Cisco Security Manager 4.0 ユーザ ガイド
イベントの表示
イベントの表示
発行日;2012/02/01 | 英語版ドキュメント(2011/11/29 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

イベントの表示

Event Viewer 機能の概要

履歴ビュー

リアルタイム ビュー

フィルタ

定義済みのビューおよびカスタム ビュー

時間フィルタ

カラム フィルタ

クイック フィルタ

フィルタでのドリルダウン

ポリシーのナビゲーション

Event Viewer のスコープおよび制限

詳細に解析される Syslog

Event Viewer、CS-MARS、および Performance Monitor の比較

Event Viewer インターフェイスについて

[File] メニュー

[View] メニュー

ビュー セレクタ

[Event Monitoring] ウィンドウ

タブの表示

[View Settings] ペイン

ツールバー要素

イベント テーブル

時間スライダ

[Event Details] ペイン

Event Manager サービスの管理

Event Manager サービスの開始、停止、および設定

モニタするデバイスの選択

イベント データ ストア用のディスク スペースの使用率のモニタリング

イベント データ ストアのアーカイブまたはバックアップと復元

Event Viewer の使用方法

イベント管理の準備

時間の同期

イベント管理のための ASA デバイスの設定

イベント管理のための IPS デバイスの設定

イベント ビューの使用方法

Event Viewer の起動

ビューを開く方法および切り替える方法

イベント テーブルでの操作

イベント テーブルの表示のカスタマイズ

ビューの色規則の設定

時間スライダの使用方法

カスタム ビューの作成

ビューの内容の編集

ビューの削除

ビューのフローティング

ビューの配置

特定のイベントに対する操作の実行

右クリックメニュー

イベント レコードのコピー

ファイルへのイベントの保存

イベントのフィルタリングおよび照会

イベント時間のフィルタリング

イベント テーブルの更新

特定のイベントの値に基づいたフィルタリング

フィルタのクリア

テキスト文字列に対するフィルタリング

カラム フィルタの使用方法

カスタム カラム フィルタの使用方法

Event Viewer からの Security Manager ポリシーの検索

イベント分析の例

ヘルプ デスク:サーバへのユーザ アクセスがファイアウォールでブロックされている

ボットネット アクティビティのモニタリングと軽減

対処可能なイベントであることを示す syslog メッセージについて

Security Manager の Event Viewer を使用したボットネットのモニタリング

Adaptive Security Device Manager(ASDM)を使用したボットネット アクティビティのモニタリング

ボットネット トラフィックの軽減

イベント テーブルからの false positive IPS イベントの削除

イベントの表示

ネットワークでイベントをモニタする作業は、消防ホースから水を飲むようなものであると言えます。量があまりにも多すぎます。Security Manager 4.0 で導入された Event Viewer 機能を使用すると、ASA デバイスおよび IPS デバイスのイベントを選択してモニタ、表示、および調査できます。Event Viewer に表示されるイベントのストリームをフィルタリングできるため、ビューを迅速に選択でき、今必要とする特定のイベントもすぐに選択できます。また、選択したビューを保存して、あとで必要に応じて呼び出すことができます。

この章は、次の内容で構成されています。

「Event Viewer 機能の概要」

「Event Viewer インターフェイスについて」

「Event Manager サービスの管理」

「Event Viewer の使用方法」

「イベント分析の例」

Event Viewer 機能の概要

Event Viewer は、ASA デバイスの syslog(システム ログ)イベントおよび IPS デバイスの Secure Device Event Exchange(SDEE)イベントを対象にネットワークをモニタします。Event Viewer は、これらのイベントを収集し、収集したイベントを表示し、グループ化し、その詳細を調べるためのインターフェイスを備えています。


) Event Viewer は Security Manager 内の機能であり、専用のモニタリング アプリケーションとしてよりも、トラブルシューティングに焦点を当てています。イベントのモニタリング、相関付け、および分析のパフォーマンスを高めたい場合には、ご使用のネットワークの管理に Cisco Security Monitoring Analysis and Response System(MARS)を適用できるかどうかを確認することを推奨します。詳細については、「Event Viewer、CS-MARS、および Performance Monitor の比較」を参照してください。


ここでは、Event Viewer で簡易化できる主要なアクティビティについて簡単に説明します。

ここでは、次の内容について説明します。

「履歴ビュー」

「リアルタイム ビュー」

「フィルタ」

「ポリシーのナビゲーション」

「Event Viewer のスコープおよび制限」

「詳細に解析される Syslog」

「Event Viewer、CS-MARS、および Performance Monitor の比較」

履歴ビュー

履歴ビューは、選択した期間(たとえば、直前の 10 分間)に発生したイベントを表示するビューで、表示内容が自動的には更新されません。

Event Viewer で履歴ビューを使用する場合に考えられるさまざまな可能性の中から、次のアクティビティを見ていきます。

接続のトラブルシューティング :ユーザが特定のサーバに到達できないというレポートが生成されたときには、そのユーザの IP アドレスが送信元または宛先である場合に影響を与えるイベントをすべて表示するように履歴ビュー(たとえば、直前の 10 分間)を設定できます。次に、表示された特定のイベントから、リソースに対するユーザのアクセスを拒否するポリシーに進むことができます。

シグニチャの調整 :すべての IPS メッセージまたは特定のカテゴリに属する IPS メッセージを表示するビューを設定すると、イベントが実際には false positive であることを判別できます。次に、関連付けられたポリシーをクロス起動します。ホストを除外するようにシグニチャを調整するか、または問題のイベントでレポートされた重大度を低くします。

ポリシー展開の検証 :新規または変更したポリシーを展開した場合には、そのポリシーに対応するイベントを選択して、ポリシーが効果的に動作していることを確認することを推奨します。たとえば、新規ポリシーによってトリガーされたファイアウォール拒否メッセージを特定できます。

リアルタイム ビュー

リアルタイム ビューには受信した状態のままのイベントが表示され、イベント テーブルがウォータフォール式に自動的に更新されます。「リアルタイム」というのは正確な表現ではないことに留意してください。システム遅延をはじめとする要因により、真のリアルタイム システム応答は実現されません。

Event Viewer でリアルタイム ビューを使用する場合に考えられるさまざまな可能性の中から、次のアクティビティを見ていきます。

ほぼリアルタイムでの攻撃の調査 :特定の送信元 IP アドレスまたは送信元/宛先ペアの詳細を切り分けることにより、Event Viewer では ASA デバイスおよび IPS デバイスに対する攻撃またはこれらのデバイスを通過している攻撃の詳細を参照できます。

デバイス アクティビティの検証 :ネットワーク内のデバイスを調べて、そのデバイスが存在するかどうか、存在する場合にはイベントを送信中であるかどうかを判断できます。

脅威度の高い IPS イベントの表示 :特定の脅威度を超えるイベントをすべて表示するようにビューをフィルタリングできます。IPS センサーを正しく調整すると、リアルタイム ビューで監視するイベントの流れが管理しやすくなります。

フィルタ

Event Viewer を最大限活用するには、フィルタの使用が鍵となります。受信中のすべてのイベントから、必要とする情報だけを記載したビューを抽出できます。また、割り当てるフィルタを集約して、すでにフィルタリングしているビューをさらにフィルタリングできます。Event Viewer に含まれる定義済みのビュー(「定義済みのビューおよびカスタム ビュー」を参照)を使用し、フィルタ セットをカスタム ビューとして追加できます。ここでは、Event Viewer 内のフィルタリング機能について説明します。詳細については、「イベントのフィルタリングおよび照会」を参照してください。

ここでは、次の内容について説明します。

「定義済みのビューおよびカスタム ビュー」

「時間フィルタ」

「カラム フィルタ」

「クイック フィルタ」

「フィルタでのドリルダウン」

定義済みのビューおよびカスタム ビュー

Event Viewer では表示するイベントをフィルタリングでき、ユーザは一般的な情報から具体的な情報に移動し、その後元の情報に戻ることができます。Event Viewer インターフェイスを使用して、 ビュー と呼ばれる一連のフィルタを定義し、記録できます。次に、あとで特定のビューを呼び出して、要件を満たす関心のあるイベントだけを調べることができます。

Event Viewer には数多くの定義済みのビューがあり、セレクタ ペインに表示されます。定義済みのビューは変更することも削除することもできませんが、独自に作成するカスタム ビューの土台として使用できます。

既存のビューにフィルタを適用し、その結果を保存することにより、カスタム ビューを作成できます。カスタム ビューには、複数のフィルタ設定およびイベント テーブル設定を含めることができます。

詳細については、「カスタム ビューの作成」を参照してください。

時間フィルタ

時間フィルタを使用すると、クライアントにロードするイベントを制限したり、イベント テーブルに表示されるイベントを制限したりできます。時間のフィルタリングでは、 直前の 1 時間 など定義済みの値を選択したり、日付と時刻で特定の時間範囲を指定したりできます。

詳細については、「イベント時間のフィルタリング」を参照してください。

カラム フィルタ

カラム フィルタを使用すると、イベントの特定の値に基づいてイベントをフィルタリングできます。たとえば、特定の送信元または宛先、あるいはその両方でフィルタリングできます。カラムによっては、ある範囲の値でフィルタリングすることもできます。

詳細については、「カラム フィルタの使用方法」または「カスタム カラム フィルタの使用方法」を参照してください。

クイック フィルタ

クイック フィルタを使用すると、Event Viewer クライアントにロードされたイベント データに対してテキストベースのフィルタリングを実行できます。クイック フィルタでは、複数のカラムまたはすべてのカラムのイベント データに含まれる特定の文字列を検索できます。

フィルタのスコープを変更するには、(虫眼鏡として表示される)[Quick Filter] ドロップダウン リストを使用します。

詳細については、「テキスト文字列に対するフィルタリング」を参照してください。

フィルタでのドリルダウン

フィルタにさらに別のフィルタを集約すると選択性が高まり、要件を満たす特定のイベントまたはイベント セットが表示されるまで「ドリルダウン」できます。

別のフィルタを選択するたびに、[Event Monitoring] ウィンドウの最上部にある [View Settings] ペインが更新されて、選択したビューの現在の集約フィルタ定義が表示されます。

ポリシーのナビゲーション

Event Viewer では、特定のイベントから、そのイベントを制御する Security Manager 内のポリシーにナビゲートできます。詳細については、「Event Viewer からの Security Manager ポリシーの検索」を参照してください。

Event Viewer のスコープおよび制限

表 57-1では、Event Viewer の機能面のスコープおよび制限について詳しく説明しています。

 

表 57-1 Event Viewer のスコープおよび制限

項目
説明

ASA デバイス

Event Viewer は、次の ASA デバイスのイベントを収集し、表示します。

8.0.x、8.1.x、8.2、および 8.3。

これよりも古い ASA デバイスでもイベント収集が動作する場合がありますが、そのサポートは公式には発表しておらず、テストも実施していません。

IPS デバイス

Event Viewer は、次の IPS デバイスのイベントを収集し、表示します。

6.1.x、6.2.x、および 7.0。

これよりも古い IPS デバイスでもイベント収集が動作する場合がありますが、そのサポートは公式には発表しておらず、テストも実施していません。

イベント データの保存サイズ

イベント保存の制限は、Security Manager の [Event Data Store Disk Size] に設定されています。詳細については、「[Event Management] ページ」を参照してください。

(注) [Event Data Store Disk Size] に 90% と入力すると、最古のイベントから順に最新のイベントに置き換わります。

イベントの制限

Event Viewer に表示されるイベントの制限は、Security Manager の [Event Data Pagination Size] に設定されています。詳細については、「[Event Management] ページ」を参照してください。

デバイス グループ

Event Viewer 内でデバイス グループを使用できます。

ポリシー オブジェクト

Event Viewer 内でネットワーク/ホスト オブジェクトやサービスなどのポリシー オブジェクトを使用できます。

RBAC

Security Manager にアクセス可能なユーザは Event Viewer にアクセスできます。ただし、イベントとポリシーの対応付けを使用できるのは、関連付けられたデバイスにアクセスできるユーザだけです。

ACS-RBAC 環境では、デバイスに対する表示権限を持つユーザであれば、[Manage Monitored Devices] ページに従って、アクセス権のあるデバイスを表示できます。ただし、デバイスのモニタリングをイネーブルまたはディセーブルにできるのは、そのデバイスに対する変更権限を持つユーザだけです。

イベントの詳細

イベントまたはイベント タイプによって、解析されて表示されるイベント詳細が異なります。Event Viewer で詳細に解析される数百の syslog の詳細については、「詳細に解析される Syslog」を参照してください。

ビュー

単一の Event Viewer クライアントには、履歴ビューが 4 つまで、リアルタイム ビューが 1 つまでというロード制限があります。

クライアント

Security Manager サーバには、クライアントごとに Event Viewer が 1 つ搭載されており、最大 5 つの Event Viewer クライアントを開くことができます。

詳細に解析される Syslog

標準の syslog の構造と内容、およびそれぞれを構成する要素の詳細については、『 Cisco Security Appliance System Log Messages, Version 7.2 』を参照してください。

ここに挙げられていない syslog は、未処理 syslog として表示されます。[All Device Events] ビューには、各モニタ対象デバイスで発生したすべてのイベントが表示されます。syslog の全内容が表示されるのは、詳細に解析される syslog だけです。

Security Manager で詳細に解析される syslog の詳細については、表 57-2を参照してください。

 

表 57-2 詳細に解析される Syslog

syslog カテゴリ
syslog ID
syslog の合計数

フロー/セッション syslog

110002 ~ 110003、209003 ~ 209005、302003 ~ 302004、302009 ~ 302010、302012 ~ 302018、302020 ~ 302021,302303 ~ 302304、302033 ~ 302034、303002 ~ 302005、313001、313004、313005、313008、324000 ~ 324006、337001 ~ 337009、431001 ~ 431002、407001 ~ 407002、416001、418001 ~ 418002、419001 ~ 419003、424001 ~ 424002、450001、448001、609001 ~ 609002

47

ボットネット

338001 ~ 338004、338101 ~ 338104、338201 ~ 338202、338301

11

ACL

106100、106023、106002、106006、106018

5

拒否されたファイアウォール

106001、106007、106008、106010 ~ 106017、106020 ~ 106022、106025 ~ 106027

12

AAA

109001 ~ 109010、109012、109016 ~ 109020、109023 ~ 109029、109031 ~ 109035、113001 ~ 113025

44

検査

108002 ~ 108007、303004 ~ 303005、400000 ~ 400050、406001 ~ 406002、415001 ~ 415020、500001 ~ 500005、508001 ~ 508002、608001 ~ 608005、607001 ~ 607003、703001 ~ 703002、726001

99

NAT

201002 ~ 201006、201009 ~ 201013、202005、202011、305005 ~ 305012

21

IPSec VPN(ER4)

402114 ~ 402122、602103 ~ 602104、602303 ~ 602304、702305、702307

15

フェールオーバー(HA)

101001 ~ 101005、102001、103001 ~ 103007、104001 ~ 104004、311001 ~ 311004、709001 ~ 709007、210001 ~ 210022

49

SSL VPN

725001 ~ 725009、725012 ~ 725013、716001 ~ 716020、716023 ~ 716039、716041 ~ 716060、722001 ~ 722023、722026 ~ 722044、722046 ~ 722051、723001 ~ 723002、723009 ~ 723012、723014、724001 ~ 724004

122

Event Viewer、CS-MARS、および Performance Monitor の比較

Cisco Security Management Suite には、イベントのモニタおよび処理に使用できる多種多様なツールが含まれています。メインとなるツールは、Security Manager Event Viewer、Cisco Security Monitoring, Analysis and Response System(CS-MARS)、および Performance Monitor ですが、個々のデバイス マネージャに付属している syslog 機能も使用できます(Security Manager から開くことができます)。

各アプリケーションにはそれぞれ異なる機能があり、CS-MARS が最も広範な機能を備えています。ニーズに最も適したツールを選択できるように、次の表に各ツールの機能の比較を示します。いつでも複数のアプリケーションを使用できます。

 

表 57-3 Event Viewer、CS-MARS、および Performance Monitor の比較

機能
Event Viewer
CS-MARS
Performance Monitor

一般的なデバイス サポート。

モデルおよびオペレーティング システム バージョンに固有の情報については、Cisco.com にアプリケーションごとに用意されているサポート対象デバイスのマニュアルを参照してください。

ASA デバイス

はい

はい

はい

IPS デバイスとサービス モジュール

はい

はい

いいえ

IOS IPS デバイス

いいえ

はい

いいえ

PIX ファイアウォール

いいえ

はい

はい

FWSM

いいえ

はい

はい

IOS ルータ

いいえ

はい

はい

Catalyst スイッチ

いいえ

はい

いいえ

コンテント スイッチング モジュール(CSM)

いいえ

いいえ

はい

SSL モジュール

いいえ

いいえ

はい

シスコ製以外のデバイス

いいえ

はい

いいえ

複数のデバイスにまたがるトラフィック フローのビューをセッション化する(サポート対象のデバイスだけ)。

トラフィック フローに対するフィルタリングだけ可能。

はい

フィルタリングだけ可能。

デバイス イベントと、そのイベントに直接関連する Security Manager 内の設定ポリシー(アクセス規則および IPS シグニチャ専用)との間を簡単にナビゲートできる。

ASA デバイス

はい

はい

いいえ

IPS デバイスとサービス モジュール

はい

はい

いいえ

IOS IPS デバイス

いいえ

はい

いいえ

PIX ファイアウォール

いいえ

はい

いいえ

FWSM

いいえ

はい

いいえ

IOS ルータ

いいえ

はい

いいえ

Catalyst スイッチ

いいえ

はい

いいえ

Security Manager 内のアクセス規則または IPS シグニチャのデバイス ポリシーと、そのポリシーに直接関連するイベントとの間を簡単にナビゲートできる。

いいえ

はい

いいえ

レポート機能を提供する。

CSV または HTML 形式のイベント リスト。グラフィカルでなく真のレポートではない。

グラフィカルなチャート(棒、円、グラフ)などを使用した広範なレポート。

広範、グラフィカル。

カスタム クエリーまたはカスタム ビューを作成し、保存する。

はい

はい

いいえ(フィルタリング専用)

リアルタイムおよび過去のイベントを表示する。

はい

はい

はい

Security Manager 内からデバイス ステータスを表示する。

はい

いいえ

はい([Tools] > [Inventory Status])

パフォーマンスやスループットなど、デバイス イベント以外のものを分析する。

いいえ

いいえ

はい

イベントに対して確認応答を返して、他のユーザにそのイベントが処理されていることを通知する。

いいえ

いいえ

はい

問題解決後、イベント ブラウザからイベントをクリアする。

いいえ

いいえ

はい

イベントの電子メール通知を設定する。

いいえ

はい

はい

関連項目

「デバイス マネージャの起動」

「CS-MARS と Security Manager の統合」

「インベントリ ステータスの表示」

Event Viewer インターフェイスについて

ここでは、Event Viewer インターフェイスについて説明します。

Event Viewer の表示には、重要な要素が 3 つあります。

(1)メニューバー

(2)[Event Monitoring] ウィンドウ

(3)ビュー セレクタ

ここでは、各領域について詳しく説明します。

 

ここでは、次の内容について説明します。

「[File] メニュー」

「[View] メニュー」

「ビュー セレクタ」

「[Event Monitoring] ウィンドウ」

[File] メニュー

次の表に、[File] メニューのコマンドを示します。

 

表 57-4 [File] メニュー

コマンド
説明

[New View]

[All Device Events] ビュー タブに基づいて、ビューを作成します。

このほか、ビュー セレクタで [New] ボタン(+)をクリックしたり、キーボード ショートカット Ctrl+N を使用したりする方法もあります。

[Name]:新規ビューの一意の名前。この名前がナビゲーション ツリーに表示されることになります。このフィールドは、入力できる文字が 255 文字に制限されています。

[Description]:新規ビューに関するユーザ定義の説明。このフィールドは、入力できる文字が 1024 文字に制限されています。

[Open View]

新規タブに既存のビューを開きます。開くビューを選択するように要求されます。

[File] > [Open View] を選択します。あるいは、キーボード ショートカット Ctrl+O を使用し、ビューを選択し、[OK] をクリックします。

(注) 最大で 4 つの履歴ビューと 1 つのリアルタイム ビューを開くことができます。

ヒント ビュー セレクタをダブルクリックして、表示されるビューを変更できます。

[Save]

フィルタ(カスタム ビューの場合)、カラム幅やカラム順などのプリファレンス、時間範囲、色規則など、アクティブなビューに加えた変更を保存します。

[Save As]

表示されているビューに加えた変更をカスタム ビューとして保存します。

[Close View]

表示されているビューを閉じます。

[Close All Views]

開かれているすべてのビューを閉じます。

[Exit]

Event Viewer を閉じます。Event Viewer を終了すると、開いているフローティング Event Viewer ウィンドウが閉じられます。

[View] メニュー

 

表 57-5 [View] メニュー

コマンド
説明

[Mode]

サブメニューから、Event Monitoring クライアントにロードするイベント データの時間間隔を指定します。選択肢は次のとおりです。

[last 10 minutes]

[last 1 hour]

[last 12 hours]

[last 1 day]

[last 1 week]

[is today]

[is yesterday]

[is on . . .](カレンダーが開き、日付をクリックして指定できます)

[is between](カレンダーが 2 つ開き、開始と終了の日付/時刻を指定できます)

[Real Time](イベントを受信した状態のまま表示するモードを設定します)

このほか、ツールバーで [Time Range] アイコンをクリックする方法もあります。

[Customize Column]

表示されているダイアログボックスから、ビューに含めるカラムをクリックして選択します。使用可能なカラムの詳細については、表 57-7を参照してください。

[Start]

イベントを受信して現在のビューのイベント テーブルを更新する作業を開始します。イベント テーブルには、[Start] をクリックしたときから時間モードの制限またはイベント テーブルの改ページ制限になるまでに受信したイベントが表示されます。

このほか、ツールバーから [Start] アイコンをクリックしたり、キーボード ショートカット Ctrl+T を使用したりする方法があります。

[Stop]

イベント取得を停止します。イベント テーブルには、[Stop] をクリックするまでに受信したイベントが表示されます。

このほか、ツールバーから [Stop] アイコンをクリックしたり、キーボード ショートカット Ctrl+P を使用したりする方法があります。

[Show View Settings]

[View Settings] ペインを開きます。ここには、現在のビューのフィルタおよび色設定が表示されます。このような設定は、[View Settings] ペインを使用して変更できます。

このほか、[View Settings] ペインの上部にある [Show View Settings] アイコンをクリックする方法があります。

 

 

ヒント [View Settings] ペインの右上にある二重矢印のアイコンをクリックして、[View Settings] ペインを展開または縮小できます。

[Show Event Details]

[Event Details] ペインを開き、選択されたイベントの詳細を表示します。

このほかに次の方法があります。

[Event Details] ペインのタイトル バーの左側にある展開アイコン(+)をクリックします。

イベント テーブルのイベントをダブルクリックして、ポップアップ ウィンドウに [Event Details] のデータを表示します。

ヒント [Event Details] ポップアップ ウィンドウから、イベント詳細を印刷したり、1 つ以上の詳細行をクリップボードにコピーしたりできます。

[Show Event Store Disk Usage]

使用済みのディスク スペースの容量と、最も古いイベントが格納されてからの経過時間を表示するウィンドウを開きます。

このほか、キーボード ショートカット Ctrl+P を使用する方法があります。

[Manage Monitored Devices]

どのデバイスまたはデバイス グループのイベントを Event Viewer に表示するかを選択または選択解除できます。詳細については、「モニタするデバイスの選択」を参照してください。

(注) デフォルトでは、Security Manger に追加されたいずれの ASA/IPS デバイスもモニタされます。

[Reset Layout]

非表示にしていたか、または手動で拡大縮小していたビュー セレクタの幅を元の設定に戻します。

ビュー セレクタ

左側にあるビュー セレクタは、イベント テーブルに開くビューを選択する場合と、独自のカスタム ビューを選択、定義、または編集する場合に使用します。 ビュー は、デフォルトの時間枠とともにフィルタ、カラム セット、色規則をまとめて記録したものです。

図 57-1 ビュー セレクタ

 

ビュー セレクタの最上部にボタンが 3 つあり、それぞれ次の操作を実行します。

コマンド
説明

[New]

新規カスタム ビューを定義できます。このボタンをクリックすると、[New View] ダイアログボックスが開き、新規ビューの名前と説明を入力できます。

(注) この同じアイコンが [View Settings] ペインにあり、フィルタを作成する場合に使用します。

[Edit]

カスタム ビューを編集できます。このボタンをクリックすると、[Edit View] ダイアログボックスが開き、カスタム ビューの名前または説明を変更できます。この機能は、定義済みのビューには使用できません。

[Delete]

カスタム ビューを削除できます(定義済みのビューは削除できません)。このボタンをクリックすると、確認のダイアログボックスが開きます。


ヒント ビュー セレクタの最上部にあるプッシュ ピンで配置場所を固定することにより、詳細を非表示にしてビュー セレクタをバーに縮小したり、ビュー セレクタを非表示にできないようにしたりできます。


ビュー セレクタでビューを右クリックすると、[View Operations] メニューが開きます。

メニューの選択肢には、次の機能があります。

メニューの選択肢
説明

[Open]

強調表示されているタブにビューを開くか、または現在強調表示されているビューを選択されているビューと置換します。開いているビューにまだ保存されていない変更がある場合には、保存/廃棄のポップアップ ウィンドウが表示されます(ビューを開くと、現在開いているビューに加えた変更のうちまだ保存されていない変更が失われます)。選択したビューがすでに開かれている場合、そのビューは強調表示されます。

[Open in New Tab]

新規タブにビューを開きます。

[Save As . . .]

ビュー プリファレンスをカスタム ビューとして保存します。

[Edit]

ビューの名前または説明を編集します(カスタム ビュー専用)。

[Delete]

選択されているビューを削除します(カスタム ビュー専用)。

[View Description]

ビューの説明を表示します。

[Event Monitoring] ウィンドウ

[Event Monitoring] ウィンドウは、Event Viewer の中心となる要素であり、イベントを表示、選択、およびフィルタリングできます。

図 57-2 ウィンドウ キー

 

1

タブの表示

7

[Filtered Column] アイコン

2

[View Settings] ペイン

8

時間スライダ

3

[Add]、[Edit]、[Delete] の各ボタンがある [Filter] ツールバー

9

[Event Details] ペイン

4

設定(フィルタ)が表示される領域

10

[Column Selector] アイコン

5

[Filter] と [Color Rules] のトグル

11

ビューのリストを開く

6

ツールバー

12

ロードされたイベントの数

主要なインターフェイス要素については、以降の項でさらに詳しく説明します。

ここでは、次の内容について説明します。

「タブの表示」

「[View Settings] ペイン」

「ツールバー要素」

「イベント テーブル」

「時間スライダ」

「[Event Details] ペイン」

タブの表示

[Event Monitoring] ウィンドウ内では、開かれている各ビューがタブで表されます(図 57-2の [1] を参照)。タブをクリックすると、関連付けられたビューがイベント テーブルに表示されます。


) 最大で 4 つの履歴ビューと 1 つのリアルタイム ビューを開くことができます。



ヒント 2 つのビューを互いに隣り合うように配置できます。詳細については、「ビューの配置」を参照してください。


[View Settings] ペイン

[View Settings] ペイン(図 57-2の [2] を参照)には、現在のイベント ビューで使用されているすべてのフィルタ要素が表示されます。フィルタ要素を操作するには、[View Settings] ペインでその要素を選択します。選択したフィルタ要素は編集または削除できます。

ツールバー要素

ここに示したイベント テーブルの上部にあるツールバーの要素については、表 57-6で詳しく説明します。

 

 

表 57-6 ツールバー要素のアイコンおよび説明

名前
アイコン
説明

[Search Within Results] フィールド

(クイック フィルタ)

 

 


このツールは、 クイック フィルタ とも呼ばれます。この要素は、単語やフレーズを検索し、検索範囲を特定のカラムに限定する場合に使用します。また、使用する検索語句で大文字と小文字を区別するかどうか、ワイルドカードを使用できるかどうか、および一致は部分一致か、大文字と小文字を区別するか、完全一致か、文字列内の任意の位置に含まれていればよいかを選択できます。この検索は、選択したビューおよびロードされたデータ内でだけ動作します。詳細については、「テキスト文字列に対するフィルタリング」を参照してください。

[Time Selector]

 

時間セレクタは、次の手順を実行する場合に使用します。

[Receive Time] の値に従って、[Event Monitoring] ペインに表示するイベントをフィルタリングします(「[Event Time Range] フィルタの適用」を参照)。

リアルタイム ビューまたは履歴ビューを選択します(「リアルタイム ビューまたは履歴ビューの設定」を参照)。

クライアントにロードする時間間隔を指定します。間隔は次のように表示されます。

 

[Save]

 

現在のビューに加えた変更を保存するには、[Save] をクリックします。

(このほか、ドロップダウン リストを使用し、[Save As] を選択して変更を新規カスタム ビューとして保存する方法があります。詳細については、「カスタム ビューの作成」を参照してください)

[Start]

 

イベント テーブルにイベント リストをリロードまたは再起動するには、[Start] をクリックします。

[Stop]

 

イベント テーブルのイベント リストを停止するには、[Stop] をクリックします。現在リアルタイム ビューである場合、時間セレクタは停止した時間だけでなく、ロードされている時間間隔も示します。また、[Stop] をクリックすると、クエリーが停止し、現在 Event Viewer にロードされているイベント セットが表示されます。

[Clear]

 

 

イベント テーブルを空にするには、[Clear] をクリックします。

[Event Enumerator]

--

ツールバーの右側に表示されている数値は、Event Viewer クライアントにロードされているイベント数です。この数はイベントがロードされるたびに増えていき、フィルタ条件と一致するイベントがすべて表示されるのと改ページ制限に達するのと、どちらか低い方になった時点で終了します。

イベント テーブル

イベント テーブルは [Event Viewer] ウィンドウの主要部分を参照したものであり、各行には受信したイベントが表示され、各カラムには各イベントのさまざまな側面の詳細が表示されます。

イベント テーブルを構成しているカラムに対しては、非表示、サイズ変更、順序の並べ替え、およびソートが可能です。このようなカラムについては、「イベント テーブルのカラム」で詳しく説明します。イベント テーブルでのビューの配置の詳細については、「イベント テーブルの表示のカスタマイズ」を参照してください。


) イベント タイプによってイベント データが存在する場合と存在しない場合があるように、デバイスに適用できるカラムはデバイスによってさまざまです。


クエリーに応えてイベント サーバからロードされるイベントの数は、「[Event Management] ページ」の一部として設定される改ページ サイズによって制限されます。改ページ サイズを変更した場合、[Event Monitoring] ウィンドウをいったん閉じて再び開いたときに初めてその変更が有効になります。

変更後に削除したデバイスで発生したイベントと、表示権限のないデバイスで発生したイベントは、履歴ビューおよびリアルタイム ビューに表示されます。ただし、削除したデバイスで発生したイベントには、[Device] カラムの下に [Not Available] のマークが付けられます。このようなイベントでは、[Device] セルでフィルタリングを右クリックできません。

イベント テーブルのカラム

表 57-7に、[Event Viewer] ウィンドウ内の各ビューに表示されるすべてのカラムについてアルファベット順に説明します。


) [Description]、[Event Name]、[Receive Time] 以外のほとんどのカラムに、フィルタリング機能があります。詳細については、「カラム フィルタの使用方法」を参照してください。


 

表 57-7 Event Viewer のカラムの説明

カラムのラベル
説明

[AAA Group]

AAA グループ ポリシー。

[AAA Server]

ユーザのアクセス要求を処理するサーバ。認証、認可、およびアカウンティングを実行します。

[AAA User]

AAA ユーザ名。

[ACE Hash1]

ACE のハッシュコード 1。

[ACE Hash2]

ACE のハッシュコード 2。

[ACL Name]

ACL の名前または ID。

[Action]

フローに対して実行されるアクション。終了や拒否など。

[Alert Details]

アラートに関する詳細。

[App Name]

イベントを発生させているアプリケーションの名前。

[App Stop Reason]

アプリケーションがなぜどのようにシャットダウンされたかを説明している文字列。

[App Version]

イベントを発生させているアプリケーションのバージョン。

[Attack Relevance Rating]

攻撃とその対象となる宛先との関連性を示すために使用される数値。

[Backplane Interface]

バックプレーン インターフェイスが物理インターフェイスと異なるときにだけ、バックプレーン インターフェイスを識別します。

[Botnet Category]

ドメイン名がブラックリストに掲載されている理由を示すカテゴリ。ボットネット、トロイの木馬、スパイウェアなど。

[Botnet Domain]

動的なフィルタ データベースに登録されていて、トラフィックの宛先となったドメイン名または IP アドレス。ブラック リスト、ホワイト リスト、グレー リストのいずれかに掲載できます。

[Build Time]

ソフトウェアが構築された日付と時刻。

[Build Type]

一般に、「release」や「debug」などの文字列となります。アプリケーションの構築者の ID となる場合もあります。

[Byte Count]

接続のデータ転送バイト数。

[Call Id]

このパケットが属するセッションのピアのコール ID。

[Class Map]

クラス マップ名。

[Connection Duration]

接続のライフタイム。

[Connection ID]

一意の識別子。

[Connection Limit]

接続またはセッションの最大数。

[Connection Termination Value]

接続終了の要因。バージョンが正しくない、ペイロード タイプが無効であるなど。

[Current Connection Count]

現在の接続の数。

[Description]

syslog の場合は未処理メッセージが表示され、IPS の場合はイベントの説明が表示されます。

[Destination]

トラフィック宛先(ASA)/攻撃目標(IPS)の IP アドレス/ホスト名。複数の値を取ることもできます。

[Destination Address(IPv6)]

攻撃目標の IPv6 アドレス。参加者のアドレスが IPv6 である場合に表示されます。

[Destination Context Data]

アラートがトリガーされた直前および直後に送信されたデータを示すコンテキスト バッファ。ターゲットから供給されたストリーム データを Base64 でエンコードしたもの。

[Destination Interface]

宛先インターフェイス。

[Destination Locality]

侵入で指定されたとおりに、ターゲット アドレスが特定のネットワークの内側に存在するか、外側に存在するかを識別します。

[Destination OS]

ターゲットのオペレーティング システム情報。

[Destination OS Relevance]

宛先ターゲット OS 値の関連性を示す数値。

[Destination OS Source]

ターゲット OS データの送信元。 learned imported configured などの値が入ります。

[Destination Service]

宛先ポート。複数の値を取ることもできます。

[Device]

イベントの送信元。通常はデバイス ID です。

[Direction]

トラフィックの方向。 inbound または outbound になります。

[Event ID]

内部で各イベントに割り当てられる一意の連続番号。

[Event Name]

イベントに付与されたユーザ フレンドリな名前。

[Event Summary]

サマリー アラートであり、特性が共通する 1 つ以上のアラートを表したものです。数値は、「initialAlert」属性値との一致により、前回のサマリー アラート以降にシグニチャが発行された回数を示します。

[Event Type ID]

ASA の場合は Syslog ID です。

IPS の場合は次のいずれかになります。

[Sig ID] と [Sub SigId] の組み合わせ(IPS アラート イベントの場合)

IPS ステータス(IPS ステータス イベントの場合)

IPS エラー(IPS エラー イベントの場合)

[Execution State]

アプリケーションの実行ステータス。

[Final Alert]

サマリー アラートに適用され、特性が共通する 1 つ以上のアラートを表したものです。「initialAlert」属性に同じ値が含まれている最後のイベント アラートであるかどうかを示します。

[Generation Time]

デバイス ローカル イベント生成時間です(IPS イベントにだけ使用可能)。

[Global Correlation Audit Mode]

アラートが監査モード処理で処理されたかどうかを示す「true」値または「false」値。

[Global Correlation Deny Attacker]

リスク レーティングを算出した結果、内部オーバーライドを超えたために、攻撃者拒否アクションが発生した(または発生することになっていた)のかどうかを示す「true」値または「false」値。

[Global Correlation Deny Packet]

リスク レーティングを算出した結果、内部オーバーライドを超えたために、パケット拒否アクションが発生した(または発生することになっていた)のかどうかを示す「true」値または「false」値。

[Global Correlation Modified Risk Rating]

リスク レーティングのために「reputationRiskDelta」を追加して、リスク レーティングを調整したかどうかを示す「true」値または「false」値。

[Global Correlation Other Overrides]

リスク レーティングを算出した結果、オーバーライドしきい値を超えたために、他に防御アクションが講じられたかどうかを示す「true」値または「false」値。

[Global Correlation Risk Delta]

レピュテーション スコアにより、リスク レーティングをどのくらい増やしたかを示す 0 ~ 99 の値。監査モードがイネーブルになっている場合は、監査モードがイネーブルでなかったらリスク レーティングをどのくらい調整することになったかを示します。

[Hit Count]

設定された時間間隔で ACL エントリによってフローが許可または拒否された回数。ASA が特定のフローに対して最初の syslog メッセージを生成すると、値が 1 となります。

[Hit Count Info]

ACL ヒット カウント情報。 First hit など。

[Host ID]

イベントを発生させたホストのグローバル一意識別子。

[ICMP Code]

ICMP タイプのコード。たとえば、ICMP タイプ 3 およびコード 0 はネット到達不能であり、コード 1 はホスト到達不能です。

[ICMP Type]

ICMP メッセージのタイプ。たとえば、宛先到達不能の場合は 3、エコーの場合は 8 です。

[Initial Alert]

このフィールドはサマリー アラートに適用され、特性が共通する 1 つ以上のアラートを表したものです。値「initialAlert」は、特性(sigid/subsigid)が同じでサマリー アラートではない最後の evIdsAlert のイベント ID です。

[Ip Log ID]

iplog ドキュメントを(ホスト範囲とともに)一意に識別する IP ログ識別子。

[IpLog Address]

IP ログに関連付けられた IPv4 アドレスを識別します。

[IpLog Address(IPv6)]

IP ログに関連付けられた IPv6 アドレスを識別します。このログは、IPv6 アドレスに関連付けられている場合に表示されます。

[IpLog Alert Reference]

ログの開始をトリガーした evAlert イベントのグローバル イベント ID。

[IpLog Begin Time]

ログ ドキュメントに現在使用できる時間範囲の開始。

[IpLog Bytes Captured]

キャプチャされた総バイト数。キャプチャされたパケットの中には、メモリ制限のためにログからすでに削除されているものもあることに注意してください。

[IpLog Bytes Remaining]

ログが終了するまでの残りバイト数。

[IpLog End Time]

ログ ドキュメントに現在使用できる時間範囲の終了。

[IpLog Minutes Remaining]

ログが終了するまでの残り分数。

[IpLog Packets Captured]

キャプチャしてログに記録したパケットの総数。

[IpLog Packets Remaining]

ログが終了するまでの残りパケット数。

[IpLog Status]

ログ ステータスを表す文字列。

[IPS Category]

SEE イベント カテゴリ。

[IPS User]

ユーザのアカウントの名前。操作を開始しているユーザを識別します。

[License Limit]

ライセンスの最大数。

[List Name]

ドメイン名が記載されているリスト、管理者ホワイトリスト、ブラックリスト、または IronPort リスト。

[Login Action]

発生したログイン アクション: loggedIn loggedOut 、または loginFailed

[Malicious Host]

悪意のあるホストのホスト名。

[Malicious IP]

悪意のあるデバイスの IP アドレス。

[Max Connection]

NAT 接続の最大数。

[MaxEmbryonic Connection]

初期接続の最大数。

[NAT Destination]

Translated/Natted 宛先 IP。

変換された宛先のホスト名。

[NAT Destination Service]

Translated/Natted 宛先ポート。

[NAT Global IP]

グローバル アドレス。

[NAT Source]

Translated/Natted 送信元 IP。

変換された送信元のホスト名。

[NAT Source Service]

Translated/Natted 送信元ポート。

[NAT Type]

NAT のタイプ。 Static Dynamic など。

[New Time]

デバイス クロックが変更された時刻。

[New Version]

アップグレード インストール後のシステム ソフトウェア バージョン。

[No.]

現在表示されているイベント(行)の数(イベントを数値で一意に指定する場合については、[ Event ID ] を参照してください)。

[Old Time]

変更前のデバイス クロック時間。

[Old Version]

アップグレード インストール前のシステム ソフトウェア バージョン。

[Operation Successful]

操作が正常に実行されたかどうかを示します。

[Package File]

自動的にダウンロードされてインストールされるパッケージ ファイルの名前。

[Physical Interface]

物理インターフェイスが [Interface] カラムの対応する値と異なる場合にだけ、物理インターフェイスを識別します。

[Policy Map]

ポリシー マップ名。

[Protocol]

L3 プロトコルまたは L4 プロトコル。

[Protocol Version]

プロトコル バージョン。

[Protocol (Non L3)]

イベントに示された L3 と L4 以外のプロトコル。 TACACS RADIUS FTP H245 など。

[Reason]

特定のイベントに関連付けられた理由。接続のティアダウンなどです。

[Receive Time]

イベントが Security Manager によって受信された時刻。

[Reputation]

-10.0 ~ +10.0 で示される攻撃者のレピュテーション スコア。スコアが低い(負の値が大きい)ほど、ホストが悪意のあるホストである可能性が高くなります。

[Result Status]

操作が正常に完了したかどうかを示すステータス属性。

[Risk Rating]

イベントに関連付けられたリスクを計算した値。

[Security Context]

対応する [Interface] カラムに指定されたインターフェイスが関連付けられているセキュリティ コンテキストを識別します。

[Sensor Event ID]

イベントのシリアル番号。発信元ホストのスコープ内で一意であることが保証されています。

[Severity]

IPS または ASA の重大度値。

[Sig Details]

レポートされたシグニチャの詳細。トリガーされて、アラートの生成を引き起こしたシグニチャです。

[Sig ID]

Sig ID 値は、アラート発信者がアクティビティを特定するために使用されます。この値により、アクティビティにあらかじめ定義されているシグニチャを識別できます。

[Signature Version]

アラートの生成に使用されたシグニチャ定義のバージョンを識別します。

[Source]

イベントの送信元。複数の値を取ることもできます。

[Source Address(IPv6)]

攻撃者の IPv6 アドレス。参加者のアドレスが IPv6 である場合に表示されます。

[Source Context Data]

アラートがトリガーされた直前および直後に送信されたデータを示すコンテキスト バッファ。攻撃者から供給されたストリーム データを Base64 でエンコードしたものです。

[Source Interface]

送信元インターフェイス。

[Source Locality]

侵入検知デバイスの設定で指定されたとおりに、攻撃者のアドレスが特定のネットワークの内側に存在するか、外側に存在するかを識別します。

[Source Service]

送信元ポート。

[SSO Server]

Single Sign-On(SSO; シングル サインオン)サーバ名。

[SSO ServerType]

Single Sign-On(SSO; シングル サインオン)サーバ タイプ。 SiteMinder など。

[Sub SigId]

サブシグニチャ ID 値は、シグニチャ ID([Sig ID])とともに、アラート発信者がアクティビティを特定するために使用されます。

[Summary Type]

サマリー アラートのすべてのアラートに共通する特性を定義します。

[Target Value Rating]

アラートで特定したターゲットに関連付けられているアセット値を識別します。

[Threat Level]

次のいずれかの値になります(脅威度が関連付けられている場合): none very-low low moderate high 、または very-high

[Threat Rating]

イベントの脅威レーティング(ある場合)。

[Time Zone]

発信元ホストがある場所のローカル タイム ゾーンを識別する文字列。

[Translated Call ID]

このパケットが属するセッションのピアの変換済みコール ID。

[Trigger Packet]

アラートをトリガーした単一の完全なパケット(base64 バイナリ形式)。

[Truncated]

イベントに含まれるトリガー パケットが切り捨てられているかどうかを示します。

[Tunnel Type]

VPN トンネル タイプ。

[Type]

AAA タイプ。 authentication authorization accounting など。

[Upgrade Name]

アンインストールされたアップグレード パッケージの名前。

[URI]

自動アップグレード サーバ ディレクトリの URI。

[UTC Offset]

センサー現地時間の「offset」属性は、発信元ホストがある現地時間に変換するために UTC 時間に追加する必要がある時間(分)を示します。

[Virtual Sensor]

イベントに関連付けられた仮想センサーの名前。

[VLAN Id]

アラートをトリガーしたアクティビティにかかわるパケットに関連付けられた VLAN 番号。

[VPN Group]

VPN グループ ポリシー。

[VPN IPSec SPI]

IPSec セキュリティ パラメータ インデックス。

[VPN User]

ユーザ名。

[Watchlist Delta]

アラートに関連付けられたアクティビティの送信元がウォッチリストに記載されているために、リスク レーティングに付加された値。

時間スライダ

時間スライダには、図 57-3 に示すように、選択した期間の Events Per Second(EPS)傾向が表示されます。 垂直スライダ を使用すると、イベント テーブルに表示されるイベントの開始時間を変更できます。垂直スライダを移動すると、サーバからの Event Viewer クライアントのリロードがトリガーされます。時間スライダの使用方法の詳細については、「時間スライダの使用方法」を参照してください。

図 57-3 時間スライダの要素

 


) 時間スライダは、リアルタイム ビューではサポートされません。


右側にある時間スライダ ページ コントロールを使用して、時間スライダ ページの表示を変更できます。詳細については、表 57-8を参照してください。

 

表 57-8 時間スライダのページ送りボタン

要素
説明


 

前のページ(前方)。ページのサイズは、選択したモードによって異なります。


 

先頭ページ(最前方)。


 

次のページ(後方)。ページのサイズは、選択したモードによって異なります。


 

最終ページ(最後方)


 

ズームイン(表示される合計時間間隔が短くなります)。


 

ズームアウト(表示される合計時間間隔が長くなります)。

時間スライダの操作の詳細については、「時間スライダの使用方法」を参照してください。

[Event Details] ペイン

[Event Details] ペイン(図 57-2の [9] を参照)には、単一のイベント内に含まれる情報が表示されます。この情報はペイン内の複数のタブに表示され、その内容はデータを解析する Event Viewer のイベントおよび機能の豊富さによって異なります。コンポーネントには、次のものがあります。

[Displayed Fields] タブ:イベント テーブルに表示されるフィールドを表示します。

[Details] タブ:選択したイベントに使用できるすべてのフィールドを表示します。フィールドは、アルファベット順になっています。

[Explanation] タブ:このイベント タイプの概要を表示します。

[Related Threats] タブ:イベントと相関関係にある脅威を表示します(IPS イベント専用)。

[Recommended Action] タブ:このタイプのイベントに対する推奨事項を表示します(Syslog 専用)。

[Trigger Packet] タブ:トリガー パケット データを表示します(IPS イベント専用)。

[Context Packet] タブ:送信元(攻撃者)および宛先(ターゲット)のコンテキスト パケット データを表示します(IPS イベント専用)。

Event Manager サービスの管理

Event Manager サービスにより、Event Viewer アプリケーションを使用できるようになります。Event Viewer を機能させるには、このサービスを開始する必要があります。サービスの機能全体を設定および管理するために実行できるタスクがいくつかあります。

ここでは、次の内容について説明します。

「Event Manager サービスの開始、停止、および設定」

「モニタするデバイスの選択」

「イベント データ ストア用のディスク スペースの使用率のモニタリング」

「イベント データ ストアのアーカイブまたはバックアップと復元」

Event Manager サービスの開始、停止、および設定

Event Viewer を使用するには、Event Manager サービスが動作中である必要があります。

Security Manager をインストールすると、サーバのメモリが 4GB 以下でないかぎり、Event Manager サービスが自動的にイネーブルになります。4GB 以下である場合はディセーブルになります。メモリが 4GB 以下のシステムであってもサービスを手動で開始できますが、満足できるパフォーマンスが得られない場合があります。主な要因は、管理対象のデバイスの数と各デバイスのイベント生成速度です。


ヒント [Tools] > [Event Viewer] を選択したときに Event Viewer が使用不可能であるとのメッセージを受け取ったものの、[Tools] > [Security Manager Administration] > [Event Management] ページで [Enable Event Management] オプションが選択されている場合には、Event Manager サービスをもう一度開始してみてください。まず、[Enable] オプションの選択を解除し、[Save] をクリックします。サービスが停止するまで待機します。次に、[Enable] オプションを選択し、[Save] をクリックし、サービスが再び開始されるまで待機します。その後、Event Viewer を再度開いてみます。


次の手順では、Event Manager サービスを開始、停止、および設定する方法について説明します。

関連項目

「イベント データ ストア用のディスク スペースの使用率のモニタリング」


ステップ 1 (Event Viewer ではなく)メインの [Security Manager] ウィンドウで、[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Event Management] を選択します。

ステップ 2 次のいずれかを実行します。

Event Manager サービスをイネーブルまたは開始するには、[Enable Event Management] を選択します。

Event Manager サービスをディセーブルまたは停止するには、[Enable Event Management] の選択を解除します。

イベント データの保存場所と最大サイズ、デバイスからイベントが送信されることになる syslog ポート、改ページ サイズ(この値によって、Event Viewer にクエリーを実行した場合に返されるイベントの最大数が決まります)など、他の設定も変更できます。これらの設定の詳細については、「[Event Management] ページ」を参照してください。

ステップ 3 [Save] をクリックして変更を保存します。

[Enable Event Management] オプションを変更した場合、Event Manager サービスを起動または停止してもよいかどうかの確認が求められます。[Yes] をクリックするとすぐにサービスが開始または停止し、進捗インジケータが表示されて変更が完了したときに通知されます。ステータス変更が完了するまで待ってから続行します。

改ページ サイズを除く他の設定を変更する場合は、Event Manager サービスをいったん停止してから再起動する必要があります。進捗インジケータが表示されます。


 

モニタするデバイスの選択

Security Manager データベースに追加されているすべての ASA デバイスおよび IPS センサーが、Event Viewer でのモニタ対象に自動的に選択されます。

デバイスで Event Viewer を使用しない場合は、そのデバイスをモニタ対象から除外できます。Security Manager サーバを syslog サーバとして使用するように ASA デバイスを設定していない場合は、ASA からいっさいイベントを受け取らないため、モニタしない ASA の選択を解除する必要がありません。


ヒント Event Viewer では Cisco IOS IPS デバイスをモニタできません。


関連項目

「デバイス インベントリへのデバイスの追加」

「イベント管理のための ASA デバイスの設定」

「イベント管理のための IPS デバイスの設定」


ステップ 1 Event Viewer で、[View] > [Manage Monitored Device] を選択して、[Manage Monitored Devices] ダイアログボックスを開きます。

デバイス リストには、Security Manager インベントリ内のデバイスのうち、表示権限があるすべてのデバイスが表示されます。権限がないデバイスは表示されません。選択できる対象が、表示されたデバイスにかぎられます。

ステップ 2 Event Viewer でイベントをモニタするデバイスだけが選択されていることを確認します。モニタしないデバイスの選択を解除します。

デバイス グループに属するすべてのデバイスの選択ステータスを変更する場合は、そのグループを選択または選択解除します。

ステップ 3 [OK] をクリックします。

Event Viewer で変更が有効になるまで待機することが必要になる場合があります。


 

イベント データ ストア用のディスク スペースの使用率のモニタリング

Event Manager サービスは、指定された量のディスク スペースをイベント データ ストアに使用します。これにより、サービスが原因でサーバ コンピュータが過負荷になることがなくなります。イベント データ ストアのサイズは、「[Event Management] ページ」の説明に従って、[Tools] > [Security Manager Administration] > [Event Management] ページで設定します。

割り当てたスペースが残らず使用されると、新規イベントを追加するたびに最も古いイベントが削除されます。

[View] > [Show Event Store Disk Usage] を選択して、割り当てたスペースのうち現在使用されている量と、最も古いイベントの経過時間をモニタできます。情報は円グラフで表示され、使用領域と未使用領域が GB 単位で示されます。

この情報を参考にして、割り当てたスペースの増減を判断できます。


ヒント イベント データ ストアのサイズを小さくし、そのサイズが現在の使用量を下回っている場合は、新たに設定したサイズに達するまで、古いものから順にイベントがすぐに削除されます。


イベント データ ストアのアーカイブまたはバックアップと復元

イベント データ ストアは、標準の Security Manager データベース バックアップには付属していません。イベント データ ストアをアーカイブまたはバックアップする場合は、それぞれの作業を別々に実施する必要があります。バックアップは必要に応じて復元できます。

ここでは、イベント データ ストアのバックアップと復元に必要な手順について説明します。


ヒント Event Manager サービスをディセーブルにすると、イベントがデータ ストアに書き込まれないため、バックアップ プロセスまたは復元プロセス中に生成されたイベントが失われることになります。



ステップ 1 イベント データ ストアをバックアップするには、次の手順を実行します。

a. Security Manager クライアントで、[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Event Management] を選択します。

b. イベント データ ストア フォルダの名前を特定します。フォルダは、[Event Data Store Location] フィールドに表示されています。デフォルトは NMSROOT ¥ MDC ¥ eventing ¥ database で、NMSROOT はインストール ディレクトリ(通常は C:¥Program Files¥CSCOpx)です。

c. [Enable Event Management] チェックボックスをオフにして、Event Manager サービスを停止します。[Save] をクリックして変更を保存します。サービスを停止してもよいかどうかの確認が求められます。[Yes] をクリックし、サービスが停止したことが通知されるまで待機します。

d. Security Manager とは別に、 NMSROOT ¥ MDC ¥ eventing ¥ config ¥ collector.properties ファイルおよびイベント データ ストア フォルダのコピーを作成します。そのコピーを別のサーバに保存して、ハードウェア障害が発生した場合にバックアップとして使用できるようにします。

e. Security Manager クライアントの [Tools] > [Security Manager Administration] > [Event Management] ページで、[Enable Event Management] チェックボックスをオンにし、[Save] をクリックします。サービスを開始してもよいかどうかの確認が求められます。[Yes] をクリックし、サービスが開始したことが通知されるまで待機します。

ステップ 2 イベント データ ストアを復元するには、次の点を除き、データのバックアップに使用したときと同じプロセスを使用します。

既存のイベント データ ストアのコピーを作成するのではなく、イベント データ ストアがある場所にバックアップをコピーします。このとき、まず既存のデータを削除してから、バックアップ データをコピーすることもできます。ただし、データ ストアのサイズ制限を超えていないかぎり、バックアップ データと既存のデータを混在させることができます(データ ストアの制限は、[Tools] > [Security Manager Administration] > [Event Management] ページに設定されています)。


) 新旧のデータを混在できるは、collector.properties の既存のコピーを保持している(つまり、まだこのファイルを復元していない)場合で、かつ新旧のデータが同じサーバからのものである場合だけです。複数の異なるサーバからのデータ ストアはマージできません。


Security Manager の再インストールを必要としたハードウェア障害または他のイベントから回復している場合を除き、collector.properties は復元しないでください。


 

Event Viewer の使用方法

Event Viewer 内に収集されて表示されるイベントには、発生元によって大きく異なる情報が含まれています。イベント リストは受け取った情報を解析および表示できるようになっていますが、その情報の範囲、分類、詳細レベル、および詳細はイベント リストによって大きく異なります。

ここでは、次の内容について説明します。

「イベント管理の準備」

「イベント ビューの使用方法」

「特定のイベントに対する操作の実行」

「イベントのフィルタリングおよび照会」

「Event Viewer からの Security Manager ポリシーの検索」

イベント管理の準備

デバイスから生成されたイベントを表示する場合は、事前にそのデバイスが Event Viewer で機能するように設定する必要があります。

ここでは、次の内容について説明します。

「時間の同期」

「イベント管理のための ASA デバイスの設定」

「イベント管理のための IPS デバイスの設定」

時間の同期

標準のネットワーク管理では、時差およびネットワーク デバイス同期が考慮されます。そのために通常、Network Time Protocol(NTP; ネットワーク タイム プロトコル)サーバが使用されます。Event Viewer は、時間基準を統一すると最も使いやすくなります。ただし、Security Manager がイベントを受け取った時刻([Receive Time])を表示できるほか、IPS デバイスの場合にはデバイスがイベントを生成した時刻([Generation Time])を表示できます。

イベント管理のための ASA デバイスの設定

Event Viewer または syslog イベントを分析する他のアプリケーションを使用して ASA デバイスから生成されたイベントを表示する場合は、事前に syslog メッセージを生成および送信するようにそのデバイスでロギング ポリシーを設定する必要があります。


ヒント デバイスごとに適切なロギング設定を指定できますが、ネットワーク内の複数の ASA デバイスで同じロギング設定を使用することになる場合もあります。この項では個々のデバイスを設定する方法について説明しますが、共有ポリシーを作成して複数のデバイスに割り当てることもできます。共有ポリシーの設定と割り当ての詳細については、「新しい共有ポリシーの作成」および「ポリシー ビューにおけるポリシー割り当ての変更」を参照してください。


ここで説明するロギング設定のほか、ファイアウォール ポリシーまたは ACL ポリシー オブジェクトにアクセス コントロール エントリを設定した場合にはそのエントリごとにロギングを設定することもできます。デフォルトでは拒否されたアクセスだけがログに記録されますが、ログに記録する情報が増えるように ACL ロギング オプションを設定できます。


ステップ 1 (デバイス ビュー)ASA デバイスを選択し、ポリシー セレクタから [Platform] > [Logging] > [Syslog] > [Logging Setup] を選択します。

ポリシーで、[Enable Logging] を選択します。必要に応じて他のオプションを設定できます。オプションの詳細については、「[Logging Setup] ページ」を参照してください。

ステップ 2 [Platform] > [Logging] > [Syslog] > [Syslog Servers] を選択します。

Security Manager サーバの IP アドレスを syslog サーバ テーブルに追加します。UDP プロトコルを使用するようにサーバを設定します。Security Manager Administration の「[Event Management] ページ」で別のポートを設定しないかぎり、デフォルト ポート 514 が適切なポートです。

CS-MARS など他のイベント管理アプリケーションを使用している場合には、そのサーバもこのポリシーに追加します。


) 必要に応じて EMBLEM メッセージ フォーマットを使用できます。従来のフォーマットも EMBLEM フォーマットもサポートされています。CS-MARS では EMBLEM がサポートされないため、CS-MARS サーバには EMBLEM フォーマットのメッセージを送信しないでください。


syslog サーバ ポリシーのオプションの詳細については、「[Syslog Servers] ページ」を参照してください。

ステップ 3 タイム スタンプを syslog メッセージに追加する、メッセージの重大度を変更する、特定のメッセージの生成を抑止するなど、デフォルト以外の syslog サーバ設定を設定する場合は、[Platform] > [Logging] > [Syslog] > [Server Setup] ポリシーを設定します。詳細については、「[Server Setup] ページ」を参照してください。

ステップ 4 (任意)[Platform] > [Logging] > [Syslog] > [Logging Filters] ポリシーでは、syslog サーバに送信されるメッセージの種類を微調整できます。このポリシーの詳細については、「[Logging Filters] ページ」および「[Edit Logging Filters] ダイアログボックス」を参照してください。

次に、このポリシーを設定するためのヒントを示します。

ロギング フィルタを追加するときには、[Logging Destination] に [Syslog Servers] を選択します。

メッセージ重大度に基づいて簡単なフィルタを作成したり、イベント クラスに基づいてはるかに複雑なフィルタを設定したりできます。イベント クラスを使用する場合は、Logging Filters ポリシーで直接設定を行うことも、Event Lists ポリシーで個別にイベント リストを設定することもできます(「[Event Lists] ページ」を参照)。

ステップ 5 (任意)メッセージ重大度またはメッセージ番号で時間間隔あたりに生成されるメッセージの数量を制限するように、[Platform] > [Logging] > [Syslog] > [Rate Limit] ポリシーを設定できます。これにより、syslog サーバのフラッディングを回避するのが容易になります。「[Rate Limit] ページ」を参照してください。

ステップ 6 (任意ですが推奨)ネットワーク タイム プロトコル サーバを指定するように、[Platform] > [Device Admin] > [Server Access] > [NTP] ポリシーを設定できます。NTP を使用すると、日付と時刻情報の一貫性を確保して容易にイベントを相関付けることができます。Security Manager サーバに使用するのと同じ NTP サーバを指定します。異なるサーバを使用する場合は、それらのサーバが同期されていることを確認してください。「[NTP] ページ」を参照してください。


 

イベント管理のための IPS デバイスの設定

IPS デバイスから生成されたイベントを Event Viewer を使用して表示する場合は、事前に Security Manager サーバがそのデバイスにアクセスできるようにそのデバイスで Allowed Hosts ポリシーを設定する必要があります。Allowed Hosts ポリシーでは設定へのアクセスも許可するように Security Manager を設定する必要があるため、IPS デバイスがすでに正しく設定されている可能性があります。また、Network Time Protocol(NTP; ネットワーク タイム プロトコル)も設定します。

IPS デバイスで効率よくイベントを管理できるように、デバイス ビューで IPS デバイスに対して次のポリシーを設定します。

[Platform] > [Device Admin] > [Device Access] > [Allowed Hosts]:(必須)Security Manager サーバをテーブルに追加します。Security Manager サーバをそのホスト IP アドレス(たとえば、10.100.10.10)で特定するか、または Security Manager サーバが存在するネットワーク(たとえば、10.100.10.0/24)を指定できます。

デバイスで CS-MARS など他のイベント管理アプリケーションを使用している場合は、そのサーバもポリシーに追加します。

Allowed Hosts ポリシーの設定の詳細については、「許可ホストの識別」を参照してください。

[Platform] > [Device Admin] > [Server Access] > [NTP]:(推奨)日付と時刻情報の一貫性を確保して容易にイベントを相関付けることができるように、Security Manager サーバに使用するのと同じ NTP サーバを設定します。異なるサーバを使用する場合は、それらのサーバが同期されていることを確認してください。詳細については、「NTP サーバの識別」を参照してください。


ヒント デバイスごとに適切な許可ホストおよび NTP 設定を指定できますが、ネットワーク内の複数の IPS デバイスで同じ設定を使用することになる場合もあります。この項では個々のデバイスを設定する方法について説明しますが、ポリシーの共有バージョンを作成して複数のデバイスに割り当てることもできます。共有ポリシーの設定と割り当ての詳細については、「新しい共有ポリシーの作成」および「ポリシー ビューにおけるポリシー割り当ての変更」を参照してください。


Event Viewer の起動

Event Viewer を起動するには、次のいずれかを実行します。

[Tools] > [Event Viewer] を選択します。

[Event Viewer] アイコンをクリックします。

キーボード ショートカット Alt+T+W を使用します。

Event Viewer が新規ウィンドウに開かれ、[All Device Events] ビューが [Last 10 Minutes] モードで表示されます。

ビューを開く方法および切り替える方法

この手順では、ビューを開く方法および開いたビュー間を切り替える方法を詳しく説明します。


) 最大で 4 つの履歴ビューと 1 つのリアルタイム ビューを開くことができます。


ビューをいくつか開き、ビュー間を切り替えるには、次の手順を実行します。


ステップ 1 ビュー セレクタでビューをダブルクリックして開きます。

イベントのロード中、[Status] ダイアログボックスが短い間表示され、イベント テーブルに直前の 10 分間(デフォルト)のイベントが表示され、ビューの [View] タブが [Event Monitoring] ウィンドウの最上部に表示されます。


) イベント テーブルに表示されるイベントの数は、[Time Filter] または Security Manager での [Event Data Pagination Size] 設定によって制限できます。詳細については、「[Event Management] ページ」を参照してください。


ステップ 2 別のビューを開くには、[File] > [Open View] を選択します。表示された [Open a View] ダイアログボックスから、開くビューを選択し、[OK] をクリックします。


ヒント このほか、キーボード ショートカット Ctrl+O を使用する方法と、ビューを右クリックし、[Open in New Tab] を選択する方法もあります。



) イベント セレクタで別の定義済みビューまたはカスタム ビューをダブルクリックすると、現在のビューと置き換わります。


ステップ 3 開かれたビュー間を切り替えるには、開くビューの [View] タブをクリックします。


 

イベント テーブルでの操作

特定の目的に従って、イベント テーブルに表示されているイベントを変更します。

スクロール :イベント リストが、イベント ウィンドウに表示できる容量を超えることがあります。右側にあるイベント ウィンドウのスクロールバーを使用してリストをスクロールして、現在表示中のイベント以外のイベントを表示できます。

単一のイベントの詳細の参照 :単一のイベントの詳細を参照するには、イベント リストをダブルクリックします。[Event Details] ウィンドウが開き、選択したイベントの詳細が表示されます。詳細は全部まとめてコピーしたり、印刷したりできます。また、必要に応じて詳細項目を選択してコピーすることもできます。


ヒント このほか、イベントをクリックして選択し、ページの一番下にある [Event Details] ペインにイベント詳細を表示する方法もあります。タブ付きの [Event Details] ペインには、イベント テーブルよりも詳細な情報が表示されます。「[View] メニュー」で [Show Event Details] を参照してください。


イベント テーブルのクリア :テーブルをクリアするには、[Clear] をクリックします。表示はクリアされますが、情報は削除されません。

イベント テーブルの表示のカスタマイズ

自分のプリファレンスを満たすようにイベント テーブルの定義済みのビューまたはカスタム ビューの表示をカスタマイズし、そのプリファレンスをビューに保存できます。

関連項目

「カスタム ビューの作成」

「カラム フィルタの使用方法」

「カスタム カラム フィルタの使用方法」

「ビューの色規則の設定」


ステップ 1 次の 1 つ以上の変更を加えます。

a. テーブルに表示されるカラムを変更するには、[Column Selector] をクリックします(図 57-2の [10] を参照)。

結果: [Choose Columns to Display] ダイアログボックスが表示されます。

必要な選択を行い、[OK] をクリックします(カラムの詳細については、「イベント テーブルのカラム」を参照してください)。


ヒント 個別に、または [Select/Unselect All] チェックボックスを使用して、表示するカラムを選択または選択解除できます。



) [Choose Columns to Display] ダイアログボックスの上部にある [Restore Defaults] をクリックして、ビューのデフォルト カラムの表示に戻すことができます。


選択したカラムだけが表示されます。

b. カラムの幅を変更するには、カラム見出しの右端をクリックしてドラッグします。

c. カラムの並び順を変更するには、カラム見出しをクリックし、カラムを目的の位置にドラッグします。

d. リストに挙げられているイベントをソートするには、カラム見出しをクリックします(デフォルトでは、[Receive Time] でソートされています)。


ヒント もう一度クリックすると、ソートされた表示が反転します。さらにもう一度クリックすると、適用されたソートが解除されます。


イベント テーブルのイベント リストが並べ替えられます。

e. ビュー セレクタおよび [Event Monitoring] ウィンドウの幅をデフォルト値にリセットするには、[View] > [Reset] を選択します。

ステップ 2 このビューでイベント テーブルの表示に加えた変更を保存するには、[File] > [Save] を選択し、その変更を新規ビューとして保存するには、[File] > [Save As] を選択します。


 

ビューの色規則の設定

色規則を作成し、その規則を使用して、特定のビューで特定の重大度が設定されたすべてのイベントの表示を変更できます。色規則を定義したあと、規則をイネーブルにするかどうかを選択し、規則を編集または削除できます。


) 色規則は、その規則が定義されているビューにだけ適用されます。



ヒント 色規則を削除するには、[View Settings] ペインでその規則を選択し、[Delete] をクリックします。


[Add Color Rule] ダイアログボックスと [Edit Color Rule] ダイアログボックスには、同じフィールドが表示されます。

 

要素
説明

[Enable]

選択すると、色規則が有効になります。

[Severity]

色規則が適用される重大度レーティングを決定します。

[Foreground]

テキストの色を制御します。

[Background]

背景色を制御します。

[Font Type]

ボックスをオンにして、テキストの太字特性および斜体特性を設定します。

[Preview Text]

色規則の効果をプレビューできます。

色規則を定義し、イネーブルにするには、次の手順を実行します。


ステップ 1 任意の定義済みビューまたはカスタム ビューを開きます。

ステップ 2 [View Settings] ペインを開きます(図 57-2の [2] を参照)。

ステップ 3 [Color Rules] タブをクリックします(図 57-2の [5] を参照)。

ステップ 4 [Add] をクリックします。

ステップ 5 重大度および色のパラメータを設定します。[Preview Text display] ボックスに、色規則がどのように適用されるかが表示されます。

ステップ 6 色規則をアクティブにするには、[Enable] チェックボックスをオンにします。

ステップ 7 [OK] をクリックします。

選択した重大度が設定されたすべてのイベントの表示が、色規則の設定に一致するように変更されます。


 

時間スライダの使用方法

時間スライダは、次の操作を実行する場合に使用できます。

サーバでのイベント データの EPS(Events Per Second)傾向を表示する。

ロードしたイベントのどのページを [Event Details] ウィンドウに表示するかを変更する。

クライアントへのイベントのロードを開始する。

詳細については、「時間スライダ」を参照してください。


) 時間スライダは、リアルタイム ビューではサポートされません。



ヒント イベント テーブルに表示されるイベントの時間範囲は、選択した時間間隔によって決まります。詳細については、「[Event Time Range] フィルタの適用」を参照してください。


時間スライダを使用して、EPS 傾向を表示したり、イベント テーブルに表示されるイベントを変更したりするには、次の手順を実行します。


ステップ 1 ビューを開きます。


) 履歴ビューを開きます。あるいは、リアルタイム ビューをすでに開いている場合には、時間間隔を選択してモードを変更します。


時間スライダには、デフォルトの時間間隔([Last 10 Minutes])または前回保存した時間間隔の EPS 傾向が表示されます。

ステップ 2 ページ コントロールを使用して、必要に応じて EPS 傾向の時間スライダの表示を変更します。

時間スライダに現在表示されているイベントを前方または後方にページングします。


) 前方から後方というようにページ コントロールを交互に使用すると、イベント テーブルでのソート順序が逆になります(最新のイベントが、テーブルの上から下、または下から上の順に並びます)。


現在表示されているイベント以外の傾向など、EPS 傾向にズームインまたはズームアウトします。


) ズームしても、イベント テーブルの表示には影響を与えません。時間スライダでは、イベント テーブルに現在表示されている時間間隔が青の網掛けで示されます。


詳細については、表 57-8を参照してください。

ステップ 3 必要に応じて、垂直スライダを使用して、イベント テーブルに表示されるイベントの開始時間を変更します。

垂直スライダの位置によってイベント テーブルに表示される最新のイベントが決まるため、垂直スライダを移動すると、クライアントがリロードされます。


 

カスタム ビューの作成

目的のフィルタ、カラム、デバイス、色、および配置となるようにカスタム ビューを作成して保存できます。そのためには単に、任意のカスタム ビューまたは定義済みのビューを編集し、それを新規ビューとして保存するだけです。カスタム ビューを使用すると、カスタマイズしてビューとして保存したビュー ペインを迅速に開くことができます。


) カスタム ビューはプライベートなものであり、ユーザ間で共有されません。


関連項目

「ビューの内容の編集」

「イベント テーブルの表示のカスタマイズ」

「カラム フィルタの使用方法」

「カスタム カラム フィルタの使用方法」

任意の定義済みビューまたはカスタム ビューに変更を加え、それを基にビューを作成するには、次の手順を実行します。


ステップ 1 既存の定義済みビューまたはカスタム ビューを開きます。

ステップ 2 カラム、デバイス、色、またはカラム順の表示に変更を加えます。

ステップ 3 新規カスタム ビューで目的のフィルタを作成、削除、または変更します。

ステップ 4 [File] > [Save As] を選択します。

[Save "[__ view name __]" As] ダイアログボックスが表示されます。

ステップ 5 新規ビューの一意の名前および説明を入力し、[OK] をクリックします。

新規ビューが、命名して設定したとおりに保存され、ビュー セレクタに表示されます。


 

ビューの内容の編集

ビューの(外観ではなく)内容を編集するには、ビューがカスタム ビューであるか、またはビューがカスタム ビューとして保存されている必要があります。


) 定義済みのビューの内容は編集できません。


関連項目

「カスタム ビューの作成」

「イベント テーブルの表示のカスタマイズ」

「カラム フィルタの使用方法」

「カスタム カラム フィルタの使用方法」

ビューの削除

カスタム ビューだけを削除できます。 定義済み のビューは削除できません。

ビューを削除するには、次の手順を実行します。


ステップ 1 ビュー セレクタで、削除するビューを右クリックし、[Delete] を選択します。

確認のダイアログボックスが表示されます。

ステップ 2 [Yes] をクリックします。

カスタム ビューが削除されます。


 

ビューのフローティング

すでに開いているビューを フローティング できます(新規ウィンドウに開きます)。ビューをフローティングすると、その新規ウィンドウではメニューバーにアクセスできません。メイン ウィンドウを閉じると、フローティングしたビューも閉じます。


) 最大で 4 つの履歴ビューと 1 つのリアルタイム ビューを開くことができます。


ビューをフローティングするには、[View] タブを右クリックし、[Floating] を選択します。

 

フローティングしたビューをドッキングするには、[View] タブを右クリックし、[Docking] を選択します。

たとえば、[All Device Events] ビューをフローティングするには、そのビューを開き、[All Device Events] タブを右クリックし、[Floating] を選択します。

ビューの配置

新規タブ グループを開くと、各ビューが同じウィンドウに垂直または水平に表示されます。タブ グループとは、1 つ以上の [Event Monitoring] ウィンドウを表示するペインのことです。


) 最大で 4 つの履歴ビューと 1 つのリアルタイム ビューを開くことができます。


複数のビューを開いた状態で、[View] タブを右クリックし、[New Horizontal Group] または [New Vertical Group] を選択します。

複数のタブ グループの垂直/水平配置を変更するには、タブを右クリックし、[Change Tab Groups Orientation] を選択します。

[View] タブを元のタブ グループに戻すには、タブを右クリックし、[Move to Previous Tab Group] を選択します。

[View] タブを次のタブ グループに送るには、タブを右クリックし、[Move to Next Tab Group] を選択します。この手順を使用して、複数のビュー タブをどのペインに表示するかを選択できます。

特定のイベントに対する操作の実行

イベント テーブル内の単一のイベントに対して、次のようなさまざまな操作を実行できます。

右クリック :イベント テーブルの単一のイベントを右クリックすると、コンテキスト メニューからさまざまなアクションを選択できます。詳細については、「右クリックメニュー」または「特定のイベントの値に基づいたフィルタリング」を参照してください。

イベントの選択 :イベント テーブルの単一のイベントをクリックすると、そのイベントが強調表示され、[Event Details] ペインにその特定のイベントの詳細が表示されます。さらに別のイベントを選択するには Ctrl キーを押した状態で選択し、ある範囲のイベントを選択するには Shift キーを押した状態で選択します。

イベントのダブルクリック :イベント テーブルの単一のイベントをダブルクリックすると、イベントの詳細がポップアップ ウィンドウに表示されます。そのポップアップ ウィンドウから、表示された詳細を印刷したり、詳細の一部または全部をコピーしたりできます(このほか、イベントを右クリックし、[Show All Details] を選択する方法もあります)。

ここでは、次の内容について説明します。

「右クリックメニュー」

「イベント レコードのコピー」

「ファイルへのイベントの保存」

右クリックメニュー

イベント テーブルのイベントを右クリックすると、次のコンテキスト メニューが表示されます。

 

選択した値(イベント テーブルのセル)だけを含めるようにフィルタリングするには、[Filter This Value] を選択します。

選択した値(イベント テーブルのセル)を除外するようにフィルタリングするには、[Filter Not this Value] を選択します。空のセルも含め、選択した値が含まれていないセルがすべて返されます。

カスタム フィルタを作成するには、[Custom Filter . . .] を選択します。

選択した値に対するフィルタをクリアするには、[Clear This Filter] を選択します。

すべてのフィルタをクリアするには、[Clear All Filters] を選択します。

選択したイベントのフロー(送信元、送信元サービス、宛先、宛先サービス)に対するフィルタリングを行うには、[Filter This Flow] を選択します。

選択したイベントの複数の値に基づいてフィルタを作成するには、[Create Filter from Event] を選択し、フィルタリングする値を選択します。

イベント レコードのコピー

単一のイベント、複数のイベント、すべてのイベント、さらに単一のセルの内容をコピーできます。

イベントのコピー :イベント テーブルからイベント リストをコピーするには、イベントを右クリックし、[Copy Selected Event(s)] を選択します。


ヒント セルを右クリックしたあと、単一セルのコピーを選択することもできます。


複数のイベントのコピー :現在表示されているイベント テーブルから選択したイベント リストをコピーするには、コピーするイベントを選択し、イベント テーブルで右クリックし、[Copy Selected Event(s)] を選択します。


ヒント イベントをクリックして選択します。さらに別のイベントを選択するには Ctrl キーを押した状態で選択し、ある範囲のイベントを選択するには Shift キーを押した状態で選択します。


すべてのイベントのコピー :現在表示されているイベント テーブルからすべてのイベント リストをコピーするには、イベント テーブルの任意の場所を右クリックし、[Copy All Events] を選択します。このほか、キーボード ショートカット Ctrl+A を使用してイベント テーブルのすべてのイベントを選択する方法もあります。


ヒント コピーしたイベントは、スプレッドシートや電子メールなど好みのレポート アプリケーションに貼り付けることができます。


ファイルへのイベントの保存

Security Manager のイベンティング機能内には自動レポート ジェネレータがありませんが、要件を満たせばどのようなレポート アプリケーションでもすべてのイベント(および特定のイベント コンパイルが含まれているカスタム ビュー)を処理できます。

イベントの保存 :イベント テーブルからイベント リストを保存するには、1 つ以上のイベントを選択し、右クリックし、ダイアログボックスから [Save Selected Event(s) as HTML] または [Save Selected Event(s) as CSV] を選択します。表示された [Save] ダイアログボックスで、ファイルの場所を選択し、ファイルの名前を入力して [Save] をクリックします。

すべてのイベントの保存 :イベント テーブルからすべてのイベント リストを保存するには、イベント テーブルの任意の場所を右クリックし、[Save All Events as HTML] または [Save All Events as CSV](カンマ区切り値)を選択します。表示された [Save] ダイアログボックスで、ファイルの場所を選択し、ファイルの名前を入力して [Save] をクリックします。

イベントのフィルタリングおよび照会

ここでは、イベント テーブルに表示されるイベントをフィルタリングするための数多くの方法について詳しく説明します。

ここでは、次の内容について説明します。

「イベント時間のフィルタリング」

「イベント テーブルの更新」

「特定のイベントの値に基づいたフィルタリング」

「フィルタのクリア」

「テキスト文字列に対するフィルタリング」

「カラム フィルタの使用方法」

「カスタム カラム フィルタの使用方法」

イベント時間のフィルタリング

ここでは、時間に基づくフィルタリングについて説明します。[Time Range] フィルタと時間スライダの適用、および履歴ビューまたはリアルタイム ビューの設定を取り上げます。

ここでは、次の内容について説明します。

「[Event Time Range] フィルタの適用」

「フィルタリングと時間スライダの使用方法」

「リアルタイム ビューまたは履歴ビューの設定」

[Event Time Range] フィルタの適用

ツールバーの [Time Range] ボタン を使用して、過去の指定の時間枠でイベント ウィンドウにイベントを表示できます。このフィルタでは、[Event Monitoring] ペインをリアルタイムに設定することもできます。


ヒント このほか、メニュー パス [View] > [Mode] に従い、コンテキスト メニューから選択する方法もあります。


時間フィルタは、イベンティング クライアント時間ではなく現在のサーバ時間から測定したものです。

履歴ビューに表示されるイベントは、フィルタを更新したときにだけリフレッシュされます。詳細については、「イベント テーブルの更新」を参照してください。

現在時刻から過去にさかのぼってイベントを表示するには、次のいずれかの期間を選択します。[last 10 minutes]、[last 1 hour]、[last 12 hours]、[last 1 day]、または [last 1 week] です。

今日または昨日のイベントを表示するには、必要に応じて [today] または [yesterday] を選択します。

特定の日のイベントを表示するには、[is on] を選択し、表示されたカレンダーからその日付を選択します。

特定の日付と時刻の範囲のイベントを表示するには、[is between] を選択し、表示されたカレンダーから範囲の最初および最後の日付と時刻を選択します。

リアルタイム イベントを表示するには、[Real Time] を選択します。

フィルタリングと時間スライダの使用方法

時間スライダの垂直スライダ コントロールを使用すると、イベント テーブルに表示されるイベントの開始時間を変更できます。これは、イベントの場所を特定し、そのおおよその発生時刻を確認するときに特に便利です。

時間スライダの操作の詳細については、「時間スライダの使用方法」を参照してください。

時間スライダを使用してフィルタリングを使いやすくするには、次の手順を実行します。


ステップ 1 履歴ビューを開き、時間スライダを開きます。


ヒント デフォルトの時間フィルタは [last 10 minutes] になっています。


ステップ 2 確認する 1 つ以上のイベントのおおよその時刻に垂直スライダを移動します。

イベント テーブルがリロードされて、垂直スライダで指定した時刻とそれ以前に発生したイベントが表示されます。次のように、[Time Slider] ペインではこの時間範囲に影が付けられ、[Time Range] フィルタに記載されます。

 

ステップ 3 1 つ以上のイベントの場所を特定するには、次のいずれかを実行します。

カスタム カラム フィルタを適用します。

イベント テーブルをスクロールするか、またはイベント テーブルのページを切り替えます。

時間スライダのページ コントロールを使用して、時間範囲を前方または後方にリセットします。詳細については、表 57-8を参照してください。


) 時間スライダでページを切り替えるときに前方または後方に移動する距離は、設定されているモード(時間範囲)またはイベント テーブルが保持できるイベントの数によって決まります。垂直スライダの位置は、イベント テーブルにロードされた最新のイベントを示します。



 

リアルタイム ビューまたは履歴ビューの設定

[Time Range] フィルタを使用して、リアルタイム ビューまたは履歴ビューを選択できます。


) デフォルトの時間フィルタは [last 10 minutes] になっています。


詳細については、「[Event Time Range] フィルタの適用」を参照してください。

[Event Monitoring] ペインに表示されるイベントを時刻でフィルタリングするには、次の手順を実行します。


ステップ 1 Event Viewer でビューを開きます。

ステップ 2 [Time Range] フィルタをクリックして、時間フィルタの選択肢を表示します。

ステップ 3 履歴ビューからを変更するには、[Real Time] を選択します。


) 現在リアルタイム ビューを開いている場合は、他のモードを選択してその期間の履歴ビューに切り替えます。


イベント テーブルには受信したイベントをリアルタイムに表示するスクロール可能なリストが表示され、[View Settings] ペインにはフィルタ定義が表示されます。


 

イベント テーブルの更新

[last 10 minutes] など履歴モードを使用している場合、表示される最新のイベントはそのフィルタをクリックした(または Event Viewer を開いた)時刻に対応しています。同様に、リアルタイム モードを使用して [Stop] をクリックした場合、イベント テーブルの最新のイベントは [Stop] をクリックした時刻に対応しています。

サーバの別のクエリーを実行し、イベント テーブルの表示を更新するには、次のいずれかを実行します。

[Time Range] をクリックします。

[Start] をクリックします。

[View] > [Start] を選択します。

キーボード ショートカット Ctrl+N を使用します。

時間スライダの垂直スライダ コントロールを移動します。

[View] > [Mode] コンテキスト メニューからいずれかのオプションを選択します。

特定のイベントの値に基づいたフィルタリング

イベント リスト内に含まれる情報、またはイベント リスト内の単一のセルに基づいて新規にフィルタを作成できます。そのためには、右クリックしてフィルタリングを選択します。オプションには、次のものがあります。

選択したイベントの複数の値に基づいてフィルタを作成するには、[Create Filter from Event] を選択し、ダイアログボックスからフィルタリングする値を選択します。

選択した値(イベント テーブルのセル)だけを含めるようにフィルタリングするには、[Filter This Value] を選択します。

選択した値(イベント テーブルのセル)を除外するようにフィルタリングするには、[Filter Not this Value] を選択します。空のセルも含め、選択した値が含まれていないセルがすべて返されます。

選択したイベントのフロー(送信元、送信元サービス、宛先、宛先サービス)に対するフィルタリングを行うには、[Filter This Flow] を選択します。

フィルタのクリア

選択したフィルタまたはすべてのフィルタをクリアできます。

単一のフィルタをクリアするには、[View Settings] ペインからそのフィルタを選択し、[Delete] をクリックします。[View Settings] ペインからフィルタがクリアされ、変更後のフィルタ条件に一致するイベントが含まれるようにイベント テーブルが更新されます。


ヒント このほか、イベント テーブルでフィルタリングされたカラムを右クリックし、[Clear This Filter] を選択する方法や、カラム見出しのドロップダウンを使用し、[All] を選択する方法もあります。


すべてのフィルタをクリアするには、イベント テーブル内で右クリックし、[Clear All Filters] を選択します。[View Settings] ペインからフィルタがクリアされ、変更後のフィルタ条件に一致するイベントが含まれるようにイベント テーブルが更新されます。

テキスト文字列に対するフィルタリング

ツールバーの左側にあるクイック フィルタ(図 57-2の [6] を参照)を使用すると、イベント テーブルにロードされたイベント データに対してテキストベースのフィルタを実行できます。クイック フィルタでは、複数のカラムまたはすべてのカラムのイベント データに含まれる特定の文字列を検索できます。

 

次のように、[Quick Filter] ドロップダウン リストを使用して、検索の範囲を制御できます。

要素
説明

[Column]

特定のカラムを選択して、検索をそのカラムの内容に制限します。デフォルトでは、表示されたすべてのカラムが含まれます。

[Case sensitive]

[Case sensitive] を選択した場合、データ要素は検索語句と文字の大小が一致する必要があります。デフォルトでは、大文字と小文字の区別はオフになっています。

[Wild card use]

ワイルドカードを選択した場合、検索語句では文字の代わりにアスタリスク(*)を使用できます。デフォルトでは、ワイルドカードはオフになっています。

[Match method]

検索語句との一致方法を選択できます。デフォルトは [Match from start] です。

クイック フィルタのテキスト ボックスに文字列を入力すると、その文字列が含まれていないイベントが即座にイベント テーブルから除外されます。次の図に例を示します。

 

単に tcp/48 と入力するだけで、6 個を除いてすべてのイベントが例のイベント テーブルから削除されます。また、この例で入力した文字列は 2 種類のカラムに表示されます。[Destination] カラム内に表示されている tcp/48 の単一のインスタンスの場所を特定するには、[Quick Filter] ドロップダウン リスト(虫眼鏡)を使用し、[Destination] を選択します。


) クイック フィルタを削除するには、クイック フィルタのテキスト ボックスの内容を削除します。クイック フィルタが削除され、イベント テーブルがクイック フィルタの適用前の表示に戻ります。


カラム フィルタの使用方法

[Description]、[Event Name]、[Generation Time]、および [Receive Time] 以外のカラム、つまりカラム見出しにドロップダウン矢印があるカラムには、フィルタリング オプションが含まれています。カラム フィルタ値を選択すると、イベント テーブルに表示される情報が選択内容に従ってフィルタリングされます。

カラムをフィルタリングするには、カラム見出しの下向き矢印をクリックし、フィルタリングする値を選択します。リストには、フィルタリングされたビューに表示されるイベントで現在使用できる値がすべて含まれています。

このほか、イベント テーブルの値を右クリックし、[Filter This Value] を選択する方法もあります。

フィルタ アイコン(じょうご)はフィルタリングされたカラムの見出しに表示され、[View Settings] ペインにはフィルタ定義が表示されます。

カラム フィルタを複数のカラム間で一括して使用できます。

フィルタを削除するには、リストから [All] を選択します。

複数のカラム値に対してフィルタリングを行うには、カスタム カラム フィルタを使用します。詳細については、「カスタム カラム フィルタの使用方法」を参照してください。

カスタム カラム フィルタの使用方法

1 つ以上のカラムに対してカスタム フィルタを定義して、イベント テーブルに現在表示されている情報を制限できます。このようなフィルタは、選択したカラムに応じて、フィルタリングする値を選択するか、その値を入力することによって定義できます。カラムに現在適用されているフィルタを確認するには、[View Settings] ペインを参照してください。


) カスタム フィルタを保存するのではなく、カスタム フィルタを適用したビューを保存します。


カスタム カラム フィルタを定義して適用するには、次の手順を実行します。


ステップ 1 Event Viewer でビューを開きます。

ステップ 2 特定のカラムのドロップダウン リストを開きます。

カラムのフィルタ オプションが表示されます。

ステップ 3 [(Custom . . .)] を選択します。

選択したカラムをフィルタリングするための 2 種類のダイアログボックスのいずれかが表示されます。

ステップ 4 次のように、表示されたダイアログボックスを使用して、カスタム フィルタの範囲を定義します。


) カラムに現在適用されているフィルタを確認するには、[View Settings] ペインを参照してください。


a. 目的の条件を選択します。[Not] を選択すると、逆のフィルタを実行できます。

b. フィルタリングする値を選択します。

選択ツリーの場合、含めるすべての項目のチェックボックスをオンにします。

 

2 つのカラム セレクタの場合、項目を選択し、[>] をクリックしてその項目を選択リストに移動します。このほか、選択リストの上部に値を入力し、[+] をクリックする方法もあります。検索フィールドに値を入力すると、情報量が多いリストでも値を見つけやすくなります。

 


) ビューを起動すると、各カラムに対してカスタム フィルタが適用されて、そのカラムのイベント テーブルで更新されるすべての一意の値に対してフィルタリングを実行できます。いずれかのカラムにさらにフィルタリングを行うと、イベント テーブルが更新され、イベント テーブルで更新された値に基づいてすべてのカラムのカスタム フィルタの内容が変更されます。このため、カスタム フィルタに以前に表示されていた値をフィルタリングする場合は、フィルタのドロップダウンで [All] を選択するか、または [View Settings] から現在適用しているカスタム フィルタを削除して、現在のフィルタをクリアする必要があります。


ステップ 5 [OK] をクリックします。

イベント テーブルに表示される情報が変更後のフィルタに従ってフィルタリングされ、[View Settings] ペインが更新されてフィルタ定義が表示されます。


 

Event Viewer からの Security Manager ポリシーの検索

Event Viewer では、イベントが IPS シグニチャ ポリシーまたは明示的なアクセス規則に関連する特定のアクション(アクセスの拒否など)から生成されたものである場合、そのイベント自体から関連するシグニチャまたはアクセス規則を迅速に特定できます。

ポリシー検索を実行する主な理由は、ポリシーが生成しているイベントに基づいてポリシーを調整することです。たとえば、アクセス規則により、実際には許可すべきトラフィックがドロップされることがあります。イベントが表示中であるため、そのイベントを発生させているポリシーがあることがわかります。数回のクリックで、そのイベントから再設定する必要があるポリシーにたどり着くことができます。

次のタイプのイベントからポリシーを検索できます。

ファイアウォール イベント:次の syslog メッセージのポリシーを検索できます。

106023:IP パケットの拒否。

106100:ACL による許可/拒否。

302013:TCP の確立(TCP セッションの開始)。

302015:UDP の確立(UDP セッションの開始)。

IPS アラート イベント:有効なシグニチャ識別子およびサブシグニチャ識別子が設定されているすべての IPS イベント。

ヒント

syslog 106023 イベントおよび 106100 イベントからポリシー検索を正常に完了するには、ハッシュ コードが必要です。このようなハッシュ コードは、Security Manager を使用して設定を展開した場合にだけ使用できます。ポリシー検索が失敗した場合は、設定を(デバイスまたはファイルに)展開してから、ポリシー検索を再度試してみてください。

フィルタをデバイスのポリシー テーブルに適用し、イベントを生成した規則またはシグニチャが現在のビューからフィルタリングされている場合、Security Manager ではそのイベントを強調表示できません。フィルタをクリアしてからやり直してください。

アクセス規則の最後に配置された暗黙の deny any など、イベントが暗黙の規則によって生成された場合、Security Manager ではその規則を強調表示できません。アクセス リストの最後に明示的な deny any 規則を作成するようにすると効果的です。

ターゲット ポリシーは、デバイスが共有ポリシーを使用している場合も含め、常にデバイス ビューにあります。必要に応じてデバイス ビューを開いてポリシーを強調表示します。

IPS シグニチャの場合、そのシグニチャがデフォルト シグニチャである場合には編集できないことがあります。

アクセス規則の場合、選択した規則がイベントの最適な一致となります。規則に重複する部分があったり、規則が冗長であったりすると、複数の規則が同じイベントを生成することがあります。このような場合、選択した規則を編集しても、後続の規則で同じアクションが実行される可能性があるため、イベントが完全には削除されないことがあります。アクセス規則ツールを使用して、重複する規則を分析し、結合します。

アクセス規則の場合、セッション確立中に複数の規則がパケットを許可することがありますが、最初の規則だけが強調表示されます。


ステップ 1 Event Viewer でイベントを右クリックし、[Go To Policy] を選択します。


ヒント テーブルで [Event Name] セルを確認することにより、イベントからポリシーを検索できるかどうかを識別できます。イベント名の前に双眼鏡アイコンがある場合は、ポリシーを検索できます。また、[Go To Policy] コマンドがグレーになっている場合、そのタイプのイベントではポリシーを検索できません。


ステップ 2 Security Manager は、デバイスの関連するアクセス規則または IPS シグニチャを検索し、ポリシー テーブルで該当する項目を強調表示します。ここから、表示または変更するポリシーを編集できます。詳細な手順については、「アクセス規則の設定」および「シグニチャの設定」を参照してください。

変更内容は、更新した設定を送信し、展開するまで有効になりません。


 

イベント分析の例

多種多様な手法を使用して、ネットワーク デバイスが生成したイベントを分析して対応できます。ここで示す例を参照すると、Security Manager の Event Viewer で実行できる操作の一部が理解しやすくなります。

ここでは、次の内容について説明します。

「ヘルプ デスク:サーバへのユーザ アクセスがファイアウォールでブロックされている」

「ボットネット アクティビティのモニタリングと軽減」

「イベント テーブルからの false positive IPS イベントの削除」

ヘルプ デスク:サーバへのユーザ アクセスがファイアウォールでブロックされている

この例では、ヘルプ デスクがサーバにアクセスできないユーザから電話を受けます。

ユーザがサーバにアクセスできない場合、次に示すように数多くの理由があります。

ネットワークのサーバ側の問題。サーバがダウンしている、ネットワーク接続が確立されていない、サーバのファイアウォールがポリシーに基づいてアクティブにアクセスを禁止しているなど。

ユーザとサーバ間のネットワーク クラウドの問題。ルーティングなど。

ユーザのネットワークの問題。ワークステーションの問題、ネットワーク接続に関する物理的な問題(ワイヤの破損など)、スイッチ ポートまたはワイヤレス アクセス ポイントに関する問題、DNS ルックアップの失敗など。

Security Manager の Event Viewer では、このような問題を特定して解決することができません。ただし、制御しているファイアウォールがサーバへのアクセスをブロックしているかどうかはわかります。これにより、問題の発生源であるとしてファイアウォールを取り外すか、またはファイアウォールがアクセスをブロックしている場合には問題を修正したり、ポリシーに基づいてサーバがブロックされていることをユーザに通知したりできます。

この手順では、まずサーバへのアクセスがポリシーで拒否されていないことを確認し、ファイアウォールはサーバへのアクセスを許可する必要があるものと想定しています。


ステップ 1 ユーザにワークステーションおよびサーバの IP アドレスを確認します。

ステップ 2 Security Manager で、[Tools] > [Event Viewer] を選択して、Event Viewer を開きます。

ステップ 3 [Firewall Traffic Events] ビューをダブルクリックして開きます。ワークステーションに関連する IPS イベントがあるかどうかを確認する場合には、[All Device Events] ビューを使用することもできます。


ヒント また、[Firewall Denied Events] ビューを選択して、拒否されたイベントだけを表示することもできます。ただし、ユーザのワークステーションに関連する他のイベントも確認することを推奨します。


ステップ 4 ユーザにサーバへのアクセスを再試行するように求めます。

ステップ 5 [Start] ボタンをクリックするか、または [View] > [Start] 選択して、最新のイベントが表示されるようイベント テーブルをリフレッシュします。

ステップ 6 [Search within Results] ボックスにユーザの IP アドレスを入力します。入力した内容に従ってイベントのリストがフィルタリングされ、いずれかのカラムに検索文字列が存在するイベントが表示されます。次の図のイベント リストには、過去 10 分間に発生した IP アドレス 10.52.150.50 に関するイベントがすべて表示されています。

図 57-4 1 つの IP アドレスに限定したイベント リスト

 


ヒント また、[Source] カラムのドロップダウン リストから IP アドレス、[Destination] カラムのドロップダウン リストからサーバの IP アドレス(またはその逆)を選択して、関心のある送信元と宛先に関するイベントだけを表示することもできます。検索文字列ではイベント リストを十分に絞り込めないために分析が容易ではない場合には、カラム フィルタを使用します。


ステップ 7 ユーザのワークステーションからサーバに向かうトラフィック、またはサーバからワークステーションに向かうトラフィックが拒否されたことを示すイベントを探します。syslog 106xxx メッセージが、拒否アクションを示します。

テーブルでイベントを選択し、ウィンドウの一番下に [Event Details] ペインを開きます。このペインのタブには、メッセージ情報全体が表示され、わかりやすい説明と推奨するアクションが示されます。

ステップ 8 イベントがメッセージ 106023 または 106100 である場合には、接続を拒否しているアクセス規則を容易に特定して修正できます。テーブルで [Event Name] セルを確認することにより、イベントからポリシーを検索できるかどうかを識別できます。イベント名の前に双眼鏡アイコンがある場合は、ポリシーを検索できます。また、[Go To Policy] コマンドがグレーになっている場合、そのタイプのイベントではポリシーを検索できません。


ヒント アクセス リストの最後で暗黙の deny any 規則のためにトラフィックが拒否されている場合には、[Go To Policy] コマンドではその規則に移動できません。規則検索のヒントについては、「Event Viewer からの Security Manager ポリシーの検索」を参照してください。


a. イベントを右クリックし、[Go To Policy] を選択します。規則が選択された状態でデバイス ビューが表示されます。一致する規則が見つからない場合には通知されます。

b. 目的のアクセスが許可されるように規則を変更します。そのためには単に規則を削除するだけでよい場合もあれば、具体的に宛先サーバとのトラフィックを許可する新規規則を追加することが必要になる場合もあります(拒否規則よりも上位に許可規則を配置します)。組織のセキュリティ ポリシーによって、許容される変更が決まります。アクセス規則ポリシーの設定の詳細については、「アクセス規則の設定」を参照してください。

c. 更新した設定をデバイスに送信して展開します。展開プロセスの詳細については、「Workflow 以外のモードでの設定の展開」または「Workflow モードでの設定の展開」を参照してください。

展開が正常に完了するまで待機します。

ステップ 9 ユーザにサーバへのアクセスを再試行するように求めます。アクセスが以前と同様に拒否される場合は、Event Viewer で [Start] をクリックしてイベント リストをリフレッシュし、最新の拒否イベントを探します。


ヒント サーバとの通信を拒否するアクセス規則が複数存在する場合もあります。アクセス規則ポリシーは上から下に順に処理されるため、アクセスを阻止する規則を削除すると、それまで適用されていなかった規則が突然アクティブになることがあります。アクセス規則ポリシーがきわめて長い場合には、規則をいくつか順に削除していくことが必要になる場合があります。このほか、Rule Combiner ツールを使用して、アクセス規則ポリシーを統合して簡素化する方法もあります。詳細については、「規則の結合」を参照してください。


ステップ 10 ファイアウォールがアクセスをブロックしなくなるまで、アクセス拒否イベントの解決を続けます。


ヒント また、Packet Tracer ツールを使用して、ASA デバイスを経由してワークステーションからサーバに流れるトラフィックをシミュレートすることもできます。デバイス ビューで、アクセスを拒否しているデバイスを右クリックし、[Packet Tracer] を選択します。詳細については、「Packet Tracer を使用した ASA または PIX の設定の分析」を参照してください。


すべてのイベントを解決したあとも、ユーザがサーバに到達できない場合、ファイアウォールはアクセスをブロックしているネットワーク要素の 1 つではないということになります。他の仲介ネットワーク デバイスを検討してみてください。トラフィックをブロックするアクセス規則がルータに組み込まれていることなどが考えられます。


 

ボットネット アクティビティのモニタリングと軽減

「ファイアウォールの Botnet Traffic Filter 規則の管理」の説明に従ってボットネット トラフィック フィルタリングを設定したあと、そのフィルタリングをモニタし、ネットワークで明らかになった問題の解決にあたることを推奨します。以降の項での説明に従って、Security Manager および ASDM を使用して、ボットネット アクティビティをモニタし、明らかになった問題を軽減できます。

「対処可能なイベントであることを示す syslog メッセージについて」

「Security Manager の Event Viewer を使用したボットネットのモニタリング」

「Adaptive Security Device Manager(ASDM)を使用したボットネット アクティビティのモニタリング」

「ボットネット トラフィックの軽減」

対処可能なイベントであることを示す syslog メッセージについて

ボットネット トラフィック フィルタ イベントは、syslog メッセージ番号 338xxx を使用します。ただし、メッセージの中には単なる情報であり、メッセージに対するアクションが必要ないものもあります。

ボットネット イベントの syslog を表示するときには、次のメッセージ番号に特に注意してください。ブラックリストまたはホワイトリストに掲載されたトラフィックであることを示すメッセージの処理の詳細については、「ボットネット トラフィックの軽減」を参照してください。syslog メッセージの詳細については、次の URL にあるご使用の ASA ソフトウェア バージョンの『Syslog Message』を参照してください。 http://www.cisco.com/en/US/products/ps6120/products_system_message_guides_list.html

338001 ~ 338004 :ASA がログに記録しているブラックリスト掲載のトラフィックであるものの、ASA がそのトラフィックを停止していないことを示します。進行中のボットネット アクティビティを停止する場合には、このようなメッセージに早急に対処する必要があります。

338005 ~ 338008 :ASA がログに記録し、ドロップしているブラックリスト掲載のトラフィックであることを示します。これは、トラフィックが廃棄規則に該当したことを示します。したがって、ネットワークは保護されています。ただし、攻撃対象のコンピュータから感染を除去する必要があります。

338201、338202 :ASA がログに記録しているものの、ドロップしていないグレーリスト掲載のトラフィックであることを示します。このようなメッセージは、早急な対処を必要とするアクティブなボットネット接続であることを示す場合があります。

338203、338204 :ASA がログに記録し、ドロップしているグレーリスト掲載のトラフィックであることを示します。ネットワークは、このトラフィックから保護されています。ただし、グレーリスト掲載のサイトが正規のサイトである場合は、トラフィックがドロップされていること自体が早急の対処を必要とする問題であることがあります。グレーリスト掲載のアドレスが正規のアドレスであり、設定を再展開する場合には、「静的データベースへのエントリの追加」の説明に従ってそのアドレスをホワイトリストに掲載できます。

338305 ~ 338307、338310 :ASA が動的なフィルタ データベースをダウンロードできませんでした。デバイスに DNS ルックアップを設定しており、Cisco Intelligence Security Operations Center にルーティング可能なネットワーク パスがあることを確認してください。Cisco テクニカルサポートへの問い合わせが必要になる場合があります。

338309 :ボットネット トラフィック フィルタ ライセンスが最新のものではなく、動的なデータベースはダウンロードできません。適切なライセンスを購入してインストールしてください。ボットネット トラフィック フィルタ ライセンスは時間ベースであるため、有効なライセンスが期限切れになった可能性があります。

Security Manager の Event Viewer を使用したボットネットのモニタリング

Event Viewer アプリケーションを使用して、ASA デバイスが生成した syslog イベントをモニタできます。Event Viewer には、発生したばかりのボットネット イベントを表示する定義済みのビューがあります。

ボットネット メッセージはデバッグ重大度を知らせる情報であり、338xxx の番号が付与されています。


ヒント この手順では、イベント管理サブシステムがイネーブルになっていることを想定しています。そうでない場合は、[Tools] > [Security Manager Administration] > [Event Management] ページを使用してイネーブルにします。



ステップ 1 [Tools] > [Event Viewer] の順に選択して、[Event Viewer] ウィンドウを開きます。

ステップ 2 左ペインにある定義済みのビューのリストから、[Botnet Events] をダブルクリックします。ビューをダブルクリックしてアクティブにし、右ペインにロードする必要があります。ビューが開いていることを確認するには、右ペインでビューのタブ名が「Botnet Events」であることを確認します。次の図に、ボットネット イベント ビューの一例を示します。

図 57-5 Security Manager の Event Viewer へのボットネット イベント ビュー

 

ステップ 3 特定のイベントの詳細を参照するには、テーブルでそのイベントを選択します。続いて、次の手順を実行します。

イベントをダブルクリックして、読みやすい表形式で情報を表示します。

ウィンドウの一番下に [Event Details] セクションを開きます。詳細ペインには、イベントに関する情報がタブに編成されて表示されます。[Explanation] タブおよび [Recommended Action] タブには、イベントに関する情報と、イベントへの推奨の対処方法がわかりやすく示されています。

次の図に、Botnet Destination Blacklist メッセージ 338004 の [Event Details] ペインを示します。この例には、推奨するアクションが表示されています。このメッセージの説明には、「This syslog message is generated when traffic to a blacklisted IP address in the dynamic filter database appears.」とあります。このタイプのイベントの詳細については、「ボットネット トラフィックの軽減」を参照してください。

図 57-6 Botnet Destination Blacklist メッセージ 338004 に関するボットネット イベントの詳細

 

ステップ 4 イベント リストの対象を単一の ASA が生成したイベントに絞り込むには、[Device] カラムのドロップダウン矢印をクリックし、リストから目的のデバイスを選択します。リストの対象を複数の ASA に絞り込む場合は、ドロップダウン リストから [Custom] を選択し、表示されたダイアログボックスで目的のデバイスを選択します。

他のカラムに対するフィルタを使用して、リストを絞り込むこともできます。フィルタリングは、どのカラムでも同じように機能します。ドロップダウン リストから目的の値を選択するか、または [Custom] を選択してさらに複雑なカラム フィルタを作成します。


 

Adaptive Security Device Manager(ASDM)を使用したボットネット アクティビティのモニタリング

Security Manager にはイベント表示機能がありますが、Adaptive Security Device Manager(ASDM)にはさらに広範なボットネット レポート機能があります。ASDM の読み取り専用バージョンがデバイス マネージャとして Security Manager クライアントとともにインストールされ、Security Manager 内から ASDM を起動できます。


ヒント 完全な形の ASDM アプリケーションを別途インストールすることもできます。ただし、ASDM で実施した設定変更は、Security Manager ではアウトオブバンド変更であると見なされ、次回 Security Manager から設定を展開すると上書きされます。それでも ASDM を使用して設定変更を実施する必要がある場合は、その設定の Security Manager のビューが最新のものとなるように、Security Manager でデバイスに対するポリシーを再検出してください。



ステップ 1 デバイス ビューで、ASA デバイスを選択します。

ステップ 2 [Tools] > [Device Manager] を選択して、ASA への ASDM 接続を開きます。設定変更が実施できないことが警告されます。[Yes] をクリックして続行します。

ステップ 3 ASDM で、次の領域のボットネット トラフィック フィルタ モニタリング情報を参照します。

[Home] > [Firewall Dashboard] には、ボットネット トラフィック フィルタの概要があります。

[Monitoring] > [Botnet Traffic Filter] > [Reports] には、上位のボットネット サイト、ポート、および感染したホストに関するチャートが含まれています。

[Monitoring] > [Logging] > [Log Buffer] には、syslog メッセージの履歴が表示されます。

[Monitoring] > [Logging] > [Real-Time Log Viewer] には、syslog メッセージが生成されたままの状態で表示されます。


ヒント [Configure] > [Botnet Traffic Filter] > [Botnet Database] ページで、動的なデータベースを検索することもできます。このページではこのほか、手動でデータベースのダウンロードを開始したり、動的なデータベースを消去したりすることもできます。これらのアクションは、デバイスの設定を変更しません。Security Manager でポリシーを再検出する必要もありません。



 

ボットネット トラフィックの軽減

ボットネット トラフィックの軽減は、次の 2 つの手順からなります。

1. ネットワークからボットネット制御サイトへのトラフィックを停止する。

2. 攻撃対象のコンピュータから感染を除去する。

次の手順では、このプロセスをさらに詳しく説明します。


ステップ 1 好ましくないアドレスとの間でパケットがやり取りされていることを示す syslog イベントが表示されます。一般には、メッセージ番号 338001 ~ 338008 または 338201 ~ 3382004 です。このようなメッセージの詳細については、「対処可能なイベントであることを示す syslog メッセージについて」を参照してください。


ヒント メッセージ 338201 ~ 3382004 はグレーリスト掲載のトラフィックです。トラフィックを停止する前にまず、グレーリスト掲載のトラフィックが本当に好ましくないものであるかどうかを判断します。


ステップ 2 ボットネット トラフィックを停止します。

メッセージ 338005 ~ 338008 および 338203 ~ 338204 は、ASA がトラフィックをすでにドロップしていることを示します。トラフィック分類廃棄規則は、ブラックリスト掲載またはグレーリスト掲載のアドレスを対象とします。「Botnet Traffic Filter のトラフィック分類およびアクションのイネーブル化」を参照してください。

メッセージ 338001 ~ 338004 および 338201 ~ 338202 は、ASA がイベントをログに記録しているものの、トラフィックをドロップしていないことを示します。まずはこのトラフィックを停止する必要があります。

廃棄規則のために ASA がまだボットネット トラフィックをドロップしていない場合には、ボットネット トラフィックを停止するためのオプションとして次のものが用意されています。

(推奨方法)ボットネット サイトの廃棄規則を設定し、設定を再展開します。「Botnet Traffic Filter のトラフィック分類およびアクションのイネーブル化」を参照してください。

(2 番目に最良の方法)SSH クライアントを使用して ASA にログインし、特権 EXEC モードに入り、 shun コマンドを使用してボットネット サイトとの間でやり取りされるトラフィックを阻止します。このコマンドは CLI ウィンドウで ASDM から発行することもできますが、Security Manager からは発行できません。shun コマンドは、トラフィックをブロックする永続的な規則を作成するものではありません。

たとえば、ボットネット サイトが 10.1.14.14 で、内部の感染したコンピュータが 10.100.10.10 である場合は、次のコマンドを発行します。最初のコマンドはボットネット コマンド センターからの着信トラフィックをすべてブロックし、2 つ目のコマンドはボットネット サイトに感染したコンピュータからのトラフィックをブロックします。

shun 10.1.14.14

shun 10.100.10.10 10.1.14.14

(非推奨)shun コマンドを推奨しますが、ボットネット サイトとの間でやり取りされるトラフィックを拒否する永続的な規則をインターフェイスの Access Control List(ACL; アクセス コントロール リスト)に作成することもできます。Security Manager でデバイスを選択した状態で、[Firewall] > [Access Rule] を選択し、規則を 2 つ作成します。1 つは宛先アドレスの内容は問わずボットネット サイトが送信元アドレスであれば拒否するというもので、もう 1 つはボットネット サイトが宛先アドレスに指定されている送信元アドレスをすべて拒否するというものです。サービスの場合、すべてのトラフィックがブロックされるように IP を選択します。規則を有効にするには、設定を展開する必要があります。

アクセス規則を作成する方法は推奨しません。ボットネット サイトが一時的なものであるのに対して、永続的な規則を作成するためです。このタイプのネットワーク攻撃には、従来のアクセス規則よりも、ボットネット トラフィック フィルタを使用してボットネット トラフィックを動的にブロックする方が適しています。

ステップ 3 感染したコンピュータに対するネットワーク アクセスをシャットダウンします。たとえば、コンピュータが接続されているスイッチ ポートを特定し、スイッチの CLI を使用してそのポートをシャットダウンします。問題のコンピュータがほかにワイヤレス アクセスを備えている場合もあるため、ネットワーク アクセスを完全にシャットダウンするのは簡単な作業であるとはかぎりません。

ステップ 4 攻撃対象のコンピュータのオーナーにそのコンピュータが感染していることを通知し、IT 担当者を派遣してコンピュータから感染を除去します。コンピュータから感染を除去するためのツールおよび手法については、このマニュアルでは取り上げません。


 

イベント テーブルからの false positive IPS イベントの削除

ある特定のパケットまたは一連のパケットが、IPS シグニチャに定義されている既知の攻撃プロファイルの特性に一致すると、IPS アプライアンスまたはサービス モジュール(IPS デバイス)がアラームをトリガーします。IPS が良性のアクティビティを悪意のあるアクティビティであるとレポートした場合、false positive(良性のトリガー)が発生します。各イベントの診断には人手の介入が必要であるため、false positive イベントの分析に時間をかけると、リソースが大量に消費されます。

悪意のあるアクティビティの検出に使用される IPS シグニチャの性質により、IPS の有効性を大幅に低下させたり、組織のコンピューティング インフラストラクチャ(ホストやネットワークなど)を大きく混乱させたりすることなく、false positive を完全に排除することはほぼ不可能です。IPS の展開時に独自に調整を実施すると、false positive が最小限に抑えられます。コンピューティング環境が変更されたとき(新規にシステムやアプリケーションを展開するときなど)には、定期的に再調整を実施する必要があります。IPS デバイスは柔軟な調整機能を備えており、定常状態の動作中に false positive が発生するのを最小限に抑えることができます。

false positive の一例が、ping スイープを実行してネットワーク検出マップを定期的に構築するネットワーク管理ステーションです。ping スイープは、ICMP Network Sweep with Echo シグニチャ(シグニチャ ID 2100)をトリガーします。このため、送信元アドレスがネットワーク管理ステーションの IP アドレスである ICMP Network Sweep with Echo イベントは実際には想定どおりのイベントです。

Event Viewer のイベント テーブルから false positive IPS イベントを削除するときには、次のオプションが用意されています。

既知の「クリーンな」ソースからイベントを除外します。

イベントを除外すると、イベントが生成されなくなるのではなく、テーブルにイベントが表示されなくなります。イベントは引き続き使用できるため(フィルタを削除できます)、特定のネットワーク動作を調べるには除外されたホストからのアクティビティを確認する必要がある場合には、イベントを参照できます。

この手法には主な欠点が 2 つあります。

イベントは引き続き生成されて、イベント ストアに追加されます。

フィルタは、ホストからすべてのイベントを除外します。ホスト/シグニチャ ID のペアを除外する複雑なフィルタは作成できません。

次の手順では、クリーンであると識別した送信元からのイベントを除外する方法を示します。

false positive イベントの生成を阻止するイベント アクション フィルタ規則を作成します。

イベント アクション フィルタ規則は、イベントの生成を阻止するための最も簡単な方法です。また、作業が難しくなるシグニチャの編集やカスタム シグニチャの作成にも、この方法を推奨します。イベント アクション フィルタ規則でホストを除外すると、IPS デバイスはイベントをトリガーしても、アラームを生成せず、ログに記録を残しません。

ホストからすべてのイベントを全面的に除外するのではなく、特定のシグニチャを対象にできるため、良性であるとの確信があるイベントだけを排除できます。たとえば、次のイベント フィルタ規則は、ネットワーク管理ステーション 10.100.15.75 の ICMP Network Sweep with Echo(2100)シグニチャから Produce Alert アクションを排除します。このネットワーク管理ホストが攻撃者アドレスであると見なされますが、実際にはイベント フィルタ規則に指定されているアクションが、イベントから削除されるアクションです。他のアラート生成アクションを ICMP Network Sweep with Echo イベントに追加するイベント アクション オーバーライド規則を作成する場合は、この規則でオーバーライド アクションも削除する必要があることに注意してください。

 

イベント アクション フィルタ規則の設定の詳細については、「イベント アクション フィルタの設定」を参照してください。

次の手順では、Event Viewer でフィルタリングを使用して、イベント リストから false positive を削除する方法を示します。ネットワーク/ホスト ポリシー オブジェクトを使用して、フィルタリングを実現します。


ヒント ネットワーク/ホスト オブジェクトを使用して送信元アドレス フィルタまたは宛先アドレス フィルタを作成すると、単にそのオブジェクトの内容を変更するだけでフィルタを更新できます。ビューに対してフィルタを追加または削除する必要はありません。利点にはもう 1 つ、イベント テーブルに現在表示されていないアドレスのフィルタをプロアクティブに作成できることがあります。Event Viewer の送信元/宛先カラム フィルタ コントロールには、イベント リストに現在掲載されているアドレスだけが表示されます。



ステップ 1 クリーンなホストまたはネットワークの IP アドレスが含まれているネットワーク/ホスト ポリシー オブジェクトを作成します。

a. [Tools] > [Policy Object Manager] の順に選択して、[Policy Object Manager] ウィンドウを開きます(「[Policy Object Manager] ウィンドウ」を参照)。

b. コンテンツ テーブルから [Networks/Hosts] を選択します。

c. ネットワーク/ホスト ポリシー オブジェクトのテーブルの下にある [Add Row (+)] ボタンをクリックし、オブジェクト タイプとして [Group] を選択します。

d. [Add Network/Host Group] ダイアログボックスで、オブジェクトの名前を入力し、[Networks/Hosts] リスト ボックスで、目的の IP アドレスを入力します。たとえば、次の図では、ホスト アドレスを 10.100.15.75 として、IPS_Safe_Hosts というオブジェクトを新規に作成しています。

 

e. [OK] をクリックしてオブジェクトを作成します。

f. [Close] をクリックして、[Policy Object Manager] ウィンドウを閉じます。

ステップ 2 [File] > [Submit] を選択して、変更内容をデータベースに送信します(Workflow 以外のモード)。新規ポリシー オブジェクトだけでなく、すべての設定変更が送信されることに留意してください。

Workflow モードを使用している場合は、必要に応じてアクティビティを送信し、アクティビティの承認を得る必要があります。


ヒント Event Viewer では、データベースにすでに送信されたポリシー オブジェクトだけを表示できるため、そのオブジェクトを使用してフィルタを作成する場合は事前に変更内容を送信しておく必要があります。あとでポリシー オブジェクトを変更した場合には、そのオブジェクトの新規定義に使用しているフィルタの変更内容も送信する必要があります。


ステップ 3 [Tools] > [Event Viewer] の順に選択して、[Event Viewer] ウィンドウを開きます。

ステップ 4 ネットワーク管理ステーションを除外するカスタム ビューを作成します。

a. [All IPS Events] など、カスタム ビューの土台として使用する定義済みのビューをダブルクリックします。[Views] リストでビューをダブルクリックすると、そのビューが開きます。更新するカスタム ビューがすでにある場合は、そのビューを開きます。

b. イベント テーブルで [Source] カラムのタイトルにある下向き矢印ボタンをクリックし、[Custom] を選択して [Custom Filter for Source] ダイアログボックスを開きます。

ヒント: このダイアログボックスは、[View Settings] ペインから開くこともできます。そのためには、[Add] ボタンをクリックし、[Add Custom Filter to a Column] ダイアログボックスで [Source] を選択し、[OK] をクリックします。

c. [Custom Filter for Source] ダイアログボックスで、作成したポリシー オブジェクトを選択し、右矢印ボタンをクリックしてそのオブジェクトを選択済みリストに移動します。また、[Condition] オプションの横にある [Not] オプションを選択します。次の図に、ダイアログボックスの内容を示します。

 

d. [OK] をクリックします。フィルタがビュー設定に追加され、テーブルからイベントを削除するために使用されます。

e. [File] > [Save As] を選択して、変更を新規カスタム ビューとして保存します。ビューの名前と説明を入力するように求められます。それぞれ入力し、[OK] をクリックします。

次の図に、[All IPS Events] 定義済みビューから開始し、Filtered IPS Events という名前を指定した場合に、ビュー設定がどのようになるかを示します。