Cisco Security Manager 4.1 ユーザ ガイド
イベントの表示
イベントの表示
発行日;2012/05/10 | 英語版ドキュメント(2011/11/29 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

イベントの表示

Event Viewer 機能の概要

履歴ビュー

リアルタイム ビュー

ビューとフィルタ

ポリシーのナビゲーション

Event Viewer のアクセス コントロールについて

Event Viewer のスコープおよび制限

詳細に解析される Syslog

Event Viewer の概要

Event Viewer の [File] メニュー

Event Viewer の [View] メニュー

ビューのリスト

[Event Monitoring] ウィンドウ

イベント テーブル ツールバー

イベント テーブルのカラム

時間スライダ

[Event Details] ペイン

イベント管理の準備

時間の同期

イベント管理のための ASA と FWSM デバイスの設定

イベント管理のための IPS デバイスの設定

Event Manager サービスの管理

Event Manager サービスの開始、停止、および設定

Event Manager サービスのモニタリング

モニタするデバイスの選択

イベント データ ストア用のディスク スペースの使用率のモニタリング

イベント データ ストアのアーカイブまたはバックアップと復元

Event Viewer の使用方法

イベント ビューの使用方法

ビューを開く

ビューのフローティングと配置

イベント テーブルの表示のカスタマイズ

送信元/宛先 IP アドレスとホスト オブジェクト名間の切り替え

ビューの色規則の設定

カスタム ビューの作成

カスタム ビューの名前または説明の編集

リアルタイム ビューと履歴ビュー間の切り替え

ビューの保存

カスタム ビューの削除

イベントのフィルタリングおよびクエリー

イベントの時間範囲の選択

フィルタリングと時間スライダの使用方法

イベント テーブルのリフレッシュ

カラムベース フィルタの作成

特定のイベントの値に基づいたフィルタリング

テキスト文字列に対するフィルタリング

フィルタのクリア

特定のイベントに対する操作の実行

イベント コンテキスト(右クリック)メニュー

単一のイベントの詳細の参照

イベント レコードのコピー

ファイルへのイベントの保存

Event Viewer からの Security Manager ポリシーの検索

イベント分析の例

ヘルプ デスク:サーバへのユーザ アクセスがファイアウォールでブロックされている

ボットネット アクティビティのモニタリングと軽減

対処可能なイベントであることを示す syslog メッセージについて

Security Manager の Event Viewer を使用したボットネットのモニタリング

Security Manager の Report Manager を使用したボットネットのモニタリング

Adaptive Security Device Manager(ASDM)を使用したボットネット アクティビティのモニタリング

ボットネット トラフィックの軽減

イベント テーブルからの false positive IPS イベントの削除

イベントの表示

Event Viewer を使用すると、ASA、FWSM および IPS デバイスからのイベントを選択してモニタ、表示、および調査できます。イベントはビューに整理されます。重要なイベントを見つけるためにビューをフィルタリングまたは検索できます。必要に応じて、カスタマイズしたビューおよびフィルタを作成できます。または、アプリケーションに含まれる定義済みのビューを使用できます。

この章は、次の内容で構成されています。

「Event Viewer 機能の概要」

「Event Viewer の概要」

「イベント管理の準備」

「Event Manager サービスの管理」

「Event Viewer の使用方法」

「イベント分析の例」

Event Viewer 機能の概要

Event Viewer は、ASA および FWSM デバイス、ならびにセキュリティ コンテキストからの syslog(システム ログ)イベント、ならびに IPS デバイスおよび仮想センサーからの Secure Device Event Exchange(SDEE)イベントを対象にネットワークをモニタします。Event Viewer は、これらのイベントを収集し、収集したイベントを表示し、グループ化し、その詳細を調べるためのインターフェイスを備えています。


ヒント Event Viewer および関連アプリケーションである Report Manager は、ネットワーク内にある特定のタイプのシスコ デバイス動作のモニタリングおよびトラブルシューティングに役立ちます。Event Viewer および Report Manager では、さまざまなイベントの相関付け、コンプライアンス レポート、長期的フォレンジック、またはシスコ デバイスとシスコ製以外の両方のデバイスの統合モニタリングの機能は提供されません。

ここでは、Event Viewer で簡易化できる主要なアクティビティについて簡単に説明します。

ここでは、次の内容について説明します。

「履歴ビュー」

「リアルタイム ビュー」

「ビューとフィルタ」

「ポリシーのナビゲーション」

「Event Viewer のアクセス コントロールについて」

「Event Viewer のスコープおよび制限」

「詳細に解析される Syslog」

履歴ビュー

履歴ビューは、選択した期間(たとえば、直前の 10 分間)に発生したイベントを表示するビューで、新規イベントが収集された場合でも表示内容は自動的には更新されません。より新しいイベントを表示するには、ビューをリフレッシュする必要があります。

Event Viewer で履歴ビューを使用する場合に考えられるさまざまな可能性の中から、次のアクティビティを見ていきます。

接続のトラブルシューティング :ユーザが特定のサーバに到達できないというレポートが生成されたときには、そのユーザの IP アドレスが送信元または宛先である場合に影響を与えるイベントをすべて表示するように履歴ビュー(たとえば、直前の 10 分間)を設定できます。次に、表示された特定のイベントから、リソースに対するユーザのアクセスを拒否するポリシーに進むことができます。

シグニチャの調整 :すべての IPS メッセージ、または特定のカテゴリに属するすべての IPS メッセージを表示するビューを設定すると、イベントが実際には false positive であることを判別できます。次に、関連付けられたポリシーをクロス起動します。ホストを除外するようにシグニチャを調整するか、または問題のイベントでレポートされた重大度を低くします。

イベント アクション フィルタを作成して、アラートの処理方法を変更することも検討します。false positive の処理には、実際のシグニチャを編集するよりもイベント アクション フィルタを使用する方が良い場合がよくあります。詳細については、「イベント アクション フィルタの設定」を参照してください。

ポリシー展開の検証 :新規または変更したポリシーを展開したあとで、その特定のポリシーに対応するイベントを選択して、ポリシーが効果的に動作していることを確認する必要がある場合があります。たとえば、新規ポリシーによってトリガーされたファイアウォール拒否メッセージを特定できます。

リアルタイム ビュー

リアルタイム ビューには受信した状態のままのイベントが表示され、イベント テーブルがウォータフォール式に自動的に更新されます。「リアルタイム」というのは正確な表現ではないことに留意してください。システム遅延をはじめとする要因により、真のリアルタイム システム応答は実現されません。

Event Viewer でリアルタイム ビューを使用する場合に考えられるさまざまな可能性の中から、次のアクティビティを見ていきます。

ほぼリアルタイムでの攻撃の調査 :特定の送信元 IP アドレスまたは送信元/宛先ペアの詳細を切り分けることにより、Event Viewer ではモニタ対象デバイスに対する攻撃またはこれらのデバイスを通過している攻撃の詳細を参照できます。

デバイス アクティビティの検証 :ネットワーク内のデバイスを調べて、そのデバイスが存在するかどうか、存在する場合にはイベントを送信中であるかどうかを判断できます。

脅威度の高い IPS イベントの表示 :特定の脅威度を超えるイベントをすべて表示するようにビューをフィルタリングできます。IPS センサーを正しく調整すると、リアルタイム ビューで監視するイベントの流れが管理しやすくなります。

ビューとフィルタ

Event Viewer でイベントを表示するには、ビューを開きます。 ビュー は、フィルタおよび他のプロパティのセットです。これには、イベントのサブセットを定義できる色規則、選択したカラムとその位置および幅、ならびにデフォルトの時間枠が含まれます。ビューによってイベント リストのスコープを制限できるため、検索内容をより簡単に見つけられます。

Event Viewer には多数の定義済みのビューがあります。定義済みのビューのフィルタ規則は変更できませんが、ビューのコピーを作成して、コピーのフィルタ規則を変更できます。作成するビューはカスタム ビューと呼ばれます。詳細については、「カスタム ビューの作成」を参照してください。

Event Viewer を最大限活用するには、フィルタの使用が鍵となります。受信中のすべてのイベントから、必要とする情報だけを記載したビューを抽出できます。イベント リストを絞り込む(すでにフィルタリングされたイベント リストのフィルタリング)には、さまざまなフィルタリング方法が使用できます。次のリストに、一般的なフィルタリング機能を示します。詳細については、「イベントのフィルタリングおよびクエリー」を参照してください。

時間フィルタ :時間フィルタを使用すると、クライアントにロードするイベントを制限したり、イベント テーブルに表示されるイベントを制限したりできます。時間のフィルタリングでは、 直前の 1 時間 など定義済みの値を選択したり、日付と時刻で特定の時間範囲を指定したりできます。詳細については、「イベントの時間範囲の選択」を参照してください。

カラム フィルタ :カラム フィルタを使用すると、イベントの特定の値に基づいてイベントをフィルタリングできます。たとえば、特定の送信元または宛先、あるいはその両方に対してフィルタリングできます。カラムによっては、値の範囲またはポリシー オブジェクトに対してもフィルタリングできます。カラム フィルタは、ビューに対するビュー設定の一部です。詳細については、「カラムベース フィルタの作成」を参照してください。

クイック フィルタ :クイック フィルタを使用すると、イベント テーブルに一覧表示されたイベントに対してテキストベースのフィルタリングを実行できます。検索ではカラムを区別しません。いずれかのカラムに文字列が存在するイベントがすべて表示されます。フィルタのスコープを変更するには、[Quick Filter] ドロップダウン リスト(虫眼鏡として表示される)を使用します。詳細については、「テキスト文字列に対するフィルタリング」を参照してください。

フィルタでのドリルダウン :フィルタにさらに別のフィルタを集約すると選択性が高まり、要件を満たす特定のイベントまたはイベント セットが表示されるまで「ドリルダウン」できます。別のフィルタを選択するたびに、[Event Monitoring] ウィンドウの最上部にある [View Settings] ペインが更新されて、選択したビューの現在の集約フィルタ定義が表示されます。

ポリシーのナビゲーション

特定のイベントから、そのイベントを制御する Security Manager 内のポリシーにナビゲートできます。詳細については、「Event Viewer からの Security Manager ポリシーの検索」を参照してください。

Event Viewer のアクセス コントロールについて

ユーザ名に割り当てられたユーザ権限によって、Event Viewer で実行可能な操作が制御されます。ローカル ユーザまたは他のタイプの ACS 以外のアクセス コントロールを使用している場合は、すべてのユーザが Event Viewer にアクセスできます。ただし、次のアクセス制限が課されます。

デバイスをモニタ対象として選択または選択解除するためには、システム管理者、ネットワーク管理者、またはアプルーバ権限を持っている必要があります。「モニタするデバイスの選択」を参照してください。

Event Management の管理設定ページを変更するには、システム管理者権限を持っている必要があります。このページでは、「Event Manager サービスの開始、停止、および設定」および「[Event Management] ページ」で説明するとおりに、サービスをイネーブルまたはディセーブルにしたり、ストレージの場所の設定やその他の設定を行います。

ACS を使用して Security Manager へのアクセスを制御する場合は、次も制御できます。

View Event Viewer 権限を使用して、Event Viewer アプリケーションへのアクセスを制御できます。この権限を使用すると、特定のユーザによる Event Viewer へのアクセスを防げます。または、Report Manager へのアクセスを許可せずに Event Viewer へのアクセスを許可するロールを作成できます。すべてのデフォルト ACS ロールで Event Viewer を使用できます。

[Modify] > [Manage Event Monitoring] 権限を使用して、デバイスのモニタリングをイネーブルまたはディセーブルにできるユーザを制御できます。「モニタするデバイスの選択」で説明するとおりに、デバイスをモニタ対象として選択するには、ユーザがこの権限を持っている必要があります。この権限を持つデフォルト ACS ロールは、システム管理者、ネットワーク管理者、アプルーバ、セキュリティ管理者、およびセキュリティ アプルーバです。

ポリシー検索機能の使用を制御できます。ポリシー検索を実行するには、デバイスに対するデバイスの表示権限、およびファイアウォールまたは IPS ポリシーに対する表示権限もユーザが持っている必要があります。ユーザがすべての権限を持っていない場合は、一致規則の検索を試みたときに「Unable to Find Matching Rule」エラーが発生します。ポリシー検索の詳細については、「Event Viewer からの Security Manager ポリシーの検索」を参照してください。

ユーザは、少なくともデバイスに対する表示権限がある場合にのみ、そのデバイスのイベントを表示できます。

Event Management の管理設定ページへのアクセスを制御できます。このページでは、「Event Manager サービスの開始、停止、および設定」および「[Event Management] ページ」で説明するとおりに、サービスをイネーブルまたはディセーブルにしたり、ストレージの場所の設定やその他の設定を行います。このページ(またはその他の管理設定ページ)にアクセスするには、ユーザは Admin 権限を持っている必要があります。ヘルプ デスクを除く、すべてのデフォルト ACS ロールでページを表示できますが、設定を変更できるのはシステム管理者だけです。

カラム フィルタ([Device]、[Source]、[Destination]、[Source Service]、および [Destination Service] カラムなど)に対するネットワーク/ホストおよびサービス ポリシー オブジェクトの使用を制御できます。ネットワーク/ホスト、ネットワーク/ホスト -IPv6、およびサービス オブジェクトをフィルタで使用するには、これらに対する適切なオブジェクトの表示権限をユーザが持っている必要があります。カラム フィルタの作成の詳細については、「カラムベース フィルタの作成」を参照してください。

Security Manager と Cisco Secure ACS との統合の詳細については、『 Installation Guide for Cisco Security Manager 』を参照してください。

Event Viewer のスコープおよび制限

次の表に、Event Viewer の機能面のスコープおよび制限について詳しく示します。

 

表 63-1 Event Viewer のスコープおよび制限

項目
説明

デバイス サポート

次のタイプのデバイスから収集されたイベントを表示できます。Event Viewer は、次に示すソフトウェア リリースでテスト済みですが、より古いソフトウェア リリースで使用できる場合があります。

ASA デバイスとセキュリティ コンテキスト :すべての 8.x リリース。

FWSM デバイスとセキュリティ コンテキスト :リリース 3.1.17、3.2.17、4.0.10、および 4.1.1 以降。

IPS デバイスと仮想センサー :リリース 6.1 以降。

IPS サポートに IOS IPS は含まれません。

イベント データ ストアのサイズと場所

モニタ対象のデバイスから収集されたイベントを格納するために割り当てる場所とディスク スペースを制御できます。[Event Data Store Disk Size] に 90% と入力すると、最古のイベントから順に最新のイベントに置き換わります。

拡張ストレージまたはアーカイブの場所を接続したストレージ デバイス上に設定できます。Security Manager は、自動的に拡張ストレージにイベントをコピーします。過去のイベントを表示したときに、過去のイベントがローカル ディスクに存在しなくなっている場合には自動的に拡張ストレージから取得されます。

これらの設定の詳細については、「[Event Management] ページ」を参照してください。

イベントの制限

[Event Data Pagination Size] オプションを使用して、イベント テーブル内で一度に表示できるイベントの最大数を制御できます。このオプションの設定の詳細については、「[Event Management] ページ」を参照してください。

ポリシー オブジェクト

カラム フィルタを作成する場合には、ネットワーク/ホストやサービス オブジェクトなど一部のタイプのポリシー オブジェクトを使用できます。

[View] > [Show Network Host Objects] を選択して、送信元および宛先カラムに IP アドレスの代わりにホスト オブジェクト名を表示することもできます。このオプションは、デフォルトで選択されます。

IP アドレスからホスト名へのマッピングは、イベントの送信元および宛先だけでサポートされます。また、マッピングはホスト オブジェクトだけに適用されます。イベントの送信元または宛先がネットワーク オブジェクト、グループ オブジェクト、またはアドレス範囲オブジェクトに一致した場合は、Event Viewer ではオブジェクト名が表示されません。

ヒント そのオブジェクトに関連付けられた IP アドレスを表示するには、ホスト オブジェクト名にマウス オーバーします。

ビュー

単一の Event Viewer クライアントでは、最大 4 つの履歴ビューと 1 つのリアルタイム ビューを同時に開けます。

クライアント

単一の Security Manager サーバから複数の Event Viewer クライアントがイベント データに同時にアクセスできます。各 Event Viewer クライアントでは、最大 4 つの履歴ビューを同時に開けます。ただし、単一の Security Manager サーバの場合は、最大 5 つのリアルタイム ビューを同時に開けます。

詳細に解析される Syslog

標準の syslog の構造と内容、およびそれぞれを構成する要素の詳細については、使用するデバイスおよびソフトウェア バージョンのシステム ログのマニュアルを参照してください。マニュアルは、Cisco.com の次の場所にあります。

ASA デバイス: http://www.cisco.com/en/US/products/ps6120/products_system_message_guides_list.html

FWSM デバイス: http://www.cisco.com/en/US/products/hw/modules/ps2706/products_system_message_guides_list.html

ここに挙げられていない syslog は、未処理 syslog として表示されます。syslog の全内容が表示されるのは、詳細に解析される syslog だけです。

Security Manager で詳細に解析される syslog の詳細については、次の表を参照してください。

 

表 63-2 詳細に解析される Syslog

syslog カテゴリ
syslog ID
syslog の合計数

フロー、セッション syslog

110002 ~ 110003、209003 ~ 209005、302003 ~ 302004、302009 ~ 302010、302012 ~ 302018、302020 ~ 302021,302303 ~ 302304、302033 ~ 302034、303002 ~ 302005、313001、313004、313005、313008、324000 ~ 324006、337001 ~ 337009、431001 ~ 431002、407001 ~ 407002、416001、418001 ~ 418002、419001 ~ 419003、424001 ~ 424002、450001、448001、609001 ~ 609002

47

ボットネット

338001 ~ 338004、338101 ~ 338104、338201 ~ 338202、338301

11

ACL

106100、106023、106002、106006、106018

5

拒否されたファイアウォール

106001、106007、106008、106010 ~ 106017、106020 ~ 106022、106025 ~ 106027

12

AAA

109001 ~ 109010、109012、109016 ~ 109020、109023 ~ 109029、109031 ~ 109035、113001 ~ 113025

44

検査

108002 ~ 108007、303004 ~ 303005、400000 ~ 400050、406001 ~ 406002、415001 ~ 415020、500001 ~ 500005、508001 ~ 508002、608001 ~ 608005、607001 ~ 607003、703001 ~ 703002、726001

99

NAT

201002 ~ 201006、201009 ~ 201013、202005、202011、305005 ~ 305012

21

IPSec VPN

402114 ~ 402122、602103 ~ 602104、602303 ~ 602304、702305、702307

15

フェールオーバー(HA)

101001 ~ 101005、102001、103001 ~ 103007、104001 ~ 104004、311001 ~ 311004、709001 ~ 709007、210001 ~ 210022

49

SSL VPN

725001 ~ 725009、725012 ~ 725013、716001 ~ 716020、716023 ~ 716039、716041 ~ 716060、722001 ~ 722023、722026 ~ 722044、722046 ~ 722051、723001 ~ 723002、723009 ~ 723012、723014、724001 ~ 724004

8

Etherchannel

426001 ~ 426003

3

Event Viewer の概要

Event Viewer を使用すると、モニタ対象のファイアウォールおよび IPS デバイスから収集したイベントおよびアラートを表示できす。モニタ対象のデバイスの選択の詳細については、「モニタするデバイスの選択」を参照してください。

Event Viewer を起動するには、次のいずれかを実行します。

Windows の [Start] メニューから [Start] > [All Programs] > [Cisco Security Manager Client] > [Event Viewer] を選択するか(正確なコマンド パスは異なる場合があります)、デスクトップの [Event Viewer] アイコンをダブルクリックします。ログインのためのプロンプトが表示されます。Security Manager クライアント アプリケーションの開始方法の詳細については、「Security Manager クライアントへのログインおよび終了」を参照してください。

Configuration Manager または Report Manager アプリケーションから [Launch] > [Event Viewer] を選択するか、Configuration Manager ツールバーの [Event Viewer] ボタンをクリックします。Event Viewer が他のアプリケーションへのログインに使用したのと同じユーザ アカウントを使用して開かれます。

次の図と後続のリストに、Event Viewer の基本的要素について示します。

図 63-1 Event Viewer のメイン ウィンドウ

 

次のリストに、メインの Event Viewer ウィンドウの詳細を示します。

(1)メニュー バー :Event Viewer でのアクション実行のための一般的コマンドです。次のメニューが含まれます。

[File]:ビューでの操作に使用します。コマンドの詳細については、「Event Viewer の [File] メニュー」を参照してください。

[View]:ビュー内での操作および一般的システム管理に使用します。コマンドの詳細については、「Event Viewer の [View] メニュー」を参照してください。

[Launch]:Configuration Manager または Report Manager アプリケーションの開始に使用します。

[Help]:オンライン ヘルプの開始、または著作権とライセンス情報の表示に使用します。

(2)[Event Monitoring] ウィンドウ :開いているビューが右ペインに表示されます。開いている各ビューは、別々のタブに示されます(最大 4 つの履歴ビューと 1 つのリアルタイム ビューが開けます)。このスペース内でビューを水平または垂直に配置する、または別のウィンドウにビューをフローティングもできることに注意してください。ビューの配置方法またはフローティング方法の詳細については、「ビューのフローティングと配置」を参照してください。

[Event Monitoring] ウィンドウの数々の部分の詳細については、「[Event Monitoring] ウィンドウ」を参照してください。

(3)ビューのリスト :左ペインはビューのリストです。ビューのリストでは、定義済みのビューとカスタム ビューが別々にフォルダに整理されます。カスタム ビューは [My Views] フォルダに一覧表示されます。最も簡単にビューを開く方法は、ビューをダブルクリックする方法です。これにより、現在開いているビューが置き換えられます。現在開いているビューと置き換えずにビューを開くには、ビューを右クリックし、[Open in New Tab] を選択します。ビューを開く方法の詳細については、「ビューを開く」を参照してください。

ビューのリストのペインで実行できるその他の操作の詳細については、「ビューのリスト」を参照してください。

(4)ステータス情報 :ステータス バーの右下部分には、現在の Events Per Second(EPS)レートおよびモニタリング システムの現在のヘルスを示すアイコンが表示されます。アラート ステータス アイコンをクリックして、過去 5 分の統計情報および現在のシステム アラートを表示するバブルを開きます。このビューから [Details] リンクをクリックして詳細情報を表示できます。バブルを閉じるには、アラート ステータス アイコンをもう一度クリックします。詳細については、「Event Manager サービスのモニタリング」を参照してください。

Event Viewer の [File] メニュー

次の表に、Event Viewer の [File] メニューのコマンドを示します。

 

表 63-3 Event Viewer の [File] メニュー

コマンド
説明

[New View]

新規カスタム ビューを作成します。名前および説明の入力を求められます。「カスタム ビューの作成」を参照してください。

または、ビューのリストの [New (+)] ボタンをクリックします。

[Open View]

新規タブにビューを開きます。開くビューを選択するように要求されます。最大で 4 つの履歴ビューと 1 つのリアルタイム ビューを開くことができます。「ビューを開く」を参照してください。

ヒント ビューのリスト内でダブルクリックして、ビューを開いて表示されているビューと置き換えます。

[Save]

フィルタ(カスタム ビューの場合のみ)、ならびに選択したカラム、カラム幅、およびソート順序などのテーブル プリファレンス、時間範囲や色規則など、アクティブなビューに加えた変更を保存します。「ビューの保存」を参照してください。

定義済みのビューのフィルタ変更を保存する場合は、[Save As] を使用して新規カスタム ビューを作成する必要があります。

[Save As]

表示されているビューに加えた変更をカスタム ビューとして保存します。「ビューの保存」を参照してください。

[Close View]

表示されているビューを閉じます。

[Close All Views]

開かれているすべてのビューを閉じます。

[Exit]

Event Viewer を閉じます。Event Viewer を終了すると、開いているフローティング Event Viewer ウィンドウが閉じられます。

Event Viewer の [View] メニュー

次の表に、Event Viewer の [View] メニューのコマンドを示します。

 

表 63-4 Event Viewer の [View] メニュー

コマンド
説明

[Mode]

イベント テーブルに表示するイベント選択の時間間隔を指定します。サブメニューから次のオプションのいずれかを選択します。

[last 10 minutes]

[last 1 hour]

[last 12 hours]

[last 1 day]

[last 1 week]

[is today]

[is yesterday]

[is on . . .](カレンダーが開き、カレンダー上で単一の日付をクリックして指定できます)

[is between](カレンダーが 2 つ開き、カレンダー上で開始と終了の日付と時刻を指定できます)

[Real Time](イベントを受信した状態のまま表示するモードを設定します)

または、ツールバーの [Time Selector] コントロールをクリックして、同じオプションから選択します。「イベント テーブル ツールバー」を参照してください。

[Customize Column]

イベント テーブルに表示するカラムを変更します。[Choose Columns to Display] ダイアログボックスが開き、表示するカラムを選択できます。使用可能なカラムの詳細については、「イベント テーブルのカラム」を参照してください。

[Start]

イベントを取得して現在のビューのイベント テーブルを更新する作業を開始します。イベント テーブルには、[Start] をクリックしたときから時間モードの制限またはイベント テーブルの改ページ制限になるまでに受信したイベントが表示されます。

または、イベント テーブル ツールバーの [Start] ボタンをクリックします。

[Stop]

イベント取得を停止します。イベント テーブルには、[Stop] をクリックするまでに受信したイベントが表示されます。

または、イベント テーブル ツールバーの [Stop] ボタンをクリックします。

[Show View Settings]

[View Settings] ペインを開きます。ここには、現在のビューのフィルタおよび色設定が表示されます。このような設定は、[View Settings] ペインを使用して変更できます。

または、[View Settings] ペイン タイトル バー内のアイコン、テキスト、またはタイトル バーの右側の二重矢印などの任意の場所をクリックします。見出しをクリックすると、ペインが開いたり閉じたりします。

[Show Event Details]

[Event Details] ペインを開き、選択されたイベントの詳細を表示します。

このほかに次の方法があります。

[Event Details] ペインのタイトル バーの左側にある展開アイコン(+)をクリックします。

イベント テーブルのイベントをダブルクリックして、ポップアップ ウィンドウにイベントの詳細データを表示します。

ヒント [Event Details] ダイアログボックスから、イベント詳細を印刷したり、詳細の 1 行以上をクリップボードにコピーしたりできます。また、[Next] および [Previous] ボタンを使用して、イベント リスト全体をスクロールできます。

[Manage Monitored Devices]

いずれのデバイスまたはデバイス グループのイベントを Event Viewer に表示するかを選択できます。詳細については、「モニタするデバイスの選択」を参照してください。

(注) デフォルトでは、Security Manager インベントリに追加されたすべての ASA、FWSM、または IPS デバイスがモニタされます。

[Show Event Store Disk Usage]

使用済みのディスク スペースの容量と、最も古いイベントが格納されてからの経過時間を表示するウィンドウを開きます。「イベント データ ストア用のディスク スペースの使用率のモニタリング」を参照してください。

[Show Network Host Objects]

選択すると、使用可能な場合は、送信元または宛先 IP アドレスの代わりにホスト オブジェクト名が表示されます。このオプションは、デフォルトで選択されます。

ヒント そのオブジェクトに関連付けられた IP アドレスを表示するには、ホスト オブジェクト名にマウス オーバーします。

[Reset Layout]

非表示にしていたか、または手動で拡大縮小していたビューのリスト ペインの幅を元の設定に戻します。

ビューのリスト

Event Viewer メイン ウィンドウの左ペインには、次の図に示すように使用可能なビューのリストが表示されます。 ビュー は、フィルタおよび他のプロパティのセットです。これには、イベントのサブセットを定義できる色規則、選択したカラムとその位置および幅、ならびにデフォルトの時間枠が含まれます。

図 63-2 Event Viewer のビューのリスト

 

ビューのリストには、次のコントロールが含まれます。

(1)[Push Pin] ボタン :ビューのリスト ペインを開くか閉じるかを制御するには、[Push Pin] アイコンをクリックします。ピンが垂直の場合、[Event Monitoring] ウィンドウ(右ペイン)を最大化しないかぎり、ビューのリストは開いたままになります。ピンが水平の場合、ビューのリストは左端に縮小されます。リストを開くには、左端のビューの見出しをクリックする必要があります。

(2)ツールバー :ツールバーには次のボタンが含まれます。

[New] ボタン:新規カスタム ビューを作成するには、[New] ボタンをクリックします。ビューの名前および説明の入力を求められます。詳細については、「カスタム ビューの作成」を参照してください。

[Edit] ボタン:選択したカスタム ビューの名前または説明を変更するには、[Edit] ボタンをクリックします。カスタム ビューだけが編集できます。詳細については、「カスタム ビューの名前または説明の編集」を参照してください。

[Delete] ボタン:選択したカスタム ビューを削除するには、[Delete] ボタンをクリックします。カスタム ビューだけが削除できます。詳細については、「カスタム ビューの削除」を参照してください。

(3)ビューのリスト :ビューのリストでは、定義済みのビューとカスタム ビューが別々にフォルダに整理されます。カスタム ビューは [My Views] フォルダに一覧表示されます。最も簡単にビューを開く方法は、ビューをダブルクリックする方法です。これにより、現在開いているビューが置き換えられます。現在開いているビューと置き換えずにビューを開くには、ビューを右クリックし、[Open in New Tab] を選択します。ビューを開く方法の詳細については、「ビューを開く」を参照してください。

右クリック ショートカット メニュー :ビューで右クリックすると、実行できる追加のコマンドのリストが表示されます。

[Open]:ビューを開いて現在アクティブなビューと置き換えます。現在アクティブなビューに保存されていない変更が含まれる場合は、変更の保存を求められます。ビューがすでに開いている場合は、最前面に移動されます。「ビューを開く」を参照してください。

[Open in New Tab]:新規タブにビューを開きます。このため、既存の開いているビューは閉じません。「ビューを開く」を参照してください。

[Save As]:ビューを新規カスタム ビューとして保存します。「ビューの保存」を参照してください。

[Edit]:カスタム ビューの名前と説明を編集します。「カスタム ビューの名前または説明の編集」を参照してください。

[Delete]:カスタム ビューを削除します。「カスタム ビューの削除」を参照してください。

[View Description]:ビューの説明を表示します。

関連項目

「ビューとフィルタ」

「Event Viewer の概要」

「ビューのフローティングと配置」

[Event Monitoring] ウィンドウ

[Event Monitoring] ウィンドウには、すでに開いているイベント ビューが表示されます。このウィンドウでビューの設定およびフィルタ イベントの分析ができます。

図 63-3 [Event Monitoring] ウィンドウ

 

1

ビューのタブ。

6

時間スライダ。

2

[View Settings] ペイン。

7

[Event Details] ペイン。

3

イベント テーブル ツールバー。

8

[Column Selector] ボタン。

4

[Filtered Column] アイコン。

9

[Open View] スクロール ボタンとリスト。

5

イベント テーブル。

 

 

[Event Monitoring] ウィンドウには、次の主要な要素が含まれています。

ビューのタブ(1、9) :ビューを開くと、ビューはウィンドウ内のタブとして示されます。ビューを変更するには、タブをクリックする、左右矢印ボタンをクリックしてタブ全体をスクロールする、または [Open View List] ボタンをクリックして目的のビューを選択する、のいずれかを実行します。タブ名を右クリックし、適切なコマンドを選択して、ビューを並べて表示するまたは別のウィンドウにフローティングするように配置できます。詳細については、「ビューのフローティングと配置」を参照してください。


) 最大で 4 つの履歴ビューと 1 つのリアルタイム ビューを開くことができます。


[View Settings] ペイン(2) :[View Settings] ペインを使用して、ビューで使用するカラム フィルタおよび色規則を定義します。見出しの任意の場所をクリックする、または [View] > [Show View Settings] コマンドで切り替えて、ペインを開いたり閉じたりできます。

[View Settings] ペインには、[Filter] および [Color Rules] の 2 つのタブがあります。これらのタブは、ペインの下部に沿って表示されます。各タブ上で、タブの本体には現在のフィルタまたは規則が表示されます。規則を変更するには、規則を選択し、必要に応じてペインの上部に沿って表示される [Edit] または [Delete] ボタンをクリックします。新規規則を作成するには、[Add] ボタンをクリックします。

「カラムベース フィルタの作成」で説明するとおりに、イベント テーブルのカラム フィルタリング コントロールを使用して、フィルタを追加することもできます。色規則の詳細については、「ビューの色規則の設定」を参照してください。

イベント テーブル ツールバー(3) :イベント テーブルの上部にあるツールバーには、テーブルに一覧表示されたイベントに特に関連するショートカット ボタンやその他のコントロールが含まれます。ツールバー コントロールの詳細については、「イベント テーブル ツールバー」を参照してください。

イベント テーブル(4、5、8) :イベント テーブルには、フィルタ基準に一致するイベントが各行に 1 つ表示されます。これらのイベントは、プライマリまたは拡張データ ストアから取得される場合があります。明示的に拡張データ ストアからデータを要求する必要はありません。デバイスからのイベントを表示するには、そのデバイスに対するデバイスの表示権限を持っている必要があります。

「イベント テーブルの表示のカスタマイズ」で説明するとおりに、イベント テーブルを構成しているカラムに対しては、非表示、サイズ変更、順序の並べ替え、およびソートが可能です。カラムの説明、および表示するカラムを選択する [Column Selector] ボタンの使用方法の詳細については、「イベント テーブルのカラム」を参照してください。

カラムにフィルタが適用されている場合は、カラムの見出しにアイコンが表示されます。

時間スライダ(6) :履歴ビューの場合、時間スライダには、テーブル内に表示された時間の現在のスライスおよび線分グラフで Events Per Second レートが表示されます。時間スライダの使用方法の詳細については、「時間スライダ」を参照してください。

[Event Details] ペイン(7) :[Event Details] ペインには、現在選択されているイベントの詳細情報が表示されます。見出しの任意の場所をクリックする、または [View] > [Show Event Details] コマンドで切り替えて、ペインを開いたり閉じたりできます。詳細については、「[Event Details] ペイン」を参照してください。

イベント テーブル ツールバー

次の図と表に、Event Viewer のイベント テーブルのすぐ上にあるツールバーの要素を示します。

 

 

表 63-5 イベント テーブル ツールバーの要素

引き出し線
名前
説明

1

[Search Within Results] フィールド

(クイック フィルタ)

このツールは、 クイック フィルタ とも呼ばれます。この要素は、単語またはフレーズを検索し、検索スコープを特定のカラムに限定する場合に使用します。また、使用する検索語句で大文字と小文字を区別するかどうか、ワイルドカードを使用できるかどうか、および一致は部分一致か、大文字と小文字を区別するか、完全一致か、文字列内の任意の位置に含まれていればよいかを選択できます。この検索は、選択したビューおよびロードされたデータ内でだけ動作します。詳細については、「テキスト文字列に対するフィルタリング」を参照してください。

2

[Time Selector](モード)

([View] > [Mode] に相当)

時間セレクタは、次の手順を実行する場合に使用します。

イベント テーブル ペインに表示するイベントを受信した時間に応じてフィルタリングします。「イベントの時間範囲の選択」を参照してください。

リアルタイム ビューまたは履歴ビューから選択します。「リアルタイム ビューと履歴ビュー間の切り替え」を参照してください。

クライアントにロードする時間間隔を指定します。現在時刻から過去にさかのぼってイベントを表示するモードの 1 つを使用している場合は、ポインタをフィールドに重ねると、表示されたイベントの開始と終了時刻が表示されます。特定の時間間隔を使用している場合は、ツールバーに時間間隔が表示されます。

3

[Events by IP Address Type Selector]

イベントに含まれる IP アドレス タイプに基づいてリストをフィルタリングするために、[Events by IP Address Type Selector] を使用します。次のオプションがあります。

[All Events](デフォルト):アドレス タイプに関係なくすべてのイベントを表示します。これはデフォルトのオプションです。

[IPv4 Events Only]:イベントのすべてのアドレスが IPv4 形式の場合にだけイベントを表示します。

[IPv6 Events Only]:イベントの少なくとも 1 つのアドレスが IPv6 形式の場合にだけイベントを表示します。

ヒント 選択は保存できません。次回ビューを開いたときにデフォルト以外が必要な場合は、再度オプションを選択する必要があります。

4

[Save]

([File] > [Save] または [File] > [Save As] に相当)

フィルタ(カスタム ビューの場合のみ)、ならびに選択したカラム、カラム幅、およびソート順序などのテーブル プリファレンス、時間範囲や色規則など、現在のビューに加えた変更を保存するには、[Save] をクリックします。

または、下矢印をクリックし、[Save As] を選択して変更を新規カスタム ビューとして保存します。定義済みのビューのフィルタ変更を保存する場合は、[Save As] を使用して新規カスタム ビューを作成する必要があります。詳細については、「カスタム ビューの作成」を参照してください。

5

[Start]

([View] > [Start] に相当)

イベント テーブルにイベント リストをリロードまたは再起動するには、[Start] をクリックします。[Start] をクリックすると、テーブルを最初にロードしてから発生したすべてのイベントを取得します。

6

[Stop]

([View] > [Stop] に相当)

イベント テーブルのイベント リストを停止するには、[Stop] をクリックします。現在リアルタイム ビューである場合、時間セレクタは停止した時間だけでなく、ロードされている時間間隔も示します。また、[Stop] をクリックすると、クエリーが停止し、現在 Event Viewer にロードされているイベント セットが表示されます。

7

[Clear]

イベント テーブルを空にするには、[Clear] をクリックします。

8

[Event Enumerator] とメッセージ

ツールバーの右側に表示されている数値は、Event Viewer クライアントにロードされているイベント数です。この数はイベントがロードされるたびに増えていき、フィルタ条件と一致するイベントがすべて表示されるのと改ページ制限に達するのと、どちらか低い方になった時点で終了します。改ページ制限を変更した場合は(「[Event Management] ページ」を参照)、Event Viewer を終了して再び開くことによって新規制限を有効にする必要があります。

拡張イベント保管領域からのイベントの取得をクエリーによって要求される場合は、「Data being fetched from extended store」のようなメッセージが表示されます。通常、イベントを拡張保管領域から取得する場合は、プライマリ保管領域から取得するよりも時間がかかります。

イベント テーブルのカラム

次の表に、Event Viewer のビューに表示できるすべてのカラムをアルファベット順に一覧表示して説明します。イベント タイプによってイベント データが存在する場合と存在しない場合があるように、デバイスに適用できるカラムはデバイスによってさまざまです。

ビューを保存した場合は、選択したカラムとその順序が保持されて、次回ビューを開いたときに表示されます。開いている(またアクティブな)ビューに表示するカラムを選択するには、次のいずれかを実行します。

(推奨方法)イベント テーブルのヘッダー行の右端の [Column Chooser] アイコンをクリックします(「[Event Monitoring] ウィンドウ」を参照)。[Choose Columns to Display] ダイアログボックスが開き、カラムがアルファベット順に一覧表示されます。個別に、または [Select/Unselect All] チェックボックスを使用して、カラムを選択または選択解除できます。また、[Revert] をクリックして、ビューのデフォルトのカラム選択に戻せます。

[View] > [Customize Columns] を選択します。

任意のカラムの見出しを右クリックし、カラムを個別に選択または選択解除します。または、[More] をクリックして、[View] > [Customize Columns] コマンドで使用したのと同じダイアログボックスを開きます。


) [Description]、[Event Name]、[Receive Time] 以外のほとんどのカラムに、フィルタリング機能があります。詳細については、「カラムベース フィルタの作成」を参照してください。


 

表 63-6 Event Viewer のカラムの説明

カラムのラベル
説明

[AAA Group]

AAA グループ ポリシー。

[AAA Server]

ユーザのアクセス要求を処理するサーバ。認証、認可、およびアカウンティングを実行します。

[AAA User]

AAA ユーザ名。

[ACE Hash1]

[ACE Hash2]

Access Control list Entry(ACE; アクセス コントロール リスト エントリ)のハッシュコード 1 とハッシュコード 2。

syslog 106023 イベントおよび 106100 イベントからポリシー検索を正常に完了するには、ハッシュ コードが必要です。このようなハッシュ コードは、Security Manager を使用して設定を展開した場合にだけ使用できます。

[ACL Name]

Access Control List(ACL; アクセス コントロール リスト)の名前または ID。

[Action]

フローに対して実行されるアクション。たとえば、終了や拒否。

[Alert Details]

アラートに関する詳細。

[App Name]

イベントを発生させているアプリケーションの名前。

[App Stop Reason]

アプリケーションがシャットダウンされた方法と理由に関する説明。

[App Version]

イベントを発生させているアプリケーションのバージョン。

[Attack Relevance Rating]

攻撃とその対象となる宛先との関連性を示すために使用される数値。

[Backplane Interface]

バックプレーン インターフェイス。バックプレーン インターフェイスが物理インターフェイスと異なる場合にだけ識別されます。

[Botnet Category]

ドメイン名がブラックリストに掲載されている理由を示すカテゴリ。たとえば、ボットネット、トロイの木馬、スパイウェアなど。

[Botnet Domain]

動的なフィルタ データベースに登録されていて、トラフィックの宛先となったドメイン名または IP アドレス。ブラック リスト、ホワイト リスト、またはグレー リストに掲載できます。

[Build Time]

ソフトウェアが構築された日付と時刻。

[Build Type]

構築のタイプ。通常、これは「release」や「debug」などの単語です。アプリケーションの構築者の ID の場合もあります。

[Byte Count]

接続のデータ転送のバイト数。

[Call Id]

このパケットが属するセッションのピアのコール ID。

[Class Map]

クラス マップ名。

[Connection Duration]

接続のライフタイム。

[Connection ID]

接続の一意の識別子。

[Connection Limit]

接続またはセッションの最大数。

[Connection Termination Value]

接続終了の要因。バージョンが正しくない、ペイロード タイプが無効であるなど。

[Current Connection Count]

現在の接続の数。

[Description]

syslog の場合は未処理メッセージが表示され、IPS の場合はイベントの説明が表示されます。

[Destination]

トラフィック宛先(ASA および FWSM の場合)または攻撃目標(IPS の場合)の IP アドレスまたはホスト名。複数の値を取ることができ、IPv4 または IPv6 アドレスを含められます。

[View] > [Show Network Host Objects] が選択されて、宛先 IP アドレスと一致するホスト オブジェクトが定義されている場合は、ホスト オブジェクト名が表示されます。

ヒント そのオブジェクトに関連付けられた IP アドレスを表示するには、ホスト オブジェクト名にマウス オーバーします。

[Destination Context Data]

アラートがトリガーされた直前および直後に送信されたデータを示すコンテキスト バッファ。ターゲットから供給されたストリーム データを Base64 でエンコードした表現。

[Destination Interface]

宛先インターフェイス。

Etherchannel アラート(426001 ~ 426003)の場合は、このイベントが発生した Etherchannel インターフェイスの名前。[Source Interface] カラムにメンバ インターフェイスが識別されます。

[Destination Locality]

侵入で指定されたとおりに、ターゲット アドレスが特定のネットワークの内側に存在するか、外側に存在するか。

[Destination OS]

ターゲットのオペレーティング システム情報。

[Destination OS Relevance]

宛先ターゲット OS 値の関連性を示す数値。

[Destination OS Source]

ターゲット OS データの送信元。使用できる値は learned、imported、または configured です。

[Destination Service]

宛先ポート。複数の値を取ることもできます。

[Device]

イベントの送信元。通常はデバイス ID です。

Not Available と識別されたデバイスは、Security Manager インベントリから削除されています。

[Direction]

トラフィックの方向。inbound または outbound です。

[Event ID]

内部で各イベントに割り当てられる一意の連続番号。

[Event Name]

イベントに付与されたユーザ フレンドリな名前。

[Event Summary]

サマリー アラートであり、特性が共通する 1 つ以上のアラートを表したものです。数値は、「initialAlert」属性値との一致により、最後のサマリー アラート以降にシグニチャが発行された回数を示します。

[Event Type ID]

ASA または FWSM の場合は、syslog ID です。

IPS の場合は次のいずれかになります。

[Sig ID] と [Sub SigId] の組み合わせ(IPS アラート イベントの場合)

IPS ステータス(IPS ステータス イベントの場合)

IPS エラー(IPS エラー イベントの場合)

[Execution State]

アプリケーションの実行ステータス。

[Final Alert]

サマリー アラートに適用され、特性が共通する 1 つ以上のアラートを表したものです。「initialAlert」属性に同じ値が含まれている最後のイベント アラートであるかどうかを示します。

[Generation Time]

デバイス ローカル イベント生成時間です(IPS イベントにだけ使用可能)。

[Global Correlation Audit Mode]

アラートが監査モード処理で処理されたかどうかを示す true または false。

[Global Correlation Deny Attacker]

リスク レーティングを算出した結果、内部オーバーライドを超えたために、攻撃者拒否アクションが発生した(または発生することになっていた)のかどうかを示す true または false。

[Global Correlation Deny Packet]

リスク レーティングを算出した結果、内部オーバーライドを超えたために、パケット拒否アクションが発生した(または発生することになっていた)のかどうかを示す true または false。

[Global Correlation Modified Risk Rating]

リスク レーティングのためにレピュテーション リスク デルタを追加して、リスク レーティングを調整したかどうかを示す true または false。

[Global Correlation Other Overrides]

リスク レーティングを算出した結果、オーバーライドしきい値を超えたために、他に防御アクションが講じられたかどうかを示す true または false。

[Global Correlation Risk Delta]

レピュテーション スコアにより、リスク レーティングをどのくらい増やしたかを示す 0 ~ 99 の値。監査モードがイネーブルになっている場合は、監査モードがイネーブルでなかったらリスク レーティングをどのくらい調整することになったかを示します。

[Hit Count]

設定された時間間隔で ACL エントリによってフローが許可または拒否された回数。ASA または FWSM が特定のフローに対して最初の syslog メッセージを生成すると、値が 1 となります。

[Hit Count Info]

ACL ヒット カウント情報。たとえば、 First hit

[Host ID]

イベントを発生させたホストのグローバルに一意な識別子。

[ICMP Code]

ICMP タイプのコード。たとえば、ICMP タイプ 3 およびコード 0 はネット到達不能であり、コード 1 はホスト到達不能です。

[ICMP Type]

ICMP メッセージのタイプ。たとえば、宛先到達不能の場合は 3、エコーの場合は 8 です。

[Initial Alert]

このフィールドはサマリー アラートに適用され、特性が共通する 1 つ以上のアラートを表したものです。InitialAlert の値は、特性(sigid/subsigid)が同じでサマリー アラートではない最後の evIdsAlert のイベント ID です。

[Ip Log ID]

iplog ドキュメントを(ホストスコープとともに)一意に識別する IP ログ識別子。

[IpLog Address]

IP ログに関連付けられた IPv4 または IPv6 アドレス。

[IpLog Alert Reference]

ログの開始をトリガーした evAlert イベントのグローバル イベント ID。

[IpLog Begin Time]

ログ ドキュメントに現在使用できる時間範囲の開始。

[IpLog Bytes Captured]

キャプチャされた総バイト数。キャプチャされたパケットの中には、メモリ制限のためにログからすでに削除されているものもあることに注意してください。

[IpLog Bytes Remaining]

ログが終了するまでの残りバイト数。

[IpLog End Time]

ログ ドキュメントに現在使用できる時間範囲の終了。

[IpLog Minutes Remaining]

ログが終了するまでの残り分数。

[IpLog Packets Captured]

キャプチャしてログに記録したパケットの合計数。

[IpLog Packets Remaining]

ログが終了するまでの残りパケット数。

[IpLog Status]

ログ ステータスを表す文字列。

[IPS Category]

SEE イベント カテゴリ。

[IPS User]

操作を開始しているユーザのユーザ名。

[License Limit]

ライセンスの最大数。

[List Name]

ドメイン名が記載されているリスト、管理者ホワイトリスト、ブラックリスト、または IronPort リスト。

[Login Action]

発生したログイン アクション。loggedIn、loggedOut、または loginFailed。

[Malicious Host]

悪意のあるホストのホスト名。

[Malicious IP]

悪意のあるデバイスの IP アドレス。

[Max Connection]

NAT 接続の最大数。

[MaxEmbryonic Connection]

初期接続の最大数。

[NAT Destination]

変換された(NAT されたとも呼ばれる)宛先 IP アドレス。

変換された宛先のホスト名。

[NAT Destination Service]

変換された(または NAT された)宛先ポート。

[NAT Global IP]

グローバル アドレス。IPv4 または IPv6 アドレスを含められます。

[NAT Source]

変換された(または NAT された)送信元 IP アドレス。IPv4 または IPv6 アドレスを含められます。

変換された送信元のホスト名。

[NAT Source Service]

変換された(または NAT された)送信元ポート。

[NAT Type]

ネットワーク アドレス変換のタイプ。たとえば、 Static Dynamic

[New Time]

デバイス クロックが変更された時刻。

[New Version]

アップグレード インストール後のシステム ソフトウェア バージョン。

[No.]

現在表示されているイベント(行)の数 これは単純な連続番号であり、イベントの内容とは関連がありません。イベントのタイプの情報については、[Event ID] および [Event Name] フィールドを参照してください。

[Old Time]

変更前のデバイス クロック時間。

[Old Version]

アップグレード アンインストール前のシステム ソフトウェア バージョン。

[Operation Successful]

操作が正常に実行されたかどうかを示します。

[Package File]

自動的にダウンロードされてインストールされるパッケージ ファイルの名前。

[Physical Interface]

物理インターフェイス。物理インターフェイスが [Interface] カラムの対応する値と異なる場合にだけ識別されます。

[Policy Map]

ポリシー マップ名。

[Protocol]

Level-3 プロトコルまたは Level-4 プロトコル。

[Protocol Version]

プロトコル バージョン。

[Protocol (Non L3)]

イベントに示された Level-3 または Level-4 以外のプロトコル。たとえば、TACACS、RADIUS、FTP、または H245。

[Reason]

特定のイベントに関連付けられた理由。たとえば、接続のティアダウンが関連付けの理由の場合があります。

[Receive Time]

イベントが Security Manager によって受信された時刻。

[Reputation]

-10.0 ~ +10.0 で示される攻撃者のレピュテーション スコア。スコアが低い(負の値が大きい)ほど、ホストが悪意のあるホストである可能性が高くなります。

[Result Status]

操作が正常に完了したかどうかを示す操作のステータス。

[Risk Rating]

イベントに関連付けられたリスクを計算した値。

[Security Context]

対応する [Interface] カラムに指定された名前付きインターフェイスが関連付けられているセキュリティ コンテキスト。

[Sensor Event ID]

イベントのシリアル番号。発信元ホストのスコープ内で一意であることが保証されています。

[Severity]

ファイアウォールまたは IPS の重大度値。

[SIA Event Name]

[SIA Service Name] フィールドで識別されたサービスに対して発生したイベント。

[SIA Service Name]

このイベントが発生した Service Insertion Architecture(SIA)サービスの名前。

[Sig Details]

レポートされたシグニチャの詳細。トリガーされて、アラートの生成を引き起こしたシグニチャです。

[Sig ID]

Sig ID 値は、アラート発信者がアクティビティを特定するために使用されます。この値により、アクティビティにあらかじめ定義されているシグニチャを識別できます。

[Signature Version]

アラートの生成に使用されたシグニチャ定義のバージョン。

[Source]

トラフィック送信元(ASA および FWSM の場合)または攻撃者(IPS の場合)の IP アドレスまたはホスト名。複数の値を取ることができ、IPv4 または IPv6 アドレスを含められます。

[View] > [Show Network Host Objects] が選択されて、送信元 IP アドレスと一致するホスト オブジェクトが定義されている場合は、ホスト オブジェクト名が表示されます。

ヒント そのオブジェクトに関連付けられた IP アドレスを表示するには、ホスト オブジェクト名にマウス オーバーします。

[Source Context Data]

アラートがトリガーされた直前および直後に送信されたデータを示すコンテキスト バッファ。攻撃者から供給されたデータ ストリームを Base64 でエンコードした表現。

[Source Interface]

送信元インターフェイス。

Etherchannel アラート(426001 ~ 426003)の場合は、このイベントが発生した Etherchannel バンドルの一部である Etherchannel インターフェイスの名前。[Destination Interface] カラムに Etherchannel インターフェイスが識別されます。

[Source Locality]

侵入検知デバイスの設定で指定されたとおりに、攻撃者のアドレスが特定のネットワークの内側に存在するか、外側に存在するかを識別します。

[Source Service]

送信元ポート。

[SSO Server]

Single Sign-On(SSO; シングル サインオン)サーバ名。

[SSO Server Type]

Single Sign-On(SSO; シングル サインオン)サーバ タイプ。たとえば、SiteMinder。

[Sub SigId]

サブシグニチャ ID 値。シグニチャ ID(sigId)とともに、アラート発信者がアクティビティを特定するために使用されます。

[Summary Type]

サマリー アラートのすべてのアラートに共通する特性を定義します。

[Target Value Rating]

アラートで特定したターゲットに関連付けられているアセット値。

[Threat Level]

脅威度が関連付けられている場合に、次の値のいずれかが表示されます。none、very-low、low、moderate、high、または very-high。

[Threat Rating]

イベントの脅威レーティング(ある場合)。

[Time Zone]

発信元ホストがある場所の現地タイム ゾーン。

[Translated Call ID]

このパケットが属するセッションのピアの変換済みコール ID。

[Trigger Packet]

アラートをトリガーした単一の完全なパケット(base64 バイナリ形式)。

[Truncated]

イベントに含まれるトリガー パケットが切り捨てられているかどうか。

[Tunnel Type]

VPN トンネル タイプ。

[Type]

AAA タイプ。たとえば、authentication、authorization、または accounting。

[Upgrade Name]

アンインストールされたアップグレード パッケージの名前。

[URI]

自動アップグレード サーバ ディレクトリの URI。

[UTC Offset]

センサー現地時間の offset 属性は、発信元ホストがある現地時間に変換するために UTC 時間に追加する必要がある分数を示します。

[Virtual Sensor]

イベントに関連付けられた仮想センサーの名前。

[VLAN Id]

アラートをトリガーしたアクティビティにかかわるパケットに関連付けられた VLAN 番号。

[VPN Group]

VPN グループ ポリシー。

[VPN IPSec SPI]

IPSec セキュリティ パラメータ インデックス。

[VPN User]

VPN ユーザ名。

[Watchlist Delta]

アラートに関連付けられたアクティビティの送信元がウォッチリストに記載されているために、リスク レーティングに付加された値。

時間スライダ

時間スライダは、履歴ビューの使用中にイベント テーブルの下にあります。リアルタイム ビューでは使用されません。次の図に、時間スライダを示します。右側の改ページ コントロールについては、 表 63-7 で説明します。

図 63-4 時間スライダの要素

 

時間スライダは、次の操作を実行する場合に使用できます。

サーバでの Events Per Second(EPS)傾向を表示します。必要なタイム フレームの期間の EPS 傾向がより良く表示されるように、右側のコントロールを使用してズームインまたはズームアウトできます。

ウィンドウ内に時間範囲を配置するために、時間スライダの背景をクリックしてドラッグすることもできます。背景を動かしても選択した時間範囲に影響はありません。

イベント テーブル内に表示するイベントの時間のスライスを選択します。選択には、垂直スライダを動かすか、改ページコントロールを使用します。垂直スライダの位置は、イベント テーブルに表示される最新のイベントを決定します。時間のスライスを変更するたびに、その期間に一致するイベントがイベント テーブルにリロードされます。

イベント テーブルに表示されるイベントの時間範囲は、選択した時間間隔によって決まります。詳細については、「イベントの時間範囲の選択」を参照してください。

次の表に、時間スライダの右側の改ページコントロールについて説明します。

 

表 63-7 時間スライダのページ送りボタン

要素
説明

 

前のページ(前方)および次のページ(後方)。ページのサイズは、選択した時間モードによって異なります。

(注) たとえば、前方から後方というようにページ コントロールを交互に使用すると、イベント テーブルでのソート順序が逆になります。つまり、最新のイベントが、テーブルの上から下、または下から上の順に並びます。

 

先頭ページ(最前方)および最終ページ(最後方)。

 

ズームイン(表示される合計時間間隔が短くなります)およびズームアウト(表示される時間間隔が長くなります)。

ズームしても、イベント テーブルの内容は変更されません。青色の影付きの領域は、イベント テーブルに現在表示されている時間間隔を示します。

[Event Details] ペイン

[Event Details] ペイン(「[Event Monitoring] ウィンドウ」に示す)には、単一のイベント内に含まれる情報が表示されます。この情報はペイン内の複数のタブに表示され、その内容はデータを解析する Event Viewer のイベントおよび機能の豊富さによって異なります。コンポーネントには、次のものがあります。

[Displayed Fields] タブ:イベント テーブルに表示されるフィールドを表示します。

[Details] タブ:選択したイベントに使用できるすべてのフィールドを表示します。フィールドは、アルファベット順になっています。

[Explanation] タブ:このイベント タイプの概要を表示します。

[Related Threats] タブ:イベントと相関関係にある脅威を表示します(IPS イベントのみ)。

[Recommended Action] タブ:このタイプのイベントに対する推奨事項を表示します(Syslogs のみ)。

[Trigger Packet] タブ:トリガー パケット データを表示します(IPS イベントのみ)。

[Context Packet] タブ:送信元(攻撃者)および宛先(ターゲット)のコンテキスト パケット データを表示します(IPS イベントのみ)。

イベント管理の準備

デバイスから生成されたイベントを表示する場合は、事前にそのデバイスを Event Viewer で機能するように設定する必要があります。

時間の同期

標準のネットワーク管理では、時差およびネットワーク デバイス同期が考慮されます。そのために通常、Network Time Protocol(NTP; ネットワーク タイム プロトコル)サーバが使用されます。Event Viewer は、時間基準を統一すると最も使いやすくなります。ただし、Security Manager がイベントを受け取った時刻([Receive Time])を表示できるほか、IPS デバイスの場合にはデバイスがイベントを生成した時刻([Generation Time])を表示できます。

可能な場合は常に、同じ NTP サーバでモニタリングしている Security Manager サーバおよびデバイスを設定します。

イベント管理のための ASA と FWSM デバイスの設定

Event Viewer または syslog イベントを分析する他のアプリケーションを使用して ASA または FWSM デバイスから生成されたイベントを表示する場合は、事前に syslog メッセージを生成および送信するようにそのデバイスでロギング ポリシーを設定する必要があります。


ヒント デバイスごとに適切なロギング設定を指定できますが、ネットワーク内の複数の ASA または FWSM デバイスで同じロギング設定を使用することになる場合もあります。この項では個々のデバイスを設定する方法について説明しますが、共有ポリシーを作成して複数のデバイスに割り当てることもできます。共有ポリシーの設定と割り当ての詳細については、「新しい共有ポリシーの作成」および「ポリシー ビューにおけるポリシー割り当ての変更」を参照してください。

ここで説明するロギング設定のほか、ファイアウォール ポリシーまたは ACL ポリシー オブジェクトにアクセス コントロール エントリを設定した場合にはそのエントリごとにロギングを設定することもできます。デフォルトでは拒否されたアクセスだけがログに記録されますが、ログに記録する情報が増えるように ACL ロギング オプションを設定できます。


ステップ 1 (デバイス ビュー)ASA もしくは FWSM デバイスまたはセキュリティ コンテキストを選択して、ポリシー セレクタで [Platform] > [Logging] > [Syslog] > [Logging Setup] を選択します。

ポリシーで、[Enable Logging] を選択します。必要に応じて他のオプションを設定できます。オプションの詳細については、「[Logging Setup] ページ」を参照してください。

ステップ 2 [Platform] > [Logging] > [Syslog] > [Syslog Servers] を選択します。

Security Manager サーバの IP アドレスを syslog サーバ テーブルに追加します。UDP プロトコルを使用するようにサーバを設定します。Security Manager Administration の「[Event Management] ページ」で別のポートを設定しないかぎり、デフォルト ポート 514 が適切なポートです。

CS-MARS など他のイベント管理アプリケーションを使用している場合には、そのサーバもこのポリシーに追加します。


) 必要に応じて EMBLEM メッセージ フォーマットを使用できます。従来のフォーマットも EMBLEM フォーマットもサポートされています。CS-MARS では EMBLEM がサポートされないため、CS-MARS サーバには EMBLEM フォーマットのメッセージを送信しないでください。


syslog サーバ ポリシーのオプションの詳細については、「[Syslog Servers] ページ」を参照してください。

ステップ 3 タイム スタンプを syslog メッセージに追加する、メッセージの重大度を変更する、特定のメッセージの生成を抑止するなど、デフォルト以外の syslog サーバ設定を設定する場合は、[Platform] > [Logging] > [Syslog] > [Server Setup] ポリシーを設定します。詳細については、「[Server Setup] ページ」を参照してください。

ステップ 4 (任意)[Platform] > [Logging] > [Syslog] > [Logging Filters] ポリシーでは、syslog サーバに送信されるメッセージの種類を微調整できます。このポリシーの詳細については、「[Logging Filters] ページ」および「[Edit Logging Filters] ダイアログボックス」を参照してください。

次に、このポリシーを設定するためのヒントを示します。

ロギング フィルタを追加するときには、[Logging Destination] に [Syslog Servers] を選択します。

メッセージ重大度に基づいて簡単なフィルタを作成したり、イベント クラスに基づいてはるかに複雑なフィルタを設定したりできます。イベント クラスを使用する場合は、Logging Filters ポリシーで直接設定を行うことも、Event Lists ポリシーで個別にイベント リストを設定することもできます(「[Event Lists] ページ」を参照)。

ステップ 5 (任意)メッセージ重大度またはメッセージ番号で時間間隔あたりに生成されるメッセージの数量を制限するように、[Platform] > [Logging] > [Syslog] > [Rate Limit] ポリシーを設定できます。これにより、syslog サーバのフラッディングを回避するのが容易になります。「[Rate Limit] ページ」を参照してください。

ステップ 6 (任意ですが推奨)ASA デバイスに対してネットワーク タイム プロトコル サーバを指定するように、[Platform] > [Device Admin] > [Server Access] > [NTP] ポリシーを設定できます。NTP を使用すると、日付と時刻情報の一貫性を確保して容易にイベントを相関付けることができます。Security Manager サーバに使用するのと同じ NTP サーバを指定します。異なるサーバを使用する場合は、それらのサーバが同期されていることを確認してください。「[NTP] ページ」を参照してください。


 

イベント管理のための IPS デバイスの設定

IPS デバイスから生成されたイベントを Event Viewer を使用して表示する場合は、事前に Security Manager サーバがそのデバイスにアクセスできるようにそのデバイスで [Allowed Hosts] ポリシーを設定する必要があります。[Allowed Hosts] ポリシーでは設定へのアクセスも許可するように Security Manager を設定する必要があるため、IPS デバイスがすでに正しく設定されている可能性があります。また、Network Time Protocol(NTP; ネットワーク タイム プロトコル)も設定する必要があります。

IPS デバイスで効率よくイベントを管理できるように、デバイス ビューで IPS デバイスに対して次のポリシーを設定します。

[Platform] > [Device Admin] > [Device Access] > [Allowed Hosts]:(必須)Security Manager サーバをテーブルに追加します。Security Manager サーバをそのホスト IP アドレス(たとえば、10.100.10.10)で特定するか、または Security Manager サーバが存在するネットワーク(たとえば、10.100.10.0/24)を指定できます。

デバイスで CS-MARS など他のイベント管理アプリケーションを使用している場合は、そのサーバもポリシーに必ず追加します。

Allowed Hosts ポリシーの設定の詳細については、「許可ホストの識別」を参照してください。

[Platform] > [Device Admin] > [Server Access] > [NTP]:(推奨)日付と時刻情報の一貫性を確保して容易にイベントを相関付けることができるように、Security Manager サーバに使用するのと同じ NTP サーバを設定します。異なるサーバを使用する場合は、それらのサーバが同期されていることを確認してください。詳細については、「NTP サーバの識別」を参照してください。


ヒント デバイスごとに適切な許可ホストおよび NTP 設定を指定できますが、ネットワーク内の複数の IPS デバイスで同じ設定を使用することになる場合もあります。この項では個々のデバイスを設定する方法について説明しますが、ポリシーの共有バージョンを作成して複数のデバイスに割り当てることもできます。共有ポリシーの設定と割り当ての詳細については、「新しい共有ポリシーの作成」および「ポリシー ビューにおけるポリシー割り当ての変更」を参照してください。

Event Manager サービスの管理

Event Manager サービスにより、Event Viewer アプリケーションを使用できるようになります。Event Viewer を機能させるには、このサービスを開始する必要があります。サービスの機能全体を設定および管理するために実行できるタスクがいくつかあります。

ここでは、次の内容について説明します。

「Event Manager サービスの開始、停止、および設定」

「Event Manager サービスのモニタリング」

「モニタするデバイスの選択」

「イベント データ ストア用のディスク スペースの使用率のモニタリング」

「イベント データ ストアのアーカイブまたはバックアップと復元」

Event Manager サービスの開始、停止、および設定

Event Viewer または Report Manager を使用するには、Event Manager サービスが動作中である必要があります。

Security Manager をインストールすると、『 Installation Guide for Cisco Security Manager 』に記載のとおりサーバが最小メモリ要件を満たす場合を除き、Event Manager サービスは自動的にイネーブルになります。最小メモリ要件を満たさないシステム上でもサービスを手動で開始できますが、満足できるパフォーマンスが得られない場合があります。主な要因は、管理対象のデバイスの数と各デバイスのイベント生成速度です。


ヒント [Tools] > [Security Manager Administration] > [Event Management] ページで [Enable Event Management] オプションが選択されているにもかかわらず、[Launch] > [Event Viewer] を選択したときに Event Viewer が使用不可能であるとのメッセージを受け取った場合は、Event Manager サービスを再起動してみます。まず、[Enable] オプションの選択を解除し、[Save] をクリックします。サービスが停止するまで待機します。次に、[Enable] オプションを選択し、[Save] をクリックし、サービスが再び開始されるまで待機します。その後、Event Viewer を再度開いてみます。

次の手順では、Event Manager サービスを開始、停止、および設定する方法について説明します。

関連項目

「イベント データ ストア用のディスク スペースの使用率のモニタリング」


ステップ 1 (Event Viewer ではなく)メインの [Security Manager] ウィンドウで、[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Event Management] を選択します。

ステップ 2 次のいずれかを実行します。

Event Manager サービスをイネーブルまたは開始するには、[Enable Event Management] を選択します。

Event Manager サービスをディセーブルまたは停止するには、[Enable Event Management] の選択を解除します。

イベント データ ストアの場所と最大サイズ、デバイスがイベントを送信する必要のある syslog ポート、改ページ サイズ(これにより、イベント テーブルにロードされるイベントの最大数が決まります)など、他の設定も変更できます。拡張イベント ストレージの場所を設定して、プライマリ保管場所を拡張することもできます。これらの設定の詳細については、「[Event Management] ページ」を参照してください。

ステップ 3 [Save] をクリックして変更を保存します。

[Enable Event Management] オプションを変更した場合、Event Manager サービスを起動または停止してもよいかどうかの確認が求められます。[Yes] をクリックするとすぐにサービスが開始または停止し、進捗インジケータが表示されて変更が完了したときに通知されます。ステータス変更が完了するまで待ってから続行します。

改ページ サイズを除く他の設定を変更する場合は、Event Manager サービスをいったん停止してから再起動する必要があります。進捗インジケータが表示されます。


 

Event Manager サービスのモニタリング

Event Manager サービスは、着信 syslog メッセージを処理し、モニタ対象の IPS デバイスから SDEE アラートを取得します。処理されるデータ量は、ネットワーク アクティビティによって異なります。ネットワーク内で生成される Events Per Second(EPS)がサービスによって処理できるよりも大きい時間がある可能性があります。この場合、サービスはスロットル モードに移行してイベントを選択的にドロップします。

サービスのステータスをモニタして輻輳を特定し、発生する問題に対処できます。サービスのステータスは、「Event Viewer の概要」に示すように、Event Viewer のステータス バーの右下隅のアイコンに表示されます。[Total EPS] は、サービスに発生している現在の Events Per Second のレートを示します。アラート ステータス アイコンの色は次を示します。

緑色の点:問題はありません。すべてのイベントが正常に処理されています。

黄色の点:警告がいくつかあります。たとえば、重大度レベルが低いイベントがドロップされた場合。

オレンジ色の点:より深刻な問題があります。たとえば、重大度レベルが低いおよび中程度のイベントがドロップされた場合。

赤い色の点:クリティカルな状況です。たとえば、重大度レベルが高いイベントがドロップされた、または syslog ポートもしくはイベント データ ストアの場所に問題があるなど、システムに重大な問題がある場合。

ネットワーク ワイヤの切断:Event Manager サービスが意図的にまたはサーバ問題によってディセーブルになっています。イベントは保存または取得されません。これが意図的ではない場合は、「Event Manager サービスの開始、停止、および設定」で説明するとおりに、Event Manager サービスを再起動します。

詳細情報を表示するには、アラート ステータス アイコンをクリックします。バブルが開いて、過去 5 分の概要統計情報が表示されます。統計情報には、受信およびドロップしたイベント数や、ある場合はイベント サーバ アラート メッセージが含まれます。アラート ステータス アイコンをもう一度クリックしてバブルを閉じます。

バブルが開いているときに、バブル内の [Details] リンクをクリックしてより詳細な情報を表示できます。[Details] リンクをクリックすると、[Event Statistics Details] ダイアログボックスが開いて、次の情報が表示されます。

[Last 5 Minutes Statistics]:

[Events Received]:サービスが過去 5 分に受信した syslog イベントの合計数および取得した SDEE アラートの合計数。

[Events Dropped]:輻輳が原因でサービスがドロップする必要があったイベントまたはアラートの合計数。この数は、モニタ対象のデバイスからのドロップだけを示します。このため、通常の状況では、この数は 0 である必要があります。0 以外の数の場合は、サービスがスロットル モードであることを示すため、[Event Server Alerts] セクションのメッセージを確認します。

[Events from Unmonitored Devices]:モニタ対象に選択されていないデバイスからサーバに送信された syslog メッセージ数(「モニタするデバイスの選択」を参照)。

モニタ対象外のデバイスからのイベントは常にドロップされますが、サービスに負荷をかけます。最後に検出されたモニタ対象外のデバイスの IP アドレスが表示されます。この IP アドレスを使用してメッセージの送信元を判別します。その後、そのデバイスをモニタ対象のデバイスのリストに追加する必要があるか、または Security Manager サーバを syslog サーバ リストから削除するようにデバイスの設定を変更する必要があるかどうかを判断できます。

メッセージを送信しているデバイスがネットワーク外にある場合は、この syslog トラフィックがネットワーク内に入ってくることを防ぐようにファイアウォール設定を調整します。

[Status Information]:

[Total Events Per Second (EPS)]:イベントを現在処理しているレート。この測定には、ドロップされたイベントは含まれません。

[Event Buffer Used]:イベントの処理に現在使用されている共有イベント バッファのパーセンテージ。バーは、スロットル レベルを示すために次のとおり色分けされます。

緑色:スロットル モードではありません。

黄色:重大度が低いイベントがドロップされました。

オレンジ色:重大度が低いおよび中程度のイベントがドロップされました。

赤色:重大度が高いイベントがドロップされました。

[Event Server Alerts]:これらのメッセージには、対処する必要がある特定のステータス問題が表示されます。 表 63-8 に、表示される可能性のあるメッセージと有効な解決策について説明します。

[Copy] ボタン:情報をクリップボードにコピーするには、[Copy] ボタンをクリックします。コピーした情報には HTML マークアップが含まれます。情報は、HTML ファイルに貼り付けできます。

 

表 63-8 Event Manager ステータス メッセージ

アラート メッセージ
アラート レベル
有効なアクション

UDP port <514> could not be acquired, therefore syslog events cannot be collected.

[High]

示されたポートを外部アプリケーションがすでに使用している可能性があります(デフォルト syslog ポートは 514)。その外部アプリケーションを停止する必要がある場合があります。 netstat -ao | findstr 514 などの netstat コマンドを使用して、プロセスの PID を識別できます。

The event data store location does not exist, therefore events cannot be stored.

[High]

Security Manager の管理設定で設定されたイベント データ ストアの場所が存在しないか、その場所に対して必要な読み取り/書き込み権限が Security Manager サーバにありません。場所の設定の詳細については、「[Event Management] ページ」を参照してください。

Low severity events are being dropped.

[Low]

イベントが非常に高いレートで受信されたか、システムに高い負荷がかかっているかのいずれかです。

デバイスが過度にイベントを頻繁に送信しているかどうかを特定するには、[All Device Events] ビューを開いて「リアルタイム ビューと履歴ビュー間の切り替え」で説明するとおりに、リアルタイム モードに切り替えます。

サーバに高い負荷がかかっているかどうかを特定するには、サーバで Windows にログインして Task Manager または他のツールを使用して Security Manager 以外にシステムに高い負荷をかけているアプリケーションがあるかどうかを確認します。可能であれば、そのアプリケーションをディセーブルにするか停止します。問題が頻繁に発生する場合は、サーバから他のアプリケーションをアンインストールすることを検討します。

Low and medium severity events are being dropped.

[Medium]

All events are being dropped.

[High]

Events from unknown devices are being received.

[Low]

「モニタするデバイスの選択」で説明するとおりに、モニタ対象に選択されていないデバイスから syslog イベントが Security Manager サーバに送信されました。これらのデバイスは、モニタリングでサポートされていないデバイス タイプの可能性があり、また Security Manager インベントリにも入っていない可能性があります。

メッセージは、これらのデバイスに対する EPS レートによって異なります。重大度が低いメッセージの場合は、EPS レートが 500 ~ 5,000 であることを示します。中程度の場合は、EPS レートが 5,000 ~ 10,000 であることを示します。高い場合は、EPS レートが 10,000 を超えることを示します。

[Last 5 Minutes Statistics] の [Events from Unmonitored Devices] 統計情報には、これらのイベントの数および最後のサポートされないデバイスの IP アドレスが表示されます。モニタ対象にデバイスを選択するか、Security Manager サーバのアドレスを削除するように、デバイスの syslog ポリシーを変更します。複数のモニタ対象外のデバイスがメッセージを送信している場合は、手順を繰り返す必要があります。

Events from unknown devices are being received at a high rate.

[Medium]

Events from unknown devices are being received at a very high rate.

[High]

モニタするデバイスの選択

Security Manager データベースに追加されたすべての ASA および FWSM デバイスならびにセキュリティ コンテキスト、ならびに IPS デバイスおよび仮想センサーは、Event Viewer で自動的にモニタ対象に選択されます。

デバイスで Event Viewer を使用しない場合は、そのデバイスをモニタ対象から除外できます。Security Manager サーバを syslog サーバとして使用するように ASA もしくは FWSM デバイスまたはセキュリティ コンテキストを設定していない場合は、デバイスまたはセキュリティ コンテキストからイベントを受信することはいずれにせよないことに注意してください。このため、モニタしない ASA または FWSM の選択を解除する必要はありません。


ヒント Event Viewer では Cisco IOS IPS デバイスをモニタできません。

関連項目

「デバイス インベントリへのデバイスの追加」

「イベント管理のための ASA と FWSM デバイスの設定」

「イベント管理のための IPS デバイスの設定」


ステップ 1 Event Viewer で、[View] > [Manage Monitored Device] を選択して、[Manage Monitored Devices] ダイアログボックスを開きます。

デバイス リストには、Security Manager インベントリ内のデバイスのうち、表示権限があるすべてのデバイスが表示されます。権限がないデバイスは表示されません。選択できる対象が、表示されたデバイスにかぎられます。いずれのデバイスに対しても選択または選択解除する権限がない場合は、リストは読み取り専用となりデバイスをモニタ対象に選択できません。アクセス権限の詳細については、「Event Viewer のアクセス コントロールについて」を参照してください。

ステップ 2 Event Viewer でイベントをモニタするデバイスだけが選択されていることを確認します。モニタしないデバイスの選択を解除します。

デバイス グループに属するすべてのデバイスの選択ステータスを変更する場合は、そのグループを選択または選択解除します。

ステップ 3 [OK] をクリックします。

Event Viewer で変更が有効になるまで待機することが必要になる場合があります。


 

イベント データ ストア用のディスク スペースの使用率のモニタリング

Event Manager サービスは、指定された量のディスク スペースをプライマリおよび拡張イベント データ ストアに使用します。これにより、サービスが原因でサーバ コンピュータまたは拡張保管場所が過負荷になることが確実になくなります。プライマリおよび拡張イベント データ ストアのサイズは、「[Event Management] ページ」で説明するとおりに、[Tools] > [Security Manager Administration] > [Event Management] ページで設定します。

プライマリと拡張の両方の場所で、割り当てたスペースの 90 % が使用された場合、新しいデータにスペースを空けるためにストレージから最も古いイベント データが削除されます。設定した場合は、データはプライマリ ストアから拡張ストアにコピーされます。ほとんどの場合、プライマリ ストレージから削除されたイベントは、循環によって拡張ストレージからなくなるまで拡張保管場所から引き続きクエリーに使用できます(プライマリから拡張データ ストアへのコピーのタイミングは、Events Per Second(EPS)レート、プライマリ ストアの拡張ストアに対する相対的サイズ、および拡張ストアにすでにコピーされたプライマリ データのパーセンテージを含む、多数の要因に依存します)。

Event Viewer で [View] > [Show Event Store Disk Usage] を選択して、割り当てたスペースのうち現在使用されている量と、最も古いイベントの経過時間をモニタできます。情報は円グラフで表示され、各場所の使用領域と未使用領域が GB 単位で示されます。各場所に現在保存されている最も古いイベントについても示されます。

この情報を参考にして、各場所に割り当てたスペースの増減を判断できます。


ヒント いずれかの場所のサイズを小さくしたときに、その新しいサイズが現在の使用量を下回っている場合は、新たに設定した目標のサイズに達するまで、最も古いイベントから順にすぐに削除されます。

イベント データ ストアのアーカイブまたはバックアップと復元

イベント データ ストアは、標準の Security Manager データベース バックアップには付属していません。イベント データ ストアをアーカイブまたはバックアップする場合は、プライマリまたは拡張のいずれの場所でも、それぞれの作業を別々に実行する必要があります。バックアップは必要に応じて復元できます。

ここでは、イベント データ ストアのバックアップと復元に必要な手順について説明します。


ヒント Event Manager サービスをディセーブルにすると、イベントがデータ ストアに書き込まれないため、バックアップ プロセスまたは復元プロセス中に生成されたイベントが失われることになります。


ステップ 1 イベント データ ストアをバックアップするには、次の手順を実行します。

a. Security Manager クライアントで、[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [Event Management] を選択します。

b. イベント データ ストア フォルダの名前を特定します。フォルダは、[Event Data Store Location] フィールドに表示されています。デフォルトは NMSROOT ¥MDC¥eventing¥database で、NMSROOT はインストール ディレクトリ(通常は C:¥Program Files¥CSCOpx)です。

拡張データ ストアをバックアップする場合は、[Extended Data Store Location] フィールドにその場所が指定されます。

c. [Enable Event Management] チェックボックスをオフにして、Event Manager サービスを停止します。[Save] をクリックして変更を保存します。サービスを停止してもよいかどうかの確認が求められます。[Yes] をクリックし、サービスが停止したことが通知されるまで待機します。

d. Security Manager とは別に、 NMSROOT ¥MDC¥eventing¥config¥collector.properties ファイルおよびイベント データ ストア フォルダのコピーを作成します。そのコピーを別のサーバに保存して、ハードウェア障害が発生した場合にバックアップとして使用できるようにします。

拡張データ ストアもバックアップする場合は、そのフォルダもコピーします。

e. Security Manager クライアントの [Tools] > [Security Manager Administration] > [Event Management] ページで、[Enable Event Management] チェックボックスをオンにし、[Save] をクリックします。サービスを開始してもよいかどうかの確認が求められます。[Yes] をクリックし、サービスが開始したことが通知されるまで待機します。

ステップ 2 イベント データ ストアを復元するには、次の点を除き、データのバックアップに使用したときと同じプロセスを使用します。

既存のイベント データ ストアのコピーを作成するのではなく、イベント データ ストアがある場所にバックアップをコピーします。このとき、まず既存のデータを削除してから、バックアップ データをコピーすることもできます。ただし、データ ストアのサイズ制限を超えていないかぎり、バックアップ データと既存のデータを混在させることができます(データ ストアの制限は、[Tools] > [Security Manager Administration] > [Event Management] ページに設定されています)。


) 新旧のデータを混在できるは、collector.properties の既存のコピーを保持している(つまり、まだこのファイルを復元していない)場合で、かつ新旧のデータが同じサーバからのものである場合だけです。複数の異なるサーバからのデータ ストアはマージできません。


Security Manager の再インストールを必要としたハードウェア障害または他のイベントから回復している場合を除き、collector.properties は復元しないでください。


 

Event Viewer の使用方法

モニタ対象のデバイスが関与するネットワーク問題のトラブルシューティングに役立てるために Event Viewer を使用します。ビューおよびフィルタリングを使用して、問題を分析し、原因と有効な対応策を特定することに役立てます。

ここでは、次の内容について説明します。

「イベント ビューの使用方法」

「イベントのフィルタリングおよびクエリー」

「特定のイベントに対する操作の実行」

「Event Viewer からの Security Manager ポリシーの検索」

イベント ビューの使用方法

Event Viewer でイベントを表示するには、ビューを開きます。 ビュー は、フィルタおよび他のプロパティのセットです。これには、イベントのサブセットを定義できる色規則、選択したカラムとその位置および幅、ならびにデフォルトの時間枠が含まれます。ビューによってイベント リストのスコープを制限できるため、検索内容をより簡単に見つけられます。

ここでは、次の内容について説明します。

「ビューを開く」

「ビューのフローティングと配置」

「イベント テーブルの表示のカスタマイズ」

「送信元/宛先 IP アドレスとホスト オブジェクト名間の切り替え」

「ビューの色規則の設定」

「カスタム ビューの作成」

「カスタム ビューの名前または説明の編集」

「リアルタイム ビューと履歴ビュー間の切り替え」

「ビューの保存」

「カスタム ビューの削除」

ビューを開く

Event Viewer では、最大 4 つの履歴ビューと 1 つのリアルタイム ビューが開けます。ビューを開くと、Event Viewer はビュー設定および時間範囲を使用してイベント データ ストアからイベントを取得してイベント テーブルに表示します。

ビューを開いて現在アクティブで開いているビューと置き換えるには、Event Viewer で次のいずれかを実行します。

ビューのリストでビューをダブルクリックします。

ビューのリストでビューを右クリックして、[Open] を選択します。

新規タブにビューを開くには、次のいずれかを実行します。

メニュー バーで [File] > [Open View] を選択する。[Open a View] ダイアログボックスが開きます。このダイアログボックスは基本的にビューのリストと同じです。ビューを選択して、[OK] をクリックします。

ビューのリストでビューを右クリックして、[Open In New Tab] を選択する。

ビューのフローティングと配置

一度に最大 4 つの履歴ビューと 1 つのリアルタイム ビューが開けます。複数のビューを開いている場合は、Event Viewer のメイン ウィンドウの右ペインにタブ ウィンドウとして開かれています。複数のエリアがある場合は、最後に使用したエリア(「タブ グループ」)内に開かれています。ウィンドウを配置するコマンドは、次の図に示すようにビュー ウィンドウのタブを右クリックすると表示されます。

 

必要に応じてビュー ウィンドウを配置するには多くのオプションがあります。たとえば、2 つのビューを並べて比較する、またはビューを閉じずにメイン ウィンドウから削除する必要がある場合があります。

目的の表示にするために、次の方法を使用してビュー ウィンドウを配置できます。

ビューのフローティング:ビューを閉じずに Event Viewer のメイン ウィンドウからビューを削除するには、ビューのタブを右クリックして、[Floating] を選択します。ビューは独自のウィンドウに移動されます。

ビューをすでにフローティングしている場合は、[Floating to] を選択して、すでにフローティングされているウィンドウの 1 つを選択できます。ビューはそのウィンドウ内の新規タブになります。

ビューのドッキング:フローティング ビューを Event Viewer のメイン ウィンドウに戻すには、ビューのタブを右クリックして、[Docking] を選択します。

並べて比較のためにビューを水平または垂直に配置:ビューをフローティングせずに、簡単に比較できるようにビューを垂直または水平に配置するには、ビューのタブを右クリックして、[New Horizontal Group] または [New Vertical Group] を選択します。これらのコマンドは、現在のタブ付きグループを選択されたレイアウトに分割します。これらのコマンドを使用するには、少なくとも 2 つのビューが開いている必要があります。3 つ以上のビューが開いていて、ビューのすべてを別のウィンドウに開く場合は、コマンドを複数回使用する必要があります。

異なるタブ グループへのビューの移動:開いているビューがいくつかあり、ビューを水平または垂直なグループに配置している場合に、グループ間でビューを移動するには、ビューのタブを右クリックして、[Move to Next Tab Group] または [Move to Previous Tab Group] を選択します。コマンドは、このような移動が可能なようにビューが配置されている場合にだけ表示されます。

グループの方向の変更:水平と垂直間でレイアウトを切り替えるには、ビューのタブを右クリックして、[Change Tab Groups Orientation] を選択します。

イベント テーブルの表示のカスタマイズ

イベント テーブルの定義済みまたはカスタム ビューの表示を要件を満たすようにカスタマイズできます。これらの変更は、定義済みのビューでも保存できます。

イベント テーブルをカスタマイズするために、次の手順を実行できます。

一覧表示されるイベントのタイプを制限するために、カラム フィルタを作成します。フィルタを定義するには、「カラムベース フィルタの作成」で説明するとおりにカラムの見出しの下矢印を使用します。

重大度に基づいてイベントを強調表示するには、「ビューの色規則の設定」で説明するとおりに色規則を作成します。

テーブルに表示するカラムを変更するには、「イベント テーブルのカラム」で説明するとおりにテーブルの見出し行の右側にある [Column Selector] アイコンをクリックします。

カラムの幅を変更するには、カラムの見出しの右端をクリックし、目的のサイズにドラッグします。

カラムの順序を変更するには、カラムの見出しをクリックし、カラムを目的の位置にドラッグします。

カラムでイベント リストをソートするには、カラムの見出しをクリックします。カラム ソートは、昇順、降順、およびデフォルト順(イベント受信時刻順)が 3 回のクリック サイクルに基づいて実行されます。

ビュー セレクタおよび [Event Monitoring] ウィンドウの幅をデフォルト値にリセットするには、[View] > [Reset Layout] を選択します。

送信元および宛先カラムが IP アドレスまたはホスト オブジェクト名のいずれを表示するかを「送信元/宛先 IP アドレスとホスト オブジェクト名間の切り替え」で説明するとおりに変更します。

関連項目

「カスタム ビューの作成」

「ビューの保存」

送信元/宛先 IP アドレスとホスト オブジェクト名間の切り替え

送信元および宛先 IP アドレスを表示できます。または、送信元または宛先 IP アドレスに一致するオブジェクトのホスト オブジェクト名を表示できます。デフォルトでは、Event Viewer はホスト オブジェクト名がある場合にはホスト オブジェクト名を表示します。

IP アドレスからホスト名へのマッピングは、イベントの送信元および宛先だけでサポートされます。また、マッピングはホスト オブジェクトだけに適用されます。イベントの送信元または宛先がネットワーク オブジェクト、グループ オブジェクト、またはアドレス範囲オブジェクトに一致した場合は、Event Viewer ではオブジェクト名が表示されません。

オブジェクトのタイプおよび内容を明らかにします。たとえば、この機能は、ホスト タイプがネットワーク/ホスト オブジェクトの場合だけに対する機能か、つまり、オブジェクトの単一値のホスト バージョンかを明らかにします。単一値のグループ オブジェクトに対して、またはネットワークもしくは範囲オブジェクトに対して機能するかを明らかにします。

送信元/宛先 IP アドレスとホスト オブジェクト名間で切り替えるには、次の手順を実行します。

送信元または宛先 IP アドレスに一致するオブジェクトのホスト オブジェクト名を表示するには、[View] > [Show Network Host Objects] を選択します。このオプションは、デフォルトで選択されます。


ヒント そのオブジェクトに関連付けられた IP アドレスを表示するには、ホスト オブジェクト名にマウス オーバーします。


) IP アドレスからホスト オブジェクト名へのキャッシュは、Event Viewer の起動時に作成されます。新規ホスト オブジェクトを定義した場合は、これらの変更をデータベースに送信し、次に Event Viewer を閉じて再起動してこれらのマッピングが使用されるようにする必要があります。


送信元および宛先カラム内に IP アドレスを表示するには、[View] > [Show Network Host Objects] の選択を解除します。

ビューの色規則の設定

色規則を使用して、イベント テーブル内に表示されるイベントをイベントの重大度に基づいて色分けできます。色分けを使用すると、最も必要なイベントの識別が簡単にできます。

色規則を編集して、選択的に色規則をイネーブルおよびディセーブルにできます。これにより、色規則を削除せずにオンおよびオフにできます。


ヒント 色規則は、定義済みビューとカスタム ビューの両方に対して設定できます。ただし、色規則はビュー間で共有できません。すべての色規則は、ビューに一意です。同じ規則を複数のビューに適用する場合は、各ビューで規則を再作成する必要があります。

色規則を定義し、イネーブルにするには、次の手順を実行します。


ステップ 1 色規則を定義するビューを開きます(「ビューを開く」を参照)。

ステップ 2 [View Settings] ペインで [Color Rules] タブをクリックします(「[Event Monitoring] ウィンドウ」を参照)。

ステップ 3 次のいずれかを実行します。

新規規則を追加するには、[Add] ボタンをクリックします。[Add Color Rule] ダイアログボックスで次のとおり規則を設定します。

[Enable] を選択して規則をアクティブにします。

[Severity] リストで規則を適用する重大度レベルを選択します。

[Foreground](テキストの色)、[Background]、および [Font Type](太字またはイタリック体)コントロールを使用して、テーブル内での重大度の表示方法を定義します。[Preview Text] エリアには、規則がどのように表示されるかが示されます。

規則を編集するには、規則を選択し、[Edit] ボタンをクリックします。

規則を削除するには、規則を選択し、[Delete] ボタンをクリックします。


 

カスタム ビューの作成

カスタム ビューは、ビュー設定でフィルタを定義するビューです。カスタム ビューを使用すると、モニタリングおよび分析のためにエリアを正確に特定するようにフィルタ規則を設定できます。カスタム ビューはプライベートなものであり、ユーザ間で共有できません。

カスタム ビューの作成には、最初からビューを作成、または既存のビューから作成の 2 つの方法があります。

定義済みカラム フィルタのないカスタム ビューを作成するには、次のいずれかを実行します。

メニュー バーで [File] > [New View] を選択する。

ビューのリストの上の [New] ボタンをクリックする。

次に、ビューの名前および任意でビューの説明を入力して、[OK] をクリックします。ビューは、ビューのリストの [My Views] フォルダに追加されます。

既存のビューに基づいてカスタム ビューを作成するには、次のいずれかを実行します。

もとにする目的のビューを開いて、イベント テーブル ツールバーの [Save] ボタンの下矢印をクリックして、[Save As] を選択、またはメニュー バーで [File] > [Save As] を選択します。

ビューのリストでもとにする目的のビューを右クリックして、[Save As] を選択します。

次に、ビューの名前および任意でビューの説明を入力して、[OK] をクリックします。ビューは、ビューのリストの [My Views] フォルダに追加されます。新規ビューは、もとにするビューと同じフィルタを持ちます。


) ビュー名は、最大 128 文字で、英数字、スペース、ハイフン(-)、アンダースコア(_)、プラス記号(+)、ピリオド、およびアンド記号(&)を使用できます。説明には、最大 1024 文字を使用できます。


新規ビューを作成したら、既存のビューと同じ方法でそのビューをカスタマイズできます。

ビュー設定でフィルタを定義します。「カラムベース フィルタの作成」を参照してください。

ビュー設定で色規則を定義します。「ビューの色規則の設定」を参照してください。

イベント テーブルで表示するカラムを選択します。「イベント テーブルのカラム」を参照してください。

イベント テーブルの表示をカスタマイズします。「イベント テーブルの表示のカスタマイズ」を参照してください。

関連項目

「ビューとフィルタ」

「イベント テーブル ツールバー」

「カスタム ビューの名前または説明の編集」

「カスタム ビューの削除」

カスタム ビューの名前または説明の編集

カスタム ビューの名前、またはカスタム ビューの説明を変更するには、次のいずれかを実行します。

ビューのリストでカスタム ビューを選択して、リストの上にある [Edit] ボタンをクリックします。

ビューのリストでカスタム ビューを右クリックして、[Edit] を選択します。

次に、カスタム ビューの名前または説明に目的の変更をして、[OK] をクリックします。


) ビュー名は、最大 128 文字で、英数字、スペース、ハイフン(-)、アンダースコア(_)、プラス記号(+)、ピリオド、およびアンド記号(&)を使用できます。説明には、最大 1024 文字を使用できます。


定義済みのビューの名前または説明は変更できません。

リアルタイム ビューと履歴ビュー間の切り替え

リアルタイムまたは履歴期間のいずれかを使用する任意のビューに対してイベント テーブルを更新できます。リアルタイム ビューには、受信した状態のままのイベントが表示されます。一方、履歴ビューには、イベント テーブル ツールバーの [Start] ボタンをクリックするまで更新されないイベントのスタティック リストが表示されます。

開いているビューで、リアルタイムと履歴期間の間を切り替えるには、次の手順を実行します。

リアルタイムでイベントを表示するには、[View] > [Mode] > [Real Time] を選択、またはイベント テーブル ツールバーの [Time Selector] コントロールをクリックして、[Real Time] を選択します。ツールバーのコントロールの場所を見つけるには、「イベント テーブル ツールバー」を参照します。

履歴期間のイベントを表示するには、[View] > [Mode] メニューから、またはイベント テーブル ツールバーの [Time Selector] コントロールから目的のタイム フレームを選択します。[Real Time] 以外のオプションすべてが履歴ビューです。詳細については、「イベントの時間範囲の選択」を参照してください。

ビューの保存

ビューの設定を編集した場合は、変更が持続するように設定を保存する必要があります。ビューを保存すると、フィルタ(カスタム ビューの場合のみ)、選択したカラム、カラム幅、およびソート順序などのテーブル プリファレンス、時間範囲、および色規則の変更が保存されます。定義済みのビューのフィルタを変更する場合は、[Save As] を使用して新規カスタム ビューを作成する必要があります。

ビューの変更を保存するには、Event Viewer で次のいずれかを実行します。

メニュー バーから [File] > [Save] を選択する。

イベント テーブル ツールバーで [Save] ボタンをクリックする。

変更の保存を確認するように求められます。

新規カスタム ビューとして変更を保存するには、次のいずれかを実行して [Save View As] ダイアログボックスを開きます。

メニュー バーから [File] > [Save As] を選択する。

イベント テーブル ツールバーの [Save] ボタンの下矢印をクリックして、[Save As] を選択する。

ビューのリストでビューを右クリックして、[Save As] を選択する。

次に、ビューの名前および任意でビューの説明を入力して、[OK] をクリックします。ビューは、ビューのリストの [My Views] フォルダに追加されます。


) ビュー名は、最大 128 文字で、英数字、スペース、ハイフン(-)、アンダースコア(_)、プラス記号(+)、ピリオド、およびアンド記号(&)を使用できます。説明には、最大 1024 文字を使用できます。


カスタム ビューの削除

カスタム ビューは削除できますが、定義済みのビューは削除できません。カスタム ビューを削除するには、次のいずれかを実行します。

ビューのリストでカスタム ビューを選択して、リストの上にある [Delete](ゴミ箱)ボタンをクリックします。

ビューのリストでカスタム ビューを右クリックして、[Delete] を選択します。

削除の確認が求められます。

イベントのフィルタリングおよびクエリー

イベント テーブルに表示されるイベントのフィルタリングには多くのオプションがあります。適切な時間範囲を選択する、特定のカラムの要素をフィルタリングする、またはテキスト文字列を検索することによってもイベントのリストを絞り込めます。

ここでは、次の内容について説明します。

「イベントの時間範囲の選択」

「フィルタリングと時間スライダの使用方法」

「イベント テーブルのリフレッシュ」

「カラムベース フィルタの作成」

「特定のイベントの値に基づいたフィルタリング」

「テキスト文字列に対するフィルタリング」

「フィルタのクリア」

イベントの時間範囲の選択

イベント テーブル ツールバーの [Time Selector] コントロール、またはそれに相当する [View] > [Mode] コマンドを使用して、イベントを表示するための時間範囲を選択します。イベント テーブルには、選択した時間範囲内に発生したイベントだけが一覧表示されます。ツールバーの [Time Selector] コントロールの場所を見つけるには、「イベント テーブル ツールバー」を参照します。


ヒント 履歴ビューの場合、時間はワークステーションに設定された時間ではなく、サーバの時間に基づいています。

時間範囲を変更すると、選択した範囲内のイベントを表示するようにイベント テーブルがリロードされます。履歴ビューの場合、[Start] をクリックして、または「イベント テーブルのリフレッシュ」で説明したその他のアクションを実行して、イベント リストをリフレッシュできます。

時間範囲のオプションは、次のとおりです。

現在時刻から過去にさかのぼってイベントを表示するには、次のいずれかの期間を選択します。[last 10 minutes]、[last 1 hour]、[last 12 hours]、[last 1 day]、または [last 1 week] です。

今日または昨日のイベントを表示するには、必要に応じて [today] または [yesterday] を選択します。

特定の日のイベントを表示するには、[is on] を選択し、表示されたカレンダーからその日付を選択します。

特定の日付と時刻の範囲のイベントを表示するには、[is between] を選択し、表示されたカレンダーから範囲の最初および最後の日付と時刻を選択します。

リアルタイム イベントを表示するには、[Real Time] を選択します。

フィルタリングと時間スライダの使用方法

時間スライダの垂直スライダ コントロールを使用すると、イベント テーブルに表示されるイベントの開始時刻を変更できます。これは、イベントの場所を特定し、そのおおよその発生時刻を確認するときに特に便利です。

時間スライダの操作の詳細については、「時間スライダ」を参照してください。

時間スライダを使用してフィルタリングを使いやすくするには、次の手順を実行します。


ステップ 1 履歴ビューを開く、またはツールバーの [Time Selector] を使用する、または [View] > [Mode] コマンドを使用して、[Last 10 Minutes] など適切な時間範囲を選択します。詳細については、「イベントの時間範囲の選択」を参照してください。

ステップ 2 調査するイベントのおおよその時刻に垂直スライダを移動します。

イベント テーブルがリロードされて、垂直スライダで指定した時刻とそれ以前に発生したイベントが表示されます。この時間範囲は時間スライダで共有され、選択した時間の長さは [Time Selector] で選択した時間の長さに基づきます(たとえば、[Last 10 Minute] ビューの場合は 10 分間。または、[is between] ビューに選択した時間と同じ長さ)。時間範囲は [Time Selector] コントロールに、たとえば次のように示されます。

 

ステップ 3 これで、イベントの場所を特定するために、次のいずれかを実行できます。

カスタム カラム フィルタを適用します。「カラムベース フィルタの作成」を参照してください。

テキスト文字列を検索するには、クイック フィルタを使用します。「テキスト文字列に対するフィルタリング」を参照してください。

イベント テーブルをスクロールするか、またはイベント テーブルのページを切り替えます。

時間スライダのページ コントロールを使用して、時間範囲を前方または後方にリセットします。詳細については、「時間スライダ」を参照してください。


) 時間スライダでページを切り替えるときに前方または後方に移動する距離は、設定されているモード(時間範囲)またはイベント テーブルが保持できるイベントの数によって決まります。垂直スライダの位置は、イベント テーブルにロードされた最新のイベントを示します。



 

イベント テーブルのリフレッシュ

[last 10 minutes] など履歴モードを使用している場合、表示される最新のイベントは時間範囲を選択した時刻またはビューを開いた時刻に対応しています。同様に、リアルタイム モードを使用していて [Stop] をクリックした場合、イベント テーブルにはイベント ストリームを停止したあとに到着したイベントは含まれません。

イベント テーブルに一覧表示されたイベントをリフレッシュして、現在の選択された時間範囲のイベントにするには、次のいずれかを実行します。

ツールバーの [Start] をクリックする、または [View] > [Start] を選択します。イベント テーブルは、現在の選択された時間範囲に基づいてリフレッシュされます。リアルタイム ビューの場合は、イベント ストリームが再開します。

ツールバーの [Time Selector]、または [View] > [Mode] コマンドを使用して、異なる時間範囲を選択します。

イベント テーブルの下にある時間スライダの垂直スライダまたは改ページ コントロールを使用して、異なる時間のスライスを選択します。これらのコントロールの使用の詳細については、「時間スライダ」を参照してください。

カラムベース フィルタの作成

Event Viewer で特定のカラムの内容に基づいてイベント テーブルをフィルタリングできます。カラム フィルタは、ビュー設定に含まれているフィルタのタイプで、ビューの基本的内容を定義します。カラム フィルタを適用するたびに、新しく選択されたフィルタが含まれるようにビューに対するビュー設定が更新されます。新規フィルタをビュー定義の一部として持続させるには、ビューを閉じる前に保存する必要があります。

カラム フィルタを定義するには、次のとおり多くの方法があります。

[View Settings] ペインで [Add] ボタンをクリックします。まず、フィルタのもとにするカラムの選択を求められます。[OK] をクリックすると、フィルタの作成を求められます。

[View Settings] ペインでフィルタを選択して、[Edit] ボタンをクリックしてフィルタを変更します。

イベント テーブルでカラムの見出しの下矢印ボタンをクリックして、ドロップダウン リストから次のいずれかを選択します。

特定のエントリ。ドロップダウン リストには、テーブルに一覧表示されたイベントに現在表示されているすべての値が含まれています。

[(All)]。このカラムからフィルタを削除するには、[(All)] を選択します。イベント テーブルは、他のフィルタ基準を満たすイベントを表示するように更新されます。

[(Custom)]。複数の値もしくは負の値を持つ場合がある、または現在のイベント テーブルのカラムに現在は含まれていないデータに基づく場合があるフィルタを作成するには、[(Custom)] を選択します。[(Custom)] を選択することは、[View Settings] ペインで直接フィルタを作成することと基本的に同じです。

イベント テーブルで値を右クリックして、[Filter This Value] を選択します。このアクションは、ドロップダウン リストからカラムに対して値を選択することと同じ結果になります。

このほか、[Filter Not This Value] を選択して、値を除外するフィルタを作成できます。

イベント テーブルで値を右クリックして、[Create Filter from Event] を選択します。含める特定のカラムを選択するように求められます。右クリックしたカラムは当初は選択されていますが、選択を解除できます。

次の手順では、カラムのドロップダウン リストから単純に値を選択するのではない、カスタム カラムベース フィルタを構築する方法を説明します。

ヒント

カラム フィルタは累積的です。ビューのイベント テーブルにイベントが表示されるには、そのイベントがすべてのカラム フィルタ基準を満たす必要があります。論理和を取ったカラム フィルタのセットは作成できません。

カラムによっては、ネットワーク/ホストまたはサービス ポリシー オブジェクトを選択してフィルタ基準を定義できます。ポリシー オブジェクトを選択すると、フィルタを簡素化できます。ただし、フィルタでポリシー オブジェクトが選択できるようにするには、オブジェクトがデータベースにコミットされている必要があります。フィルタリング目的で新規オブジェクトを作成する場合は、Event Viewer でフィルタ作成を試みる前に、変更を Configuration Manager に必ず送信します(また、Workflow モードをアプルーバで使用している場合は、変更を承認します)。

ポリシー オブジェクトの使用中は、デバイスレベルのオーバーライドがオブジェクトに対して定義されているかどうかがフィルタリングによって認識されます。たとえば、10.10.10.10 を含むネットワーク/ホスト オブジェクトを使用し、デバイス A がアドレスを 10.10.10.12 に変更するオーバーライドを保持している場合は、デバイス A からのイベントはイベントが 10.10.10.12 と一致する場合にだけリストに表示されます。オーバーライドを保持しないデバイスの場合は、イベントは 10.10.10.10 と一致する必要があります。さらに、デバイス A が 10.10.10.10 と一致するイベントを保持している場合は、イベントがデバイスレベルのオーバーライドと一致しないため、イベントは一覧表示されません。つまり、ポリシー オブジェクトを使用するとデバイスごとに異なる結果となるため、ポリシー定義により厳密に一致することになります。

組織がユーザ アクセスの制御に ACS を使用している場合は、ネットワーク/ホスト、ネットワーク/ホスト -IPv6、およびサービス オブジェクトをフィルタで使用するために適切なオブジェクトの表示権限を持っている必要があります。

すべてではありませんが、ほとんどのカラムの内容に対してフィルタリングできます。カラムに下矢印がない場合は、そのカラムに対してはフィルタリングできません。たとえば、[Description]、[Event Name]、[Generation Time]、または [Receive Time] に対してはフィルタリングできません。

フィルタ アイコン(じょうご)はフィルタリングされたカラムの見出しに表示されます。

使用可能なカラムの詳細については、「イベント テーブルのカラム」を参照してください。


ステップ 1 次のいずれかを実行します。

[View Settings] ペインで [Add] ボタンをクリックします。[Add Custom Filter to a Column] ダイアログボックスが開きます。フィルタのもとにするカラムを選択して、[OK] をクリックします。

[View Settings] ペインで変更するフィルタを選択して、[Edit] ボタンをクリックします。

ドロップダウン リストからカラムに対して [(Custom)] を選択します。

目的のカラムの任意のセルを右クリックして、[Custom Filter] を選択します。

選択したカラムに対して [Custom Filter] ダイアログボックスが開きます。

ステップ 2 [Custom Filter] ダイアログボックスで目的の値を選択します。次の図に、[Source] カラムに対するこのダイアログボックスの一般的な例を示します。

 

次に、[Custom Filter] ダイアログボックスに表示される可能性のあるコントロールについて説明します。すべてのカラムに対してすべてのコントロールが表示されるわけではありません。

[Available Items] と [Selected Items] のリスト:ほとんどの場合、項目を選択するには、使用可能な値が含まれる左側のリストで項目を強調表示してから、右矢印をクリックして選択された値のリストに移動します。複数の値を選択できます。右側のリストはフィルタリングする値を定義します。

使用可能な値のカラムに一覧表示される項目は、イベント テーブルに一覧表示されたイベントに現在表示されている値によって決定されます。アドレスおよびサービス フィールドの場合は、ポリシー オブジェクトもリストに含まれます。使用可能な値がたくさんある場合は、リストの上にある編集ボックスに目的の値を入力して検索できます。入力するとリストがフィルタリングされます。Q の横にある下矢印をクリックして、一致する検索文字列の評価方法を変更します。

次の方法を使用して、値の選択または選択解除をすることもできます。

選択された値のリストの上にある編集ボックスに項目を入力して、+ ボタンをクリックします。この方法は、使用可能な値が多数ある場合、または現在のイベント リストにない値に対してフィルタリングする場合に役立ちます。

他方のリストに移動する、一方のリストの項目をダブルクリックします。

選択に関係なく、すべての項目を移動するには、二重矢印のボタンをクリックします。


) 限られた場合ですが、[Custom Filter] ダイアログボックスに単一のリストが含まれる場合があります。たとえば、[Event Type ID] および [Device] カラムに対する [Custom Filter] ダイアログボックスには単一のセレクタが含まれます。この場合、項目の隣にあるチェックボックスを使用して選択します。フォルダを選択すると、フォルダ内のすべての項目が選択されます。


[Filter on IPv6 Addresses]:アドレスを含むカラムの場合、このオプションを使用して、使用可能な値のカラムの IPv4 および IPv6 アドレスならびにネットワーク/ホスト オブジェクトを切り替えて一覧表示します。単一のビュー内では、IPv4 アドレスまたは IPv6 アドレスのいずれかに対してフィルタリングできますが、両方に対してはできません。

[Condition]、[Not]:選択された項目に適用する条件を定義します。通常は、[is in] です。

ネガティブ条件を作成して、選択された値で定義されるイベントをイベント テーブルに含めないようにするには、[Not] オプションを選択します。

ステップ 3 [OK] をクリックします。

ビュー設定は、新規フィルタが含まれるように更新されます。また、イベント テーブルは、すべてのフィルタを満たすイベントだけを表示するように更新されます。


 

特定のイベントの値に基づいたフィルタリング

イベント内に含まれる情報、またはイベント内の単一のセルに基づいて新規にフィルタを作成できます。そのためには、右クリックしてフィルタ コマンドを選択します。フィルタ コマンドを使用してフィルタリングする場合、カラム フィルタがビュー設定に追加されます。次の手順を実行できます。

選択したイベントの複数の値に基づいてフィルタを作成するには、[Create Filter from Event] を選択し、ダイアログボックスからフィルタリングする値を選択します。ダイアログボックスには、テーブルに表示されたカラムだけが一覧表示されます。現在の値はカッコで囲まれて表示されます。カラムの説明については、「イベント テーブルのカラム」を参照してください。

セルの値だけに対してフィルタリングするには、セルを右クリックして、[Filter This Value] を選択します。

セルの値を除外するようにフィルタリングするには、セルを右クリックして、[Filter Not this Value] を選択します。すべての空のセルを含む、このカラムの選択された値を含まないすべてのイベントがテーブルに表示されます。

送信元、送信元サービス、宛先、および宛先サービスに基づいて、選択したイベントのフローに対してフィルタリングするには、[Filter This Flow] を選択します。

テキスト文字列に対するフィルタリング

イベント内のテキスト文字列を検索するには、クイック フィルタを使用します。検索キーワードを入力すると、イベント テーブルから一致しないイベントが自動的に除外されます。すべてのカラムを検索できます(デフォルト)。または特定のカラムを選択して検索できます。

次の図に、イベント テーブル ツールバーの右側にあるクイック フィルタを示します(「イベント テーブル ツールバー」を参照)。

 

検索を実行するには、単に検索文字列を入力します。文字列の評価方法を変更するには、編集ボックスの左側の [Q](虫眼鏡)の隣にある下矢印をクリックします。次のコントロールを使用して、検索スコープを制限できます。

カラム名:特定のカラムを選択して、そのカラム内だけを検索します。テーブルに現在表示されているすべてのカラムがリストに含まれています。デフォルトでは、すべてのカラムを検索します。

大文字と小文字の区別:一致の選択時に大文字を考慮するかどうかを制御するには、[Case sensitive] または [Case insensitive] を選択します。デフォルトでは、大文字と小文字の区別なしです。

ワイルド カードの使用:次の文字をワイルド カードとして評価するには、[Use Wild Cards] を選択します。

*(アスタリスク):0 文字以上と一致します。

?(疑問符):1 文字と一致します。

一致方法:セル内で検索文字列が存在する場所を指定するために、次から 1 つを選択します。

[Match from start]:文字列は、セルの先頭にある必要があります。

[Match exactly]:セルには、すべての検索文字列、かつ検索文字列だけが含まれている必要があります。

[Match anywhere]:文字列は、セル内の任意の場所に存在できます。

検索文字列を削除するには、単にクイック フィルタ編集ボックスから検索文字列を削除します。

たとえば、tcp/48 で始まるポートに関連するイベントを検索するには、 tcp/48 をクイック フィルタに入力します。次の図で、6 つを除いてすべてのイベントがフィルタリングによってテーブルから除外されたことに注意してください。この例では、検索文字列は、最初の 5 つのイベントでは [Source Service] カラムで見つかりましたが、6 番めのイベントでは [Destination Service] カラムで見つかりました。宛先サービスだけが重要なことが事前にわかっている場合は、クイック フィルタ ドロップダウン リストから [Destination Service] を選択すると、テーブルに最後のイベントだけが表示されます。

 

フィルタのクリア

イベント テーブルにフィルタを適用すると、一致しないイベントは表示されません。一致しないイベントを表示する必要がある場合があります。この場合、異なるフィルタ(またはフィルタなし)を適用する異なるビューを開くか、現在のビューからフィルタをクリアします。

フィルタをクリアすると、フィルタ定義がビュー設定から削除されますが、変更は [Save] をクリックするまで持続されません。したがって、ビュー設定を再定義せずに、フィルタを一時的に削除できます。

フィルタを一度に 1 つずつ、またはすべてのフィルタをクリアできます。

単一のフィルタをクリアするには、次のいずれかを実行します。

[View Settings] ペインでフィルタを選択して、[Delete] をクリックします。

フィルタリングされたカラムのドロップダウン リストから [(All)] を選択します。

フィルタリングされたカラムを右クリックして、[Clear This Filter] を選択します。

すべてのフィルタをクリアするには、イベント テーブル内で右クリックして、[Clear All Filters] を選択します。

特定のイベントに対する操作の実行

イベント テーブル内の単一のイベントに対して、次のような操作をさまざまな方法で実行できます。

右クリック :イベント テーブルの単一のイベントを右クリックすると、そのイベントで使用できるコマンドを含むコンテキスト メニューが開きます。右クリック メニューから実行可能な操作の詳細については、次の項を参照してください。

「イベント コンテキスト(右クリック)メニュー」

「単一のイベントの詳細の参照」

「イベント レコードのコピー」

「ファイルへのイベントの保存」

「特定のイベントの値に基づいたフィルタリング」

イベントの選択 :イベント テーブルの単一のイベントをクリックすると、そのイベントが強調表示され、[Event Details] ペインにその特定のイベントの詳細が表示されます。さらに別のイベントを選択するには Ctrl キーを押した状態で選択し、ある範囲のイベントを選択するには Shift キーを押した状態で選択します。

イベントのダブルクリック :イベント テーブルの単一のイベントをダブルクリックすると、[Event Details] ダイアログボックスが開き、読みやすい形式でイベント情報が表示されます。[Event Details] ダイアログボックスでは、表示された詳細を印刷できます。または、詳細の一部またはすべてを他のプログラムに貼り付けるためにクリップボードにコピーできます。[Next] および [Previous] ボタンを使用してイベント テーブルに一覧表示されたイベント全体をスクロールできます。属性の意味の詳細については、「イベント テーブルのカラム」を参照してください。

または、イベントを右クリックし、[Show All Details] を選択して [Event Details] ダイアログボックスを開くこともできます。

イベント コンテキスト(右クリック)メニュー

イベント テーブルのイベントを右クリックすると、コンテキスト メニューが表示され、選択したイベントに使用できるコマンドが提供されます。使用可能なコマンドの特定のリストは、右クリックしたイベントのタイプおよび特定のセルによって異なります。次の表に、使用可能なコマンドすべてについて説明します。

 

表 63-9 イベント コンテキスト メニュー

コマンド
説明

[Clear This Filter]

このカラムに定義されたフィルタを削除します。このコマンドが使用できるのは、フィルタリングされたカラムのセルを右クリックした場合だけです。

フィルタはビュー設定から削除されます。変更を持続させるには、ビューを保存する必要があります。

[Clear All Filters]

ビュー設定からすべてのフィルタを削除します。このコマンドが使用できるのは、少なくとも 1 つのカラム フィルタがある場合だけです。

変更を持続させるには、ビューを保存する必要があります。

[Filter This Value]

[Filter Not This Value]

右クリックしたセルの値に基づいてカラム フィルタを作成します。値に基づいて、ポジティブまたはネガティブ フィルタを作成できます。

ビュー設定は新規フィルタで更新されて、このカラムの既存のフィルタがあればそのフィルタと置き換えられます。変更を持続させるには、ビューを保存する必要があります。

[Create Filter from Event]

選択したイベントの値に基づいて一連のカラム フィルタを作成します。含める特定のカラムを選択するように求められます。右クリックしたカラムは当初は選択されていますが、選択を解除できます。

ビュー設定は新規フィルタで更新されて、選択したカラムの既存のカラム フィルタはすべて置き換えられます。変更を確定させるには、ビューを保存する必要があります。

[Custom Filter]

「カラムベース フィルタの作成」で説明するとおりに、カスタム カラム フィルタを作成します。

ビュー設定は新規フィルタで更新されて、選択したカラムの既存のフィルタはすべて置き換えられます。変更を確定させるには、ビューを保存する必要があります。

[Filter This Flow]

特定のトラフィック フローに関連するイベントを示すカラムベース フィルタのセットを作成します。フィルタリングされるカラムは、送信元および送信元サービス、ならびに宛先および宛先サービスです。

ビュー設定は新規フィルタで更新されて、選択したカラムの既存のフィルタはすべて置き換えられます。変更を確定させるには、ビューを保存する必要があります。

[Show IPLogs]

外部パケットアナライザ ツールを使用して、IPS アラート イベントに対して IP ログを開きます。パケット アナライザがインストールされていて、*.pcap ファイル拡張子に関連付けられている必要があります。

[Show All Details]

イベントに対する [Event Details] ダイアログボックスが開き、読みやすい形式ですべてのイベント情報が表示されます。詳細を印刷またはクリップボードにコピーすることもできます。

この詳細は、イベント テーブルの下の [Event Details] ペインに表示される詳細と同じです。

コピー コマンド

次のコマンドを使用して、イベント データをクリップボードにコピーできます。その後、データを使用するためにスプレッドシートまたは他のプログラムに貼り付けられます。詳細については、「イベント レコードのコピー」を参照してください。

[Copy Cell]:右クリックしたセルの内容をクリップボードにコピーします。

[Copy Selected Events]:すべての選択された(強調表示された)イベントの内容をクリップボードにコピーします。

[Copy All Events]:すべての一覧表示されたイベントの内容をクリップボードにコピーします。

このコマンドは、イベント テーブルを管理可能な数のイベントにフィルタリングした場合にだけ役立ちます。

[Save Selected Events as HTML]

[Save All Events as HTML]

[Save Selected Events as CSV]

[Save All Events as CSV]

イベント テーブルに一覧表示されたすべてのイベント、またはすべての選択された(強調表示された)イベントをワークステーションの HTML または Comma-Separated Values(CSV; カンマ区切り値)ファイルに保存します。エクスポート ファイルのフォルダ選択およびファイル名の入力を求められます。

詳細については、「ファイルへのイベントの保存」を参照してください。

[Go To Policy]

Configuration Manager のデバイスのポリシー設定でこのイベントを生成したポリシーを検索します。このコマンドは、[Event Name] セルに双眼鏡アイコンが表示されるイベントに対してだけ使用できます。詳細については、「Event Viewer からの Security Manager ポリシーの検索」を参照してください。

[Packet Capture]

パケット キャプチャ ツールが開き、デバイス上でのパケット キャプチャに対する条件が定義できます。

[Ping and TraceRoute]

ping、TraceRoute、および NS ルックアップ ツールが開き、これらのアプリケーションをイベントの送信元デバイスで使用できます。

単一のイベントの詳細の参照

各イベントには、多くの別々のフィールドに特定の情報が多数含まれています。通常、これらのフィールドのサブセットはイベント テーブルに表示します。イベントの全詳細を表示する必要がある場合は、次のいずれかを使用します。

[Event Details] ペイン:イベントを選択して、イベント テーブルの下にある [Event Details] ペインを開きます。このペインを開くには、[Event Details] タイトル行の任意の場所をクリックする、またはメニューから [View] > [Show Event Details] を選択します。[Event Details] ペインでは、情報がタブに整理されます。このペインの詳細については、「[Event Details] ペイン」を参照してください。

[Event Details] ダイアログボックス:このダイアログボックスを開くには、イベントをダブルクリックするか、イベントを右クリックして、[Show All Details] を選択します。情報は、フラットなリストで表示され、[Event Details] ペインの [Details] タブに表示される情報が示されます。属性の意味の詳細については、「イベント テーブルのカラム」を参照してください。

[Event Details] ダイアログボックスには、次のコントロールが含まれています。

[Print] ボタン:情報を印刷するには、このボタンをクリックします。プリンタを選択するプロンプトが表示されます。

[Copy] ボタン:このボタンの下矢印をクリックして、[All Rows] または [Selected Rows] を選択します。情報がクリップボードにコピーされます。情報は別のアプリケーションに貼り付けられます。テーブルで少なくとも 1 行を選択した場合にだけ、[Selected Rows] コマンドが機能することに注意してください。

[Next]、[Previous] ボタン:イベント テーブルに現在表示されているイベント全体をスクロールするには、このボタンをクリックします。[Next] で上に、[Previous] で下にテーブル内を移動します。

イベント レコードのコピー

単一のイベント、複数のイベント、すべてのイベント、さらに単一のセルの内容をクリップボードにコピーできます。その後、スプレッドシートや電子メール メッセージなどの別のアプリケーションに情報を貼り付けられます。

イベント テーブルで次の手順を実行できます。

選択したイベントのコピー :1 つ以上の選択したイベントをコピーするには、イベント テーブル内で右クリックして、[Copy Selected Events] を選択します。いずれのイベントを右クリックするかは重要ではありません。テーブル内で選択された(強調表示された)イベントがコピーされます。

イベントをクリックして選択します。さらに別のイベントを選択するには Ctrl キーを押した状態で選択し、ある範囲のイベントを選択するには Shift キーを押した状態で選択します。

単一のセルの内容のコピー :1 つのイベント内の単一のセルの内容をコピーするには、セルを右クリックして、[Copy Cell] を選択します。テーブル内で複数のイベントが選択されている場合は、セルの内容をコピーできません。

すべてのイベントのコピー :イベント テーブルに表示されているすべてのイベントをコピーするには、テーブル内の任意の場所で右クリックして、[Copy All Events] を選択します。

ファイルへのイベントの保存

イベントをクリップボードにコピーして別のアプリケーションに貼り付ける代わりに、イベントを HTML または Comma-Separated Values(CSV; カンマ区切り値)ファイルに直接保存できます。HTML ファイルは情報を表示する場合に便利です。一方で、CSV ファイルはスプレッドシート アプリケーションで開いて詳細分析およびレポート生成に使用できます。

イベント データを保存すると、フォルダの選択およびファイル名の入力を求められます。

イベント テーブルで次の手順を実行できます。

選択したイベントの保存 :1 つ以上の選択したイベントを保存するには、イベント テーブル内で右クリックして、[Save Selected Events as HTML] または [Save Selected Events as CSV] のいずれかを選択します。いずれのイベントを右クリックするかは重要ではありません。テーブル内で選択された(強調表示された)イベントが保存されます。

イベントをクリックして選択します。さらに別のイベントを選択するには Ctrl キーを押した状態で選択し、ある範囲のイベントを選択するには Shift キーを押した状態で選択します。

すべてのイベントの保存 :イベント テーブルに表示されているすべてのイベントを保存するには、テーブル内の任意の場所で右クリックして、[Save All Events as HTML] または [Save All Events as CSV] のいずれかを選択します。

Event Viewer からの Security Manager ポリシーの検索

Event Viewer では、イベントが IPS シグニチャ ポリシーまたは明示的なアクセス規則に関連する特定のアクション(アクセスの拒否など)から生成されたものである場合、そのイベント自体から関連するシグニチャまたはアクセス規則を迅速に特定できます。

ポリシー検索を実行する主な理由は、ポリシーが生成しているイベントに基づいてポリシーを調整することです。たとえば、アクセス規則により、実際には許可すべきトラフィックがドロップされることがあります。イベントが表示中であるため、そのイベントを発生させているポリシーがあることがわかります。数回のクリックで、そのイベントから再設定する必要があるポリシーにたどり着くことができます。

次のタイプのイベントからポリシーを検索できます。

ファイアウォール イベント:次の syslog メッセージのポリシーを検索できます。

106023:IP パケットの拒否。

106100:ACL による許可/拒否。

302013:TCP の確立(TCP セッションの開始)。

302015:UDP の確立(UDP セッションの開始)。

IPS アラート イベント:有効なシグニチャ識別子およびサブシグニチャ識別子が設定されているすべての IPS イベント。

ヒント

IPv6 アドレスを含むイベントではファイアウォール ポリシーを検索できません。ただし、IPv6 アドレスの IPS ポリシーは検索できます。

syslog 106023 イベントおよび 106100 イベントからポリシー検索を正常に完了するには、ハッシュ コードが必要です。このようなハッシュ コードは、Security Manager を使用して設定を展開した場合にだけ使用できます。ポリシー検索が失敗した場合は、設定を(デバイスまたはファイルに)展開してから、ポリシー検索を再度試してみてください。

フィルタをデバイスのポリシー テーブルに適用し、イベントを生成した規則またはシグニチャが現在のビューからフィルタリングされている場合、Security Manager ではそのイベントを強調表示できません。フィルタをクリアしてからやり直してください。

アクセス規則の最後に配置された暗黙の deny any など、イベントが暗黙の規則によって生成された場合、Security Manager ではその規則を強調表示できません。アクセス リストの最後に明示的な deny any 規則を作成するようにすると効果的です。

ターゲット ポリシーは、デバイスが共有ポリシーを使用している場合も含め、常にデバイス ビューにあります。必要に応じてデバイス ビューを開いてポリシーを強調表示します。

IPS シグニチャの場合、そのシグニチャがデフォルト シグニチャである場合には編集できないことがあります。

アクセス規則の場合、選択した規則がイベントの最適な一致となります。規則に重複する部分があったり、規則が冗長であったりすると、複数の規則が同じイベントを生成することがあります。このような場合、選択した規則を編集しても、後続の規則で同じアクションが実行される可能性があるため、イベントが完全には削除されないことがあります。アクセス規則ツールを使用して、重複する規則を分析し、結合します。

アクセス規則の場合、セッション確立中に複数の規則がパケットを許可することがありますが、最初の規則だけが強調表示されます。

組織がアクセスの制御に ACS を使用している場合、ポリシー検索を実行するためには、デバイスに対するデバイスの表示権限、およびファイアウォールまたは IPS ポリシーに対する表示権限も持っている必要があります。ユーザがすべての権限を持っていない場合は、一致規則の検索を試みたときに「Unable to Find Matching Rule」エラーが発生します。


ステップ 1 Event Viewer でイベントを右クリックし、[Go To Policy] を選択します。


ヒント テーブルで [Event Name] セルを確認することにより、イベントからポリシーを検索できるかどうかを識別できます。イベント名の前に双眼鏡アイコンがある場合は、ポリシーを検索できます。また、[Go To Policy] コマンドがグレーになっている場合、そのタイプのイベントではポリシーを検索できません。


ステップ 2 Security Manager は、デバイスの関連するアクセス規則または IPS シグニチャを検索し、ポリシー テーブルで該当する項目を強調表示します。ここから、表示または変更するポリシーを編集できます。詳細な手順については、「アクセス規則の設定(IPv4 または IPv6)」および「シグニチャの設定」を参照してください。

変更内容は、更新した設定を送信し、展開するまで有効になりません。


 

イベント分析の例

多種多様な手法を使用して、ネットワーク デバイスが生成したイベントを分析して対応できます。ここで示す例を参照すると、Security Manager の Event Viewer で実行できる操作の一部が理解しやすくなります。

ここでは、次の内容について説明します。

「ヘルプ デスク:サーバへのユーザ アクセスがファイアウォールでブロックされている」

「ボットネット アクティビティのモニタリングと軽減」

「イベント テーブルからの false positive IPS イベントの削除」

ヘルプ デスク:サーバへのユーザ アクセスがファイアウォールでブロックされている

この例では、ヘルプ デスクがサーバにアクセスできないユーザから電話を受けます。

ユーザがサーバにアクセスできない場合、次に示すように数多くの理由があります。

ネットワークのサーバ側の問題。サーバがダウンしている、ネットワーク接続が確立されていない、サーバのファイアウォールがポリシーに基づいてアクティブにアクセスを禁止しているなど。

ユーザとサーバ間のネットワーク クラウドの問題。ルーティングなど。

ユーザのネットワークの問題。ワークステーションの問題、ネットワーク接続に関する物理的な問題(ワイヤの破損など)、スイッチ ポートまたはワイヤレス アクセス ポイントに関する問題、DNS ルックアップの失敗など。

Security Manager の Event Viewer では、このような問題を特定して解決することができません。ただし、制御しているファイアウォールがサーバへのアクセスをブロックしているかどうかはわかります。これにより、問題の発生源であるとしてファイアウォールを取り外すか、またはファイアウォールがアクセスをブロックしている場合には問題を修正したり、ポリシーに基づいてサーバがブロックされていることをユーザに通知したりできます。

この手順では、まずサーバへのアクセスがポリシーで拒否されていないことを確認し、ファイアウォールはサーバへのアクセスを許可する必要があるものと想定しています。


ステップ 1 ユーザにワークステーションおよびサーバの IP アドレスを確認します。

ステップ 2 Event Viewer を開きます。そのためには、たとえば、Configuration Manager で [Launch] > [Event Viewer] を選択します。

ステップ 3 [Firewall Traffic Events] ビューをダブルクリックして開きます。ワークステーションに関連する IPS イベントがあるかどうかを確認する場合には、[All Device Events] ビューを使用することもできます。


ヒント また、[Firewall Denied Events] ビューを選択して、拒否されたイベントだけを表示することもできます。ただし、ユーザのワークステーションに関連する他のイベントも確認することを推奨します。


ステップ 4 ユーザにサーバへのアクセスを再試行するように求めます。

ステップ 5 [Start] ボタンをクリックするか、または [View] > [Start] 選択して、最新のイベントが表示されるようイベント テーブルをリフレッシュします。

ステップ 6 [Search within Results] ボックスにユーザの IP アドレスを入力します。入力した内容に従ってイベントのリストがフィルタリングされ、いずれかのカラムに検索文字列が存在するイベントが表示されます。次の図のイベント リストには、過去 10 分間に発生した IP アドレス 10.52.150.50 に関するイベントがすべて表示されています。

図 63-5 1 つの IP アドレスに限定したイベント リスト

 


ヒント また、[Source] カラムのドロップダウン リストから IP アドレス、[Destination] カラムのドロップダウン リストからサーバの IP アドレス(またはその逆)を選択して、関心のある送信元と宛先に関するイベントだけを表示することもできます。検索文字列ではイベント リストを十分に絞り込めないために分析が容易ではない場合には、カラム フィルタを使用します。


ステップ 7 ユーザのワークステーションからサーバに向かうトラフィック、またはサーバからワークステーションに向かうトラフィックが拒否されたことを示すイベントを探します。syslog 106xxx メッセージが、拒否アクションを示します。

テーブルでイベントを選択し、ウィンドウの一番下に [Event Details] ペインを開きます。このペインのタブには、メッセージ情報全体が表示され、わかりやすい説明と推奨するアクションが示されます。

ステップ 8 イベントがメッセージ 106023 または 106100 である場合には、接続を拒否しているアクセス規則を容易に特定して修正できます。テーブルで [Event Name] セルを確認することにより、イベントからポリシーを検索できるかどうかを識別できます。イベント名の前に双眼鏡アイコンがある場合は、ポリシーを検索できます。また、[Go To Policy] コマンドがグレーになっている場合、そのタイプのイベントではポリシーを検索できません。


ヒント アクセス リストの最後で暗黙の deny any 規則のためにトラフィックが拒否されている場合には、[Go To Policy] コマンドではその規則に移動できません。規則検索のヒントについては、「Event Viewer からの Security Manager ポリシーの検索」を参照してください。


a. イベントを右クリックし、[Go To Policy] を選択します。規則が選択された状態でデバイス ビューが表示されます。一致する規則が見つからない場合には通知されます。

b. 目的のアクセスが許可されるように規則を変更します。そのためには単に規則を削除するだけでよい場合もあれば、具体的に宛先サーバとのトラフィックを許可する新規規則を追加することが必要になる場合もあります(拒否規則よりも上位に許可規則を配置します)。組織のセキュリティ ポリシーによって、許容される変更が決まります。アクセス規則ポリシーの設定の詳細については、「アクセス規則の設定(IPv4 または IPv6)」を参照してください。

c. 更新した設定をデバイスに送信して展開します。展開プロセスの詳細については、「Workflow 以外のモードでの設定の展開」または「Workflow モードでの設定の展開」を参照してください。

展開が正常に完了するまで待機します。

ステップ 9 ユーザにサーバへのアクセスを再試行するように求めます。アクセスが以前と同様に拒否される場合は、Event Viewer で [Start] をクリックしてイベント リストをリフレッシュし、最新の拒否イベントを探します。


ヒント サーバとの通信を拒否するアクセス規則が複数存在する場合もあります。アクセス規則ポリシーは上から下に順に処理されるため、アクセスを阻止する規則を削除すると、それまで適用されていなかった規則が突然アクティブになることがあります。アクセス規則ポリシーがきわめて長い場合には、規則をいくつか順に削除していくことが必要になる場合があります。このほか、Rule Combiner ツールを使用して、アクセス規則ポリシーを統合して簡素化する方法もあります。詳細については、「規則の結合」を参照してください。


ステップ 10 ファイアウォールがアクセスをブロックしなくなるまで、アクセス拒否イベントの解決を続けます。


ヒント また、Packet Tracer ツールを使用して、ASA デバイスを経由してワークステーションからサーバに流れるトラフィックをシミュレートすることもできます。デバイス ビューで、アクセスを拒否しているデバイスを右クリックし、[Packet Tracer] を選択します。詳細については、「Packet Tracer を使用した ASA または PIX の設定の分析」を参照してください。


すべてのイベントを解決したあとも、ユーザがサーバに到達できない場合、ファイアウォールはアクセスをブロックしているネットワーク要素の 1 つではないということになります。他の仲介ネットワーク デバイスを検討してみてください。トラフィックをブロックするアクセス規則がルータに組み込まれていることなどが考えられます。


 

ボットネット アクティビティのモニタリングと軽減

「ファイアウォールの Botnet Traffic Filter 規則の管理」の説明に従ってボットネット トラフィック フィルタリングを設定したあと、そのフィルタリングをモニタし、ネットワークで明らかになった問題の解決にあたることを推奨します。以降の項での説明に従って、Security Manager および ASDM を使用して、ボットネット アクティビティをモニタし、明らかになった問題を軽減できます。

「対処可能なイベントであることを示す syslog メッセージについて」

「Security Manager の Event Viewer を使用したボットネットのモニタリング」

「Security Manager の Report Manager を使用したボットネットのモニタリング」

「Adaptive Security Device Manager(ASDM)を使用したボットネット アクティビティのモニタリング」

「ボットネット トラフィックの軽減」

対処可能なイベントであることを示す syslog メッセージについて

ボットネット トラフィック フィルタ イベントは、syslog メッセージ番号 338xxx を使用します。ただし、メッセージの中には単なる情報であり、メッセージに対するアクションが必要ないものもあります。

ボットネット イベントの syslog を表示するときには、次のメッセージ番号に特に注意してください。ブラックリストまたはホワイトリストに掲載されたトラフィックであることを示すメッセージの処理の詳細については、「ボットネット トラフィックの軽減」を参照してください。syslog メッセージの詳細については、次の URL にあるご使用の ASA ソフトウェア バージョンの『Syslog Message』を参照してください。 http://www.cisco.com/en/US/products/ps6120/products_system_message_guides_list.html

338001 ~ 338004 :ASA がログに記録しているブラックリスト掲載のトラフィックであるものの、ASA がそのトラフィックを停止していないことを示します。進行中のボットネット アクティビティを停止する場合には、このようなメッセージに早急に対処する必要があります。

338005 ~ 338008 :ASA がログに記録し、ドロップしているブラックリスト掲載のトラフィックであることを示します。これは、トラフィックが廃棄規則に該当したことを示します。したがって、ネットワークは保護されています。ただし、攻撃対象のコンピュータから感染を除去する必要があります。

338201、338202 :ASA がログに記録しているものの、ドロップしていないグレーリスト掲載のトラフィックであることを示します。このようなメッセージは、早急な対処を必要とするアクティブなボットネット接続であることを示す場合があります。

338203、338204 :ASA がログに記録し、ドロップしているグレーリスト掲載のトラフィックであることを示します。ネットワークは、このトラフィックから保護されています。ただし、グレーリスト掲載のサイトが正規のサイトである場合は、トラフィックがドロップされていること自体が早急の対処を必要とする問題であることがあります。グレーリスト掲載のアドレスが正規のアドレスであり、設定を再展開する場合には、「静的データベースへのエントリの追加」の説明に従ってそのアドレスをホワイトリストに掲載できます。

338305 ~ 338307、338310 :ASA が動的なフィルタ データベースをダウンロードできませんでした。デバイスに DNS ルックアップを設定しており、Cisco Intelligence Security Operations Center にルーティング可能なネットワーク パスがあることを確認してください。Cisco Technical Support への問い合わせが必要になる場合があります。

338309 :ボットネット トラフィック フィルタ ライセンスが最新のものではなく、動的なデータベースはダウンロードできません。適切なライセンスを購入してインストールしてください。ボットネット トラフィック フィルタ ライセンスは時間ベースであるため、有効なライセンスが期限切れになった可能性があります。

Security Manager の Event Viewer を使用したボットネットのモニタリング

Event Viewer アプリケーションを使用して、ASA デバイスが生成した syslog イベントをモニタできます。Event Viewer には、発生したばかりのボットネット イベントを表示する定義済みのビューがあります。

ボットネット メッセージはデバッグ重大度を知らせる情報であり、338xxx の番号が付与されています。


ヒント この手順では、Event Manager サービスがイネーブルになっていることを想定しています。そうでない場合は、[Tools] > [Security Manager Administration] > [Event Management] ページを使用してイネーブルにします。


ステップ 1 Event Viewer を開きます。そのためには、たとえば、Configuration Manager で [Launch] > [Event Viewer] を選択します。

ステップ 2 左ペインにある定義済みのビューのリストから、[Botnet Events] をダブルクリックします。ビューをダブルクリックしてアクティブにし、右ペインにロードする必要があります。ビューが開いていることを確認するには、右ペインでビューのタブ名が「Botnet Events」であることを確認します。次の図に、ボットネット イベント ビューの一例を示します。

図 63-6 Security Manager の Event Viewer へのボットネット イベント ビュー

 

ステップ 3 特定のイベントの詳細を参照するには、テーブルでそのイベントを選択します。続いて、次の手順を実行します。

イベントをダブルクリックして、読みやすい表形式で情報を表示します。

ウィンドウの一番下に [Event Details] セクションを開きます。詳細ペインには、イベントに関する情報がタブに編成されて表示されます。[Explanation] タブおよび [Recommended Action] タブには、イベントに関する情報と、イベントへの推奨の対処方法がわかりやすく示されています。

次の図に、Botnet Destination Blacklist メッセージ 338004 の [Event Details] ペインを示します。この例には、推奨するアクションが表示されています。このメッセージの説明には、「This syslog message is generated when traffic to a blacklisted IP address in the dynamic filter database appears.」とあります。このタイプのイベントの詳細については、「ボットネット トラフィックの軽減」を参照してください。

図 63-7 Botnet Destination Blacklist メッセージ 338004 に関するボットネット イベントの詳細

 

ステップ 4 イベント リストの対象を単一の ASA が生成したイベントに絞り込むには、[Device] カラムのドロップダウン矢印をクリックし、リストから目的のデバイスを選択します。リストの対象を複数の ASA に絞り込む場合は、ドロップダウン リストから [Custom] を選択し、表示されたダイアログボックスで目的のデバイスを選択します。

他のカラムに対するフィルタを使用して、リストを絞り込むこともできます。フィルタリングは、どのカラムでも同じように機能します。ドロップダウン リストから目的の値を選択するか、または [Custom] を選択してさらに複雑なカラム フィルタを作成します。


 

Security Manager の Report Manager を使用したボットネットのモニタリング

Report Manager アプリケーションを使用して、ボットネット アクティビティのレポートを生成できます。定義済みレポートがあり、上位の感染したホスト、上位のマルウェア ポート、および上位のマルウェア サイトが示されます。これらのレポートの詳細については、「ファイアウォール サマリー ボットネット レポートについて」を参照してください。


ヒント この手順では、Event Manager サービスがイネーブルになっていることを想定しています。そうでない場合は、[Tools] > [Security Manager Administration] > [Event Management] ページを使用してイネーブルにします。


ステップ 1 Report Manager を開きます。そのためには、たとえば、Configuration Manager で [Launch] > [Report Manager] を選択します。

ステップ 2 [System] > [FW] > [Summary Botnet] フォルダから目的のレポートを開きます。レポートを開くには、レポートをダブルクリックするか、レポートを右クリックして、[Open Report] を選択します。

ステップ 3 (任意)目的の時間範囲およびデバイスを選択してレポートに含めるために、レポートをカスタマイズします。詳細については、「レポート設定の編集」を参照してください。

今後そのレポートを再生成するためにカスタム設定を保存するには、[Save As] をクリックしてカスタム レポートを作成します。詳細については、「カスタム レポートの作成」を参照してください。

ステップ 4 [Generate Report] をクリックして収集した情報を取得して、グラフおよび表形式データで表示します。詳細については、「レポートを開いて生成する」を参照してください。

定期的にレポートを生成する場合は、「レポート スケジュールの設定」で説明するとおりに、スケジュールを設定できます。


 

Adaptive Security Device Manager(ASDM)を使用したボットネット アクティビティのモニタリング

Adaptive Security Device Manager(ASDM)には、ボットネット レポート機能が含まれています。ASDM の読み取り専用バージョンがデバイス マネージャとして Security Manager クライアントとともにインストールされ、Security Manager 内から ASDM を起動できます。


ヒント 完全な形の ASDM アプリケーションを別途インストールすることもできます。ただし、ASDM で実施した設定変更は、Security Manager ではアウトオブバンド変更であると見なされ、次回 Security Manager から設定を展開すると上書きされます。それでも ASDM を使用して設定変更を実施する必要がある場合は、その設定の Security Manager のビューが最新のものとなるように、Security Manager でデバイスに対するポリシーを再検出してください。


ステップ 1 Configuration Manager のデバイス ビューで ASA デバイスを選択します。

ステップ 2 [Launch] > [Device Manager] を選択して、ASA への ASDM 接続を開きます。設定変更が実施できないことが警告されます。[Yes] をクリックして続行します。

ステップ 3 ASDM で、次の領域のボットネット トラフィック フィルタ モニタリング情報を参照します。

[Home] > [Firewall Dashboard] には、ボットネット トラフィック フィルタの概要があります。

[Monitoring] > [Botnet Traffic Filter] > [Reports] には、上位のボットネット サイト、ポート、および感染したホストに関するチャートが含まれています。

[Monitoring] > [Logging] > [Log Buffer] には、syslog メッセージの履歴が表示されます。

[Monitoring] > [Logging] > [Real-Time Log Viewer] には、syslog メッセージが生成されたままの状態で表示されます。


ヒント [Configure] > [Botnet Traffic Filter] > [Botnet Database] ページで、動的なデータベースを検索することもできます。このページではこのほか、手動でデータベースのダウンロードを開始したり、動的なデータベースを消去したりすることもできます。これらのアクションは、デバイスの設定を変更しません。Security Manager でポリシーを再検出する必要もありません。



 

ボットネット トラフィックの軽減

ボットネット トラフィックの軽減は、次の 2 つの手順からなります。

1. ネットワークからボットネット制御サイトへのトラフィックを停止する。

2. 攻撃対象のコンピュータから感染を除去する。

次の手順では、このプロセスをさらに詳しく説明します。


ステップ 1 好ましくないアドレスとの間でパケットがやり取りされていることを示す syslog イベントが表示されます。一般には、メッセージ番号 338001 ~ 338008 または 338201 ~ 3382004 です。このようなメッセージの詳細については、「対処可能なイベントであることを示す syslog メッセージについて」を参照してください。


ヒント メッセージ 338201 ~ 3382004 はグレーリスト掲載のトラフィックです。トラフィックを停止する前にまず、グレーリスト掲載のトラフィックが本当に好ましくないものであるかどうかを判断します。


ステップ 2 ボットネット トラフィックを停止します。

メッセージ 338005 ~ 338008 および 338203 ~ 338204 は、ASA がトラフィックをすでにドロップしていることを示します。トラフィック分類廃棄規則は、ブラックリスト掲載またはグレーリスト掲載のアドレスを対象とします。「Botnet Traffic Filter のトラフィック分類およびアクションのイネーブル化」を参照してください。

メッセージ 338001 ~ 338004 および 338201 ~ 338202 は、ASA がイベントをログに記録しているものの、トラフィックをドロップしていないことを示します。まずはこのトラフィックを停止する必要があります。

廃棄規則のために ASA がまだボットネット トラフィックをドロップしていない場合には、ボットネット トラフィックを停止するためのオプションとして次のものが用意されています。

(推奨方法)ボットネット サイトの廃棄規則を設定し、設定を再展開します。「Botnet Traffic Filter のトラフィック分類およびアクションのイネーブル化」を参照してください。

(2 番めに最良の方法)SSH クライアントを使用して ASA にログインし、特権 EXEC モードに入り、 shun コマンドを使用してボットネット サイトとの間でやり取りされるトラフィックを阻止します。このコマンドは CLI ウィンドウで ASDM から発行することもできますが、Security Manager からは発行できません。shun コマンドは、トラフィックをブロックする永続的な規則を作成するものではありません。

たとえば、ボットネット サイトが 10.1.14.14 で、内部の感染したコンピュータが 10.100.10.10 である場合は、次のコマンドを発行します。最初のコマンドはボットネット コマンド センターからの着信トラフィックをすべてブロックし、2 つめのコマンドはボットネット サイトに感染したコンピュータからのトラフィックをブロックします。

shun 10.1.14.14

shun 10.100.10.10 10.1.14.14

(非推奨)shun コマンドを推奨しますが、ボットネット サイトとの間でやり取りされるトラフィックを拒否する永続的な規則をインターフェイスの Access Control List(ACL; アクセス コントロール リスト)に作成することもできます。Security Manager でデバイスを選択した状態で、[Firewall] > [Access Rule] を選択し、規則を 2 つ作成します。1 つは宛先アドレスの内容は問わずボットネット サイトが送信元アドレスであれば拒否するというもので、もう 1 つはボットネット サイトが宛先アドレスに指定されている送信元アドレスをすべて拒否するというものです。サービスの場合、すべてのトラフィックがブロックされるように IP を選択します。規則を有効にするには、設定を展開する必要があります。

アクセス規則を作成する方法は推奨しません。ボットネット サイトが一時的なものであるのに対して、永続的な規則を作成するためです。このタイプのネットワーク攻撃には、従来のアクセス規則よりも、ボットネット トラフィック フィルタを使用してボットネット トラフィックを動的にブロックする方が適しています。

ステップ 3 感染したコンピュータに対するネットワーク アクセスをシャットダウンします。たとえば、コンピュータが接続されているスイッチ ポートを特定し、スイッチの CLI を使用してそのポートをシャットダウンします。問題のコンピュータがほかにワイヤレス アクセスを備えている場合もあるため、ネットワーク アクセスを完全にシャットダウンするのは簡単な作業であるとはかぎりません。

ステップ 4 攻撃対象のコンピュータのオーナーにそのコンピュータが感染していることを通知し、IT 担当者を派遣してコンピュータから感染を除去します。コンピュータから感染を除去するためのツールおよび手法については、このマニュアルでは取り上げません。


 

イベント テーブルからの false positive IPS イベントの削除

ある特定のパケットまたは一連のパケットが、IPS シグニチャに定義されている既知の攻撃プロファイルの特性に一致すると、IPS アプライアンスまたはサービス モジュール(IPS デバイス)がアラームをトリガーします。IPS が良性のアクティビティを悪意のあるアクティビティであるとレポートした場合、false positive(良性のトリガー)が発生します。各イベントの診断には人手の介入が必要であるため、false positive イベントの分析に時間をかけると、リソースが大量に消費されます。

悪意のあるアクティビティの検出に使用される IPS シグニチャの性質により、IPS の有効性を大幅に低下させたり、組織のコンピューティング インフラストラクチャ(ホストやネットワークなど)を大きく混乱させたりすることなく、false positive を完全に排除することはほぼ不可能です。IPS の展開時に独自に調整を実施すると、false positive が最小限に抑えられます。コンピューティング環境が変更されたとき(新規にシステムやアプリケーションを展開するときなど)には、定期的に再調整を実施する必要があります。IPS デバイスは柔軟な調整機能を備えており、定常状態の動作中に false positive が発生するのを最小限に抑えることができます。

false positive の一例が、ping スイープを実行してネットワーク検出マップを定期的に構築するネットワーク管理ステーションです。ping スイープは、ICMP Network Sweep with Echo シグニチャ(シグニチャ ID 2100)をトリガーします。このため、送信元アドレスがネットワーク管理ステーションの IP アドレスである ICMP Network Sweep with Echo イベントは実際には想定どおりのイベントです。

Event Viewer のイベント テーブルから false positive IPS イベントを削除するときには、次のオプションが用意されています。

既知の「クリーンな」ソースからイベントを除外します。

イベントを除外すると、イベントが生成されなくなるのではなく、テーブルにイベントが表示されなくなります。イベントは引き続き使用できるため(フィルタを削除できます)、特定のネットワーク動作を調べるには除外されたホストからのアクティビティを確認する必要がある場合には、イベントを参照できます。

この手法には主な欠点が 2 つあります。

イベントは引き続き生成されて、イベント ストアに追加されます。

フィルタは、ホストからすべてのイベントを除外します。ホスト/シグニチャ ID のペアを除外する複雑なフィルタは作成できません。

次の手順では、クリーンであると識別した送信元からのイベントを除外する方法を示します。

false positive イベントの生成を阻止するイベント アクション フィルタ規則を作成します。

イベント アクション フィルタ規則は、イベントの生成を阻止するための最も簡単な方法です。また、作業が難しくなるシグニチャの編集やカスタム シグニチャの作成にも、この方法を推奨します。イベント アクション フィルタ規則でホストを除外すると、IPS デバイスはイベントをトリガーしても、アラームを生成せず、ログに記録を残しません。

ホストからすべてのイベントを全面的に除外するのではなく、特定のシグニチャを対象にできるため、良性であるとの確信があるイベントだけを排除できます。たとえば、次のイベント フィルタ規則は、ネットワーク管理ステーション 10.100.15.75 の ICMP Network Sweep with Echo(2100)シグニチャから Produce Alert アクションを排除します。このネットワーク管理ホストが攻撃者アドレスであると見なされますが、実際にはイベント フィルタ規則に指定されているアクションが、イベントから削除されるアクションです。他のアラート生成アクションを ICMP Network Sweep with Echo イベントに追加するイベント アクション オーバーライド規則を作成する場合は、この規則でオーバーライド アクションも削除する必要があることに注意してください。

 

イベント アクション フィルタ規則の設定の詳細については、「イベント アクション フィルタの設定」を参照してください。

次の手順では、Event Viewer でフィルタリングを使用して、イベント リストから false positive を削除する方法を示します。ネットワーク/ホスト ポリシー オブジェクトを使用して、フィルタリングを実現します。


ヒント ネットワーク/ホスト オブジェクトを使用して送信元アドレス フィルタまたは宛先アドレス フィルタを作成すると、単にそのオブジェクトの内容を変更するだけでフィルタを更新できます。ビューに対してフィルタを追加または削除する必要はありません。利点にはもう 1 つ、イベント テーブルに現在表示されていないアドレスのフィルタをプロアクティブに作成できることがあります。Event Viewer の送信元/宛先カラム フィルタ コントロールには、イベント リストに現在掲載されているアドレスだけが一覧表示されます。


ステップ 1 クリーンなホストまたはネットワークの IP アドレスが含まれているネットワーク/ホスト ポリシー オブジェクトを作成します。

a. [Manage] > [Policy Objects] を選択して [Policy Object Manager] ウィンドウを開きます(「[Policy Object Manager] ウィンドウ」を参照)。

b. コンテンツ テーブルから [Networks/Hosts] を選択します。

c. ネットワーク/ホスト ポリシー オブジェクトのテーブルの下にある [Add Row (+)] ボタンをクリックし、オブジェクト タイプとして [Group] を選択します。

d. [Add Network/Host Group] ダイアログボックスで IPS_Safe_Hosts などのオブジェクト名を入力します。

e. [Enter IPv4 Address Information] を選択して、10.100.15.75 などの IP アドレスを入力します。

f. [Add >>] をクリックして IP アドレスを [Members in Group] リストに追加します。

g. [OK] をクリックしてオブジェクトを作成します。

h. [Close] をクリックして、[Policy Object Manager] ウィンドウを閉じます。

ステップ 2 [File] > [Submit] を選択して、変更内容をデータベースに送信します(Workflow 以外のモード)。新規ポリシー オブジェクトだけでなく、すべての設定変更が送信されることに留意してください。

Workflow モードを使用している場合は、必要に応じてアクティビティを送信し、アクティビティの承認を得る必要があります。


ヒント Event Viewer では、データベースにすでに送信されたポリシー オブジェクトだけを表示できるため、そのオブジェクトを使用してフィルタを作成する場合は事前に変更内容を送信しておく必要があります。あとでポリシー オブジェクトを変更した場合には、そのオブジェクトの新規定義に使用しているフィルタの変更内容も送信する必要があります。


ステップ 3 [Launch] > [Event Viewer] を選択して、Event Viewer アプリケーションを開きます。

ステップ 4 ネットワーク管理ステーションを除外するカスタム ビューを作成します。

a. [All IPS Events] など、カスタム ビューの土台として使用する定義済みのビューをダブルクリックします。[Views] リストでビューをダブルクリックすると、そのビューが開きます。更新するカスタム ビューがすでにある場合は、そのビューを開きます。

b. イベント テーブルで [Source] カラムのタイトルにある下向き矢印ボタンをクリックし、[Custom] を選択して [Custom Filter for Source] ダイアログボックスを開きます。

ヒント: このダイアログボックスは、[View Settings] ペインから開くこともできます。そのためには、[Add] ボタンをクリックし、[Add Custom Filter to a Column] ダイアログボックスで [Source] を選択し、[OK] をクリックします。

c. [Custom Filter for Source] ダイアログボックスで、作成したポリシー オブジェクトを選択し、右矢印ボタンをクリックしてそのオブジェクトを選択済みリストに移動します。また、[Condition] オプションの横にある [Not] オプションを選択します。次の図に、ダイアログボックスの内容を示します。

 

d. [OK] をクリックします。フィルタがビュー設定に追加され、テーブルからイベントを削除するために使用されます。

e. [File] > [Save As] を選択して、変更を新規カスタム ビューとして保存します。ビューの名前と説明を入力するように求められます。それぞれ入力し、[OK] をクリックします。

次の図に、[All IPS Events] 定義済みビューから開始し、Filtered IPS Events という名前を指定した場合に、ビュー設定がどのようになるかを示します。