アドレスに基づいて、 アクセス コントロール ポリシーごとに、ネットワークを通過できるトラフィックを指定できる機能。これは、トラフィックが アクセス コントロール ルールによって分析される前に、特定の IP アドレスをブラックリストに登録する(この IP アドレスを宛先または送信元するトラフィックを拒否する)場合に特に便利です。オプションで、セキュリティ インテリジェンス フィルタリングのために、 モニタを使用することができます。これにより、ブラックリストに登録された接続を分析すると同時に、ブラックリストに一致する対象をログに記録することができます。
セキュリティ インテリジェンス オブジェクト
1 つ以上の IP アドレスを表す単一の設定。これは、 アクセス コントロール ポリシー セキュリティ インテリジェンス ブラックリストおよび セキュリティ インテリジェンス ホワイトリストに追加します。セキュリティ インテリジェンス オブジェクトには、 セキュリティ インテリジェンス リスト セキュリティ インテリジェンス フィード、および ネットワーク オブジェクトとグループが含まれます。 グローバル ブラックリスト グローバル ホワイトリスト、および シスコ インテリジェンス フィードのカテゴリは、セキュリティ インテリジェンス オブジェクトと見なされます。
セキュリティ インテリジェンス フィード
セキュリティ インテリジェンス オブジェクトの種類の 1 つ。ユーザが設定する間隔で、システムが定期的にダウンロードする IP アドレスの動的なコレクション。フィードは定期的に更新されるため、これらのフィードを使用するなら、システムは セキュリティ インテリジェンス機能を使用して最新の情報でネットワーク トラフィックをフィルタリングすることになります。 シスコ インテリジェンス フィードも参照してください。
セキュリティ インテリジェンス ブラックリスト
アクセス コントロール ポリシーで、トラフィックが アクセス コントロール ルールによって分析される前に、対象のホストとの間のトラフィックを拒否することを可能にする IP アドレスのリスト。ブラックリストは、 グローバル ブラックリストで構成されます。これには、 セキュリティ インテリジェンス オブジェクトも含まれます。アクセス コントロール ポリシーの セキュリティ インテリジェンス ホワイトリストは、ブラックリストよりも優先されます。
セキュリティ インテリジェンス ホワイトリスト
アクセス コントロール ポリシーで、 アクセス コントロール ルールを使用するホストとの間のトラフィックがポリシーによって検査されるように強制する(つまり、 セキュリティ インテリジェンスを使用してトラフィックを拒否しないようにする)ための IP アドレスのリスト。ポリシーのホワイトリストは セキュリティ インテリジェンス ブラックリストよりも優先されるため、ブラックリストをきめ細かく調整するために使用できます。ホワイトリストは、 グローバル ホワイトリストで構成されます。これには、 セキュリティ インテリジェンス オブジェクトも含まれます。
セキュリティ インテリジェンス リスト
ユーザが セキュリティ インテリジェンス オブジェクトとして防御センターに手動でアップロードする IP アドレスのシンプルで静的なコレクション。 セキュリティ インテリジェンス フィード グローバル ブラックリスト、および グローバル ホワイトリストを補強してきめ細かく調整するために、このリストを使用します。
セキュリティ ゾーン
さまざまなポリシーおよび設定でトラフィック フローを管理および分類するために使用できる 1 つ以上のインライン、パッシブ、スイッチド、または ルーテッド インターフェイスのグループ。単一ゾーンのインターフェイスは、複数 デバイスのにまたがる場合があります。単一のデバイスに対して複数のセキュリティ ゾーンを設定することもできます。各インターフェイスでトラフィックを処理するには、まずそのインターフェイスを 1 つのセキュリティ ゾーンに割り当てる必要があります。また、個々のインターフェイスは 1 つのセキュリティ ゾーンにしか所属できません。
セキュリティ ポリシー
ネットワークを保護するための組織のガイドライン。たとえば、 セキュリティ ポリシーでは、ワイヤレス アクセス ポイントの使用が禁止されることがあります。セキュリティ ポリシーには、従業員に組織のシステムの使用方法に関するガイドラインを示す利用規定(AUP)が含まれる場合もあります。
セキュリティ ポリシー違反
セキュリティ違反、攻撃、エクスプロイト、またはその他のネットワークの誤用。
設定(インポートまたはエクスポート用)
ポリシー カスタム ワークフローなどの一連の設定。 アプライアンス上に作成され、そのアプライアンスから エクスポートしたり、別のアプライアンスが インポートしたりできます。
設定可能なバイパス
バイパス モードの設定を可能にする インライン セットの特性。
接続
2 つの ホスト間のモニタ対象セッション。 アクセス コントロール ポリシーの管理対象 デバイスによって検出された接続をログに記録できます。 ネットワーク検出ポリシー NetFlow 接続のロギングを設定します。
接続イベント
システムがモニタ対象 ホストとその他のホストの間で 接続を検出したときに生成される イベント。接続イベントには、検出されたトラフィックに関する情報が含まれます。管理対象 デバイスによって検出された接続の場合、 アクセス コントロール ルール アクション デフォルト アクション、または セキュリティ インテリジェンスの決定に応じて、接続の開始時または終了時、あるいはその両方で、接続イベントをログに記録できます。これらの接続は、 ヘルス イベント データベースに記録できます。ルールまたはデフォルト アクションに応じて、接続イベントを Syslog または SNMP トラップ サーバにも記録できます。 NetFlow 接続は、接続の終わりに記録され、常にデータベースに保存されます。
接続グラフ
グラフ形式で 接続イベントを表示する方法。
接続サマリ
5 分間隔で集約される接続データ。システムは、接続サマリを使用して、 接続グラフ トラフィック プロファイルを作成します。複数の 接続が集約されるためには、それらが接続の終了を表し、同じ送信元と宛先の IP アドレスを使用し、応答側(宛先) ホストで同じポートを使用している必要があります。それらは同じプロトコル(TCP または UDP)と アプリケーション プロトコルを使用している必要があります。また、同じシスコの管理対象 デバイスによって検出されるか、同じ NetFlow 対応デバイスによってエクスポートされる必要があります。
接続トラッカー
相関ルールの最初の基準が満たされた後に、システムが特定の 接続を追跡し始めるようにするために、 相関ルールを制約する 1 つ以上の条件。追跡された接続が追加基準を満たす場合のみ、ルールがトリガーとして使用されます。
接続ログ
接続イベントを参照してください。
センシング インターフェイス
ネットワーク セグメントをモニタするために使用する デバイス上のネットワーク インターフェイス。 管理インターフェイスと比較してください。
脆弱性
ホストに被害を及ぼす可能性がある、特定のセキュリティ侵害の説明。 ヘルス イベントは、ホストの ホスト プロファイルでそれぞれのホストに影響する脆弱性に関する情報を提供します。また、脆弱性の ネットワーク マップを使用して、モニタ対象ネットワーク全体でシステムが検出した脆弱性の全体像を得ることができます。特定のセキュリティ侵害に対して ホストが脆弱ではなくなったと判断した場合、特定の脆弱性を非アクティブにするか、無効としてマークすることができます。
脆弱性 ID
特定の 脆弱性に関連付けられた ID 番号。シスコの 脆弱性データベースおよび サードパーティの脆弱性データベース(Bugtraq や CVE など)では、異なる脆弱性 ID の番号付け方式が使用されています。
脆弱性の詳細
脆弱性 ワークフローの最後のページ。脆弱性の詳細には、技術的な詳細と既知のソリューションを含む特定の 脆弱性に関する情報が示されます。
脆弱性データベース
ホストに被害を及ぼす可能性のある既知の脆弱性のデータベース。VDB とも呼ばれます。ユーザが特定のホストでネットワークのセキュリティ侵害のリスクが大きくなっているかどうかを判断できるように、システムは各ホストで検出されたオペレーティング システム、 アプリケーション プロトコル、および クライアントを VDB に関連付けます。VDB アップデートには、新規の脆弱性と更新された脆弱性、および新規 アプリケーション ディテクタと更新されたアプリケーション ディテクタが含まれることがあります。
脆弱性マッピング
ディスカバリ データとの 脆弱性情報の関連付け。これにより、 影響 相関を実行できます。
相関
ネットワークの脅威にリアルタイムで対応する 相関ポリシーを構築するために使用できる機能。相関の 修復コンポーネントは、 ポリシー 違反に対応する独自のカスタム修復モジュールを作成してアップロードすることを可能にする柔軟な API を提供します。
相関イベント
相関ルールがトリガーとして使用されると、 ヘルス イベントよって生成される イベント ホワイトリスト イベント ホワイトリスト違反より生成される)は、特殊な相関イベントであることに注意してください。
相関ポリシー
相関ルールおよび コンプライアンス ホワイトリストを使用して、 セキュリティ ポリシー違反に相当するネットワーク アクティビティを表すポリシー。ポリシー内の各ルールまたはホワイトリストへの 応答を指定できます。
相関ルール
コンプライアンス ホワイトリストと同様、ネットワーク トラフィックが 相関ポリシーに違反していると見なされる場合に満たしているべき基準を指定する方法の 1 つ。 ヘルス イベントを使用して、特定の 侵入イベント マルウェア イベント ディスカバリ イベント ホスト入力イベント、または 接続イベントが発生したとき、またはネットワーク トラフィックが トラフィック プロファイルが示す通常のネットワーク トラフィック パターンから逸脱しているときにトリガーとして使用され(て 相関イベントを生成す)る相関ルールを設定することもできます。 ホスト プロファイル条件 接続トラッカー スヌーズ期間、および 非アクティブな期間で相関ルールを制約することもできます。相関ルールがトリガーした場合に、 アラート 修復のような応答を起動するように防御センターを設定することもできます。
ゾーン
セキュリティ ゾーンを参照してください。
ターゲット デバイス
ポリシー ターゲットを参照してください。
タグ(アプリケーション)
アプリケーション タグを参照してください。
タスク キュー
アプライアンスが実行する必要のあるジョブのキュー。 ポリシー 適用し、ソフトウェア アップデートをインストールし、その他の長時間実行ジョブを実行すると、ジョブはキューに入れられ、それらの状態が [Task Status] ページに示されます。[Task Status] ページには、ジョブの詳細リストが提供され、10 秒ごとに更新されて状態が更新されます。
タップ モード
3D9900 および シリーズ 3 のデバイスで使用可能な高度な インライン セットのオプション。これを使用する場合は、各パケットのコピーが分析され、ネットワーク トラフィック フローは デバイスを通過しないので、影響を受けません。パケット自体ではなくパケットのコピーを処理するため、トラフィックをドロップ、変更、またはブロックするように、アクセス制御および侵入ポリシーを設定した場合でも、デバイスはパケット ストリームに影響を与えることはありません。
ダッシュボード
現在のシステム ステータスを一目で理解できるビューを提供するディスプレイ。これには、システムによって収集され、生成される イベントに関するデータが含まれます。システムによって提供されるダッシュボードを補強するために、選択した ダッシュボード ウィジェットを組み込んだ複数のカスタム ダッシュボードを作成できます。モニタ対象のネットワークの状態と機能を、幅広の簡潔かつカラフルな図で示す Context Explorer と比較してください。
ダッシュボード ウィジェット
FireSIGHT システムの側面に対する洞察を与える、小さな独立した ダッシュボードのコンポーネント。
テーブル ビュー
イベント情報を表示する ワークフロー ページの 1 つの種類。データベース テーブルの各フィールドに対して 1 列があります。イベント分析を実行する際は、関心のあるイベントに関する詳細を表示するテーブル ビューに移動する前に、 ドリルダウン ページを使用して、調査するイベントを制約できます。多くの場合、テーブル ビューは、システムによって提供されるワークフローの最後から 2 番目のページになります。
適応型プロファイル
ディスカバリ データを使用して、パケットのターゲット ホストのオペレーティング システムを判別する 侵入ポリシー プロファイル。侵入ポリシー内のプロファイルは、自動的に適応し、 プリプロセッサに IP パケットを最適化させて、ストリームをターゲット ホストのオペレーティング システムと同じ方法で再構築させるか、または、 Snort によって宛先ホストで使用されているのと同じ形式でデータが分析されるようにします。
適用
ポリシーまたはその ポリシーに対する変更を有効にするアクション。ほとんどのポリシーは、 ヘルス イベントから管理対象 デバイスに適用します。ただし、 相関ポリシーは管理対象デバイスの設定への変更に関与しないため、このポリシーはアクティブにしたり非アクティブにしたりします。
データ コリレータ
システムによって収集されたデータを使用して、 ヘルス イベント上で イベントを生成し、 ネットワーク マップを作成するプログラム。
データベース アクセス
サードパーティのクライアントによる ヘルス イベント データベースへの読み取り専用アクセスを許可する機能。
ディスカバリ
管理対象 デバイスを使用してネットワークをモニタし、ネットワークの完全で永続的なビューを提供する、FireSIGHT システムのコンポーネント。ネットワーク検出は、ネットワーク上の ホスト ネットワーク デバイス モバイル デバイスを含む)の数と種類、およびそれらのホストのオペレーティング システム、アクティブな アプリケーション、オープン ポートを判別します。ネットワーク上の ユーザ アクティビティを監視するようにシスコの管理対象デバイスを設定することもできます。これにより、ポリシー違反、攻撃、またはネットワークの脆弱性の源を識別できます。
ディスカバリ イベント
新しい資産または既存の資産に対する変更の ディスカバリの詳細を示す イベント ホスト入力イベントは、特別な種類のディスカバリ イベントです。シスコでは、 ディスカバリ データ 脆弱性の情報全般に言及する際に、この「ディスカバリ イベント」という用語を使用することがあります。
ディスカバリ データ
ディスカバリ機能を使用して収集されるネットワーク資産とトラフィック フローを絞り込むための、ホスト、ユーザ、および アプリケーションの情報。
ディスカバリ ポリシー
ネットワーク検出ポリシーを参照してください。
ディスカバリ ルール
ネットワーク検出ポリシー内で、モニタするネットワークと ゾーン、それらをモニタするために使用する デバイス NetFlow 対応デバイスを含む)、およびモニタ対象から除外するポートを指定します。各ルールは、モニタ対象ネットワークで ホスト ユーザ、または アプリケーションを検出するかどうかも指定します。
デコーダ
スニッフィングされたパケットを プリプロセッサが解読できる形式にする 侵入検知と防御のコンポーネント。
デバイス
スループットの範囲で使用可能な、フォールトトレラントな特定用途向けの アプライアンス。デバイス上で有効にするライセンス機能に応じ、これらを使用してパッシブにトラフィックをモニタすることにより、ネットワーク資産、 アプリケーション トラフィック、および ユーザ アクティビティの包括的なマップを作成したり、 侵入検知と防御を実行したり、 アクセス制御を実行したり、スイッチングとルーティングを設定したりすることができます。 ヘルス イベントを使用してデバイスを管理する必要があります。
デバイス クラスタリング
クラスタリングを参照してください。
デバイス スタッキング
スタッキングを参照してください。
デフォルト アクション
アクセス コントロール ポリシーの一部として、ポリシー内のどのルールの条件も満たさないトラフィックの処理方法を決定します。 アクセス コントロール ルール セキュリティ インテリジェンスの設定が含まれていないアクセス コントロール ポリシーを 適用する場合は、デフォルト ポリシー アクションによって、ネットワークの高速パス以外のトラフィックがどのように処理されるかが決まります。デフォルト アクションを設定することにより、それ以降のインスペクションを行わずにトラフィックをブロックまたは信頼したり、または ネットワーク検出ポリシー 侵入ポリシーでトラフィックを検査したりすることができます。
トラフィック プロファイル
ユーザが指定した期間にログに記録される 接続 データに基づいた、ネットワーク上のトラフィックのプロファイル。モニタ対象ネットワーク セグメントのすべてのトラフィックを使用してプロファイルを作成することも、より対象を絞ってプロファイルを作成することもできます。次に、 相関機能を使用し、既存のプロファイルに照らして新しいトラフィックを評価することによって、異常なネットワーク トラフィックを検出することができます。
トランスペアレント インライン モード
デバイスが「Bump In The Wire」として機能できるようにする、またデバイスが認識するすべてのネットワーク トラフィックを、その送信元および送信先に関係なく、転送できるようにする、高度な インライン セットのオプション。
動的分析
マルウェア分析のために、 デバイスから Collective Security Intelligence クラウド キャプチャされたファイルを送信する方法。クラウドはテスト環境でファイルを実行し、 脅威スコア 動的分析サマリ レポート ヘルス イベントに返します。動的分析サマリ レポートから、 VRT の分析レポートも表示できます。
動的分析サマリ レポート
Collective Security Intelligence クラウド 脅威スコアをファイルに割り当てた理由( 動的分析時に発見されたすべての脅威、およびファイルをテスト環境で実行したときに検出された追加のプロセスを含む)のサマリ。ここから、 VRT の分析レポートを表示することもできます。
動的ルール状態
ルールに一致するトラフィックで検出されたレートの異常に応答して一定期間設定される侵入 ルール状態
ドリルダウン ページ
イベント ビューを制約するために使用される中間 ワークフロー ページ。通常、ドリルダウン ページは、ページまたは テーブル ビューをさらに詳細に絞り込むために選択できる制約を提供します。
ドロップ イベント
廃棄ルールがトリガーとして使用されると生成される 侵入イベント イベント ビューアでは、ドロップ イベントは黒色の下矢印でマークされます。
内部認証
アプライアンス上のローカル データベースにユーザ クレデンシャルを保存する認証方式。ユーザ がアプライアンスにログインする際に、ユーザ名およびパスワードが、データベース内の情報と照合されます。 外部認証と比較してください。
認証オブジェクト
2 つのいずれか理由で、外部認証サーバに接続することを可能にする設定の集合。認証オブジェクトの 1 つ目の種類は、FireSIGHT システムの Web インターフェイスへの 外部認証(RADIUS または LDAP)を可能にします。もう 1 つの種類は、 アクセス コントロール ルールで使用できる LDAP ユーザまたはグループを指定し、ネットワーク トラフィックあるいは ユーザ エージェントで検出されたアクティビティを実行した特定のユーザのメタデータを取得することを可能にします。
認証局
サーバまたはユーザ証明書 公開キー証明書 の作成に使用される証明書の発行元。サーバおよびユーザの証明書によって、サーバまたはユーザの ID の追加確認が行われます。
ネットワーク オブジェクト
1 つ以上の IP アドレス、CIDR ブロック、またはプレフィクス長を表す再利用可能な オブジェクト
ネットワーク デバイス
FireSIGHT システムで、ブリッジ、 ルータ NAT デバイス、または ロード バランサとして識別される ホスト
ネットワーク ファイルの伝搬経路
ホストがネットワークでファイルを転送する際のファイル パスの視覚表現。 SHA-256 ハッシュ値に関連付けられたファイルの場合、伝搬経路マップには、ファイルを転送したすべてのホストの IP アドレス、ファイルが検出された時間、ファイルの マルウェア処理、関連する ファイル イベント マルウェア イベントなどが表示されます。
ネットワーク マップ
ネットワークの詳細な表現。ネットワーク マップによって、ネットワークで実行する ホスト モバイル デバイス、および ネットワーク デバイス、またそれらに関連する ホスト属性 アプリケーション プロトコル、および脆弱性の観点からネットワーク トポロジを表示することができます。
ネットワーク検出
ディスカバリを参照してください。
ネットワーク検出ポリシー
特定のネットワーク セグメント( NetFlow 対応デバイスよってモニタされるネットワークを含む)に関してシステムが収集する ディスカバリ データの種類( ホスト、ユーザー、 アプリケーション データなど)を指定する ポリシー。ネットワーク検出ポリシーは、 ID の競合の解決設定、 アクティブ検出のソースの優先度、および 侵害の痕跡も管理します。
ハイ アベイラビリティ
デバイスのグループを管理するために、冗長物理 ヘルス イベントを設定することができる機能。管理対象デバイスから両方の防御センターへのイベント データ ストリームとほとんどの設定要素は、両方の防御センターで維持されます。プライマリ防御センターに障害が発生した場合は、セカンダリ防御センターを使用して中断なくネットワークをモニタできます。冗長デバイスを指定できる クラスタリングと比較してください。
廃棄ルール
ルール状態が [Drop and Generate Events] に設定された 侵入ルール。悪質なパケットによって インライン展開のルールがトリガーとして使用された場合、ユーザが 適用した 侵入ポリシーが [Drop When Inline] に設定されていれば、システムはそのパケットをドロップし、 侵入イベント(具体的には、 ドロップ イベント)を生成します。
ハイブリッド インターフェイス
仮想ルータ 仮想スイッチの間でのトラフィックのブリッジを可能にする管理対象 デバイス上の 論理インターフェイス
派生フィンガープリント
システムにより、パッシブに収集された ホストのフィンガープリントから作成されるオペレーティング システムの フィンガープリント。収集された各フィンガープリントの信頼値と ID 間の裏付けとなるフィンガープリント データの量を使用して最も可能性の高い ID を計算する式を適用することにより作成されます。
バイパス モード
インライン セット センシング インターフェイスが何らかの理由で失敗し場合に、トラフィックをブロックするインライン セットの特性。
バナー
サーバ バナーを参照してください。
パケット ビュー
侵入ルールをトリガーしたパケット、または 侵入イベントを生成した プリプロセッサに関する詳細情報を提供する、 ワークフロー ページの 1 つの種類。パケット ビューは、侵入イベントに基づく ワークフローの最後のページです。
パス ルール
トリガーとして使用されたときに、 侵入イベントを生成 せず 、またルールをトリガーしたパケットの詳細を記録 しない 侵入ルール。侵入ルールを無効にする代わりに、パス ルールを使用することによって、特定の状況で特定の基準を満たすパケットがイベントを生成しないようにできます。 廃棄ルールと比較してください。
パッシブ インターフェイス
パッシブ展開でトラフィックを分析するように設定された センシング インターフェイス
パッシブ検出
管理対象 デバイスによってパッシブに収集されたトラフィックの分析による ディスカバリ データのコレクション。 アクティブ検出と比較してください。
非アクセス制御ユーザ
ユーザ エージェントまたは管理対象 デバイスのいずれかによって検出された、 アクセス制御には使用されないユーザ。非アクセス制御ユーザは、ホストにログインしている アクセス制御ユーザがいない場合のみ、その ホスト 現在のユーザになることができます。
非アクティブな期間
相関ルールがトリガーとして使用されない間隔。非アクティブな期間の時間、頻度、および期間を設定できます。 スヌーズ期間も参照してください。
標準テキスト ルール
ルール エディタで使用可能な ID、キーワード、および引数に基づいて作成された 侵入ルール。独自のカスタム 標準テキスト ルールを作成したり、シスコが提供する標準テキスト ルールを変更したりできます。標準テキスト ルールの GID (ジェネレータ ID)は 1 です。
ビジネスとの関連性
アプリケーションが、娯楽目的ではなく、組織の事業運営のコンテキスト内でが使用される可能性。アプリケーションのビジネスとの関連性は、Very Low から Very High までの範囲です。
ファイル イベント
管理対象 デバイスによってネットワーク トラフィックで検出されるファイルを表す イベント
ファイル カテゴリ
グラフィック、実行可能ファイル、アーカイブなど、 ファイル タイプの一般的な分類。
ファイル キャプチャ
キャプチャされたファイルを参照してください。
ファイル ストレージ
保存済みファイルを参照してください。
ファイル タイプ
PDF、EXE、MP3 などのファイル形式の特定のタイプ。
ファイル ポリシー
ファイル制御および 高度なマルウェア対策を実行するためにシステムによって使用される ポリシー ファイル ルールが組み込まれたファイル ポリシーは、 アクセス コントロール ポリシー内の アクセス コントロール ルールによって呼び出されます。
ファイル リスト
クリーン リストおよび カスタム検出リストを参照してください。
ファイル ルール
ネットワーク トラフィックを調べるために、FireSIGHT システムが使用する ファイル ポリシー内の一連の基準。送信されたファイルがルールの基準と一致した場合、ルールがトリガーとして使用され、 ファイル イベントが生成されます。ルールの ファイル ルール アクションによって、( ファイル タイプまたは マルウェア処理に基づいて)ファイルをブロックするか、単純にファイルを通過させてログに送信の記録をするかが決定されます。
ファイル ルール アクション
システムが ファイル ルールの条件を満たすファイルをどのように処理するかを決定する設定。特定の ファイル タイプを検出してそれについてのアラートを出すことや、それらのファイルの送信をブロックすることができます。これらのファイル タイプのサブセットで マルウェア クラウド ルックアップを実行することも、 マルウェア処理に基づいてこれらのファイルの送信をブロックすることもできます。
ファイル処理
マルウェア処理を参照してください。
ファイル制御
ネットワークを通過できるファイル タイプを指定したり、ログに記録したりすることができる、 アクセス制御の一環を成す機能。
ファイル伝搬経路
フィード
フィンガープリント
ホストのオペレーティング システムを識別するために、システムが特定のパケット 見出し値やネットワーク トラフィックのその他の固有データと比較する確立された定義。システムがホストのオペレーティング システムを誤って識別したり、識別できなかったりする場合は、ホストを識別するカスタム フィンガープリントを作成できます。
フェールセーフ
内部トラフィック バッファがいっぱいになった場合に、パケットが処理をバイパスして、その デバイスの終わりまで続行することを可能にする インライン セットの特性。
複雑な制約
特定のイベントのすべての条件を使用してイベントのクエリを制約する イベント ビューまたはイベント検索の制約セット。
不明なホスト
システムによってトラフィックが分析されたが、既知のどの フィンガープリントにもオペレーティング システムが一致しない ホスト 未確認ホストと比較してください。
ブックマーク
イベント分析の特定の場所と時間への保存されたリンク。ブックマークは、使用している ワークフロー、表示しているワークフローの一部、表示しているワークフロー内のページ数、選択した 時間枠、無効にした列、および課した制約に関する情報を保持します。
物理インターフェイス
NetMod の物理ポートを表すインターフェイス。
ブラックリスト
プライベート検索
ユーザ アカウントに関連付けられた特定のテーブルの検索基準の名前付きセット。ユーザ自身か管理者アクセス権を持つユーザのみがそのユーザのプライベート検索を使用できます。
プリプロセッサ
侵入ポリシーによって検査されたトラフィックを正規化する機能。この機能はまた、不適切な見出し オプションの識別、IP データグラムの最適化、TCP ステートフル インスペクションとストリーム リアセンブルの提供、およびチェックサムの検証によって、ネットワーク層プロトコルおよびトランスポート層プロトコルの異常を識別するのに役立ちます。プリプロセッサは、特定の種類のパケット データを、システムが分析できる形式に変換することもできます。これらのプリプロセッサは、データ正規化のプリプロセッサ、またはアプリケーション層プロトコル プリプロセッサと呼ばれます。アプリケーション層プロトコルのエンコードを正規化することによって、システムは、データの表し方が異なる複数のパケットに同一のコンテンツ関連侵入ルールを適用し、有意義な結果を得ることができます。プリプロセッサは、パケットがユーザが設定したプリプロセッサ オプションをトリガーとして使用するたびに、 プリプロセッサ イベントを生成します。
プリプロセッサ イベント
パケットが指定された プリプロセッサ オプションをトリガーとして使用すると生成される 侵入イベントの 1 つの種類。プリプロセッサ イベントは、異常なプロトコルのエクスプロイトを検出するのに役立ちます。
プリプロセッサ ルール
プリプロセッサまたはポートスキャン フロー ディテクタと関連付けられた 侵入ルール。これらに イベントを生成させる場合、プリプロセッサ ルールを有効にする必要があります。プリプロセッサ ルールには、プリプロセッサ固有の GID (ジェネレータ ID)があります。
ヘルス イベント
展開内のいずれかの アプライアンス ヘルス モジュールで指定されたパフォーマンス基準を満たす(または満たしていない)ときに生成される イベント。ヘルス イベントは、 アラートを生成することもできます。
ヘルス ポリシー
展開内の アプライアンスのヘルスを検査するときに使用される基準。ヘルス ポリシーは、 ヘルス モジュールを使用して、FireSIGHT システムのハードウェアおよびソフトウェアが正しく動作しているかどうかを示します。デフォルトのヘルス ポリシーを使用するか、独自のヘルス ポリシーを作成できます。
ヘルス モジュール
展開内の アプライアンスの特定のパフォーマンスの側面(CPU 使用率や使用可能なディスク領域)のテスト。 ヘルス ポリシーでユーザが有効にするヘルス モジュールは、ユーザがモニタするパフォーマンスの側面が特定のレベルに達した場合に、 ヘルス イベントを生成します。
ヘルス モニタ
展開内の アプライアンスのパフォーマンスを継続的にモニタする機能。ヘルス モニタは、適用された ヘルス ポリシー内の ヘルス モジュールを使用して、アプライアンスをテストします。
ヘルス モニタ ブラックリスト
不要な ヘルス イベントの生成を防止するためにヘルス モニタリングの側面を一時的に無効にする設定。 アプライアンスのグループ、単一アプライアンス、または特定の ヘルス モジュールのモニタリングを無効にできます。
変更調整レポート
過去 24 時間に行われたシステム変更すべての詳細レポート。新しい設定が保存されるたびに作成されるスナップショットに基づきます。毎日指定した時間に、それらのレポートを電子メールで送信するようにシステムを設定できます。
変数
侵入ルールで一般的に使用される値の表現。FireSIGHT システムは、事前定義された変数を使用して、ネットワークとポート番号を定義します。複数のルールでこれらの値をハードコーディングするのではなく、ルールを調整してネットワーク環境を正確に反映するようにするため、変数の値を変更できます。
変数セット
ネットワーク トラフィックに厳密に一致するように、侵入ポリシーで有効にする 侵入ルールを調整する目的で、 アクセス コントロール ルールまたは アクセス コントロール ポリシー デフォルト アクションに関連付けられた 侵入ポリシーにリンクできる 変数設定のコレクション。
保護されたネットワーク
ファイアウォールなどのデバイスによって他のネットワーク ユーザから保護された組織の内部ネットワーク。FireSIGHT システムによって提供される 侵入ルールの多くは、 変数を使用して保護されたネットワークと保護されていない(または外部)ネットワークを定義します。
ホスト
ネットワークに接続され、一意の IP アドレスを持つデバイス。FireSIGHT システムでは、ホストは、 モバイル デバイス、ブリッジ、 ルータ NAT デバイス、または ロード バランサとしては分類されない、識別されたホストを指します。
ホスト ビュー
ディスカバリ イベントまたはネットワーク資産を表示する ワークフローの最後のページ。ホスト ビューは、表示しているイベントや資産に関連する ホスト ホスト プロファイルを表示します。
ホスト プロファイル
特定の検出された ホストに関する収集された情報。これには、ホストの名前やオペレーティング システム、またホストで実行されているプロトコルや アプリケーションなどの ホストに関する一般情報が含まれます。ホスト プロファイルには、そのホストに関する ユーザ履歴 ホスト属性 VLAN 情報、該当する ホワイトリスト違反、検出された脆弱性、およびスキャン結果も含まれる場合があります。
ホスト プロファイル条件
トラフィック プロファイルまたは 相関ルールで設定される制約。相関ルール内のホスト プロファイル条件は、 ホストが特定の基準を満たす場合のみ、 ヘルス イベント 相関イベントを生成することを指定します。トラフィック プロファイル内のホスト プロファイル条件は、プロファイルが作成されるホストを制限します。
ホストの重要度
システムによって検出される特定の ホストのビジネス重要度(重要性)を示す ホスト属性
ホスト属性
システムで検出される ホストに関する情報を提供し、ネットワーク環境で重要になる方法でそれらのホストを分類するために使用できるツール。システムには、2 種類の事前定義されたホスト属性( ホストの重要度とメモ)と、それぞれのアクティブな コンプライアンス ホワイトリストとの各ホストのコンプライアンスを示すホスト属性があります。独自のホスト属性を作成することもできます。
ホスト入力
ネットワーク マップの情報を補強するために、スクリプトまたはコマンド ライン ファイルを使用して、サードパーティ ソースからデータを インポートすることができる機能。Web インターフェイスは、いくつかのホスト入力機能を提供します。オペレーティング システムや アプリケーション プロトコル ID の変更、脆弱性の有効化または無効化、ネットワーク マップからのさまざまな項目( クライアント サーバのポートなど)の削除を実行できます。
ホスト入力イベント
ホスト入力機能を使用するときに生成される、 ディスカバリ イベントの一種。ホスト入力イベントとパッシブ ディスカバリ イベントは 相関ルールを作成するときには区別されますが、通常は、これらのイベントは同じように処理されます。
ホスト履歴
ユーザ アクティビティの過去 24 時間のグラフィカル表現。ユーザの ユーザ詳細で表示できるホスト履歴には、棒グラフで表わされるおおよそのログインおよびログアウトの時間とともに、ユーザがログインした ホストの IP アドレスが表示されます。
保存済みファイル
デバイスのハード ドライブまたは マルウェアのストレージ パック(インストールされている場合)に保存された キャプチャされたファイル。保存済みファイルは後でダウンロードし、分析することができます。
保留中(アプリケーション プロトコル)
システムがアプリケーション プロトコルを肯定的にも否定的にも識別できないときに アプリケーション プロトコル ID に与えられる設定。多くの場合、システムが保留中のアプリケーション プロトコルを識別するには、より多くのデータを収集して分析する必要があります。
ホワイトリスト
修復で、ある種のアクションから IP アドレスを除外するために設定できる コンプライアンス ホワイトリスト セキュリティ インテリジェンス ホワイトリスト HA リンク インターフェイス、または IP アドレスのリスト。
ホワイトリスト イベント
有効な対象ホストが コンプライアンス ホワイトリストに準拠しなくなったことをシステムが検出したときに生成される イベント。ホワイトリスト イベントは、特殊な 相関イベントです。
ホワイトリスト違反
ホストが コンプライアンス ホワイトリストにどのように準拠していないか詳細を示す、 イベント ビューアで確認できる情報。
防御センター
デバイスを管理し、それらが生成した イベントを自動的に集約し、関連付けることができる一元管理ポイント。
ポート オブジェクト
トランスポート層プロトコル(TCP、 UDP、ICMP など)を使用するオープン ポートを表す再利用可能な オブジェクト
ポリシー
ポリシー ターゲット
ポリシー 適用する アプライアンスまたは ゾーン。ポリシーは、複数のターゲットを持つ場合があります。
マルウェア イベント
シスコの 高度なマルウェア対策ソリューションのいずれかによって生成される イベント。ネットワークベースのマルウェア イベントは、 Collective Security Intelligence クラウドがネットワーク トラフィックで検出されたファイルに対して マルウェア処理を返すと、生成されます。 レトロスペクティブ マルウェア イベントは、その処理が変更されたときに生成されます。展開された FireAMP コネクタ が脅威を検出したとき、マルウェア の実行をブロックしたとき、マルウェアを検疫したまたは検疫に失敗したときに生成される エンドポイントベースのマルウェア イベントと比較してください。
マルウェア クラウド ルックアップ
ファイルの SHA-256 ハッシュ値に基づいて、ネットワーク トラフィックで検出されたファイルの マルウェア処理を決定するために、 ヘルス イベント Collective Security Intelligence クラウドと通信するプロセス。
マルウェア ブロッキング
シスコのネットワークベースの 高度なマルウェア対策(AMP)ソリューションのコンポーネント。 マルウェア検出の結果として、検出されたファイルに対してマルウェアの 処理が示された場合や、検出されたファイルが カスタム検出リストにある場合に、ファイルをブロックしたり、ファイルのアップロードやダウンロードを許可したりできます。この機能を FireAMP FireAMP サブスクリプションを必要とするシスコのエンドポイントベースの AMP ツール)と比較してください。
マルウェアのストレージ パック
キャプチャされたファイルを保存すために特定の デバイスにインストールできるシスコが提供するセカンダリ ソリッド ステート ドライブ。これにより、 イベントおよび設定ストレージのためにデバイスのプライマリ ハード ドライブに空き領域が確保されます。
マルウェア検出
シスコのネットワークベースの 高度なマルウェア対策(AMP)ソリューションのコンポーネント。全体的な アクセス制御設定の一環で管理対象 デバイスに適用されたファイル ポリシーにより、ネットワーク トラフィックが検査されます。防御センターは、検出された特定の ファイル タイプについての マルウェア クラウド ルックアップを実行し、ファイルの マルウェア処理についてアラートするイベントを生成します。続いて AMP マルウェア ブロッキングが実行され、ファイルがブロックされるか、ファイルのアップロードまたはダウンロードが許可されます。この機能を FireAMP FireAMP サブスクリプションを必要とするシスコのエンドポイントベースの AMP ツール)と比較してください。
マルウェア処理
ファイルにマルウェアが含まれているかどうかについての Collective Security Intelligence クラウド による判定。判定はファイルの SHA-256 ハッシュ値 脅威スコア、およびファイルが クリーン リストまたは カスタム検出リストのいずれにあるかに基づいて行われます。
マルウェア処理キャッシュ
ファイルの マルウェア処理および 脅威スコアを保存する防御センターのキャッシュ。パフォーマンスの向上のために、システムがすでに SHA-256 ハッシュ値に基づいてファイルの処理または脅威スコアを認識している場合、防御センターは マルウェア クラウド ルックアップを実行する代わりにキャッシュ情報を使用します。特定の期間が経過したら、キャッシュの情報がタイムアウトすることにより、キャッシュ データが古くならないようになっています。
マルウェア対策
高度なマルウェア対策を参照してください。
未確認ホスト
システムがホストに関する十分な情報をまだ収集していないため、オペレーティング システムを識別できない ホスト 不明なホストと比較してください。
モニタ
アクセス コントロール ポリシーで、 セキュリティ インテリジェンス ブラックリストまたは アクセス コントロール ルールに一致するトラフィックをログに記録する方法。この方法では、トラフィックをすぐに許可したりブロックしたりせずに、システムに引き続きトラフィックの評価を続行させます。
モバイル デバイス
FireSIGHT システムにおける、 ディスカバリ機能によってモバイルまたはハンドヘルド デバイスとして識別される ホスト(携帯電話やタブレットなど)。多くの場合、システムは、モバイル デバイスがジェイルブレイクされているかどうかを検出できます。
ユーザ
管理対象 デバイスまたは ユーザ エージェントによってネットワーク アクティビティが検出されたユーザ。
ユーザ ID
ユーザを参照してください。
ユーザ アクティビティ
システムがユーザ ログイン(オプションで、失敗したログイン試行を含めることができます)または ヘルス イベント データベースのユーザ レコードの追加または削除を検出したときに生成される イベント
ユーザ エージェント
ユーザがネットワークにログインする際、またはその他の理由で Active Directory 資格情報に対して認証する際に、ユーザをモニタするために サーバにインストールするエージェント。 アクセス制御ユーザによるアクティビティは、ユーザ エージェントによって報告される場合のみ、 アクセス制御に使用されます。
ユーザ レイヤ
ポリシーの設定を変更できる 侵入ポリシー レイヤ
ユーザ ロール
FireSIGHT システムのユーザに付与されたアクセス レベル。たとえば、 イベント アナリスト、FireSIGHT システムを管理する管理者、サードパーティ製ツールを使用して ヘルス イベント データベースにアクセスするユーザなどのために、Web インターフェイスへの異なるアクセス権限を付与できます。また、特殊なアクセス権限を持つカスタム ロールを作成することもできます。
ユーザ ロール エスカレーション
カスタム ユーザ ロールに付与すると、ログイン セッション中に、ユーザーがパスワードを入力して別の ユーザ ロールの権限を取得することが可能になる特権。
ユーザ詳細
ユーザ ID および ユーザ アクティビティ ワークフローの最後のページ。ユーザの詳細には、ユーザに関する一般情報とともに、 ホスト履歴も表示されます。これは、ユーザ アクティビティの過去 24 時間のグラフィカル表現です。
ユーザ証明書
FireSIGHT システム Web サーバに対してユーザのブラウザを識別する暗号化された証明書。サーバでユーザ ID のセカンダリ検証を実行できるようにします。証明書は、アプライアンスの サーバ証明書を発行したのと同じ 認証局によって発行される必要があります。
ユーザ制御
ネットワークに出入りしたり、ネットワーク内部を横断したりできるユーザ関連トラフィックを指定したり、ログに記録したりすることができる、 アクセス制御の一環を成す機能。
ユーザ認識
組織が脅威、エンドポイント、ネットワーク インテリジェンスを ユーザ ID 情報に関連付けることができる機能。また、この機能によって ユーザ制御を実行することができます。
ユーザ履歴
ホストに関する ユーザ アクティビティの過去 24 時間のグラフィカル表現。ホストの ホスト プロファイルに表示されるユーザ履歴には、棒グラフで表されるおおよそのログインおよびログアウトの時間とともに、そのホストにログインしたことが検出されたユーザのユーザ名が表示されます。
ユニファイド ファイル
イベント データをログに記録するため FireSIGHT システムが使用するするバイナリ ファイル形式。
抑制
イベント抑制を参照してください。
リスク
アプリケーション リスクを参照してください。
リスト
リンク ステートの伝達
インライン セットのインターフェイスの 1 つが停止したときに、ペアの 2 番目のインターフェイスを自動的に停止させる、バイパス モードの インライン セットのオプション。停止したインターフェイスが再び起動すると、もう一方のインターフェイスも自動的に起動します。つまり、ペアにされたインターフェイスのリンク ステートが変更されると、その状態と一致するように他方のインターフェイスのリンク ステートが自動的に変更されます。
ルータ
ゲートウェイに配置され、ネットワーク間のパケットを転送する ネットワーク デバイス ネットワーク検出を使用することで、システムはルータを識別できます。また、管理対象 デバイスを 2 つ以上のインターフェイス間のトラフィックをルーティングする 仮想ルータとして設定できます。
ルーテッド インターフェイス
レイヤ 3 展開でトラフィックをルーティングするインターフェイス。タグなし VLAN トラフィックを処理するための物理ルーテッド インターフェイスと、VLAN タグが指定されたトラフィックを処理するための論理ルーテッド インターフェイスを設定できます。また、静的なアドレス解決プロトコル(ARP)エントリをルーテッド インターフェイスに追加することもできます。
ルール
ネットワーク トラフィックを検査する際に照らし合わせる基準となる、通常 ポリシー内に存在する構成要素。
ルール アクション
システムがルールの条件を満たすネットワーク トラフィックをどのように処理するかを決定する設定。 アクセス コントロール ルール アクションおよび ファイル ルール アクションを参照してください。
ルール更新
必要に応じた 侵入ルールの更新。新規および更新された 標準テキスト ルール 共有オブジェクト ルール、およびプリプロセッサ ルールも含まれます。ルール更新では、ルールの削除、侵入ポリシーのデフォルト設定の変更、デフォルト変数やルール カテゴリの追加や削除が実行されることもあります。
ルール状態
侵入ポリシー内で 侵入ルールが有効([Generate Events] または [Drop and Generate Events] に設定されている)か、無効([Disable] に設定されている)かを示します。ルールを有効にすると、そのルールはネットワーク トラフィックを評価するために使用されます。ルールを無効にすると、そのルールは使用されません。
レート フィルタリング
一致したトラフィック レートに基づいて、ルールの新しい 侵入ルール状態を設定する異常検出の形式。
レイヤ
侵入ポリシー内の 侵入ルール プリプロセッサ ルール、および 詳細設定からなる設定一式。 組み込み レイヤまたはポリシー内のレイヤにカスタム ユーザ レイヤを追加できます。侵入ポリシーの上位レイヤの設定は、下位レイヤの設定をオーバーライドします。
レトロスペクティブ マルウェア イベント
以前に検出されたファイルの マルウェア処理が変更されると生成されるネットワークベースの マルウェア イベント。このイベントが発生すると、システムは、そのレトロスペクティブ イベントの SHA-256 ハッシュ値を共有するファイルやマルウェアの処理も更新します。
レポート テンプレート
レポートおよびそのセクションに対してデータの制約と形式を指定するテンプレート。
ロード バランサ
パフォーマンスとリソース使用を最適化するためにトラフィックを配信する ネットワーク デバイス ディスカバリを使用することで、システムは ロード バランサを識別できます。
論理インターフェイス
タグ付きトラフィックが 物理インターフェイスを通過する際に、特定の VLAN タグを持つトラフィックを処理するために定義する仮想サブインターフェイス。
ワークフロー
イベント データの幅広いビューから、ユーザが関心のあるイベントだけが含まれた、より的が絞られたビューに移動することで、 イベントを表示および評価するためにユーザが使用できる一連のページ。ワークフローには、それぞれが固有の機能を実行する 3 種類のページ( ドリルダウン ページ テーブル ビュー、および最終ページ)を含めることができます。ワークフローの種類に応じて、最後のページは、 テーブル ビュー 非保留中(アプリケーション プロトコル) ホスト ビュー 脆弱性の詳細 ユーザ詳細のいずれかになることが考えられます。