FireSIGHT システム インストレーション ガイド
用語集
Glossary
発行日;2015/05/23 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

Glossary

7000 シリーズ
シリーズ 3 FirePOWER 管理対象デバイスのグループ。このシリーズのデバイスには、70xx ファミリ(3D7010、3D7020、3D7030、3D7050 モデル)と 71xx ファミリ(3D7110、3D7115、3D7120、3D7125、AMP7150 モデル)が含まれます。
8000 シリーズ
シリーズ 3 FirePOWER 管理対象デバイスのグループ。このシリーズのデバイスには、81xx ファミリ(3D8120、3D8130、3D8140、AMP8150 モデル)、82xx ファミリ(3D8250、3D8260、3D8270、3D8290 モデル)、および83xx ファミリ(3D8350、3D8360、3D8370、3D8390 モデル)があります。8000 シリーズ デバイスは、一般的に 7000 シリーズ デバイスよりも高性能です。
ASA FirePOWER
Cisco ASA with FirePOWER Services
Cisco Adaptive Security Appliance (ASA) 管理対象デバイスのグループ。このシリーズのデバイスには、ASA5506-X、ASA5512-X、ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X、ASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40、および ASA5585-X-SSP-60 のモデルが含まれます。
CLI
Context Explorer
LDAP 認証 Context Explorer、ファイル、 位置情報、マルウェア、および ディスカバリ ポリシーを使用して、監視対象ネットワークに関する詳細でインタラクティブなグラフィカル情報を表示するページ。個々のセクションには、詳細なリストとともに鮮明な折れ線グラフ、棒グラフ、円グラフ、およびドーナツ グラフの形式で情報が表示されます。分析を調整するためにカスタム フィルタを容易に作成および適用できます。また、グラフ エリアをクリックするかまたはカーソルを置くと、データ セクションの詳細を確認できます。細かいカスタマイズが可能であり、区分化されており、リアルタイムで更新される ダッシュボードと比較。Context Explorer は手動で更新され、データのより幅広いコンテキストを提供することを目的としており、アクティブなユーザ操作のために単一で一貫性のあるレイアウトを備えています。
Control ライセンス
ユーザや アプリケーション制御の条件を アクセス制御ルールに追加することによって、 ユーザ制御 アプリケーション制御を実装することを許可するライセンス。また、管理対象 クラスタリングのスイッチング、ルーティング(DHCP リレーや NAT)、およびクラスタリングを実行するように、管理対象 デバイスを設定することもできるようになります。
eStreamer
防御センターまたは管理対象 デバイスから外部 クライアント アプリケーション イベント データをストリーミングできるようにする FireSIGHT システムのコンポーネント。
FireAMP コネクタ
サブスクリプションベースの FireAMP 展開のユーザがコンピュータやモバイル デバイスなどの エンドポイントにインストールする軽量のエージェント。コネクタは シスコ クラウドと通信し、情報を交換します。これにより、組織全体でマルウェアを迅速に特定して検疫できます。
FireAMP サブスクリプション
組織が FireAMP 高度マルウェア防御(AMP)ソリューションとして使用できるようにする個別購入サブスクリプション。ネットワークベースの AMP を実行するために管理対象 デバイスで有効にする マルウェア ライセンスと比較してください。
FireAMP ポータル
組織のサブスクリプション ベースの FireAMP 展開環境を設定できる Web サイト( http://amp.sourcefire.com/ )。
FireAMP
シスコ のエンタープライズ クラスの エンドポイントをベースとした高度なマルウェア分析およびマルウェア対策ソリューション。マルウェアの感染、継続的に発生する脅威、標的型攻撃を検出、認識し、ブロックします。組織に FireAMP サブスクリプションがある場合、個々のユーザがエンドポイント(コンピュータ、モバイル デバイス)にインストールした軽量の FireAMP コネクタ シスコ クラウドと通信します。これにより、マルウェアを瞬時に識別して検疫するだけでなく、マルウェアの発生を識別し、その伝搬経路を追跡し、その影響を把握して、正常にリカバリする方法を知ることができます。また、FireAMP ポータルを使用して、カスタムの対策を作成し、特定のアプリケーションの実行をブロックし、カスタム ホワイトリストを作成できます。ネットワーク ベースの 高度マルウェア防御と比較。
FireSIGHT ライセンス
防御センターのデフォルト ライセンス。これにより、 ホスト アプリケーション制御、およびユーザ ディスカバリを実行できます。FireSIGHT ライセンスは、 防御センターとその管理対象 デバイスを使用してモニタ可能な個別の ホストとユーザの数だけでなく、 アクセス制御ルール ユーザ制御を実行するために使用可能なアクセス制御ユーザの数も決定します。
GeoDB
位置情報データベースを参照してください。
LDAP 認証
ユーザ資格情報を、Lightweight Directory Access Protocol(LDAP)ディレクトリ サーバに保存されている LDAP ディレクトリと比較して、その資格情報を検証する外部認証方式。
Lights Out Management(LOM)
アウトバンド Serial over LAN (SOL)管理接続を使用することにより、アプライアンスの Web インターフェイスにログインせずに、 アプライアンスをリモートでモニタまたは管理することができる シリーズ 3 の機能。シャーシのシリアル番号の確認や、ファンの速度や温度などの状態の監視などの限られたタスクを実行できます。
NAT ポリシー
NAT ルールを使用して NAT によるルーティングを実行するポリシー。
NAT
ネットワーク アドレス変換。プライベート ネットワーク上の複数の ホストで単一のインターネット接続を共有するために最も一般的に使用される機能。 ディスカバリを使用することで、システムは ネットワーク デバイス 論理インターフェイスとして識別できます。また、FireSIGHT システム のレイヤ 3 展開環境では、 NAT ポリシーを使用して NAT でルーティングを設定できます。
NetMod
管理対象 デバイスのシャーシにインストールするモジュール。これには、そのデバイスの センシング インターフェイスが含まれます。
RADIUS 認証
Remote Authentication Dial In User Service。ネットワーク リソースへのユーザ アクセスの認証、認可、およびアカウンティングに使用されるサービスです。FireSIGHT システム ユーザが RADIUS サーバを介して認証できるように、外部認証オブジェクトを作成できます。
Security Intelligence フィード
Security Intelligence オブジェクトのタイプの 1 つで、システムが定期的または設定した間隔でダウンロードする IP アドレスの動的なコレクション。フィードは定期的に更新されるため、フィードを使用することで、システムが Security Intelligence 機能を使用したネットワーク トラフィックのフィルタリングに最新の情報を使用することが保証されます。 シスコ インテリジェンス フィードも参照してください。
Security Intelligence リスト
防御センターに Security Intelligence オブジェクトとして手動でアップロードする IP アドレスのシンプルで静的なコレクション。このリストは、 Security Intelligence フィードだけでなく、グローバル ブラックリストとグローバル ホワイトリストも拡張または最適化するために使用します。
Security Intelligence
送信元または宛先の IP アドレスに基づいて、 アクセス制御ポリシーごとにネットワークを通過できるトラフィックを指定できる機能。これは、トラフィックが アクセス制御ルールによって分析される前に、特定の IP アドレスをブラックリストに登録する(この IP アドレスを宛先または送信元するトラフィックを拒否する)場合に特に便利です。オプションで Security Intelligence フィルタリングに モニタ設定を使用できます。これにより、システムはブラックリストに追加される可能性がある接続を分析でき、また一致がブラックリストに記録されます。
SFP モジュール
71xx ファミリ デバイスのネットワーク モジュールに挿入される小型フォーム ファクタ トランシーバ。SFP モジュールのセンシング インターフェイスでは 設定可能なバイパスは許可されていません。
URL カテゴリ
URL の一般的な分類(マルウェア、ソーシャル ネットワーキングなど)。
URL フィルタリング ライセンス
URL カテゴリと URL レピュテーション情報に基づいて URL フィルタリングを実行できるようにするライセンス。URL フィルタリング ライセンスは期限が切れることがあります。
URL フィルタリング
防御センターによって シスコ クラウドから取得された URL の URL カテゴリと URL レピュテーション情報と相関がある、モニタ対象ホストから要求された URL に基づいてネットワーク上を伝送可能なトラフィックを決定する アクセス制御ルールを作成するための機能。許可またはブロックする個々の URL または URL のグループを指定することで、Web トラフィックに対するきめの細かいカスタム コントロールを実現できます。
UTC 時間
協定世界時。UTC は世界のあらゆる場所で共通の標準時間です。グリニッチ標準時(GMT)とも呼ばれます。FireSIGHT システム は UTC を使用しますが、[Time Zone] 機能を使用して現地時間を設定することもできます。
VDB
脆弱性データベースを参照してください。
VLAN
仮想ローカル エリア ネットワーク VLAN では、地理的な場所ではなく、部門や主な用途などの基準に基づいてホストがマッピングされます。監視対象ホストのホスト プロファイルには、ホストに関連付けられているすべての VLAN 情報が示されます。VLAN 情報は、イベントをトリガーしたパケット内の最も内側の VLAN タグとして、 侵入イベントにも含まれています。VLAN に基づいて侵入ポリシーをフィルタリングしたり、VLAN でコンプライアンス ホワイトリストを対象にしたりできます。レイヤ 2 およびレイヤ 3 の展開では、VLAN のタグが付けられたトラフィックを適切に処理するように、管理対象 デバイス 仮想スイッチおよび 仮想ルータを設定できます。
[VPN] ライセンス
シスコ 管理対象デバイス上の 仮想ルータ間または管理対象デバイスからリモート デバイスや他のサードパーティ製 VPN エンドポイントまでのセキュアな [VPN] トンネルを構築するためのライセンス。
[VPN]
シスコ 管理対象デバイス上の 仮想ルータ間または管理対象デバイスからリモート デバイスや他のサードパーティ製 VPN エンドポイントまでのセキュアな [VPN] トンネルを構築するための機能。
VRT
シスコ VRTを参照してください。
Web アプリケーション
HTTP トラフィックの内容または HTTP トラフィックに対して要求された URL を表す アプリケーション制御 タイプ。
アクセス コントロール
ネットワークを通過できるトラフィックの指定、検査、記録を可能にする FireSIGHT システム の機能。アクセス制御には、 侵入検知と防御 ファイル制御 高度マルウェア防御の各機能が含まれます。またアクセス制御によって、 ディスカバリ機能を使用して検査できるトラフィックが決定されます。
アクセス リスト
アプライアンスにアクセス可能な ホストを表す IP アドレスのリスト。 システム ポリシーで設定されます。デフォルトでは、すべてのユーザがポート 443(HTTPS)を使用してアプライアンスの Web インターフェイスにアクセスでき、ポート 22(SSH)を使用してコマンドラインにアクセスできます。また、ポート 161 を使用する SNMP アクセスを追加できます。
アクセス制御ポリシー
管理対象 デバイスがモニタするネットワーク トラフィックに対して アクセス コントロールを実施するために、それらのデバイスに 適用する ポリシー。アクセス コントロール ポリシーには、複数の アクセス制御ルールが含まれる場合があります。これらのルールの基準を満たさないトラフィックの処理とロギングは、同じくアクセス コントロール ポリシーによって指定される デフォルト アクションによって決定されます。アクセス制御ポリシーは、HTTP 応答ページ( Security Intelligence)とその他の詳細設定も指定できます。
アクセス制御ルール
FireSIGHT システムが監視対象ネットワーク トラフィックの検査に使用する一連の条件。これらを使用することで、きめ細かな アクセス コントロールが可能になります。 アクセス制御ポリシーに組み込まれるアクセス コントロール ルールは、簡単な IP アドレスのマッチングを実行したり、各種のユーザ Context Explorer、ポート、URL が関係する複雑な アプリケーション制御の特性を示したりすることがあります。アクセス制御ルール アクションは、ルールの条件を満たすトラフィックをシステムがどのように処理するかを決定します。その他のルール設定により、接続をログに記録する方法(およびログに記録するかどうか)と、 侵入ポリシーまたは ファイル ポリシーが一致するトラフィックを検査するかどうかが決定します。
アプライアンス
防御センターまたは管理対象 デバイス。物理アプライアンスと仮想アプライアンスがあります。
アプリケーション プロトコル
サーバとホスト上の クライアント アプリケーションの間の通信で検出されたアプリケーション プロトコル トラフィックを表す アプリケーション制御のタイプ(例:SSH、HTTP など)。
アプリケーション制御
アクセス コントロールの一部として、どの アプリケーション制御 トラフィックがネットワークを通過可能であるかどうかを指定できる機能。
アプリケーション
作成する アクセス制御ルールの対象にできる、検出されたネットワーク資産、通信手段、または HTTP コンテンツ。システムは、 アクセス コントロール クライアント アプリケーション Web アプリケーションの 3 種類のアプリケーションを検出します。
アラート
システムが特定の イベントを生成したことを示す通知。アラートは、特定の アクセス制御ルールによってログに記録された 侵入イベント(影響フラグを含む)、検出イベント、 マルウェア イベント、相関ポリシー違反、ヘルス ステータスの変化、および Context Explorerに基づいて通知できます。ほとんどの場合、電子メール、syslog、SNMP トラップによりアラートを発行できます。
位置情報データベース
GeoDB とも呼ばれます。ルーティング可能な IP アドレスに関連付けられている既知の位置情報データが格納されており、定期的に更新されるデータベースです。
位置情報
監視対象ネットワークのトラフィックで検出されたルーティング可能な IP アドレスの位置情報ソースに関するデータ(接続タイプ、インターネット サービス プロバイダなど)を提供する機能。ジオロケーション データベース、接続イベント、 侵入イベント、ファイル イベント、および マルウェア イベントだけでなく、ホスト プロファイルに保存されたジオロケーション情報も表示できます。
イベント
ワークフローを使用してイベント ビューアで表示できる特定の発生事象に関する詳細の集合。イベントは、ネットワークに対する攻撃、検出されたネットワーク資産の変更、組織のセキュリティおよびネットワーク使用ポリシーの違反などを表します。システムは、 アプライアンスのヘルス ステータスの変更、Web インターフェイスの使用、オンライン変更のヘルス ステータス、 ルール更新、起動された 修復に関する情報を含むイベントも生成します。最後に、システムはその他の特定情報をイベントとして示しますが、このような「イベント」が特定の発生事象を表していないこともあります。たとえば、イベント ビューアを使用して、検出された ホスト アプリケーション制御、およびそれらの脆弱性に関する詳細情報を表示することができます。
イベント ストリーマ
eStreamerを参照してください。
イベント トラフィック チャネル
トラフィック チャネルを参照してください。
イベント ビューア
イベントを表示したり、処理したりできるシステムのコンポーネント。イベント ビューアでは、ワークフローを使用して幅広いイベント ビューが示され、さらに目的のイベントのみを表示する絞り込まれたイベント ビューが表示されます。ワークフローをドリルダウンするか、または検索を使用して、イベント ビューのイベントを制限できます。
インポート
アプライアンス間で各種設定を転送するために使用できる手法。同じタイプの別のアプライアンスから以前にエクスポートした設定をインポートできます。
インライン インターフェイス
インライン展開でトラフィックを処理するように設定された センシング インターフェイス。インライン インターフェイスを インライン セットにペアで追加する必要があります。
インライン セット
インライン展開
管理対象 デバイスがネットワーク上にインラインで配置される FireSIGHT システムの展開。この設定では、デバイスはスイッチング、ルーティング、 アクセス コントロール、および 侵入検知と防御を使用するネットワーク トラフィック フローに影響することがあります。
ウィジェット
ダッシュボード ウィジェットを参照してください。
エンドポイント
ユーザが組織の 高度マルウェア防御戦略の一環として FireAMP コネクタをインストールするコンピュータまたはモバイル デバイス。
カスタム ユーザ ロール
特殊なアクセス特権が付与されている ユーザ ロール。カスタム ユーザ ロールには一連のメニュー ベースのアクセス許可およびシステム アクセス許可を含めることができます。またカスタム ユーザ ロールは完全に独自に作成されるか、または事前定義ユーザ ロールに基づいています。
仮想スイッチ
ネットワークを通過するインバウンドおよびアウトバウンドのトラフィックを処理する スイッチド インターフェイスのグループ。レイヤ 2 展開では、論理セグメントにネットワークを分割しながら、スタンドアロン ブロードキャスト ドメインとして機能するように管理対象 デバイスで仮想スイッチを設定できます。仮想 URL カテゴリは、ホストからの Media Access Control(MAC)アドレスを使用してパケットの送信先を決定します。
仮想デバイス
仮想ホスティング環境の各自の機器に展開できる管理対象 デバイス。仮想デバイスを 仮想スイッチまたは 仮想ルータとして設定することはできません。
仮想防御センター
仮想ホスティング環境の各自の機器に展開できる 防御センター
仮想ルータ
レイヤ 3 トラフィックをルーティングする ルーテッド インターフェイスのグループ。レイヤ 3 展開環境では、宛先 IP アドレスに基づいてパケットの転送を決定してパケットをルーティングするように、仮想ルータを設定できます。スタティック ルートを定義し、Routing Information Protocol(RIP)および Open Shortest Path First(OSPF)ダイナミック ルーティング プロトコルを設定し、ネットワーク アドレス変換( NAT)を実装できます。
管理インターフェイス
FireSIGHT システム アプライアンスを管理するために使用するネットワーク インターフェイス。ほとんどの展開環境では、管理インターフェイスが内部 保護ネットワークに接続されます。 センシング インターフェイスと比較
管理対象デバイス
デバイスを参照してください。
管理トラフィック チャネル
トラフィック チャネルを参照してください。
クライアント アプリケーション
クライアントを参照してください。
クライアント
1 つの ホストで実行され、一部の操作を別のホスト( サーバ)で実行する アプリケーション制御。クライアント アプリケーションとも呼ばれます。たとえば、電子メール クライアントでは電子メールを送受信できます。システムは、あるホスト上のユーザが特定のクライアントを使用して別のホストにアクセスすることを検出すると、ホスト プロファイルおよび ネットワーク マップのその情報(クライアントの名前とバージョン(使用可能な場合)など)を報告します。
クラスタリング
2 つのピア シリーズ 3 デバイスまたはスタック間のネットワーキング機能と構成データの冗長性を実現可能にする機能。クラスタリングは、 ポリシーの適用、システムの更新、および登録のための 1 つの論理システムを提供します。冗長 防御センターの設定を可能にする ハイ アベイラビリティと比較してください。
高速パス ルール
限定された条件を使用して、分析の必要がないトラフィックが処理をバイパスできるように デバイスのハードウェア レベルで設定する Security Intelligence フィード
高度マルウェア防御
略語は AMP。FireSIGHT システム のネットワーク ベースの マルウェア検出および マルウェア クラウド検索機能です。 FireAMP サブスクリプションを必要とする シスコ のエンドポイント ベースの AMP ツールである FireAMP と比較。
コマンドライン インターフェイス
シリーズ 3 および仮想 デバイス上の制限されたテキストベースのインターフェイス。CLI ユーザが実行できるコマンドは、ユーザに割り当てられているアクセスのレベルによって異なります。
コンテキスト メニュー
FireSIGHT システム の他の機能にアクセスするためのショートカットとして使用できる、Web インターフェイスの多くのページで使用可能なポップアップ メニュー。このメニューの内容は、さまざまな要因(表示しているページ、調査対象データ、 ユーザ ロールなど)に応じて異なります。コンテキスト メニュー オプションには、 侵入ルール イベント、およびホスト情報へのリンク、さまざまな侵入ルール設定、Context Explorer へのクイック リンク、IP アドレスによるセキュリティ インテリジェンス グローバル ブラックリストまたはグローバル ホワイトリストをホストに追加するためのオプション、およびグローバル ホワイトリストに SHA-256 ハッシュ値を使用してファイルを追加するためのオプションがあります。
サーバ
アクセス コントロール トラフィックで識別される ホスト上にインストールされたサーバ アプリケーション制御 クライアント アプリケーションと比較)。
シスコ VRT
シスコ の脆弱性調査チーム。
シスコ インテリジェンス フィード
シスコ VRT によりレピュテーションが低いと判定される IP アドレスのリストの集合。リストは定期的に更新されます。フィードの各リストは特定のカテゴリ(オープン リレー、既知の攻撃者、偽の IP アドレス(bogon)など)を表します。 アクセス制御ポリシーでは、 Security Intelligence を使用して一部またはすべてのカテゴリのブラックリストを作成できます。インテリジェンス フィードは定期的に更新されるため、インテリジェンス フィードを使用することで、システムがネットワーク トラフィックのフィルタリングに最新の情報を使用することが保証されます。
シスコ クラウド
防御センターが最新の関連情報(マルウェア、 Security Intelligence、および URL フィルタリング データなど)を取得できる、シスコ によりホスティングされる外部サーバ。 クラウド サービス とも呼ばれます。 マルウェア クラウド検索も参照してください。
システム ポリシー
メール中継ホスト設定や時刻同期設定のような、展開内の複数の アプライアンスで同じになる可能性のある設定。システム ポリシーは、 防御センターを使用して、防御センター自体または管理対象 デバイス 適用します。
修復
システムに対して行われる可能性のある攻撃の影響を軽減するアクション。修復を設定し、相関ポリシー内で修復を相関ルールとコンプライアンス ホワイトリストに関連付けることができます。これにより、ルールがトリガーされると、 防御センターが修復を実行します。これにより、ユーザが攻撃に即時に対処できない場合でも攻撃の影響を自動的に緩和でき、またシステムが組織の セキュリティ ポリシーに準拠し続けるようにすることができます。防御センターには事前定義の修復モジュールが付属しています。また柔軟性のある API を使用してカスタム修復を作成することもできます。
詳細設定
設定するにあたって特定の専門知識を必要とする プリプロセッサまたはその他の 侵入ポリシー機能。通常、詳細設定は変更をほとんどまたはまったく必要とせず、またすべての展開環境に共通するものではありません。
シリーズ 2
シスコ アプライアンス モデルの 2 番目のシリーズ。リソース、アーキテクチャ、ライセンス制限のため、シリーズ 2 アプライアンスでサポートされる FireSIGHT システム 機能セットは限定されています。シリーズ 2 デバイスには、3D500、3D1000、3D2000、3D2100、3D2500、3D3500、3D4500、3D6500 および 3D9900 が含まれます。シリーズ 2 防御センターには、DC500、DC 1000、および DC3000 が含まれます。
シリーズ 3
シスコ アプライアンス モデルの 3 番目の シリーズ。シリーズ 3 アプライアンスには、 7000 シリーズおよび 8000 シリーズ デバイスと、DC750、DC1500、DC2000、DC3500 および DC4000 の 防御センターが含まれます。
侵入
ネットワークで発生したセキュリティ違反、攻撃、またはエクスプロイト。
侵入イベント
侵入ポリシー違反を記録する イベント。侵入イベント データには、日付、時刻、エクスプロイトのタイプ、および攻撃とその標的に関するコンテキスト情報が含まれます。
侵入検知と防御
セキュリティ ポリシー違反についてのネットワーク トラフィックのモニタリング、および インライン展開で悪質なトラフィックをブロックまたは変更する機能。FireSIGHT システム では、アクセス制御ルールまたはデフォルト アクションに侵入ポリシーを関連付けるときに侵入検知と防御を実行します。
侵入ポリシー
LDAP 認証および セキュリティ ポリシー違反についてネットワーク トラフィックを検査するために設定できる各種のコンポーネント。これらのコンポーネントには、プロトコル ヘッダー値、ペイロードの内容、および特定のパケット サイズの特性を検査する 侵入ルール、侵入ルールでよく使用される変数、FireSIGHT の推奨ルール設定、 プリプロセッサやその他の検出およびパフォーマンス機能などの 詳細設定、および関連するプリプロセッサ オプション用のイベントを生成可能な プリプロセッサ ルールが含まれます。ネットワーク トラフィックが アクセス制御ルールの条件を満たす場合、侵入ポリシーでそのトラフィックを検査できます。また、侵入ポリシーを デフォルト アクションに関連付けることもできます。
侵入ルール
モニタ対象のネットワーク トラフィックに適用される場合に、潜在的な LDAP 認証 セキュリティ ポリシー違反、およびセキュリティ違反を識別する一連のキーワードおよび引数。システムはルール条件に照らしてパケットを比較します。パケット データが条件に一致すると、ルールがトリガーされ、 侵入イベントが生成されます。侵入ルールには、ドロップ ルールやパス ルールなどが含まれます。
スイッチ
マルチポート ブリッジとして機能する ネットワーク デバイス。システムは ネットワーク ディスカバリを使用して、スイッチをブリッジとして識別します。また、管理対象 デバイスを、2 つ以上のネットワークの間でパケット スイッチングを実行する 仮想スイッチとして設定できます。
スイッチド インターフェイス
レイヤ 2 展開環境でトラフィックを切り替えるために使用するインターフェイス。タグなし VLAN トラフィックを処理するための物理スイッチド インターフェイスと、指定の VLAN タグが付いたトラフィックを処理するための論理スイッチド インターフェイスを設定できます。
スケジュール タスク
1 回実行するか、または繰り返し定期的に実行するようにスケジュールできる管理タスク。
スタッキング
スタック構成で 2 ~ 4 台の物理 デバイスを接続することによって、ネットワーク セグメントで検査されるトラフィックの量を増加させることができる機能。スタック構成を確立するときに、各スタック構成デバイスのリソースを 1 つの共有構成に統合します。
スタック
検出リソースを共有する、2 ~ 4 台の接続された デバイス
脆弱性
ホストが影響を受けやすい特定のセキュリティ侵害の記述。 防御センターは、各ホストが影響を受ける脆弱性に関する情報を、ホストのホスト プロファイルに示します。また、脆弱性 ネットワーク マップを使用して、監視対象ネットワーク全体でシステムが検出した脆弱性の概要を把握できます。 ホストが特定のセキュリティ侵害に対して脆弱ではなくなったと判断した場合は、特定の脆弱性を非アクティブ化するか、または無効としてマークできます。
脆弱性データベース
ホストに被害を及ぼす可能性のある既知の脆弱性のデータベース。VDB とも呼ばれます。ユーザが特定のホストでネットワークのセキュリティ侵害のリスクが大きくなっているかどうかを判断できるように、システムは各ホストで検出されたオペレーティング システム、 アクセス コントロール、および クライアントを VDB に関連付けます。VDB 更新には、新規および更新された脆弱性、および新規または更新されたアプリケーション ディテクタが含まれる場合があります。
接続
2 つの ホスト間のモニタ対象セッション。 アクセス制御ポリシーの管理対象 デバイスによって検出された接続をログに記録できます。 ネットワーク ディスカバリ ポリシー NetMod 接続のロギングを設定します。
セキュリティ ゾーン
さまざまなポリシーおよび設定でトラフィック フローを管理および分類するために使用できる 1 つ以上のインライン、パッシブ、スイッチド、または ルーテッド インターフェイスのグループ。単一ゾーンのインターフェイスは、複数 デバイスのにまたがる場合があります。単一のデバイスに対して複数のセキュリティ ゾーンを設定することもできます。トラフィックを処理するには、その前に、設定する各インターフェイスをセキュリティ ゾーンに割り当てる必要があります。各インターフェイスは 1 つのセキュリティ ゾーンだけに属することができます。
セキュリティ ポリシー違反
セキュリティ侵害、攻撃、エクスプロイト、またはその他のネットワークの不正使用。
セキュリティ ポリシー
ネットワークを保護するための組織のガイドライン。たとえば、 セキュリティ ポリシーではワイヤレス アクセス ポイントの使用が禁止されることがあります。セキュリティ ポリシーにはアクセプタブル ユース ポリシー(AUP)も含まれていることがあります。AUP は、組織のシステムの使用方法に関するガイドラインを従業員に提供します。
設定可能なバイパス
バイパス モードを設定できるようにする インライン セットの特性。
センシング インターフェイス
ネットワーク セグメントの監視に使用する デバイス上のネットワーク インターフェイス。 管理インターフェイスと比較
相関
ネットワークの脅威にリアルタイムで対応する相関ポリシーを作成するために使用できる機能。相関の 修復コンポーネントは、 ポリシー違反に対応する独自のカスタム修復モジュールを作成してアップロードすることを可能にする柔軟な API を提供します。
ゾーン
セキュリティ ゾーンを参照してください。
タスク キュー
アプライアンスが実行する必要があるジョブのキュー。 ポリシー 適用し、ソフトウェア更新をインストールし、他の長時間かかるジョブを実行すると、ジョブがキューに入れられ、ジョブのステータスが [Task Status] ページに表示されます。[Task Status] ページにはジョブの詳細なリストが表示され、ジョブのステータスを更新するために 10 秒ごとに更新されます。
ダッシュボード ウィジェット
FireSIGHT システム の特定の側面に関する情報を示す小型で自己完結型の ダッシュボード コンポーネント。
ダッシュボード
現在のシステム ステータスを一目で理解できるビューを提供するディスプレイ。これには、システムによって収集され、生成される イベントに関するデータが含まれます。システムによって提供されるダッシュボードを補強するために、選択した ダッシュボード ウィジェットを組み込んだ複数のカスタム ダッシュボードを作成できます。監視対象ネットワークの状況と動作について、幅広く簡潔で鮮やかな情報を表示する Context Explorer と比較。
タップ モード
ネットワーク トラフィック フローが デバイスを通過する代わりに、各パケットのコピーが分析され、ネットワーク トラフィック フローが影響を受けない、シリーズ 3 デバイスおよび 3D9900 で使用可能な拡張 インライン セット オプション。パケット自体ではなくパケットのコピーを処理するため、トラフィックをドロップ、変更、またはブロックするようにアクセス制御および侵入ポリシーを設定している場合でも、デバイスはパケット ストリームに影響しません。
データベース アクセス
サードパーティ クライアントによる 防御センター データベースへの読み取り専用アクセスを許可する機能。
テーブル ビュー
イベント情報を表示するワークフロー ページ タイプ。データベース テーブルのフィールドごとに 1 つのカラムがあります。イベント分析の実行時に、目的のイベントの詳細を表示するテーブル ビューに移動する前に、ドリルダウン ページを使用して調査するイベントを制限できます。多くの場合、テーブル ビューは、システムに付属のワークフローの最後から 2 番目のページになります。
ディスカバリ ポリシー
ディスカバリ
管理対象 デバイスを使用してネットワークをモニタし、ネットワークの完全で永続的なビューを提供する、FireSIGHT システムのコンポーネント。ネットワーク検出は、ネットワーク上の ホスト ネットワーク デバイス モバイル デバイスを含む)の数と種類、およびそれらのホストのオペレーティング システム、アクティブな アプリケーション制御、オープン ポートを判別します。ネットワーク上の ユーザ アクティビティを監視するようにシスコの管理対象デバイスを設定することもできます。これにより、ポリシー違反、攻撃、またはネットワークの脆弱性の源を識別できます。
適用
ポリシーまたはそのポリシーに対する変更を反映するために実行するアクション。ほとんどのポリシーは、 防御センターから管理対象 デバイスに適用します。ただし、 相関ポリシーは管理対象デバイスの設定への変更に関与しないため、このポリシーはアクティブにしたり非アクティブにしたりします。
デコーダ
スニッフィングされたパケットを、 プリプロセッサが認識できる形式に変換する 侵入検知と防御コンポーネント。
デバイス クラスタリング
クラスタリングを参照してください。
デバイス スタッキング
スタッキングを参照してください。
デバイス
さまざまなスループットで使用可能であり、耐障害性を備えた専用 アプライアンス。デバイスで有効にするライセンス付き機能に応じて、これらのデバイスを使用してトラフィックを受動的に監視し、ネットワーク資産、 アプリケーション制御 トラフィック、および ユーザ アクティビティの全体的なマップを作成し、 侵入検知と防御を実行し、 アクセス コントロールを実行し、スイッチングおよびルーティングを設定できます。デバイスは 防御センターを使用して管理する必要があります。
デフォルト アクション
アクセス制御ポリシーの一部として、ポリシーのどのルールの条件も満たしていないトラフィックの処理方法を決定します。 アクセス制御ルール Security Intelligenceの設定が含まれていないアクセス コントロール ポリシーを 適用する場合は、デフォルト ポリシー アクションによって、ネットワークの高速パス以外のトラフィックがどのように処理されるかが決まります。以降の検査なしでトラフィックを信頼またはブロックするか、 ネットワーク ディスカバリ ポリシーまたは 侵入ポリシーを使用して検査するように、デフォルト アクションを設定できます。
トラフィック チャネル
管理トラフィックまたはイベント トラフィックのいずれかを伝送するため、シリーズ 3 のアプライアンスまたは仮想防御センターの管理インターフェイスで設定できる接続。イベント トラフィック チャネルは、外部(Web ブラウザなど)で生成されたトラフィックだけを伝送し、管理トラフィック チャネルは内部で生成されたトラフィック(つまり、防御センターとデバイス間の管理トラフィック)だけを伝送します。 複数の管理インターフェイスを参照してください。
トランスペアレント インライン モード
デバイスが「Bump In The Wire」として動作できるようにし、また認識するすべてのネットワーク トラフィックを、その送信元と宛先に関係なく転送できるようにする拡張 インライン セット オプション。
ネットワーク ディスカバリ ポリシー
システムが特定のネットワーク セグメント( NetMod 対応デバイスにより監視されるネットワークを含む)について収集する、 ディスカバリ ポリシーの種類( ホスト、ユーザ、および アプリケーション制御 データを含む)を指定する ポリシー。ネットワーク ディスカバリ ポリシーは、 LDAP 認証の解決設定とアクティブな検出ソースの優先度も管理します。
ネットワーク ディスカバリ
ディスカバリを参照してください。
ネットワーク デバイス
FireSIGHT システム で、 ルータ NAT デバイス、または 論理インターフェイスとして識別される ホスト
ネットワーク ファイルの伝搬経路
ホストがネットワークでファイルを転送する際のファイル パスの視覚表現。SHA-256 ハッシュ値が関連付けられているすべてのファイルに対して、伝搬経路マップには、ファイルを転送したすべてのホストの IP アドレス、ファイルが検出された時間、ファイルのマルウェアの性質、関連するファイル イベントおよび マルウェア イベントなどが表示されます。
ネットワーク マップ
ネットワークを詳細に表現したもの。ネットワーク マップを使用すれば、ネットワーク上で実行中の ホスト モバイル デバイス、および ネットワーク デバイスの観点だけでなく、関連するホスト属性、 アクセス コントロール、および脆弱性の観点でもネットワーク トポロジを表示できます。
ハイ アベイラビリティ
デバイスのグループを管理するために、冗長物理 防御センターを設定することができる機能。管理対象デバイスから両方の防御センターへのイベント データ ストリームとほとんどの設定要素は、両方の防御センターで維持されます。プライマリ防御センターで障害が発生した場合、セカンダリ防御センターを使用して中断せずにネットワークを監視できます。冗長なデバイスを指定できる クラスタリングと比較。
バイパス モード
インライン セット センシング インターフェイスが何らかの理由で失敗し場合に、トラフィックがフローを続行することを許可するインライン セットの特性。
ハイブリッド インターフェイス
システムが 仮想ルータ 仮想スイッチの間のトラフィックをブリッジングできるようにする、管理対象 デバイス上の 論理インターフェイス
パッシブ インターフェイス
パッシブ展開環境でトラフィックを分析するように設定されている センシング インターフェイス
パッシブ検出
管理対象 デバイスによってパッシブに収集されたトラフィックの分析による ディスカバリ ポリシーのコレクション。アクティブ検出と比較。
非バイパス モード
インライン セット センシング インターフェイスが何らかの理由で失敗し場合に、トラフィックをブロックするインライン セットの特性。
ファイル タイプ
PDF、EXE、MP3 など、特定のファイル形式タイプ。
ファイル ポリシー
システムが ファイル制御 高度マルウェア防御を実行するために使用する ポリシー。ファイル ポリシーはファイル ルールに取り込まれ、 アクセス制御ポリシー内の アクセス制御ルールにより呼び出されます。
ファイル制御
アクセス コントロールの一部であり、ネットワークを通過できるファイル タイプを指定し、ログに記録できるようにする機能。
ファイル伝搬経路
フィード
Security Intelligence フィードを参照してください。
複数の管理インターフェイス
トラフィックをトラフィック チャネルに分割してパフォーマンスを向上させるか、追加のネットワークへのルートを作成して防御センターが異なるネットワークにトラフィックを分離できるように設定できるシリーズ 3 アプライアンス上の追加の管理インターフェイス。また、別個のネットワークにトラフィック チャネルをルーティングして、スループット容量を増やすこともできます。 管理インターフェイスを参照してください。
物理インターフェイス
NetMod の物理ポートを表すインターフェイス。
プリプロセッサ ルール
プリプロセッサまたはポートスキャン フロー ディテクタに関連付けられている 侵入ルール。プリプロセッサ ルールで イベントを生成するには、プリプロセッサ ルールを有効にする必要があります。プリプロセッサ ルールには、プリプロセッサ固有の GID(ジェネレータ ID)があります。
プリプロセッサ
侵入ポリシーにより検査されたトラフィックを正規化する機能。不適切なヘッダー オプションの特定、IP データグラムの最適化、TCP ステートフル インスペクションおよびストリーム リアセンブリの提供、チェックサムの検証により、ネットワーク層プロトコルおよびトランスポート層プロトコルの異常を特定するのに役立ちます。プリプロセッサは、システムが分析できる形式で特定のタイプのパケット データをレンダリングできます。このようなプリプロセッサは、データ正規化プリプロセッサまたはアプリケーション層プロトコル プリプロセッサとも呼ばれます。アプリケーション層プロトコル エンコードを正規化することで、システムは、データを表す方法が異なるパケットに同じコンテンツ関連侵入ルールを効果的に適用し、意味のあるな結果を得ることができます。プリプロセッサは、パケットがユーザが設定したプリプロセッサ オプションをトリガーとして使用するたびに、 プリプロセッサ ルールを生成します。
ヘルス ポリシー
展開環境内の アプライアンスのヘルスを検査するときに使用される条件。ヘルス ポリシーは、 ヘルス モジュールを使用して、FireSIGHT システムのハードウェアおよびソフトウェアが正しく動作しているかどうかを示します。デフォルトのヘルス ポリシーを使用するか、または独自のポリシーを作成できます。
ヘルス モジュール
展開内の アプライアンスの特定のパフォーマンスの側面(CPU 使用率や使用可能なディスク領域)のテスト。ヘルス モジュールは ヘルス ポリシーで有効にし、監視対象のパフォーマンス要素が特定のレベルに達するとヘルス イベントを生成します。
ヘルス モニタ
展開内の アプライアンスのパフォーマンスを継続的にモニタする機能。ヘルス モニタは、適用された ヘルス ポリシー内の ヘルス モジュールを使用して、アプライアンスをテストします。
防御センター
デバイスを管理し、それらが生成した イベントを自動的に集約し、関連付けることができる一元管理ポイント。
保護 ライセンス
侵入検知と防御 ファイル制御、および Security Intelligence フィルタリングを実行するための シリーズ 3 仮想デバイス用のライセンス。ライセンスがない場合でも、 シリーズ 2 デバイスには 保護機能(Security Intelligence を除く)が自動的に組み込まれています。
保護ネットワーク
ファイアウォールなどのデバイスによって他のネットワークのユーザから保護されている組織の内部ネットワーク。FireSIGHT システムを使用して配信される 侵入ルールの多くは、保護されたネットワークと保護されていない(または外部の)ネットワークを定義する変数を使用します。
ホスト入力
ネットワーク マップの情報を増やすために、スクリプトまたはコマンドライン ファイルを使用してサードパーティ ソースからデータを LDAP 認証できるようにする機能。Web インターフェイスは、いくつかのホスト入力機能を提供します。オペレーティング システムや アクセス コントロール ID の変更、脆弱性の有効化または無効化、ネットワーク マップからのさまざまな項目( クライアント サーバのポートなど)の削除を実行できます。
ホスト
固有の IP アドレスが割り当てられているネットワーク接続デバイス。FireSIGHT システム では、ホストとは、特定されたホストのうち、 モバイル デバイス、ブリッジ、 ルータ NAT デバイス、または 論理インターフェイスのいずれにも分類されないものです。
ポリシー
設定を(ほとんどの場合 アプライアンス)に適用するためのメカニズム。「 アクセス制御ポリシー」、「相関ポリシー」、「 ファイル ポリシー」、「 ヘルス ポリシー」、「 侵入ポリシー」、「 ネットワーク ディスカバリ ポリシー」、および「 システム ポリシー」を参照。
マルウェア イベント
シスコ の 高度マルウェア防御ソリューションの 1 つにより生成される イベント。ネットワーク ベースのマルウェア イベントは、 シスコ クラウドからネットワーク トラフィックで検出されたファイルのマルウェアの性質が返されると、生成されます。その性質が変更されると、遡及的マルウェア イベントが生成されます。 エンドポイント ベースのマルウェア イベント(展開されている FireAMP コネクタ が脅威を検出するか、マルウェアの実行をブロックするか、マルウェアを検疫するか、マルウェアの検疫に失敗した場合に生成されるイベント)と比較。
マルウェア クラウド検索
ファイルの SHA-256 ハッシュ値に基づいて、ネットワーク トラフィックで検出されたファイルのマルウェアの性質を判別するため、 防御センター シスコ クラウドと通信するプロセス。
マルウェア ブロック
シスコ のネットワーク ベースの 高度マルウェア防御(AMP)ソリューションのコンポーネント。 マルウェア検出により検出されたファイルのマルウェア特性が生成された後で、ファイルをブロックするか、またはファイルのアップロードまたはダウンロードを許可できます。 FireAMP サブスクリプションを必要とする シスコ のエンドポイント ベースの AMP ツールである FireAMP と比較。
マルウェア ライセンス
ネットワーク トラフィックで 高度マルウェア防御(AMP)の実行を許可するライセンス。 ファイル ポリシーを使用して、管理対象 デバイスによって検出された特定の FireAMP コネクタについて マルウェア クラウド検索を実行するようにシステムを設定できます。 FireAMP サブスクリプションと比較
マルウェア検出
シスコ のネットワーク ベースの 高度マルウェア防御(AMP)ソリューションのコンポーネント。全体的な アクセス コントロール設定の一環で管理対象 デバイスに適用されたファイル ポリシーにより、ネットワーク トラフィックが検査されます。その後で、防御センターは検出された特定の FireAMP コネクタ マルウェア クラウド検索を実行し、ファイルのマルウェア処理をユーザに警告するイベントを生成します。その後 AMP マルウェア ブロックが実行され、ファイルがブロックされるか、またはファイルのアップロードまたはダウンロードが許可されます。 FireAMP サブスクリプションを必要とする シスコ のエンドポイント ベースの AMP ツールである FireAMP と比較。
マルウェア対策
高度マルウェア防御を参照してください。
モニタ
アクセス制御ポリシーで、Security Intelligence のブラックリストまたは アクセス制御ルールに一致するが、即時に許可したりブロックしたりせずにトラフィックの評価を続行することを許可するトラフィックの記録方法。
モバイル デバイス
FireSIGHT システム では、 ディスカバリ機能によりモバイル ハンドヘルド デバイス(携帯電話やタブレットなど)として識別される ホスト。多くの場合、モバイル デバイスがジェイルブレイクされているかどうかをシステムが検出できます。
ユーザ
管理対象 デバイスまたは UTC 時間によって検出されたネットワーク アクティビティのユーザ。
ユーザ アクティビティ
システムがユーザ ログイン(オプションで一部の失敗したログイン試行を含む)または 防御センター データベースでのユーザ レコードの追加または削除を検出すると生成される イベント
ユーザ エージェント
ネットワークにログインするとき、またはその他の何らかの理由で Active Directory 資格情報に対して認証するときに、ユーザを監視するために サーバにインストールされるエージェント。アクセス制御ユーザのユーザ アクティビティは、ユーザ エージェントによって報告される場合にだけ アクセス コントロールに使用されます。
ユーザ ロール
FireSIGHT システム のユーザに付与されたアクセスのレベル。たとえば、 イベント アナリスト、FireSIGHT システム を管理する管理者、サードパーティ ツールを使用して 防御センター データベースにアクセスするユーザなどに対し、Web インターフェイスへの異なるアクセス特権を付与できます。また、特殊なアクセス権限を含むカスタム ロールを作成できます。
ユーザ制御
ネットワークに入ることができるか、ネットワークから出ることができるか、またはネットワークから出ずに内部を移動できるユーザ関連トラフィックを指定し、これをログに記録することができるようにする機能( アクセス コントロールの一部)。
ユーザ対応
組織が脅威、エンドポイント、ネットワーク インテリジェンスをユーザ識別情報に関連付けることができるようにし、またユーザが ユーザ制御を実行できるようにする機能。
リスト
Security Intelligence リストを参照してください。
リンク ステートの伝搬
インライン セットのインターフェイスの 1 つが停止したときに、ペアの 2 番目のインターフェイスを自動的に停止させる、バイパス モードの インライン セットのオプション。停止したインターフェイスが再び起動すると、もう一方のインターフェイスも自動的に起動します。つまり、ペアの 1 つのインターフェイスのリンク ステートが変化すると、もう一方のインターフェイスのリンク ステートも、その状態に一致するように自動的に変更されます。
ルータ
ゲートウェイに配置され、ネットワーク間でパケットを転送する ネットワーク デバイス。システムは ネットワーク ディスカバリを使用することでルータを検出できます。また、管理対象 デバイスを 2 つ以上のインターフェイス間のトラフィックをルーティングする 仮想ルータとして設定できます。
ルーテッド インターフェイス
レイヤ 3 展開環境でトラフィックをルーティングするインターフェイス。タグなし VLAN トラフィックを処理するための物理ルーテッド インターフェイスと、指定の VLAN タグが付いたトラフィックを処理するための論理ルーテッド インターフェイスを設定できます。また、ルーテッド インターフェイスに静的なアドレス解決プロトコル(ARP)エントリを追加できます。
ルール
ネットワーク トラフィックの検査で照合する基準を提供する構成要素。通常、 ポリシーに含まれています。
ルール アクション
ルールの条件を満たすネットワーク トラフィックがシステムによりどのように処理されるかを指定する設定。「アクセス制御ルール」および「ファイル ルール アクション」を参照。
ルール更新
必要に応じて提供される 侵入ルールの更新。新規および更新された標準テキスト ルール、共有オブジェクトのルール、およびプリプロセッサ ルールが含まれています。ルール更新により、ルールが削除され、デフォルト侵入ポリシー設定が変更され、システム変数とルール カテゴリが追加または削除されることもあります。
ルールの状態
侵入ルール 侵入ポリシー内で有効であるか([Generate Events] または [Drop and Generate Events] に設定)、または無効であるか([Disable] に設定)。有効にされたルールはネットワーク トラフィックの評価に使用され、無効にされたルールは使用されません。
レイヤ
侵入ポリシー内のすべての 侵入ルール プリプロセッサ ルール、および 詳細設定の集合。ポリシー内の組み込みレイヤにカスタム ユーザ レイヤを追加できます。侵入ポリシーの上位レイヤの設定により、下位レイヤの設定がオーバーライドされます。
レピュテーション(IP アドレス)
Security Intelligenceを参照してください。
論理インターフェイス
特定の VLAN タグ付きトラフィックが 物理インターフェイスを通過するときに、そのトラフィックを処理するために定義する仮想サブ インターフェイス。