Cisco Security MARS Local Controller および Global Controller ユーザ ガイド リリース 6.x
システム規則とレポート
システム規則とレポート
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

システム規則とレポート

カテゴリ別のシステム規則

システム: ASA Botnet Traffic Filter

システム規則: 疑わしい Phone Home アクティビティ: ASA Botnet Traffic Filter

システム規則: サイトからの疑わしいトラフィック: ASA Botnet Traffic Filter

システム: アクセス

システム規則: パスワード攻撃: リモート VPN アクセス: 正常であるかのように見える場合

システム規則: パスワード攻撃: システム: 正常であるかのように見える場合

システム規則: パスワード攻撃: データベース: 試行

システム規則: パスワード攻撃: データベース: 正常であるかのように見える場合

システム規則: パスワード攻撃: FTP サーバ: 試行

システム規則: パスワード攻撃: メール サーバ: 試行

システム規則: パスワード攻撃: リモート VPN アクセス: 試行

システム規則: パスワード攻撃: ネットワーク共有: 試行

システム規則: パスワード攻撃: SNMP : 試行

システム規則: パスワード攻撃: システム: 試行

システム規則: パスワード攻撃: その他 アプリケーション: 試行

システム規則: パスワード攻撃: Web サーバ: 試行

システム規則: パスワード攻撃: FTP サーバ: 正常であるかのように見える場合

システム規則: パスワード攻撃: メール サーバ: 正常であるかのように見える場合

システム規則: パスワード攻撃: ネットワーク共有: 正常であるかのように見える場合

システム規則: パスワード攻撃: SNMP : 正常であるかのように見える場合

システム規則: パスワード攻撃: ディセーブルのアカウント

システム規則: パスワード スキャン: ディセーブルのアカウント: 個別ホスト

システム規則: パスワード スキャン: ディセーブルのアカウント: 同一ホスト

システム規則: パスワード スキャン: 個別ホスト

システム規則: パスワード スキャン: 同一ホスト

システム: CS-MARS Distributed Threat Mitigation(Cisco DTM)

システム規則: 接続の問題: IOS IPS DTM

システム規則: リソースの問題: IOS IPS DTM

システム: CS-MARS での問題に対する応答

システム規則: CS-MARS ホストの負荷軽減: 失敗

システム規則: CS-MARS ホストの負荷軽減: 成功

システム規則: 接続の問題: IOS IPS DTM

システム規則: リソースの問題: IOS IPS DTM

システム: CS-MARS の問題

システム規則: CS-MARS データベース パーティションの使用状況

システム規則: リソースの問題: CS-MARS

システム規則: CS-MARS での証明書またはフィンガープリントの保存障害

システム規則: CS-MARS 認証方式の変更: AAA からローカル

システム規則: CS-MARS IPS シグニチャ アップデートの障害

システム規則: CS-MARS LC-GC 通信障害: 証明書の不一致

システム規則: CS-MARS LC-GC 通信障害: 接続問題

システム規則: CS-MARS LC-GC 通信障害: 非互換問題

システム規則: CS-MARS ログイン障害: 管理者ユーザ

システム規則: CS-MARS ログイン障害: 非管理者ユーザ

システム規則: CS-MARS SMTP サーバ通信障害

システム: クライアントの悪用、ウイルス、ワーム、悪意のあるソフトウェア

システム規則: バックドア: 接続

システム規則: クライアントの悪用: 試行

システム規則: バックドア: 変換チャネル

システム規則: ワームの送信: 正常であるかのように見える場合

システム規則: クライアントの悪用: Sysbug Trojan

システム規則: バックドア: スパイウェア

システム規則: ネットワーク アクティビティ: ポップアップ スパム

システム規則: ワーム送信の試行

システム規則: バックドア: アクティブ

システム規則: クライアントの悪用: 正常であるかのように見える場合

システム規則: ネットワーク アクティビティ: 過剰な拒否: ホストの欠陥

システム規則: クライアントの悪用: 大量のメールによるワーム

システム規則: クライアントの悪用: Sasser ワーム

システム規則: 見つけられたウイルス: 除去

システム規則: 見つけられたウイルス: 残留

システム規則: 発見された新たな悪意のあるソフトウェア

システム規則: 新たな悪意のあるソフトウェアの導入防止

システム規則: 新たな悪意のあるソフトウェアの導入防止の失敗

システム規則: 新たな悪意のあるトラフィックの一致

システム規則: 疑わしい Phone Home アクティビティ: ASA Botnet Traffic Filter

システム規則: サイトからの疑わしいトラフィック: ASA Botnet Traffic Filter

システム: 設定の問題

システム規則: 設定の問題: ファイアウォール

システム規則: 設定の問題: サーバ

システム規則: ネットワーク設定の変更

システム規則: サーバの変更: SCADA Modbus

システム: データベース サーバ アクティビティ

システム規則: データベースの特権コマンド: 失敗

システム: ホスト アクティビティ

システム規則: ホストの変更: ファイル

システム規則: ホストの変更: サービス

システム規則: ホストの変更: ログ

システム規則: ホストの変更: レジストリ

システム規則: ホストの変更: セキュリティ

システム規則: ホストの変更: ユーザ グループ

システム規則: ホストの変更: データベース オブジェクト: 失敗

システム規則: ホストの変更: データベースのユーザまたはグループ: 失敗

システム: ネットワーク攻撃および DoS

システム規則: ポートに対する突然のトラフィックの増加

システム規則: DoS ネットワーク: 試行

システム規則: その他 攻撃: ARP Poisoning

システム規則: その他 攻撃: セッションのハイジャック

システム規則: その他 攻撃: スプーフィングの特定

システム規則: DoS : ネットワーク: 正常であるかのように見える場合

システム規則: DoS ネットワーク: ネットワーク デバイス: 試行

システム規則: DoS : ネットワーク デバイス: 正常であるかのように見える場合

システム規則: WLAN DoS 攻撃の検出

システム: 新たな悪意のあるソフトウェアの大発生(Cisco ICS)

システム規則: 発見された新たな悪意のあるソフトウェア

システム規則: 新たな悪意のあるソフトウェアの導入防止

システム規則: 新たな悪意のあるソフトウェアの導入防止の失敗

システム規則: 新たな悪意のあるトラフィックの一致

システム: 運用上の問題

システム規則: ネットワーク エラー: ルーティング関連

システム規則: 状態の変更: ホスト

システム規則: 状態の変更: SCADA Modbus

システム規則: 運用上の問題: ファイアウォール

システム規則: 運用上の問題: IDS

システム規則: 運用上の問題: サーバ

システム規則: 運用上の問題: ルータまたはスイッチ

システム規則: 状態の変更: ネットワーク デバイス

システム規則: 非アクティブな CS-MARS レポート デバイス

システム規則: 接続の問題: IOS IPS DTM

システム規則: CS-MARS データベース パーティションの使用状況

システム規則: CS-MARS での証明書またはフィンガープリントの保存障害

システム規則: CS-MARS IPS シグニチャ アップデートの障害

システム規則: CS-MARS LC-GC 通信障害: 証明書の不一致

システム規則: CS-MARS LC-GC 通信障害: 接続問題

システム規則: CS-MARS LC-GC 通信障害: 非互換問題

システム規則: 運用上の問題: WLAN

システム規則: 不正な WLAN AP の検出

システム: 偵察

システム規則: スキャン: SCADA Modbus

システム規則: スキャン: ステルス

システム規則: スキャン: ターゲットにされた場合

システム規則: サイトからの疑わしいトラフィック: ASA Botnet Traffic Filter

システム: リソース問題

システム規則: リソースの問題: ホスト

システム規則: リソースの問題: ネットワーク デバイス

システム規則: リソースの問題: IOS IPS DTM

システム規則: リソースの問題: CS-MARS

システム: 制限付きネットワーク トラフィック

システム規則: ネットワーク アクティビティ: 過剰な IRC

システム規則: ネットワーク アクティビティ: チャットまたは IM : ファイル転送

システム規則: ネットワーク アクティビティ: P2P ファイル共有: ファイル転送

システム規則: ネットワーク アクティビティ: チャットまたは IM : アクティブ

システム規則: ネットワーク アクティビティ: P2P ファイル共有: アクティブ

システム規則: ネットワーク アクティビティ: レクリエーション

システム規則: ネットワーク アクティビティ: 非一般トラフィック

システム: セキュリティ ポスチャの準拠性(Cisco NAC)

システム規則: 見つけられた脆弱なホスト

システム規則: セキュリティ ポスチャ: 監視サーバの問題: ネットワーク全体

システム規則: セキュリティ ポスチャ: 監視サーバの問題: 単一ホスト

システム規則: セキュリティ ポスチャ: 感染: ネットワーク全体

システム規則: セキュリティ ポスチャ: 感染: 単一ホスト

システム規則: セキュリティ ポスチャ: 過剰な NAC ステータス クエリーの障害: ネットワーク全体

システム規則: セキュリティ ポスチャ: 過剰な NAC ステータス クエリーの障害: 単一ホスト

システム規則: セキュリティ ポスチャ: 過剰な NAC ステータス クエリーの障害: 単一 NAD

システム規則: セキュリティ ポスチャ: 検疫: ネットワーク全体

システム規則: セキュリティ ポスチャ: 検疫: 単一ホスト

システム: サーバの悪用

システム規則: ローカル攻撃: 試行

システム規則: サーバ攻撃: Sniffer : 試行

システム規則: サーバ攻撃: Sniffer : 正常であるかのように見える場合

システム規則: ローカル攻撃: 正常であるかのように見える場合

システム規則: サーバ攻撃: SCADA Modbus : 試行

システム規則: その他 攻撃: アプリケーション管理の拡大

システム規則: その他 攻撃: 回避

システム規則: その他 攻撃: TCP/IP プロトコルの異常

システム規則: その他 攻撃: リプレイ

システム規則: サーバ攻撃: データベース: 試行

システム規則: サーバ攻撃: DNS : 試行

システム規則: サーバ攻撃: FTP : 試行

システム規則: サーバ攻撃: ログイン: 試行

システム規則: サーバ攻撃: メール: 試行

システム規則: サーバ攻撃: その他: 試行

システム規則: サーバ攻撃: RPC : 試行

システム規則: サーバ攻撃: SNMP : 試行

システム規則: サーバ攻撃: Web : 試行

システム規則: その他 攻撃: Web カスタマー データのアクセス

システム規則: サーバ攻撃: データベース: 正常であるかのように見える場合

システム規則: サーバ攻撃: DNS : 正常であるかのように見える場合

システム規則: サーバ攻撃: FTP : 正常であるかのように見える場合

システム規則: サーバ攻撃: ログイン: 正常であるかのように見える場合

システム規則: サーバ攻撃: メール: 正常であるかのように見える場合

システム規則: サーバ攻撃: その他のアクティビティ: 正常であるかのように見える場合

システム規則: サーバ攻撃: RPC : 正常であるかのように見える場合

システム規則: サーバ攻撃: SNMP : 正常であるかのように見える場合

システム規則: サーバ攻撃: Web : 正常であるかのように見える場合

カテゴリ別のシステム レポート

システム: ASA Botnet Traffic Filter

アクティビティ: ASA Botnet Traffic Filter: Phone Home: すべてのイベント

アクティビティ: ASA Botnet Traffic Filter: 上位のボットネット サイト

アクティビティ: ASA Botnet Traffic Filter: 上位のボットネット ポート

アクティビティ: ASA Botnet Traffic Filter: 上位の感染ホスト

攻撃: ASA Botnet Traffic Filter: 悪意のあるトラフィック: すべてのイベント

システム: アクセス

攻撃: パスワード: 上位のイベント タイプ

アクティビティ: ホストでのログインの失敗: 上位の宛先

アクティビティ: ホストでのログインの失敗: 上位のユーザ

アクティビティ: ホストでのログインの成功: 上位のホスト

攻撃: パスワード: 上位の宛先

アクティビティ: ホストでの権限の拡大: 上位のホスト

アクティビティ: リモート アクセス ログイン: 上位のユーザ

アクティビティ: データベースでのログインの失敗: すべてのイベント

アクティビティ: データベースでのログインの失敗: 上位のサーバ

アクティビティ: データベースでのログインの成功: 上位のサーバ

アクティビティ: データベースでのログインの成功: 上位のユーザ

アクティビティ: ホストでのログインの失敗: すべてのイベント

アクティビティ: ホストでのログインの成功: すべてのイベント

アクティビティ: ホストでの権限の拡大: すべてのイベント

アクティビティ: リモート アクセス ログイン: すべてのイベント

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

アクティビティ: ロックされたアカウント: すべてのイベント

アクティビティ: ロックされたアカウント: 上位のホスト

攻撃: パスワード: ロックされたアカウント: すべてのイベント

攻撃: パスワード: 制限時間: すべてのイベント

アクティビティ: AAA ベースのアクセス: すべてのイベント

アクティビティ: データベースでのログインの失敗: 上位のユーザ

アクティビティ: データベースでのログインの成功: すべてのイベント

アクティビティ: CS-MARS でのログインの失敗

すべてのイベント: 集約ビュー

アクティビティ: すべて: 上位の宛先ポート

アクティビティ: すべて: 上位の宛先

アクティビティ: すべて: 上位のイベント タイプ グループ

アクティビティ: すべて: 上位のイベント タイプ

アクティビティ: すべて: 上位のレポート デバイス

アクティビティ: すべて: 上位の発信元

アクティビティ: すべて: 上位のユーザ

アクティビティ: すべて: NAT 接続

アクティビティ: すべて: 上位のレポート デバイス タイプ

アクティビティ: すべてのセッション: バイト数を基準とする上位の宛先

詳細な NAC レポート

システム: すべての悪用: 集約ビュー

アクティビティ: 防止された攻撃: 上位のレポート デバイス

アクティビティ: 見つけられた攻撃: 上位のレポート デバイス

攻撃: すべて: 上位の発信元

攻撃: すべて: 上位のイベント タイプ グループ

攻撃: すべて: すべてのイベント

アクティビティ: 見つけられた攻撃: 上位のイベント タイプ

攻撃: すべて: 上位の宛先

アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント

アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ

COBIT DS3.3 : 監視とレポート

運用上の問題: ネットワーク: 上位のレポート デバイス

運用上の問題: サーバ: 上位のレポート デバイス

リソースの問題: ネットワーク: 上位のレポート デバイス

リソースの問題: サーバ: 上位のレポート デバイス

リソースの利用率: 帯域幅: インバウンド: 上位のインターフェイス

リソースの利用率: CPU : 上位のデバイス

リソースの利用率: 帯域幅: アウトバウンド: 上位のインターフェイス

リソースの利用率: 並列接続: 上位のデバイス

リソースの利用率: エラー: インバウンド: 上位のインターフェイス

リソースの利用率: エラー: アウトバウンド: 上位のインターフェイス

リソースの利用率: メモリ: 上位のデバイス

アクティビティ: ポートに対する急激なトラフィックの増加: すべての宛先

アクティビティ: ポートに対する急激なトラフィックの増加: すべての発信元

運用上の問題: ネットワーク: すべてのイベント

運用上の問題: サーバ: すべてのイベント

リソースの問題: ネットワーク: すべてのイベント

リソースの問題: サーバ: すべてのイベント

システム: COBIT DS5.10 : セキュリティ違反

アクティビティ: IDS の回避: 上位のイベント タイプ

アクティビティ: スキャン: 上位の宛先ポート

アクティビティ: スキャン: 上位の宛先

アクティビティ: ステルスのスキャン: 上位の発信元

攻撃: データベース サーバ: 上位のイベント タイプ

攻撃: FTP サーバ: 上位のイベント タイプ

攻撃: スプーフィングの特定: 上位のイベント タイプ

攻撃: ログイン サービス: 上位のイベント タイプ

攻撃: メール サーバ: 上位のイベント タイプ

攻撃: ネットワーク DoS : 上位のイベント タイプ

攻撃: RPC サービス: 上位のイベント タイプ

攻撃: SNMP : 上位のイベント タイプ

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

攻撃: すべて: 上位のイベント タイプ グループ

攻撃: すべて: すべてのイベント

攻撃: 非一般的または異常なトラフィック: 上位のイベント タイプ

アクティビティ: データベースの特権コマンドの失敗: すべてのイベント

アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント

アクティビティ: ホストでのログインの失敗: すべてのイベント

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

アクティビティ: ポートに対する急激なトラフィックの増加: すべての宛先

アクティビティ: ポートに対する急激なトラフィックの増加: すべての発信元

攻撃: パスワード: すべてのイベント

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

システム: COBIT DS5.19 : 悪意のあるソフトウェア

アクティビティ: バックドア: 上位のイベント タイプ

アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ

攻撃: ウイルスまたはワーム: 上位の発信元

アクティビティ: バックドア: 上位の宛先

アクティビティ: バックドア: 上位のホスト

アクティビティ: スパイウェア: 上位のホスト

アクティビティ: ウイルスまたはワーム: 上位の感染ホスト

アクティビティ: ウイルス: 検出: 上位のユーザ

アクティビティ: ウイルス: 感染: 上位のユーザ

システム: COBIT DS5.20 : ファイアウォールの制御

アクティビティ: 防止された攻撃: 上位のレポート デバイス

アクティビティ: 拒否: 上位の宛先ポート

アクティビティ: 拒否: 上位の宛先

アクティビティ: Web の使用状況: 上位の発信元

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

アクティビティ: Web の使用状況: バイト数を基準とする上位の宛先

アクティビティ: Web の使用状況: セッション数を基準とする上位の宛先

リソースの利用率: 並列接続: 上位のデバイス

アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート

アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント

アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ

システム: COBIT DS5.2 : 認証とアクセス

アクティビティ: ホストでのログインの成功: 上位のホスト

アクティビティ: ホストでの権限の拡大: 上位のホスト

アクティビティ: リモート アクセス ログイン: 上位のユーザ

アクティビティ: ホストでのログインの成功: すべてのイベント

アクティビティ: ホストでの管理ログインの成功: すべてのイベント

アクティビティ: ホストでの権限の拡大: すべてのイベント

アクティビティ: リモート アクセス ログイン: すべてのイベント

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

アクティビティ: ロックされたアカウント: すべてのイベント

アクティビティ: ロックされたアカウント: 上位のホスト

攻撃: パスワード: ロックされたアカウント: すべてのイベント

攻撃: パスワード: 制限時間: すべてのイベント

アクティビティ: AAA ベースのアクセス: すべてのイベント

アクティビティ: データベースでのログインの成功: すべてのイベント

アクティビティ: CS-MARS でのログインの失敗

システム: COBIT DS5.4 : ユーザ アカウントの変更

アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント

アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ

システム: COBIT DS5.7 : セキュリティ サーベイランス

アクティビティ: すべて: 上位のイベント タイプ

アクティビティ: すべて: 上位のレポート デバイス

アクティビティ: 見つけられた攻撃: 上位のレポート デバイス

アクティビティ: すべて: 上位のレポート デバイス タイプ

アクティビティ: 非アクティブなレポート デバイス: 上位のデバイス

システム: COBIT DS9.4 : 制御の設定

アクティビティ: ホストでのレジストリの変更: すべてのイベント

アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント

設定の変更: ネットワーク: すべてのイベント

設定の変更: サーバ: すべてのイベント

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

システム: COBIT DS9.5 : 非認可ソフトウェア

アクティビティ: IRC : すべてのイベント

アクティビティ: レクリエーション: すべてのイベント

アクティビティ: スパイウェア: すべてのイベント

アクティビティ: P2P ファイル共有またはチャット: すべてのイベント

アクティビティ: 非一般的または異常なトラフィック: すべてのイベント

システム: CS-MARS Distributed Threat Mitigation(Cisco DTM)

アクティビティ: IOS IPS DTM シグニチャ調整の成功: すべてのイベント

接続の問題: IOS IPS DTM : すべてのイベント

リソースの問題: IOS IPS DTM : 上位のデバイス

リソースの問題: IOS IPS DTM : すべてのイベント

システム: CS-MARS での問題に対する応答

アクティビティ: CS-MARS ホストの負荷軽減: 失敗: すべてのイベント

アクティビティ: CS-MARS ホストの負荷軽減: 成功: すべてのイベント

アクティビティ: IOS IPS DTM シグニチャ調整の成功: すべてのイベント

アクティビティ: WLAN の負担軽減の成功

システム: CS-MARS の問題

アクティビティ: 未知のイベント: すべてのイベント

リソースの問題: CS-MARS : すべてのイベント

リソースの利用率: CS-MARS : すべてのイベント

アクティビティ: CS-MARS で受信した新しい証明書またはフィンガープリント

アクティビティ: CS-MARS で受信した矛盾のある証明書またはフィンガープリント

アクティビティ: CS-MARS で検出された矛盾のある証明書またはフィンガープリント

アクティビティ: CS-MARS での証明書またはフィンガープリントの保存障害

アクティビティ: CS-MARS でのデバイス接続のエラー

アクティビティ: CS-MARS 認証方式の変更

アクティビティ: CS-MARS pnadmin ユーザのパスワード ステータス

アクティビティ: CS-MARS でロックされたアカウント

アクティビティ: CS-MARS IPS シグニチャ アップデートの成功: すべてのイベント

アクティビティ: CS-MARS でのログインの成功

アクティビティ: CS-MARS IPS シグニチャ アップデートの失敗: すべてのイベント

アクティビティ: CS-MARS でのログインの失敗

アクティビティ: CS-MARS LC-GC 通信の回復

アクティビティ: CS-MARS でロックが解除されたアカウント

アクティビティ: CS-MARS LC-GC 通信の失敗

システム: クライアントの悪用、ウイルス、ワーム、悪意のあるソフトウェア

アクティビティ: バックドア: 上位のイベント タイプ

アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ

攻撃: ウイルスまたはワーム: 上位の発信元

アクティビティ: バックドア: 上位の宛先

アクティビティ: バックドア: 上位のホスト

攻撃: クライアントの悪用: 上位の発信元

アクティビティ: ウイルスまたはワーム: 上位の感染ホスト

アクティビティ: ウイルス: 検出: 上位のユーザ

アクティビティ: ウイルス: 感染: 上位のユーザ

アクティビティ: 新たに検出された悪意のあるソフトウェア: すべてのイベント

アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の失敗: すべてのイベント

アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の成功: すべてのイベント

アクティビティ: 新たな悪意のあるソフトウェア トラフィックの一致: すべてのイベント

アクティビティ: 新たな悪意のあるソフトウェアのトラフィックの一致: 上位の発信元

アクティビティ: ポートに対する急激なトラフィックの増加: すべての宛先

アクティビティ: ポートに対する急激なトラフィックの増加: すべての発信元

アクティビティ: ASA Botnet Traffic Filter: Phone Home: すべてのイベント

アクティビティ: ASA Botnet Traffic Filter: 上位のボットネット サイト

アクティビティ: ASA Botnet Traffic Filter: 上位のボットネット ポート

アクティビティ: ASA Botnet Traffic Filter: 上位の感染ホスト

攻撃: ASA Botnet Traffic Filter: 悪意のあるトラフィック: すべてのイベント

システム: 設定の変更

設定の変更: ネットワーク: 上位のイベント タイプ

設定の変更: サーバ: 上位のイベント タイプ

設定の変更: サーバ: 上位のレポート デバイス

設定の変更: ネットワーク: すべてのイベント

設定の変更: サーバ: すべてのイベント

システム: 設定の問題

設定の問題: ネットワーク: 上位のレポート デバイス

設定の問題: サーバ: 上位のレポート デバイス

設定の問題: ネットワーク: すべてのイベント

設定の問題: サーバ: すべてのイベント

システム: データベース サーバ アクティビティ

アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント

アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ

アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント

アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ

アクティビティ: データベースの特権コマンドの失敗: すべてのイベント

アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ

アクティビティ: データベースの特権コマンドの成功: すべてのイベント

アクティビティ: データベースの特権コマンドの成功: 上位のユーザ

アクティビティ: データベースの通常コマンドの失敗: すべてのイベント

アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ

アクティビティ: データベースの通常コマンドの成功: すべてのイベント

アクティビティ: データベースの通常コマンドの成功: 上位のユーザ

アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント

アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ

システム: FISMA 準拠性レポート

アクティビティ: すべて: 上位のレポート デバイス

アクティビティ: 防止された攻撃: 上位のレポート デバイス

アクティビティ: 拒否: 上位の宛先ポート

アクティビティ: 拒否: 上位の宛先

アクティビティ: 拒否: 上位の発信元

アクティビティ: IDS の回避: 上位のイベント タイプ

アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ

アクティビティ: スキャン: 上位の宛先ポート

アクティビティ: スキャン: 上位の宛先

アクティビティ: ステルスのスキャン: 上位の発信元

アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ

アクティビティ: すべて: 上位の起動規則

攻撃: すべて: 上位の発信元

攻撃: データベース サーバ: 上位のイベント タイプ

攻撃: FTP サーバ: 上位のイベント タイプ

攻撃: スプーフィングの特定: 上位のイベント タイプ

攻撃: ログイン サービス: 上位のイベント タイプ

攻撃: メール サーバ: 上位のイベント タイプ

攻撃: ネットワーク DoS : 上位のイベント タイプ

攻撃: RPC サービス: 上位のイベント タイプ

攻撃: ウイルスまたはワーム: 上位の発信元

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

設定の変更: ネットワーク: 上位のイベント タイプ

アクティビティ: すべて: 上位のユーザ

アクティビティ: IRC : すべてのイベント

攻撃: すべて: 上位のイベント タイプ グループ

アクティビティ: すべて: 上位のレポート デバイス タイプ

アクティビティ: ホストでのログインの失敗: 上位の宛先

アクティビティ: ホストでのログインの失敗: 上位のユーザ

アクティビティ: ホストでのログインの成功: 上位のホスト

アクティビティ: ホストでのレジストリの変更: すべてのイベント

アクティビティ: ホストでのレジストリの変更: 上位のホスト

アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト

攻撃: すべて: 上位の宛先

アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント

アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

攻撃: パスワード: 上位の宛先

攻撃: 非一般的または異常なトラフィック: 上位のイベント タイプ

設定の変更: サーバ: 上位のイベント タイプ

アクティビティ: スパイウェア: 上位のホスト

設定の変更: サーバ: 上位のレポート デバイス

アクティビティ: すべてのイベントおよび NetFlow : 上位の宛先ポート

アクティビティ: ホストでの権限の拡大: 上位のホスト

アクティビティ: P2P ファイル共有またはチャット: 上位のホスト

アクティビティ: レクリエーション: 上位の発信元

アクティビティ: リモート アクセス ログイン: 上位のユーザ

アクティビティ: ウイルスまたはワーム: 上位の感染ホスト

アクティビティ: データベースでのログインの失敗: すべてのイベント

アクティビティ: データベースでのログインの失敗: 上位のサーバ

アクティビティ: データベースでのログインの成功: 上位のサーバ

アクティビティ: データベースでのログインの成功: 上位のユーザ

アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント

アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ

アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント

アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ

アクティビティ: データベースの特権コマンドの失敗: すべてのイベント

アクティビティ: ウイルス: 検出: 上位のユーザ

アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ

アクティビティ: ウイルス: 感染: 上位のユーザ

アクティビティ: データベースの通常コマンドの失敗: すべてのイベント

アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ

アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント

アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ

リソースの利用率: 並列接続: 上位のデバイス

アクティビティ: ホストでのログインの失敗: すべてのイベント

アクティビティ: ホストでのログインの成功: すべてのイベント

アクティビティ: CS-MARS ホストの負荷軽減: 失敗: すべてのイベント

アクティビティ: CS-MARS ホストの負荷軽減: 成功: すべてのイベント

アクティビティ: ホストでの管理ログインの成功: すべてのイベント

アクティビティ: ホストでの権限の拡大: すべてのイベント

アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート

アクティビティ: リモート アクセス ログイン: すべてのイベント

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

アクティビティ: VA スキャナによって見つけられた脆弱なホスト

アクティビティ: 見つけられた脆弱なホスト

攻撃: パスワード: すべてのイベント

設定の変更: ネットワーク: すべてのイベント

設定の変更: サーバ: すべてのイベント

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

アクティビティ: データベースでのログインの失敗: 上位のユーザ

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

アクティビティ: AAA 認証の失敗: すべてのイベント

アクティビティ: AAA 認証の失敗: 上位のユーザ

アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント

アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ

アクティビティ: CS-MARS pnadmin ユーザのパスワード ステータス

アクティビティ: CS-MARS でのログインの成功

システム: GLBA 準拠性レポート

アクティビティ: すべて: 上位のレポート デバイス

アクティビティ: 防止された攻撃: 上位のレポート デバイス

アクティビティ: 拒否: 上位の宛先ポート

アクティビティ: 拒否: 上位の宛先

アクティビティ: 拒否: 上位の発信元

アクティビティ: IDS の回避: 上位のイベント タイプ

アクティビティ: スキャン: 上位の宛先ポート

アクティビティ: スキャン: 上位の宛先

アクティビティ: ステルスのスキャン: 上位の発信元

アクティビティ: すべて: 上位の起動規則

攻撃: すべて: 上位の発信元

攻撃: データベース サーバ: 上位のイベント タイプ

攻撃: FTP サーバ: 上位のイベント タイプ

攻撃: スプーフィングの特定: 上位のイベント タイプ

攻撃: ログイン サービス: 上位のイベント タイプ

攻撃: メール サーバ: 上位のイベント タイプ

攻撃: ネットワーク DoS : 上位のイベント タイプ

攻撃: RPC サービス: 上位のイベント タイプ

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

設定の変更: ネットワーク: 上位のイベント タイプ

設定の問題: ネットワーク: 上位のレポート デバイス

設定の問題: サーバ: 上位のレポート デバイス

アクティビティ: IRC : すべてのイベント

アクティビティ: すべて: 上位のレポート デバイス タイプ

アクティビティ: ホストでのログインの失敗: 上位の宛先

アクティビティ: ホストでのログインの失敗: 上位のユーザ

アクティビティ: ホストでのレジストリの変更: すべてのイベント

アクティビティ: ホストでのレジストリの変更: 上位のホスト

アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト

攻撃: すべて: 上位の宛先

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

攻撃: パスワード: 上位の宛先

設定の変更: サーバ: 上位のイベント タイプ

アクティビティ: スパイウェア: 上位のホスト

設定の変更: サーバ: 上位のレポート デバイス

アクティビティ: すべてのイベントおよび NetFlow : 上位の宛先ポート

アクティビティ: ホストでの権限の拡大: 上位のホスト

アクティビティ: P2P ファイル共有またはチャット: 上位のホスト

アクティビティ: データベースでのログインの失敗: すべてのイベント

アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント

アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ

アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント

アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ

アクティビティ: データベースの特権コマンドの失敗: すべてのイベント

アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ

アクティビティ: データベースの特権コマンドの成功: すべてのイベント

アクティビティ: データベースの特権コマンドの成功: 上位のユーザ

アクティビティ: データベースの通常コマンドの失敗: すべてのイベント

アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ

アクティビティ: データベースの通常コマンドの成功: すべてのイベント

アクティビティ: データベースの通常コマンドの成功: 上位のユーザ

アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント

アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ

リソースの利用率: 並列接続: 上位のデバイス

アクティビティ: ホストでのログインの失敗: すべてのイベント

アクティビティ: スパイウェア: すべてのイベント

アクティビティ: ホストでの権限の拡大: すべてのイベント

アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

アクティビティ: VA スキャナによって見つけられた脆弱なホスト

アクティビティ: 見つけられた脆弱なホスト

攻撃: パスワード: すべてのイベント

設定の変更: ネットワーク: すべてのイベント

設定の変更: サーバ: すべてのイベント

設定の問題: ネットワーク: すべてのイベント

設定の問題: サーバ: すべてのイベント

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

アクティビティ: AAA 認証の失敗: すべてのイベント

アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント

アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ

システム: HIPAA 準拠性レポート

アクティビティ: すべて: 上位のレポート デバイス

アクティビティ: 防止された攻撃: 上位のレポート デバイス

アクティビティ: 拒否: 上位の宛先ポート

アクティビティ: 拒否: 上位の宛先

アクティビティ: 拒否: 上位の発信元

アクティビティ: IDS の回避: 上位のイベント タイプ

アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ

アクティビティ: スキャン: 上位の宛先ポート

アクティビティ: スキャン: 上位の宛先

アクティビティ: ステルスのスキャン: 上位の発信元

アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ

アクティビティ: すべて: 上位の起動規則

攻撃: すべて: 上位の発信元

攻撃: データベース サーバ: 上位のイベント タイプ

攻撃: FTP サーバ: 上位のイベント タイプ

攻撃: スプーフィングの特定: 上位のイベント タイプ

攻撃: ログイン サービス: 上位のイベント タイプ

攻撃: メール サーバ: 上位のイベント タイプ

攻撃: ネットワーク DoS : 上位のイベント タイプ

攻撃: RPC サービス: 上位のイベント タイプ

攻撃: ウイルスまたはワーム: 上位の発信元

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

設定の変更: ネットワーク: 上位のイベント タイプ

アクティビティ: すべて: 上位のユーザ

アクティビティ: IRC : すべてのイベント

攻撃: すべて: 上位のイベント タイプ グループ

アクティビティ: すべて: 上位のレポート デバイス タイプ

アクティビティ: ホストでのログインの失敗: 上位の宛先

アクティビティ: ホストでのログインの失敗: 上位のユーザ

アクティビティ: ホストでのログインの成功: 上位のホスト

アクティビティ: ホストでのレジストリの変更: すべてのイベント

アクティビティ: ホストでのレジストリの変更: 上位のホスト

アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト

攻撃: すべて: 上位の宛先

アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント

アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

攻撃: パスワード: 上位の宛先

攻撃: 非一般的または異常なトラフィック: 上位のイベント タイプ

設定の変更: サーバ: 上位のイベント タイプ

アクティビティ: スパイウェア: 上位のホスト

設定の変更: サーバ: 上位のレポート デバイス

アクティビティ: すべてのイベントおよび NetFlow : 上位の宛先ポート

アクティビティ: ホストでの権限の拡大: 上位のホスト

アクティビティ: P2P ファイル共有またはチャット: 上位のホスト

アクティビティ: レクリエーション: 上位の発信元

アクティビティ: リモート アクセス ログイン: 上位のユーザ

アクティビティ: ウイルスまたはワーム: 上位の感染ホスト

アクティビティ: データベースでのログインの失敗: すべてのイベント

アクティビティ: データベースでのログインの失敗: 上位のサーバ

アクティビティ: データベースでのログインの成功: 上位のサーバ

アクティビティ: データベースでのログインの成功: 上位のユーザ

アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント

アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ

アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント

アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ

アクティビティ: データベースの特権コマンドの失敗: すべてのイベント

アクティビティ: ウイルス: 検出: 上位のユーザ

アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ

アクティビティ: ウイルス: 感染: 上位のユーザ

アクティビティ: データベースの通常コマンドの失敗: すべてのイベント

アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ

アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント

アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ

リソースの利用率: 並列接続: 上位のデバイス

アクティビティ: ホストでのログインの失敗: すべてのイベント

アクティビティ: ホストでのログインの成功: すべてのイベント

アクティビティ: CS-MARS ホストの負荷軽減: 失敗: すべてのイベント

アクティビティ: CS-MARS ホストの負荷軽減: 成功: すべてのイベント

アクティビティ: ホストでの管理ログインの成功: すべてのイベント

アクティビティ: ホストでの権限の拡大: すべてのイベント

アクティビティ: リモート アクセス ログイン: すべてのイベント

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

アクティビティ: VA スキャナによって見つけられた脆弱なホスト

アクティビティ: 見つけられた脆弱なホスト

攻撃: パスワード: すべてのイベント

設定の変更: ネットワーク: すべてのイベント

設定の変更: サーバ: すべてのイベント

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

アクティビティ: データベースでのログインの失敗: 上位のユーザ

アクティビティ: データベースでのログインの成功: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

アクティビティ: AAA 認証の失敗: すべてのイベント

アクティビティ: AAA 認証の失敗: 上位のユーザ

アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント

アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ

アクティビティ: CS-MARS pnadmin ユーザのパスワード ステータス

アクティビティ: CS-MARS でのログインの成功

アクティビティ: CS-MARS でのログインの失敗

システム: ホスト アクティビティ

アクティビティ: ホストでのオブジェクトのアクセス: すべてのイベント

アクティビティ: ホストでの特権アクセス: すべてのイベント

アクティビティ: ホストでのレジストリの変更: すべてのイベント

アクティビティ: ホストでのレジストリの変更: 上位のホスト

アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト

アクティビティ: ホストでのシステム イベント: すべてのイベント

アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント

アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト

アクティビティ: ホストでのプロセスの追跡管理: すべてのイベント

システム: ネットワーク攻撃および DoS

攻撃: ネットワーク DoS : 上位のイベント タイプ

アクティビティ: ポートに対する急激なトラフィックの増加: すべての宛先

アクティビティ: ポートに対する急激なトラフィックの増加: すべての発信元

アクティビティ: 検出された WLAN DoS 攻撃

アクティビティ: 検出された WLAN プローブ

アクティビティ: 検出された WLAN の不正な AP またはアドホック ホスト

システム: 新たな悪意のあるソフトウェアの大発生(Cisco ICS)

アクティビティ: 新たに検出された悪意のあるソフトウェア: すべてのイベント

アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の失敗: すべてのイベント

アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の成功: すべてのイベント

アクティビティ: 新たな悪意のあるソフトウェア トラフィックの一致: すべてのイベント

アクティビティ: 新たな悪意のあるソフトウェアのトラフィックの一致: 上位の発信元

システム: 運用上の問題

運用上の問題: ネットワーク: 上位のレポート デバイス

運用上の問題: サーバ: 上位のレポート デバイス

リソースの利用率: エラー: インバウンド: 上位のインターフェイス

リソースの利用率: エラー: アウトバウンド: 上位のインターフェイス

アクティビティ: 非アクティブなレポート デバイス: 上位のデバイス

運用上の問題: ネットワーク: すべてのイベント

運用上の問題: サーバ: すべてのイベント

接続の問題: IOS IPS DTM : すべてのイベント

リソースの利用率: CS-MARS : すべてのイベント

アクティビティ: CS-MARS での証明書またはフィンガープリントの保存障害

アクティビティ: CS-MARS でのデバイス接続のエラー

アクティビティ: CS-MARS IPS シグニチャ アップデートの失敗: すべてのイベント

アクティビティ: CS-MARS LC-GC 通信の失敗

システム: PCI DSS01 : カード所有者のデータのインストール、管理、転送、保護

アクティビティ: すべて: 上位の宛先ポート

アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ

攻撃: ログイン サービス: 上位のイベント タイプ

設定の変更: ネットワーク: 上位のイベント タイプ

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

設定の変更: サーバ: 上位のイベント タイプ

設定の変更: サーバ: 上位のレポート デバイス

アクティビティ: すべてのセッション: バイト数を基準とする上位の宛先ポート

アクティビティ: P2P ファイル共有またはチャット: 上位のホスト

アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート

設定の変更: ネットワーク: すべてのイベント

設定の変更: サーバ: すべてのイベント

アクティビティ: セキュリティ ポスチャ: 正常: 上位のユーザ

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD

アクティビティ: セキュリティ ポスチャ: NAC : 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC L2IP : 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC 監査サーバの問題: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

アクティビティ: セキュリティ ポスチャ: NAC L2 802.1x : 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位のホスト

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位の NAD

アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD とトークン

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC エンド ホストの詳細: すべてのイベント

アクティビティ: AAA 認証の失敗: すべてのイベント

アクティビティ: AAA 認証の失敗: 上位の NAD

アクティビティ: AAA 認証の失敗: 上位のユーザ

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のホスト

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位の NAD

システム: PCI DSS02 : デフォルトの PWD およびセキュリティ パラメータの使用回避の推奨

アクティビティ: すべて: 上位の宛先ポート

アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ

攻撃: ログイン サービス: 上位のイベント タイプ

設定の変更: ネットワーク: 上位のイベント タイプ

アクティビティ: ホストでのオブジェクトのアクセス: すべてのイベント

アクティビティ: ホストでの特権アクセス: すべてのイベント

アクティビティ: ホストでのレジストリの変更: すべてのイベント

アクティビティ: ホストでのレジストリの変更: 上位のホスト

アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト

アクティビティ: ホストでのシステム イベント: すべてのイベント

アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント

アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

設定の変更: サーバ: 上位のレポート デバイス

アクティビティ: P2P ファイル共有またはチャット: 上位のホスト

アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート

アクティビティ: P2P ファイル共有またはチャット: すべてのイベント

設定の変更: ネットワーク: すべてのイベント

アクティビティ: ホストでのプロセスの追跡管理: すべてのイベント

システム: PCI DSS03 : 保存されているカード所有者のデータの保護

攻撃: SNMP : 上位のイベント タイプ

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

アクティビティ: ホストでのレジストリの変更: すべてのイベント

アクティビティ: ホストでのレジストリの変更: 上位のホスト

アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト

アクティビティ: データベースでのログインの失敗: すべてのイベント

アクティビティ: データベースでのログインの失敗: 上位のサーバ

アクティビティ: データベースでのログインの成功: 上位のサーバ

アクティビティ: データベースでのログインの成功: 上位のユーザ

アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント

アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ

アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント

アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ

アクティビティ: ホストでのログインの失敗: すべてのイベント

アクティビティ: ホストでのログインの成功: すべてのイベント

アクティビティ: ホストでの権限の拡大: すべてのイベント

アクティビティ: リモート アクセス ログイン: すべてのイベント

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

アクティビティ: データベースでのログインの失敗: 上位のユーザ

アクティビティ: データベースでのログインの成功: すべてのイベント

アクティビティ: AAA 認証の失敗: すべてのイベント

アクティビティ: AAA 認証の失敗: 上位の NAD

アクティビティ: AAA 認証の失敗: 上位のユーザ

システム: PCI DSS04 : カード所有者のデータの暗号化送信

設定の問題: ネットワーク: 上位のレポート デバイス

運用上の問題: ネットワーク: 上位のレポート デバイス

アクティビティ: リモート アクセス ログイン: 上位のユーザ

アクティビティ: リモート アクセス ログイン: すべてのイベント

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

設定の問題: ネットワーク: すべてのイベント

運用上の問題: ネットワーク: すべてのイベント

システム: PCI DSS05 : アンチウイルス ソフトウェアの使用と定期的なアップデート

アクティビティ: VA スキャナによって見つけられた脆弱なホスト

アクティビティ: 見つけられた脆弱なホスト

アクティビティ: セキュリティ ポスチャ: 正常: 上位のユーザ

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD

アクティビティ: セキュリティ ポスチャ: NAC : 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC L2IP : 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC 監査サーバの問題: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

アクティビティ: セキュリティ ポスチャ: NAC L2 802.1x : 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位のホスト

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位の NAD

アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD とトークン

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC エンド ホストの詳細: すべてのイベント

アクティビティ: AAA 認証の失敗: すべてのイベント

アクティビティ: AAA 認証の失敗: 上位の NAD

アクティビティ: AAA 認証の失敗: 上位のユーザ

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のホスト

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位の NAD

システム: PCI DSS06 : 保護されるシステムまたはアプリケーションの開発と管理

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

アクティビティ: ホストでのレジストリの変更: 上位のホスト

アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト

アクティビティ: 新たに検出された悪意のあるソフトウェア: すべてのイベント

アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の失敗: すべてのイベント

アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の成功: すべてのイベント

アクティビティ: 新たな悪意のあるソフトウェア トラフィックの一致: すべてのイベント

アクティビティ: 新たな悪意のあるソフトウェアのトラフィックの一致: 上位の発信元

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

アクティビティ: セキュリティ ポスチャ: 正常: 上位のユーザ

アクティビティ: AAA ベースのアクセス: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD

アクティビティ: セキュリティ ポスチャ: NAC : 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC L2IP : 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC 監査サーバの問題: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

アクティビティ: セキュリティ ポスチャ: NAC L2 802.1x : 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位のホスト

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位の NAD

アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD とトークン

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC エンド ホストの詳細: すべてのイベント

アクティビティ: AAA 認証の失敗: すべてのイベント

アクティビティ: AAA 認証の失敗: 上位の NAD

アクティビティ: AAA 認証の失敗: 上位のユーザ

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のホスト

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位の NAD

システム: PCI DSS07 : カード所有者のデータに対するアクセス制限

アクティビティ: ホストでのログインの失敗: 上位の宛先

アクティビティ: ホストでのログインの失敗: 上位のユーザ

アクティビティ: ホストでのログインの成功: 上位のホスト

アクティビティ: ホストでの権限の拡大: 上位のホスト

アクティビティ: リモート アクセス ログイン: 上位のユーザ

アクティビティ: データベースでのログインの失敗: すべてのイベント

アクティビティ: データベースでのログインの失敗: 上位のサーバ

アクティビティ: データベースでのログインの成功: 上位のサーバ

アクティビティ: データベースでのログインの成功: 上位のユーザ

アクティビティ: ホストでのログインの失敗: すべてのイベント

アクティビティ: ホストでのログインの成功: すべてのイベント

アクティビティ: ホストでの権限の拡大: すべてのイベント

アクティビティ: リモート アクセス ログイン: すべてのイベント

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

アクティビティ: ロックされたアカウント: すべてのイベント

アクティビティ: ロックされたアカウント: 上位のホスト

攻撃: パスワード: ロックされたアカウント: すべてのイベント

攻撃: パスワード: 制限時間: すべてのイベント

アクティビティ: AAA ベースのアクセス: すべてのイベント

アクティビティ: データベースでのログインの失敗: 上位のユーザ

アクティビティ: データベースでのログインの成功: すべてのイベント

システム: PCI DSS08 : コンピュータにアクセスするユーザに対する固有 ID の割り当て

アクティビティ: ホストでのログインの失敗: 上位の宛先

アクティビティ: ホストでのログインの失敗: 上位のユーザ

アクティビティ: ホストでのログインの成功: 上位のホスト

アクティビティ: ホストでの権限の拡大: 上位のホスト

アクティビティ: リモート アクセス ログイン: 上位のユーザ

アクティビティ: データベースでのログインの失敗: すべてのイベント

アクティビティ: データベースでのログインの失敗: 上位のサーバ

アクティビティ: データベースでのログインの成功: 上位のサーバ

アクティビティ: データベースでのログインの成功: 上位のユーザ

アクティビティ: ホストでのログインの失敗: すべてのイベント

アクティビティ: ホストでのログインの成功: すべてのイベント

アクティビティ: ホストでの権限の拡大: すべてのイベント

アクティビティ: リモート アクセス ログイン: すべてのイベント

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

アクティビティ: ロックされたアカウント: すべてのイベント

アクティビティ: ロックされたアカウント: 上位のホスト

攻撃: パスワード: ロックされたアカウント: すべてのイベント

攻撃: パスワード: 制限時間: すべてのイベント

アクティビティ: AAA ベースのアクセス: すべてのイベント

アクティビティ: データベースでのログインの失敗: 上位のユーザ

アクティビティ: データベースでのログインの成功: すべてのイベント

システム: PCI DSS09 : カード所有者のデータに対する物理的なアクセスの制限

アクティビティ: ホストでのログインの失敗: 上位のユーザ

アクティビティ: ホストでのログインの成功: 上位のホスト

アクティビティ: ホストでのログインの成功: すべてのイベント

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

アクティビティ: ロックされたアカウント: すべてのイベント

アクティビティ: ロックされたアカウント: 上位のホスト

アクティビティ: AAA ベースのアクセス: すべてのイベント

システム: PCI DSS10 : すべてのネットワーク アクセスとカード データの追跡と監視

アクティビティ: ホストでのログインの失敗: 上位の宛先

アクティビティ: ホストでのログインの失敗: 上位のユーザ

アクティビティ: ホストでのログインの成功: 上位のホスト

アクティビティ: ホストでの権限の拡大: 上位のホスト

アクティビティ: リモート アクセス ログイン: 上位のユーザ

アクティビティ: データベースでのログインの失敗: すべてのイベント

アクティビティ: データベースでのログインの失敗: 上位のサーバ

アクティビティ: データベースでのログインの成功: 上位のサーバ

アクティビティ: データベースでのログインの成功: 上位のユーザ

アクティビティ: ホストでのログインの失敗: すべてのイベント

アクティビティ: ホストでのログインの成功: すべてのイベント

アクティビティ: ホストでの権限の拡大: すべてのイベント

アクティビティ: リモート アクセス ログイン: すべてのイベント

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

アクティビティ: ロックされたアカウント: すべてのイベント

アクティビティ: ロックされたアカウント: 上位のホスト

攻撃: パスワード: ロックされたアカウント: すべてのイベント

攻撃: パスワード: 制限時間: すべてのイベント

アクティビティ: AAA ベースのアクセス: すべてのイベント

アクティビティ: データベースでのログインの失敗: 上位のユーザ

アクティビティ: データベースでのログインの成功: すべてのイベント

アクティビティ: 検出された WLAN DoS 攻撃

アクティビティ: 検出された WLAN プローブ

アクティビティ: 検出された WLAN の不正な AP またはアドホック ホスト

システム: PCI DSS11 : セキュリティ システムとプロセスの定期的なテスト

アクティビティ: 見つけられた攻撃: 上位のレポート デバイス

アクティビティ: バックドア: 上位のイベント タイプ

アクティビティ: 拒否: 上位の宛先

アクティビティ: 拒否: 上位の発信元

アクティビティ: IDS の回避: 上位のイベント タイプ

アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ

アクティビティ: バックドア: 上位の宛先

アクティビティ: 見つけられた攻撃: 上位のイベント タイプ

アクティビティ: バックドア: 上位のホスト

アクティビティ: スパイウェア: 上位のホスト

アクティビティ: ホストでの権限の拡大: 上位のホスト

アクティビティ: ウイルスまたはワーム: 上位の感染ホスト

アクティビティ: ウイルス: 検出: 上位のユーザ

アクティビティ: ウイルス: 感染: 上位のユーザ

アクティビティ: 新たな悪意のあるソフトウェアのトラフィックの一致: 上位の発信元

アクティビティ: VA スキャナによって見つけられた脆弱なホスト

アクティビティ: 見つけられた脆弱なホスト

アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント

アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ

アクティビティ: CS-MARS IPS シグニチャ アップデートの成功: すべてのイベント

アクティビティ: CS-MARS IPS シグニチャ アップデートの失敗: すべてのイベント

アクティビティ: 検出された WLAN DoS 攻撃

アクティビティ: 検出された WLAN プローブ

アクティビティ: 検出された WLAN の不正な AP またはアドホック ホスト

システム: PCI DSS12 : すべての従業員の情報セキュリティ ポリシーの管理

アクティビティ: 見つけられた攻撃: 上位のレポート デバイス

アクティビティ: バックドア: 上位のイベント タイプ

アクティビティ: 拒否: 上位の宛先

アクティビティ: 拒否: 上位の発信元

アクティビティ: IDS の回避: 上位のイベント タイプ

アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ

アクティビティ: バックドア: 上位の宛先

アクティビティ: 見つけられた攻撃: 上位のイベント タイプ

アクティビティ: バックドア: 上位のホスト

アクティビティ: スパイウェア: 上位のホスト

アクティビティ: ホストでの権限の拡大: 上位のホスト

アクティビティ: ウイルスまたはワーム: 上位の感染ホスト

アクティビティ: ウイルス: 検出: 上位のユーザ

アクティビティ: ウイルス: 感染: 上位のユーザ

アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント

アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ

アクティビティ: CS-MARS IPS シグニチャ アップデートの成功: すべてのイベント

アクティビティ: CS-MARS IPS シグニチャ アップデートの失敗: すべてのイベント

システム: 偵察

アクティビティ: 拒否: 上位の宛先ポート

アクティビティ: 拒否: 上位の宛先

アクティビティ: 拒否: 上位の発信元

アクティビティ: スキャン: 上位の宛先ポート

アクティビティ: スキャン: 上位の宛先

アクティビティ: スキャン: 上位の発信元

アクティビティ: ステルスのスキャン: 上位の発信元

攻撃: ASA Botnet Traffic Filter: 悪意のあるトラフィック: すべてのイベント

システム: リソース問題

リソースの問題: ネットワーク: 上位のレポート デバイス

リソースの問題: サーバ: 上位のレポート デバイス

リソースの問題: ネットワーク: すべてのイベント

リソースの問題: サーバ: すべてのイベント

リソースの問題: IOS IPS DTM : 上位のデバイス

リソースの問題: IOS IPS DTM : すべてのイベント

リソースの問題: CS-MARS : すべてのイベント

システム: リソースの使用状況

アクティビティ: すべて: 上位の宛先

アクティビティ: すべて: 上位のレポート デバイス

アクティビティ: すべて: 上位の発信元

アクティビティ: すべて: 上位のレポート デバイス タイプ

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

アクティビティ: すべてのイベントおよび NetFlow : 上位の宛先ポート

アクティビティ: すべてのセッション: バイト数を基準とする上位の宛先ポート

アクティビティ: すべてのセッション: バイト数を基準とする上位の宛先

リソースの利用率: 帯域幅: インバウンド: 上位のインターフェイス

リソースの利用率: CPU : 上位のデバイス

リソースの利用率: 帯域幅: アウトバウンド: 上位のインターフェイス

リソースの利用率: 並列接続: 上位のデバイス

リソースの利用率: メモリ: 上位のデバイス

アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート

システム: 制限付きネットワーク トラフィック

アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ

アクティビティ: IRC : すべてのイベント

アクティビティ: スパイウェア: 上位のホスト

アクティビティ: P2P ファイル共有またはチャット: 上位のホスト

アクティビティ: レクリエーション: 上位の発信元

アクティビティ: レクリエーション: すべてのイベント

アクティビティ: スパイウェア: すべてのイベント

アクティビティ: P2P ファイル共有またはチャット: すべてのイベント

アクティビティ: 非一般的または異常なトラフィック: すべてのイベント

システム: SOX 302(a)(4)(A)

アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント

アクティビティ: データベースの特権コマンドの成功: すべてのイベント

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

アクティビティ: ホストでのログインの成功: すべてのイベント

アクティビティ: ホストでの管理ログインの成功: すべてのイベント

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

アクティビティ: データベースでのログインの成功: すべてのイベント

システム: SOX 302(a)(4)(D)

アクティビティ: ホストでのレジストリの変更: すべてのイベント

アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント

アクティビティ: データベースの特権コマンドの成功: すべてのイベント

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

アクティビティ: ホストでのログインの成功: すべてのイベント

アクティビティ: ホストでの管理ログインの成功: すべてのイベント

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

アクティビティ: データベースでのログインの成功: すべてのイベント

システム: SOX 準拠性レポート

アクティビティ: すべて: 上位のレポート デバイス

アクティビティ: 防止された攻撃: 上位のレポート デバイス

アクティビティ: 見つけられた攻撃: 上位のレポート デバイス

アクティビティ: 拒否: 上位の宛先ポート

アクティビティ: 拒否: 上位の宛先

アクティビティ: 拒否: 上位の発信元

アクティビティ: IDS の回避: 上位のイベント タイプ

アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ

アクティビティ: スキャン: 上位の宛先ポート

アクティビティ: スキャン: 上位の宛先

アクティビティ: ステルスのスキャン: 上位の発信元

アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ

アクティビティ: すべて: 上位の起動規則

攻撃: すべて: 上位の発信元

攻撃: データベース サーバ: 上位のイベント タイプ

攻撃: FTP サーバ: 上位のイベント タイプ

攻撃: スプーフィングの特定: 上位のイベント タイプ

攻撃: ログイン サービス: 上位のイベント タイプ

攻撃: メール サーバ: 上位のイベント タイプ

攻撃: ネットワーク DoS : 上位のイベント タイプ

攻撃: RPC サービス: 上位のイベント タイプ

攻撃: ウイルスまたはワーム: 上位の発信元

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

運用上の問題: ネットワーク: 上位のレポート デバイス

運用上の問題: サーバ: 上位のレポート デバイス

リソースの問題: ネットワーク: 上位のレポート デバイス

リソースの問題: サーバ: 上位のレポート デバイス

アクティビティ: IRC : すべてのイベント

攻撃: すべて: 上位のイベント タイプ グループ

アクティビティ: すべて: 上位のレポート デバイス タイプ

アクティビティ: ホストでのログインの失敗: 上位の宛先

アクティビティ: ホストでのログインの失敗: 上位のユーザ

アクティビティ: ホストでのレジストリの変更: すべてのイベント

攻撃: すべて: 上位の宛先

アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント

アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

攻撃: パスワード: 上位の宛先

攻撃: 非一般的または異常なトラフィック: 上位のイベント タイプ

アクティビティ: スパイウェア: 上位のホスト

アクティビティ: ホストでの権限の拡大: 上位のホスト

アクティビティ: P2P ファイル共有またはチャット: 上位のホスト

アクティビティ: ウイルスまたはワーム: 上位の感染ホスト

アクティビティ: データベースの特権コマンドの失敗: すべてのイベント

アクティビティ: ウイルス: 検出: 上位のユーザ

アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ

アクティビティ: ウイルス: 感染: 上位のユーザ

アクティビティ: データベースの通常コマンドの失敗: すべてのイベント

アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ

アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント

アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ

アクティビティ: レクリエーション: すべてのイベント

リソースの利用率: 帯域幅: インバウンド: 上位のインターフェイス

リソースの利用率: CPU : 上位のデバイス

リソースの利用率: 帯域幅: アウトバウンド: 上位のインターフェイス

リソースの利用率: 並列接続: 上位のデバイス

リソースの利用率: エラー: インバウンド: 上位のインターフェイス

リソースの利用率: エラー: アウトバウンド: 上位のインターフェイス

リソースの利用率: メモリ: 上位のデバイス

アクティビティ: ホストでのログインの失敗: すべてのイベント

アクティビティ: スパイウェア: すべてのイベント

アクティビティ: ホストでのログインの成功: すべてのイベント

アクティビティ: ホストでの管理ログインの成功: すべてのイベント

アクティビティ: ホストでの権限の拡大: すべてのイベント

アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート

アクティビティ: リモート アクセス ログイン: すべてのイベント

アクティビティ: VA スキャナによって見つけられた脆弱なホスト

アクティビティ: 見つけられた脆弱なホスト

攻撃: パスワード: すべてのイベント

設定の変更: ネットワーク: すべてのイベント

運用上の問題: ネットワーク: すべてのイベント

運用上の問題: サーバ: すべてのイベント

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

アクティビティ: データベースでのログインの成功: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

システム: セキュリティ ポスチャの準拠性(Cisco NAC)

アクティビティ: VA スキャナによって見つけられた脆弱なホスト

アクティビティ: 見つけられた脆弱なホスト

アクティビティ: セキュリティ ポスチャ: 正常: 上位のユーザ

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD

アクティビティ: セキュリティ ポスチャ: NAC : 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC L2IP : 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC 監査サーバの問題: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

アクティビティ: セキュリティ ポスチャ: NAC L2 802.1x : 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位のホスト

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位の NAD

アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD とトークン

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のトークン

アクティビティ: セキュリティ ポスチャ: NAC エンド ホストの詳細: すべてのイベント

アクティビティ: AAA 認証の失敗: すべてのイベント

アクティビティ: AAA 認証の失敗: 上位の NAD

アクティビティ: AAA 認証の失敗: 上位のユーザ

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のホスト

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位の NAD

システム: サーバの悪用

アクティビティ: IDS の回避: 上位のイベント タイプ

攻撃: データベース サーバ: 上位のイベント タイプ

攻撃: FTP サーバ: 上位のイベント タイプ

攻撃: スプーフィングの特定: 上位のイベント タイプ

攻撃: ログイン サービス: 上位のイベント タイプ

攻撃: メール サーバ: 上位のイベント タイプ

攻撃: RPC サービス: 上位のイベント タイプ

攻撃: SNMP : 上位のイベント タイプ

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

攻撃: 非一般的または異常なトラフィック: 上位のイベント タイプ

システム規則とレポート

この付録では、システム規則およびレポートのリストを示し、その使用目的について簡単に説明します。

この章は、次の内容で構成されています。

「カテゴリ別のシステム規則」

「カテゴリ別のシステム レポート」

カテゴリ別のシステム規則

ここでは、このリリースから含まれたシステム規則を整理してカテゴリ別に示します。

ここでは、次の内容について説明します。

「システム: ASA Botnet Traffic Filter」

「システム: アクセス」

「システム: CS-MARS Distributed Threat Mitigation(Cisco DTM)」

「システム: CS-MARS での問題に対する応答」

「システム: CS-MARS の問題」

「システム: クライアントの悪用、ウイルス、ワーム、悪意のあるソフトウェア」

「システム: 設定の問題」

「システム: データベース サーバ アクティビティ」

「システム: ホスト アクティビティ」

「システム: ネットワーク攻撃および DoS」

「システム: 新たな悪意のあるソフトウェアの大発生(Cisco ICS)」

「システム: 運用上の問題」

「システム: 偵察」

「システム: リソース問題」

「システム: 制限付きネットワーク トラフィック」

「システム: セキュリティ ポスチャの準拠性(Cisco NAC)」

「システム: サーバの悪用」

システム: ASA Botnet Traffic Filter

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: 疑わしい Phone Home アクティビティ: ASA Botnet Traffic Filter」

「システム規則: サイトからの疑わしいトラフィック: ASA Botnet Traffic Filter」

システム規則: 疑わしい Phone Home アクティビティ: ASA Botnet Traffic Filter

この規則により、ASA Botnet Traffic Filter から報告されるように、ブラック リストまたはグレー リストに掲載されているサイトまたは IP に対する、Phone Home アクティビティ検出されます。

システム規則: サイトからの疑わしいトラフィック: ASA Botnet Traffic Filter

この規則により、ASA Botnet Traffic Filter から報告されるように、ブラック リストまたはグレー リストに掲載されているサイトまたは IP を発信元とするトラフィックのアクティビティが、検出されます。

システム: アクセス

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: パスワード攻撃: リモート VPN アクセス: 正常であるかのように見える場合」

「システム規則: パスワード攻撃: システム: 正常であるかのように見える場合」

「システム規則: パスワード攻撃: データベース: 試行」

「システム規則: パスワード攻撃: データベース: 正常であるかのように見える場合」

「システム規則: パスワード攻撃: FTP サーバ: 試行」

「システム規則: パスワード攻撃: メール サーバ: 試行」

「システム規則: パスワード攻撃: リモート VPN アクセス: 試行」

「システム規則: パスワード攻撃: ネットワーク共有: 試行」

「システム規則: パスワード攻撃: SNMP : 試行」

「システム規則: パスワード攻撃: システム: 試行」

「システム規則: パスワード攻撃: その他 アプリケーション: 試行」

「システム規則: パスワード攻撃: Web サーバ: 試行」

「システム規則: パスワード攻撃: FTP サーバ: 正常であるかのように見える場合」

「システム規則: パスワード攻撃: メール サーバ: 正常であるかのように見える場合」

「システム規則: パスワード攻撃: ネットワーク共有: 正常であるかのように見える場合」

「システム規則: パスワード攻撃: SNMP : 正常であるかのように見える場合」

「システム規則: パスワード攻撃: ディセーブルのアカウント」

「システム規則: パスワード スキャン: ディセーブルのアカウント: 個別ホスト」

「システム規則: パスワード スキャン: ディセーブルのアカウント: 同一ホスト」

「システム規則: パスワード スキャン: 個別ホスト」

「システム規則: パスワード スキャン: 同一ホスト」

システム規則: パスワード攻撃: リモート VPN アクセス: 正常であるかのように見える場合

この相関規則により、リモート アクセス サービス(たとえば、Windows L2TP、PPTP ベースの RAS、IP セキュリティなど)を認証し、正常にログインした場合の、パスワード推測攻撃が検出されます。パスワード推測攻撃には、複数回のログインの失敗が含まれ、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: パスワード攻撃: システム: 正常であるかのように見える場合

この相関規則により、ホストの認証中にパスワードの取得または推測を試行した後で発生した正常なログインが含まれる攻撃など、ホストまたは Windows ドメインに対するシステム レベルのアクセスを行おうとする、パスワード攻撃の成功も検出されます。このパスワード攻撃の前に、ホストに対して偵察攻撃が行われることがあります。認証の失敗は、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: パスワード攻撃: データベース: 試行

この相関規則により、データベース サーバに対するパスワード推測攻撃が検出されます。この攻撃の前には、ホストに対する偵察攻撃が行われる場合があります。パスワード推測攻撃には、複数回のログインの失敗が含まれ、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: パスワード攻撃: データベース: 正常であるかのように見える場合

この相関規則により、データベース サーバに対してパスワードを推測し、正常にログインする攻撃が検出されます。この攻撃の前には、ホストに対して偵察攻撃が行われることがあります。パスワード推測攻撃には、複数回のログインの失敗が含まれ、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: パスワード攻撃: FTP サーバ: 試行

この相関規則により、FTP サーバに対するパスワード推測攻撃が検出されます。この攻撃の前には、ホストに対する偵察攻撃が行われる場合があります。パスワード推測攻撃には、複数回のログインの失敗が含まれ、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: パスワード攻撃: メール サーバ: 試行

この相関規則により、メール サーバ(SMTP、POP、IMAP)に対するパスワード推測攻撃が検出されます。この攻撃の前には、ホストに対する偵察攻撃が行われる場合があります。パスワード推測攻撃には、複数回のログインの失敗が含まれ、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: パスワード攻撃: リモート VPN アクセス: 試行

この相関規則により、リモート アクセス サービス(たとえば、Windows L2TP、PPTP ベースの RAS、IP セキュリティなど)の認証中に、パスワード推測攻撃が検出されます。この攻撃の前には、ホストに対する偵察攻撃が行われる場合があります。パスワード推測攻撃には、複数回のログインの失敗が含まれ、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: パスワード攻撃: ネットワーク共有: 試行

この相関規則により、ネットワーク共有でのパスワード推測攻撃が検出されます。この攻撃の前には、ホストに対する偵察攻撃が行われる場合があります。パスワード推測攻撃には、複数回のログインの失敗が含まれ、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: パスワード攻撃: SNMP : 試行

この相関規則により、SNMP コミュニティ ストリングを推測することによって、SNMP コミュニティ ストリングを取得しようとする試行または SNMP 情報にアクセスしようとする試行が検出されます。インストールされている多くの SNMP では、簡単に推測できるパスワードがデフォルトで使用されています。このパスワード攻撃の前に、ホストに対して偵察攻撃が行われることがあります。

システム規則: パスワード攻撃: システム: 試行

この相関規則により、Telnet、SSH、またはローカル コンソールやローカル ターミナルへのログインの認証中に、システム パスワード取得の試行や複数回のログインの失敗が検出されます。これらの試行の前には、偵察試行が行われることがあります。認証の失敗は、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: パスワード攻撃: その他 アプリケーション: 試行

この相関規則により、特定のアプリケーションに対するログインの認証中に、アプリケーション パスワード取得の試行や複数回のログインの失敗が検出されます。これらの試行の前には、偵察試行が行われることがあります。認証の失敗は、パスワードを忘れたユーザが原因で発生する場合があります。この規則に該当するアプリケーションからは、特別規則があるメール、FTP、SSH、Telnet、SNMP、ネットワーク共有、ファイル共有、印刷共有は除外されます。

システム規則: パスワード攻撃: Web サーバ: 試行

この相関規則により、Web サーバに対するパスワード推測攻撃が検出されます。この攻撃の前には、ホストに対する偵察攻撃が行われる場合があります。パスワード推測攻撃には、複数回のログインの失敗が含まれ、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: パスワード攻撃: FTP サーバ: 正常であるかのように見える場合

この相関規則により、FTP サーバに対してパスワードを推測し、正常にログインする攻撃が検出されます。この攻撃の前には、ホストに対して偵察攻撃が行われることがあります。パスワード推測攻撃には、複数回のログインの失敗が含まれ、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: パスワード攻撃: メール サーバ: 正常であるかのように見える場合

この相関規則により、メール サーバ(SMTP、POP、IMAP)に対してパスワードを推測し、正常にログインする攻撃が検出されます。このパスワード攻撃の前に、ホストに対して偵察攻撃が行われることがあります。パスワード推測攻撃には、複数回のログインの失敗が含まれ、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: パスワード攻撃: ネットワーク共有: 正常であるかのように見える場合

この相関規則により、ネットワーク共有に対してパスワードを推測し、正常にログインする攻撃が検出されます。このパスワード攻撃の前に、ホストに対して偵察攻撃が行われることがあります。パスワード推測攻撃には、複数回のログインの失敗が含まれ、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: パスワード攻撃: SNMP : 正常であるかのように見える場合

この相関規則により、コミュニティ ストリング推測攻撃の試行と、それに続くターゲット ホストでの SNMP の変更など、正常に見せかけた SNMP コミュニティ ストリング推測攻撃が検出されます。この攻撃の前には、ホストに対して偵察攻撃が行われることがあります。

システム規則: パスワード攻撃: ディセーブルのアカウント

この相関規則により、ホスト上で、ロックされているアカウント、期限切れのアカウント、またはディセーブルにされているアカウントに対する、無効パスワードを使用した試行の繰り返しが検出されます。

システム規則: パスワード スキャン: ディセーブルのアカウント: 個別ホスト

この相関規則により、個別ホスト上で、ロックされているアカウント、期限切れのアカウント、またはディセーブルにされているアカウントに対する、無効パスワードを使用した試行の繰り返しが検出されます。

システム規則: パスワード スキャン: ディセーブルのアカウント: 同一ホスト

この相関規則により、ホスト上で、個別にロックされているアカウント、期限切れのアカウント、またはディセーブルにされているアカウントに対する、無効パスワードを使用した試行の繰り返しが検出されます。

システム規則: パスワード スキャン: 個別ホスト

この相関規則により、個別ホスト上で、無効パスワードを使用した試行の繰り返しが検出されます。

システム規則: パスワード スキャン: 同一ホスト

この相関規則により、同じホスト上で、複数の個別アカウントに対する、無効パスワードを使用した試行の繰り返しが検出されます。

システム: CS-MARS Distributed Threat Mitigation(Cisco DTM)

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: 接続の問題: IOS IPS DTM」

「システム規則: リソースの問題: IOS IPS DTM」

システム規則: 接続の問題: IOS IPS DTM

この規則により、CS-MARS と IOS との間の接続問題が検出されます。CS-MARS では、IOS 上で ACTIVE シグニチャを動的にオンに設定できない場合があります。

システム規則: リソースの問題: IOS IPS DTM

この規則により、ACTIVE IPS シグニチャの必須セットを実行するには、Cisco IOS ルータにあるメモリが小さすぎることが検出されます。CS-MARS では、完全な ACTIVE シグニチャ セットを正常にダウンロードできませんでした。

システム: CS-MARS での問題に対する応答

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: CS-MARS ホストの負荷軽減: 失敗」

「システム規則: CS-MARS ホストの負荷軽減: 成功」

「システム規則: 接続の問題: IOS IPS DTM」

「システム規則: リソースの問題: IOS IPS DTM」

システム規則: CS-MARS ホストの負荷軽減: 失敗

数回の試行後に CS-MARS によりホストでの負荷を正常に軽減できなかった場合、この規則がトリガーされます。

システム規則: CS-MARS ホストの負荷軽減: 成功

CS-MARS によりホストでの負荷を正常に軽減できた場合、この規則がトリガーされます。

システム規則: 接続の問題: IOS IPS DTM

この規則により、CS-MARS と IOS との間の接続問題が検出されます。CS-MARS では、IOS 上で ACTIVE シグニチャを動的にオンに設定できない場合があります。

システム規則: リソースの問題: IOS IPS DTM

この規則により、ACTIVE IPS シグニチャの必須セットを実行するには、Cisco IOS ルータにあるメモリが小さすぎることが検出されます。CS-MARS では、完全な ACTIVE シグニチャ セットを正常にダウンロードできませんでした。

システム: CS-MARS の問題

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: CS-MARS データベース パーティションの使用状況」

「システム規則: リソースの問題: CS-MARS」

「システム規則: CS-MARS での証明書またはフィンガープリントの保存障害」

「システム規則: CS-MARS 認証方式の変更: AAA からローカル」

「システム規則: CS-MARS IPS シグニチャ アップデートの障害」

「システム規則: CS-MARS LC-GC 通信障害: 証明書の不一致」

「システム規則: CS-MARS LC-GC 通信障害: 接続問題」

「システム規則: CS-MARS LC-GC 通信障害: 非互換問題」

「システム規則: CS-MARS ログイン障害: 管理者ユーザ」

「システム規則: CS-MARS ログイン障害: 非管理者ユーザ」

「システム規則: CS-MARS SMTP サーバ通信障害」

システム規則: CS-MARS データベース パーティションの使用状況

この規則により、現在の CS-MARS データベース パーティションの容量が最大で 75% まで使用されており、新しいイベント用の領域を作成するために、次のデータベース パーティションがすぐに削除されることが、示されます。削除時間の目安は、イベント メッセージによって示されます。これは通常の CS-MARS アクティビティで、古いイベントおよび問題は CS-MARS データベースから削除されることになります。データを永久に失うことを防ぐには、ユーザは、CS-MARS データを急いでアーカイブする必要があります。

システム規則: リソースの問題: CS-MARS

この規則により、たとえば、イベントまたは NetFlow の廃棄など、CS-MARS デバイスでのリソース問題が検出されます。

システム規則: CS-MARS での証明書またはフィンガープリントの保存障害

この規則により、明示的なユーザ アクションまたは SSL や SSH の設定が原因の自動受信に基づいて、新規または変更されたデバイスの SSL 証明書または SSH キー フィンガープリントを保存する際に、CS-MARS で障害が発生したことが示されます。

システム規則: CS-MARS 認証方式の変更: AAA からローカル

この規則により、CS-MARS 認証方式が、AAA ベース認証からローカル認証に変更されたことが示されます。ローカルから AAA への前の変更により、ユーザ pnadmin 以外のすべてのユーザについて、ローカル CS-MARS データベースでパスワードが無効にされるため、注意が必要です。したがって、問題の発生時に、ローカル ユーザが CS-MARS にアクセスするには、この規則でローカル ユーザを再度イネーブルにする管理アクションが必要です。

システム規則: CS-MARS IPS シグニチャ アップデートの障害

この規則により、CS-MARS で新しい IPS シグニチャ パッケージをダウンロードし、アップデートを実行する際に、1 つ以上のエラーが検出されたことが、示されます。エラーの原因は、CS-MARS データベースをアップデートしようとしている際の、CCO またはローカル サーバとの接続問題による IPS シグニチャ パッケージのダウンロードの障害、シグニチャ パッケージの破損、その他のエラーなど、さまざまです。

システム規則: CS-MARS LC-GC 通信障害: 証明書の不一致

この規則により、直前の 6 分間での 3 回の再試行後の証明書の不一致が原因で、現在の CS-MARS Local Controller による Global Controller との通信に障害が発生したことが示されます。直前の 6 分間よりも前の通信は、正常であったか、または、ステータスがわからなかったかの、いずれかです。

システム規則: CS-MARS LC-GC 通信障害: 接続問題

この規則により、直前の 12 分間での 6 回の再試行後の接続問題が原因で、現在の CS-MARS Local Controller による Global Controller との通信に障害が発生したことが示されます。直前の 12 分間よりも前の通信は、正常であったか、または、ステータスがわからなかったかの、いずれかです。

システム規則: CS-MARS LC-GC 通信障害: 非互換問題

この規則により、直前の 6 分間での 3 回の再試行後のソフトウェアまたはデータのバージョンに互換性がないことが原因で、現在の CS-MARS Local Controller による Global Controller との通信に障害が発生したことが示されます。直前の 6 分間よりも前の通信は、正常であったか、または、ステータスがわからなかったかの、いずれかです。

システム規則: CS-MARS ログイン障害: 管理者ユーザ

この規則により、GUI 経由での数回のログイン試行の失敗後、CS-MARS 管理者ユーザがロック中であることが検出されます。これに加え、この規則により、CLI 経由での 3 回のログインの失敗(CS-MARS または Linux のログイン障害 syslogs の特性のため 2 回を使用)も、エキスパート モードへの切り替え試行の失敗も、検出されます。pnadmin ユーザは、CLI からはロック アウトされないことに、注意してください。認証の失敗は、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: CS-MARS ログイン障害: 非管理者ユーザ

この規則により、数回のログイン試行の失敗後、CS-MARS 管理者ユーザがロック中であることが検出されます。認証の失敗は、パスワードを忘れたユーザが原因で発生する場合があります。

システム規則: CS-MARS SMTP サーバ通信障害

この規則により、直前の 3 分間での 1 回の試行後、CS-MARS による SMTP サーバとの通信に障害が発生したことが示されます。直前の 3 分間よりも前の通信は、正常であったか、または、ステータスがわからなかったかの、いずれかです。

システム: クライアントの悪用、ウイルス、ワーム、悪意のあるソフトウェア

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: バックドア: 接続」

「システム規則: クライアントの悪用: 試行」

「システム規則: バックドア: 変換チャネル」

「システム規則: ワームの送信: 正常であるかのように見える場合」

「システム規則: クライアントの悪用: Sysbug Trojan」

「システム規則: バックドア: スパイウェア」

「システム規則: ネットワーク アクティビティ: ポップアップ スパム」

「システム規則: ワーム送信の試行」

「システム規則: バックドア: アクティブ」

「システム規則: クライアントの悪用: 正常であるかのように見える場合」

「システム規則: ネットワーク アクティビティ: 過剰な拒否: ホストの欠陥」

「システム規則: クライアントの悪用: 大量のメールによるワーム」

「システム規則: クライアントの悪用: Sasser ワーム」

「システム規則: 見つけられたウイルス: 除去」

「システム規則: 見つけられたウイルス: 残留」

「システム規則: 発見された新たな悪意のあるソフトウェア」

「システム規則: 新たな悪意のあるソフトウェアの導入防止」

「システム規則: 新たな悪意のあるソフトウェアの導入防止の失敗」

「システム規則: 新たな悪意のあるトラフィックの一致」

「システム規則: 疑わしい Phone Home アクティビティ: ASA Botnet Traffic Filter」

「システム規則: サイトからの疑わしいトラフィック: ASA Botnet Traffic Filter」

システム規則: バックドア: 接続

この規則により、使用しているネットワークで、バックドア サーバへの接続またはバックドア サーバからの応答が検出されます。宛先ホストでは、後続のアクティビティがある場合とない場合があります。バックドア(たとえば、ルートキット プログラム、トロイの木馬プログラムなど)およびコマンド シェルにより、ホストの拡張リモート コントロールが実行され、これは、今後のリモート アクセスを維持するために、攻撃者によって欠陥があるホストに残された可能性があります。

システム規則: クライアントの悪用: 試行

この規則により、クライアント ワークステーションの悪用が検出されます。悪用とは、ワークステーションが、Web 経由または電子メール経由で実行可能なコンテンツをダウンロードしようとしているか、スクリプトが含まれている Web 要求を送信しようとしているか、または、IRC、DHCP、DNS、P2P のワームなどのプロトコル経由での(クライアント側の)悪用のターゲットとなっていることを意味します。

システム規則: バックドア: 変換チャネル

この相関規則により、変換チャネル経由での通信が検出されます。これは、HTTP、DNS、ICMP、FTP、SMTP などの DMZ サービスなどが、これらのポート経由で不適切なトラフィックのトンネルとして誤用されていることを意味します。DMZ サービスは、ファイアウォールによって許可されますが、十分なプロトコル調査は実行されない可能性があるため、選択されます。このイベントの発信元または宛先のいずれかに、欠陥がある可能性があります。

システム規則: ワームの送信: 正常であるかのように見える場合

この相関規則により、ターゲット宛先ホストで疑わしい後続アクティビティがある場合に、SMTP、TFTP、およびネットワーク経由などでのワームの送信が検出されます。疑わしい後続アクティビティには、ホストによるネットワークのスキャン、ファイアウォールに過剰なトラフィックが拒否されるアクティビティ、サーバでバックドアがオープンされるアクティビティなどが含まれることがあります。

システム規則: クライアントの悪用: Sysbug Trojan

この相関規則により、クライアント ワークステーションで Sysbug Trojan エクスプロイトが検出されます。このエクスプロイトでは、ワークステーションによって、電子メール経由で実行可能なコンテンツがダウンロードされ、コードによって、他のマシンが接続を試行するポート 5555 で Sysbug Trojan サービスが実行され、オープンされることがあります。ここで、発信元は、クライアント ワークステーションを表し、宛先は、トロイのインストール後に接続が行われるシステムを表します。

システム規則: バックドア: スパイウェア

この規則により、ホストにインストールされている Gator、Bonzi などのスパイウェア、または、スパイウェアがインストールされているホストへの要求が、検出されます。スパイウェアは、ユーザが Web サイトを表示したときや、広告のリンクをクリックしたとき、または、KaZaA、iMesh、AudioGalaxy などの共有フリーウェアをインストールしたときなどに、十分な知識のないユーザによってコンピュータにインストールされた可能性がある、悪意のあるアプリケーションです。スパイウェアは、一度インストールされると、ホスト PC が起動されるたびに自動的に実行され、表示された URL、ユーザ名、パスワード、使用されたクレジット カード情報が記録され、この情報がスパイウェアの作者に送信されます。

システム規則: ネットワーク アクティビティ: ポップアップ スパム

この相関規則により、同じ発信元から Windows Messenger サービスへの(ポップアップ スパムのような)過剰なトラフィックが検出されます。

システム規則: ワーム送信の試行

この相関規則により、SMTP、TFTP、およびネットワーク経由などでのワームの送信が検出されます。

システム規則: バックドア: アクティブ

この規則により、使用しているネットワークで、バックドア サーバへの接続またはバックドア サーバからの応答と、バックドアをホスティングしているサーバでの悪意のある後続のアクティビティが、検出されます。これは、悪意のあるバックドア サービスが、使用しているネットワークで実行されている可能性が高いことを示します。悪意のある後続アクティビティには、過剰なスキャン、拒否パケット、悪意のあるサービスのインストール、ローカル バッファ オーバーフロー攻撃などが含まれます。Unix のルートキットやトロイの木馬などのバックドアは、ホストの拡張リモート コントロールが実行される、悪意のあるプログラムで、これは、今後のリモート アクセスを維持するために、攻撃者によって欠陥があるホストに残された可能性があります。

システム規則: クライアントの悪用: 正常であるかのように見える場合

この相関規則により、異常な後続アクティビティがクライアントで実行される場合に、クライアント ワークステーションの悪用が検出されます。クライアントの悪用には、Web または電子メール経由での実行可能なコンテンツのダイナミックなダウンロード、スクリプトが含まれる Web スクリプト、IRC、DHCP、DNS、P2P のワームなどのプロトコル経由でのクライアント側の悪用が、含まれます。クライアントの異常なアクティビティには、過剰な拒否およびスキャンの発信元のクライアント、バックドアへの接続試行、ネットワーク経由でのワームの送信が含まれます。このようなアクティビティの存在は、クライアントの悪用に成功していることを示す場合があります。

システム規則: ネットワーク アクティビティ: 過剰な拒否: ホストの欠陥

この相関規則により、特定のホストから特定の宛先ポートに対する、(1 秒あたり 10 回を超える)非常に多い頻度の拒否が検出されます。これは、特定の脆弱性があるホストを悪用する、欠陥のあるホストの通常の動作です。

システム規則: クライアントの悪用: 大量のメールによるワーム

このシグニチャにより、1 つのホストからの(最小で 1 分あたり 20 回の)過剰な量の電子メールが検出されます。非メール サーバ ホストに合わせてこの規則を改善するには、メール サーバ ホストのグループを作成し、これらのホストをこの規則の発信元から除外することによって、例外を作成します。

システム規則: クライアントの悪用: Sasser ワーム

この相関規則により、Sasser ワームの感染の広がりが検出されます。Sasser ワームでは、ポート 445 への攻撃に続いて、(a)ポート 9996 の犠牲者へのコマンド シェル接続、(b)ポート 5554 の犠牲者に戻される FTP 接続、(c)ポート 445 への犠牲者からの過剰なスキャンのいずれかが、行われます。これは、発信元および宛先の両方が、Sasser ワームに感染している可能性が高いことを示します。このワームにより、Microsoft Windows の脆弱性が悪用されます(Microsoft Security Bulletin MS04-011 を参照)。

システム規則: 見つけられたウイルス: 除去

この規則により、ウイルス スキャン ソフトウェアがウイルスを検出し、除去できたことが示されます。

システム規則: 見つけられたウイルス: 残留

この規則により、ウイルス スキャン ソフトウェアがウイルスを検出し、除去できなかったことが示されます。

システム規則: 発見された新たな悪意のあるソフトウェア

この規則により、Cisco Incident Control Server(ICS)で、新しいウイルス、ワーム、悪意のあるソフトウェアの大発生についての情報を受信したことが検出されます。ICS では、ルータおよび IPS デバイスに、ACL またはシグニチャが導入されます。

システム規則: 新たな悪意のあるソフトウェアの導入防止

この規則により、Cisco Incident Control Server(ICS)で、新たに発見されたウイルス、ワーム、悪意のあるソフトウェアの大発生を防止する目的で、ルータおよび IPS デバイスに ACL またはシグニチャが正常に導入されたことが検出されます。

システム規則: 新たな悪意のあるソフトウェアの導入防止の失敗

この規則により、Cisco Incident Control Server(ICS)で、新たに発見されたウイルス、ワーム、悪意のあるソフトウェアの大発生を防止するための、ルータおよび IPS デバイスへの ACL またはシグニチャの導入に失敗したことが検出されます。

システム規則: 新たな悪意のあるトラフィックの一致

この相関規則により、(a)同じ発信元からの多くの異なる宛先に対するワーム パターンに一致し、また、(b)新たに発見されたウイルス、ワーム、悪意のあるソフトウェアの大発生に対する応答として、Cisco Incident Control Server(ICS)によって導入された ACL またはシグニチャに一致する、トラフィック パターンが検出されます。

システム規則: 疑わしい Phone Home アクティビティ: ASA Botnet Traffic Filter

この規則により、ASA Botnet Traffic Filter から報告されるように、ブラック リストまたはグレー リストに掲載されているサイトまたは IP に対する、Phone Home アクティビティ検出されます。

システム規則: サイトからの疑わしいトラフィック: ASA Botnet Traffic Filter

この規則により、ASA Botnet Traffic Filter から報告されるように、ブラック リストまたはグレー リストに掲載されているサイトまたは IP を発信元とするトラフィックのアクティビティが、検出されます。

システム: 設定の問題

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: 設定の問題: ファイアウォール」

「システム規則: 設定の問題: サーバ」

「システム規則: ネットワーク設定の変更」

「システム規則: サーバの変更: SCADA Modbus」

システム規則: 設定の問題: ファイアウォール

この規則により、ファイアウォールから報告された設定エラーが検出されます。これにより、ファイアウォールによって、一部のトラフィックが破棄される場合があります。

システム規則: 設定の問題: サーバ

この規則により、サーバから報告された設定エラーが検出されます。これにより、サーバでは、特定のサービスが使用できない場合があります。

システム規則: ネットワーク設定の変更

この規則により、ルータ、スイッチ、ファイアウォールなどのネットワーク デバイスで、設定の変更が行われようとしていることが検出されます。

システム規則: サーバの変更: SCADA Modbus

この規則により、Modbus サーバで、カウンタの変更および診断が行われようとしていることが検出されます。Modbus プロトコルは、業界の制御通信の事実上の標準で、Supervisory Control and Data Acquisition(SCADA)通信ネットワークでのプロトコルの選択肢です。ここでは、Programmable Logic Controller(PLC)が Modbus サーバとして動作します。

システム: データベース サーバ アクティビティ

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: データベースの特権コマンド: 失敗」

システム規則: データベースの特権コマンド: 失敗

この規則により、同じデータベース ユーザが特権データベース コマンドを実行した場合に、実行の試行に複数回失敗したことが検出されます。

システム: ホスト アクティビティ

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: ホストの変更: ファイル」

「システム規則: ホストの変更: サービス」

「システム規則: ホストの変更: ログ」

「システム規則: ホストの変更: レジストリ」

「システム規則: ホストの変更: セキュリティ」

「システム規則: ホストの変更: ユーザ グループ」

「システム規則: ホストの変更: データベース オブジェクト: 失敗」

「システム規則: ホストの変更: データベースのユーザまたはグループ: 失敗」

システム規則: ホストの変更: ファイル

この規則により、ホスト上でファイルの変更が行われようとしていることが検出されます。

システム規則: ホストの変更: サービス

この規則により、ホスト上でサービスの設定の変更が行われようとしていることが検出されます。

システム規則: ホストの変更: ログ

この規則により、ホスト上でログ ファイルの変更が行われようとしていることが検出されます。

システム規則: ホストの変更: レジストリ

この規則により、ホスト上で Windows のレジストリ エントリの変更が行われようとしていることが検出されます。

システム規則: ホストの変更: セキュリティ

この規則により、ホスト上でセキュリティ設定の変更が行われようとしていることが検出されます。

システム規則: ホストの変更: ユーザ グループ

この規則により、ホスト上でユーザ グループ定義の変更が行われようとしていることが検出されます。

システム規則: ホストの変更: データベース オブジェクト: 失敗

この規則により、同じデータベース ユーザが、テーブルや索引などのデータベース オブジェクトを変更しようとした場合に、変更の試行に複数回失敗したことが検出されます。

システム規則: ホストの変更: データベースのユーザまたはグループ: 失敗

この規則により、同じデータベース ユーザがデータベース ユーザ グループを変更しようとした場合に、変更の試行に複数回失敗したことが検出されます。

システム: ネットワーク攻撃および DoS

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: ポートに対する突然のトラフィックの増加」

「システム規則: DoS ネットワーク: 試行」

「システム規則: その他 攻撃: ARP Poisoning」

「システム規則: その他 攻撃: セッションのハイジャック」

「システム規則: その他 攻撃: スプーフィングの特定」

「システム規則: DoS : ネットワーク: 正常であるかのように見える場合」

「システム規則: DoS ネットワーク: ネットワーク デバイス: 試行」

「システム規則: DoS : ネットワーク デバイス: 正常であるかのように見える場合」

「システム規則: WLAN DoS 攻撃の検出」

システム規則: ポートに対する突然のトラフィックの増加

この規則により、特定のポートに対するトラフィックがスキャンされ、統計的に非常に大きなトラフィックの増大が検出されます。

システム規則: DoS ネットワーク: 試行

この規則により、ネットワーク レベルの Denial of Service(DoS; サービス拒絶)攻撃が検出されます。攻撃の前には、関連する偵察アクティビティが行われた可能性があります。このような攻撃により、ネットワーク トラフィック全体が飛躍的に増加する可能性があります。

システム規則: その他 攻撃: ARP Poisoning

この相関規則により、ARP Poisoning 攻撃が検出されます。この攻撃の前には、そのホストに対する偵察試行が行われる場合があります。

システム規則: その他 攻撃: セッションのハイジャック

この相関規則により、そのホストに対する TCP 接続のハイジャック試行が検出されます。この攻撃の前には、そのホストに対する偵察試行が行われる場合があります。

システム規則: その他 攻撃: スプーフィングの特定

この規則により、スプーフィングされた送信元 IP アドレスが使用されようとしていることが検出されます。

システム規則: DoS : ネットワーク: 正常であるかのように見える場合

この相関規則により、ネットワーク レベルの DoS 攻撃の同時発生と、トラフィックの異常(たとえば、ICMP エコー要求や応答または TCP SYN や FIN の異常)、利用率が高いネットワーク デバイス レポーティング、ネットワークでの過剰なスキャンまたは拒否などの関連イベントが、検出されます。これは、ネットワークで DoS 攻撃が行われていることを示します。

システム規則: DoS ネットワーク: ネットワーク デバイス: 試行

この規則により、ネットワーク デバイス(スイッチ、ルータ、ファイアウォールなど)での攻撃が検出されます。攻撃の前には、関連する偵察アクティビティが行われた可能性があります。このような攻撃が成功している場合、ネットワーク デバイスがクラッシュし、これらのデバイスが含まれているネットワーク セグメントで DoS が作成されている可能性があります。

システム規則: DoS : ネットワーク デバイス: 正常であるかのように見える場合

この規則により、ネットワーク デバイス(スイッチ、ルータ、ファイアウォールなど)での攻撃が検出されます。攻撃の前には、(a)ローカルでの使用度の高さがデバイスから報告され、(b)関連する偵察アクティビティが行われた可能性があります。

システム規則: WLAN DoS 攻撃の検出

この規則により、Cisco WLAN Controller から報告されるように、さまざまな無線 LAN DoS 攻撃(たとえば、Broadcast Deauth、Null Probe、Association、およびその他のフラッド アタック)が検出されます。

システム: 新たな悪意のあるソフトウェアの大発生(Cisco ICS)

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: 発見された新たな悪意のあるソフトウェア」

「システム規則: 新たな悪意のあるソフトウェアの導入防止」

「システム規則: 新たな悪意のあるソフトウェアの導入防止の失敗」

「システム規則: 新たな悪意のあるトラフィックの一致」

システム規則: 発見された新たな悪意のあるソフトウェア

この規則により、Cisco Incident Control Server(ICS)で、新しいウイルス、ワーム、悪意のあるソフトウェアの大発生についての情報を受信したことが検出されます。ICS では、ルータおよび IPS デバイスに、ACL またはシグニチャが導入されます。

システム規則: 新たな悪意のあるソフトウェアの導入防止

この規則により、Cisco Incident Control Server(ICS)で、新たに発見されたウイルス、ワーム、悪意のあるソフトウェアの大発生を防止する目的で、ルータおよび IPS デバイスに ACL またはシグニチャが正常に導入されたことが検出されます。

システム規則: 新たな悪意のあるソフトウェアの導入防止の失敗

この規則により、Cisco Incident Control Server(ICS)で、新たに発見されたウイルス、ワーム、悪意のあるソフトウェアの大発生を防止するための、ルータおよび IPS デバイスへの ACL またはシグニチャの導入に失敗したことが検出されます。

システム規則: 新たな悪意のあるトラフィックの一致

この相関規則により、(a)同じ発信元からの多くの異なる宛先に対するワーム パターンに一致し、また、(b)新たに発見されたウイルス、ワーム、悪意のあるソフトウェアの大発生に対する応答として、Cisco Incident Control Server(ICS)によって導入された ACL またはシグニチャに一致する、トラフィック パターンが検出されます。

システム: 運用上の問題

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: ネットワーク エラー: ルーティング関連」

「システム規則: 状態の変更: ホスト」

「システム規則: 状態の変更: SCADA Modbus」

「システム規則: 運用上の問題: ファイアウォール」

「システム規則: 運用上の問題: IDS」

「システム規則: 運用上の問題: サーバ」

「システム規則: 運用上の問題: ルータまたはスイッチ」

「システム規則: 状態の変更: ネットワーク デバイス」

「システム規則: 非アクティブな CS-MARS レポート デバイス」

「システム規則: 接続の問題: IOS IPS DTM」

「システム規則: CS-MARS データベース パーティションの使用状況」

「システム規則: CS-MARS での証明書またはフィンガープリントの保存障害」

「システム規則: CS-MARS IPS シグニチャ アップデートの障害」

「システム規則: CS-MARS LC-GC 通信障害: 証明書の不一致」

「システム規則: CS-MARS LC-GC 通信障害: 接続問題」

「システム規則: CS-MARS LC-GC 通信障害: 非互換問題」

「システム規則: 運用上の問題: WLAN」

「システム規則: 不正な WLAN AP の検出」

システム規則: ネットワーク エラー: ルーティング関連

この規則により、同じ発信元と宛先のペアとの間で、拒否パケットまたは ICMP 宛先到達不能が非常に頻繁な発生が検出されます。これは、ネットワーク ルーティング エラーを示す場合があり、また、TCP またはアプリケーション自体(たとえば、DNS など)による定期的な再送信試行によって発生する場合があります。

システム規則: 状態の変更: ホスト

この相関規則により、システム障害、リブート、インターフェイス カードのアップおよびダウン、監視ログの容量がいっぱいであるか削除されようとしているなど、非常に重要なホスト ステータス変更イベントが検出されます。

システム規則: 状態の変更: SCADA Modbus

この規則により、Modbus サーバの再起動が検出されます。Modbus プロトコルは、業界の制御通信の事実上の標準で、Supervisory Control and Data Acquisition(SCADA)通信ネットワークでのプロトコルの選択肢です。ここでは、Programmable Logic Controller(PLC)が Modbus サーバとして動作します。

システム規則: 運用上の問題: ファイアウォール

この規則により、ファイアウォールから報告された運用上のエラー(たとえば、ネットワークの接続不良、フェールオーバー エラー、内部ソフトウェア エラー、外部ソフトウェア エラーなど)が検出されます。これは、ファイアウォールが適切に機能していないことを示す場合があります。

システム規則: 運用上の問題: IDS

この規則により、Intrusion Detection System(IDS; 侵入検知システム)から報告された運用上のエラーが検出されます。これは、デバイスが適切に機能していないことを示す場合があります。

システム規則: 運用上の問題: サーバ

この規則により、ホストまたはホストにあるアプリケーションから報告された運用上のエラーが検出されます。これは、ホストまたはホストにある特定のアプリケーションが適切に機能していないことを示す場合があります。

システム規則: 運用上の問題: ルータまたはスイッチ

この規則により、ルータおよびスイッチなどの非セキュリティ ネットワーク デバイスから報告された運用上のエラーが検出されます。

システム規則: 状態の変更: ネットワーク デバイス

この相関規則により、システム障害、フェールオーバーの発生、インターフェイス カードのアップおよびダウンなど、非常に重要なネットワーク ステータスの状態変更イベントが検出されます。

システム規則: 非アクティブな CS-MARS レポート デバイス

この規則により、直前の 1 時間にイベントを報告しなかったレポート デバイスが検出されます。ファイアウォールおよび IDS などの通信量が多いデバイスでは、これは、接続問題またはデバイス自体の問題を示す場合があります。この規則は、通信量が多いネットワーク インフラストラクチャ デバイスのみを含めるよう、範囲を限定する必要があります。

システム規則: 接続の問題: IOS IPS DTM

この規則により、CS-MARS と IOS との間の接続問題が検出されます。CS-MARS では、IOS 上で ACTIVE シグニチャを動的にオンに設定できない場合があります。

システム規則: CS-MARS データベース パーティションの使用状況

この規則により、現在の CS-MARS データベース パーティションの容量が最大で 75% まで使用されており、新しいイベント用の領域を作成するために、次のデータベース パーティションがすぐに削除されることが、示されます。削除時間の目安は、イベント メッセージによって示されます。これは通常の CS-MARS アクティビティで、古いイベントおよび問題は CS-MARS データベースから削除されることになります。データを永久に失うことを防ぐには、ユーザは、CS-MARS データを急いでアーカイブする必要があります。

システム規則: CS-MARS での証明書またはフィンガープリントの保存障害

この規則により、明示的なユーザ アクションまたは SSL や SSH の設定が原因の自動受信に基づいて、新規または変更されたデバイスの SSL 証明書または SSH キー フィンガープリントを保存する際に、CS-MARS で障害が発生したことが示されます。

システム規則: CS-MARS IPS シグニチャ アップデートの障害

この規則により、CS-MARS で新しい IPS シグニチャ パッケージをダウンロードし、アップデートを実行する際に、1 つ以上のエラーが検出されたことが、示されます。エラーの原因は、CS-MARS データベースをアップデートしようとしている際の、CCO またはローカル サーバとの接続問題による IPS シグニチャ パッケージのダウンロードの障害、シグニチャ パッケージの破損、その他のエラーなど、さまざまです。

システム規則: CS-MARS LC-GC 通信障害: 証明書の不一致

この規則により、直前の 6 分間での 3 回の再試行後の証明書の不一致が原因で、現在の CS-MARS Local Controller による Global Controller との通信に障害が発生したことが示されます。直前の 6 分間よりも前の通信は、正常であったか、または、ステータスがわからなかったかの、いずれかです。

システム規則: CS-MARS LC-GC 通信障害: 接続問題

この規則により、直前の 12 分間での 6 回の再試行後の接続問題が原因で、現在の CS-MARS Local Controller による Global Controller との通信に障害が発生したことが示されます。直前の 12 分間よりも前の通信は、正常であったか、または、ステータスがわからなかったかの、いずれかです。

システム規則: CS-MARS LC-GC 通信障害: 非互換問題

この規則により、直前の 6 分間での 3 回の再試行後のソフトウェアまたはデータのバージョンに互換性がないことが原因で、現在の CS-MARS Local Controller による Global Controller との通信に障害が発生したことが示されます。直前の 6 分間よりも前の通信は、正常であったか、または、ステータスがわからなかったかの、いずれかです。

システム規則: 運用上の問題: WLAN

この規則により、Cisco WLAN Controller から報告された運用上のエラーが検出されます。これは、デバイスが適切に機能していないことを示す場合があります。

システム規則: 不正な WLAN AP の検出

この規則により、Cisco WLAN Controller からのイベントによって報告されるように、不正なアクセス ポイントが検出されます。

システム規則: スキャン: SCADA Modbus

この相関規則により、Modbus サーバに対するスキャンが検出されます。Modbus プロトコルは、業界の制御通信の事実上の標準で、Supervisory Control and Data Acquisition(SCADA)通信ネットワークでのプロトコルの選択肢です。ここでは、Programmable Logic Controller(PLC)が Modbus サーバとして動作します。

システム規則: スキャン: ステルス

この規則により、OS 名や OS バージョンなどのホストおよびアプリケーションの特性の検出を意図した、悪意のある TCP/IP パケットによって実行される、非常に疑わしいスキャンが検出されます。Nmap などの脆弱性アセスメント ツールでは、このようなスキャンが生成される可能性があります。スキャンの発信元が信頼済みネットワークの内部からの場合、これが認可されている発信元からかどうか、調べる必要があります。MARS アプライアンスでは、フォールス ポジティブ分析の一部として、このようなテストを実行できます。

システム規則: スキャン: ターゲットにされた場合

この規則により、(a)ホスト上のユーザ、DNS バージョン、RPC サービス オープンなどの稼動環境などを特定するためにホストがターゲットにされたか、または、(b)そのサービスを提供しているホストのセットを特定するために広く知られているサービスがターゲットにされたかの、いずれかであるかが、スキャンされます。

システム規則: サイトからの疑わしいトラフィック: ASA Botnet Traffic Filter

この規則により、ASA Botnet Traffic Filter から報告されるように、ブラック リストまたはグレー リストに掲載されているサイトまたは IP を発信元とするトラフィックのアクティビティが、検出されます。

システム: リソース問題

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: リソースの問題: ホスト」

「システム規則: リソースの問題: ネットワーク デバイス」

「システム規則: リソースの問題: IOS IPS DTM」

「システム規則: リソースの問題: CS-MARS」

システム規則: リソースの問題: ホスト

この規則により、イベント ログの容量がいっぱいである、ディスク容量がいっぱいに近い、ログインしているユーザが多すぎるなど、ホストでのリソース問題が検出されます。

システム規則: リソースの問題: ネットワーク デバイス

この規則により、ルータ、スイッチ、ファイアウォール、または IDS などの、ネットワーク デバイスでのリソース問題が検出されます。この問題には、CPU の使用度が高い、ファイアウォールがセッション制限に到達、メモリが不十分などの問題が含まれます。

システム規則: リソースの問題: IOS IPS DTM

この規則により、ACTIVE IPS シグニチャの必須セットを実行するには、Cisco IOS ルータにあるメモリが小さすぎることが検出されます。CS-MARS では、完全な ACTIVE シグニチャ セットを正常にダウンロードできませんでした。

システム規則: リソースの問題: CS-MARS

この規則により、たとえば、イベントまたは NetFlow の廃棄など、CS-MARS デバイスでのリソース問題が検出されます。

システム: 制限付きネットワーク トラフィック

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: ネットワーク アクティビティ: 過剰な IRC」

「システム規則: ネットワーク アクティビティ: チャットまたは IM : ファイル転送」

「システム規則: ネットワーク アクティビティ: P2P ファイル共有: ファイル転送」

「システム規則: ネットワーク アクティビティ: チャットまたは IM : アクティブ」

「システム規則: ネットワーク アクティビティ: P2P ファイル共有: アクティブ」

「システム規則: ネットワーク アクティビティ: レクリエーション」

「システム規則: ネットワーク アクティビティ: 非一般トラフィック」

システム規則: ネットワーク アクティビティ: 過剰な IRC

この相関規則により、同じソースからの過剰な Internet Relay Chat(IRC; インターネット リレー チャット)接続が検出されます。これによって、Remote Admin Trojan(RAT)が発信元で実行されている可能性が高く、欠陥がある可能性が高いことが、示されます。

システム規則: ネットワーク アクティビティ: チャットまたは IM : ファイル転送

この規則により、ユーザ間のチャットまたはインスタント メッセンジャー経由でのファイル転送が検出されます。ネットワーク トラフィックが増加した場合には、これも検出されます。ファイル転送は、チャットまたは IM では、通常、使用されませんので、疑わしいと判断されます。さらに、他の IM ユーザと共有されるファイルには、ウイルスまたはその他のバックドア プログラムが含まれている可能性があります。

システム規則: ネットワーク アクティビティ: P2P ファイル共有: ファイル転送

この規則により、KaZaa、Napster、EDonkey、Gnutella、Bearshare などの、ユーザ間のファイル共有アプリケーション経由でのファイル転送が検出されます。ネットワーク トラフィックが増加した場合には、これも検出されます。プログラムでは、大量のネットワーク帯域幅が消費される場合があり、さらに、ウイルスおよびバックドアが含まれた可能性がある不適切なデータが配布される場合があります。

システム規則: ネットワーク アクティビティ: チャットまたは IM : アクティブ

この規則により、ユーザ間のチャットまたはインスタント メッセンジャーのプロトコル アクティビティが検出されます。

システム規則: ネットワーク アクティビティ: P2P ファイル共有: アクティブ

この規則により、KaZaa、Napster、EDonkey、Gnutella、Bearshare などのアプリケーション経由で、ユーザ間のファイル共有アクティビティが検出されます。

システム規則: ネットワーク アクティビティ: レクリエーション

この規則により、ゲーム Web サイトや成人向け Web サイトなどの、レクリエーション アクティビティが検出されます。

システム規則: ネットワーク アクティビティ: 非一般トラフィック

この規則により、たとえば、(a)ICMP ルータ アドバタイズメント、ICMP タイムスタンプの要求または応答などの、非一般 ICMP タイプ、(b)送信元ルーティングやタイムスタンプなどの、非一般 TCP/IP オプションを使用したパケット、(c)非標準ポートで実行中の、SMTP、HTTP、POP3 などの標準プロトコル、(d)FSP などの非一般プロトコルなど、近代ネットワークで一般的ではないトラフィックが検出されます。

システム: セキュリティ ポスチャの準拠性(Cisco NAC)

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: 見つけられた脆弱なホスト」

「システム規則: セキュリティ ポスチャ: 監視サーバの問題: ネットワーク全体」

「システム規則: セキュリティ ポスチャ: 監視サーバの問題: 単一ホスト」

「システム規則: セキュリティ ポスチャ: 感染: ネットワーク全体」

「システム規則: セキュリティ ポスチャ: 感染: 単一ホスト」

「システム規則: セキュリティ ポスチャ: 過剰な NAC ステータス クエリーの障害: ネットワーク全体」

「システム規則: セキュリティ ポスチャ: 過剰な NAC ステータス クエリーの障害: 単一ホスト」

「システム規則: セキュリティ ポスチャ: 過剰な NAC ステータス クエリーの障害: 単一 NAD」

「システム規則: セキュリティ ポスチャ: 検疫: ネットワーク全体」

「システム規則: セキュリティ ポスチャ: 検疫: 単一ホスト」

システム規則: 見つけられた脆弱なホスト

この規則により、ネットワークにある脆弱なホストまたはデバイスが検出されます。このようなホストまたはデバイスでは、脆弱性があるか、または適切なパッチがインストールされていないサービスが、実行されています。

システム規則: セキュリティ ポスチャ: 監視サーバの問題: ネットワーク全体

この規則により、ネットワーク全体での監視サーバの問題を示す、過剰な数のログが検出されます。その兆候は、多くのホストが長時間 TRANSITION ポスチャ状態のままであるか、または、多くの AAA サーバが監視サーバ通信問題を報告していることなどで、判断できる場合があります。これらのイベントにより、監視サーバでは、TRANSITION 状態からエンド ホスト セキュリティ ポスチャ ステータスを監視およびアップデートすることが困難であることが、示される場合があります。ホストでは、Cisco Trust Agent(CTA)ソフトウェアが実行されていない場合で、TRANSITION 状態から、HEALTHY 状態、INFECTED 状態、QUARANTINE 状態、CHECKUP 状態、または UNKNOWN 状態のいずれかに移行するため、監視サーバによってアウトオブバンド監視が必要な場合、TRANSITION 状態に入ります。TRANSITION 状態のホストは、ネットワーク アクセスが制限されるか、ネットワークにアクセスできない可能性が、高くなっています。

システム規則: セキュリティ ポスチャ: 監視サーバの問題: 単一ホスト

この規則により、単一ホストでの監視サーバの問題を示す、過剰な数のログが検出されます。その兆候は、ホストが長時間 TRANSITION ポスチャ状態のままであるか、または、同じホストに対して多くの AAA サーバが監視サーバ通信問題を報告していることなどで、判断できる場合があります。これらのイベントにより、監視サーバでは、TRANSITION 状態からエンド ホスト セキュリティ ポスチャ ステータスを監視およびアップデートすることが困難であることが、示される場合があります。ホストでは、Cisco Trust Agent(CTA)ソフトウェアが実行されていない場合で、TRANSITION 状態から、HEALTHY 状態、INFECTED 状態、QUARANTINE 状態、CHECKUP 状態、または UNKNOWN 状態のいずれかに移行するため、監視サーバによってアウトオブバンド監視が必要な場合、TRANSITION 状態に入ります。TRANSITION 状態のホストは、ネットワーク アクセスが制限されるか、ネットワークにアクセスできない可能性が、高くなっています。

システム規則: セキュリティ ポスチャ: 感染: ネットワーク全体

この規則により、多くの個別のホストで、非常に長期間、INFECTED セキュリティ ポスチャ ステータスが報告されていることが検出されます。これにより、非常に多くのホストで、感染の除去に問題があることが、示されます。

システム規則: セキュリティ ポスチャ: 感染: 単一ホスト

この規則により、特定のホストで、非常に長期間、INFECTED セキュリティ ポスチャ ステータスが報告されていることが検出されます。これにより、ホストで、感染の除去に問題があることが、示されます。

システム規則: セキュリティ ポスチャ: 過剰な NAC ステータス クエリーの障害: ネットワーク全体

この規則により、個別のエンド ホストと Network Access Device(NAD)との組み合わせによって報告される、NAC ステータス クエリーのネットワーク全体での過剰な障害が検出されます。ステータス クエリーの障害は、初期認可後に Cisco Trust Agent(CTA)によって検出されたポスチャで変更があったことを示します。ステータス クエリーの過剰な障害は、ユーザがエージェントをイネーブルまたはディセーブルにすることによって発生する、エンド ポイントの不安定さの兆候を示す場合があります。個別の NAD とエンド ホストとの組み合わせによって報告される、ステータス クエリーの過剰な障害は、重大なソフトウェアの問題を示す場合があります。

システム規則: セキュリティ ポスチャ: 過剰な NAC ステータス クエリーの障害: 単一ホスト

この規則により、同じエンド ホストからの NAC ステータス クエリーの過剰な障害が検出されます。ステータス クエリーの障害は、初期認可後に Cisco Trust Agent(CTA)によって検出されたポスチャで変更があったことを示します。ステータス クエリーの過剰な障害は、ユーザがエージェントをイネーブルまたはディセーブルにすることによって発生する、エンド ポイントの不安定さの兆候を示す場合があります。エンド ポイントに欠陥がある可能性があります。少なくとも、この動作には、その疑いがあります。

システム規則: セキュリティ ポスチャ: 過剰な NAC ステータス クエリーの障害: 単一 NAD

この規則により、個別のホストから Network Access Device(NAD)に対する、NAC ステータス クエリーの過剰な障害が検出されます。ステータス クエリーの障害は、初期認可後に Cisco Trust Agent(CTA)によって検出されたポスチャで変更があったことを示します。ステータス クエリーの過剰な障害は、ユーザがエージェントをイネーブルまたはディセーブルにすることによって発生する、エンド ポイントの不安定さの兆候を示す場合があります。同じ NAD から報告される個別ホストからのステータス クエリーの過剰な障害は、NAD での問題を示す場合があります。

システム規則: セキュリティ ポスチャ: 検疫: ネットワーク全体

この規則により、多くの個別のホストで、非常に長期間、QUARANTINED セキュリティ ポスチャ ステータスが報告されていることが検出されます。これにより、非常に多くのホストで、DAT ファイルのアップデートに問題があることが、示されます。

システム規則: セキュリティ ポスチャ: 検疫: 単一ホスト

この規則により、特定のホストで、非常に長期間、QUARANTINE セキュリティ ポスチャ ステータスが報告されていることが検出されます。これにより、ホストで、DAT ファイルのアップデートに問題があることが、示されます。

システム: サーバの悪用

このカテゴリで説明するシステム規則は、次のとおりです。

ここでは、次の内容について説明します。

「システム規則: ローカル攻撃: 試行」

「システム規則: サーバ攻撃: Sniffer : 試行」

「システム規則: サーバ攻撃: Sniffer : 正常であるかのように見える場合」

「システム規則: ローカル攻撃: 正常であるかのように見える場合」

「システム規則: サーバ攻撃: SCADA Modbus : 試行」

「システム規則: その他 攻撃: アプリケーション管理の拡大」

「システム規則: その他 攻撃: 回避」

「システム規則: その他 攻撃: TCP/IP プロトコルの異常」

「システム規則: その他 攻撃: リプレイ」

「システム規則: サーバ攻撃: データベース: 試行」

「システム規則: サーバ攻撃: DNS : 試行」

「システム規則: サーバ攻撃: FTP : 試行」

「システム規則: サーバ攻撃: ログイン: 試行」

「システム規則: サーバ攻撃: メール: 試行」

「システム規則: サーバ攻撃: その他: 試行」

「システム規則: サーバ攻撃: RPC : 試行」

「システム規則: サーバ攻撃: SNMP : 試行」

「システム規則: サーバ攻撃: Web : 試行」

「システム規則: その他 攻撃: Web カスタマー データのアクセス」

「システム規則: サーバ攻撃: データベース: 正常であるかのように見える場合」

「システム規則: サーバ攻撃: DNS : 正常であるかのように見える場合」

「システム規則: サーバ攻撃: FTP : 正常であるかのように見える場合」

「システム規則: サーバ攻撃: ログイン: 正常であるかのように見える場合」

「システム規則: サーバ攻撃: メール: 正常であるかのように見える場合」

「システム規則: サーバ攻撃: その他のアクティビティ: 正常であるかのように見える場合」

「システム規則: サーバ攻撃: RPC : 正常であるかのように見える場合」

「システム規則: サーバ攻撃: SNMP : 正常であるかのように見える場合」

「システム規則: サーバ攻撃: Web : 正常であるかのように見える場合」

システム規則: ローカル攻撃: 試行

この相関規則により、ログインしているユーザによるホストでの攻撃が検出されます。このような攻撃には、バッファ オーバーフロー攻撃や Sym リンク攻撃などが含まれます。

システム規則: サーバ攻撃: Sniffer : 試行

この相関規則により、混合ホスト(たとえば、ネットワーク IDS ホストなど)にあるホストでの DoS 攻撃が検出されます。

システム規則: サーバ攻撃: Sniffer : 正常であるかのように見える場合

この相関規則により、混合ホスト(たとえば、ネットワーク IDS ホストなど)にあるホストでの DoS 攻撃と、その後続の、宛先ホストのレポーティング機能での異常動作が、検出されます。

システム規則: ローカル攻撃: 正常であるかのように見える場合

この相関規則により、ログインしているユーザによるホストでの攻撃と、その後続の、サーバで実行される異常なアクティビティが、検出されます。異常なアクティビティには、過剰な拒否およびスキャン、バックドアへの接続、ワームの送信試行などが含まれます。このようなアクティビティの存在は、ホストに欠陥があることを示す場合があります。

システム規則: サーバ攻撃: SCADA Modbus : 試行

この相関規則により、Modbus サーバでの攻撃が検出されます。この攻撃の前には、そのホストに対する偵察試行が行われる場合があります。攻撃には、バッファ オーバーフローや DoS の試行などが含まれます。Modbus プロトコルは、業界の制御通信の事実上の標準で、Supervisory Control and Data Acquisition(SCADA)通信ネットワークでのプロトコルの選択肢です。ここでは、Programmable Logic Controller(PLC)が Modbus サーバとして動作します。

システム規則: その他 攻撃: アプリケーション管理の拡大

この相関規則により、必要な認証を回避することによって、Web アプリケーションの管理機能を実行する、非管理者ユーザによる試行が検出されます。一部の Web アプリケーションには、攻撃者にこれを認める脆弱性が含まれています。これらの攻撃の前には、ホストに対して偵察攻撃が行われることがあります。

システム規則: その他 攻撃: 回避

この相関規則により、攻撃者がネットワーク IDS システムを避ける一般的な試行が検出されます。この攻撃の前には、ホストに対して偵察攻撃が行われることがあります。

システム規則: その他 攻撃: TCP/IP プロトコルの異常

この相関規則により、標準 TCP/IP ヘッダーでエラーを示すイベントが検出されます。これらのイベントは、発信元ホストでのプロトコル実装の障害によって発生するか、または、発信元ホストによる、宛先ホストでのプロトコル実装のロバストネスのテストで悪意のある試行が行われた可能性があります。

システム規則: その他 攻撃: リプレイ

この相関規則により、Modbus サーバでのリプレイ アタックが検出されます。この攻撃の前には、そのホストに対する偵察試行が行われる場合があります。リプレイ アタックが成功すると、攻撃者が、認証を回避してアクセスできるようになる場合があります。

システム規則: サーバ攻撃: データベース: 試行

この相関規則により、データベース サーバでの攻撃が検出されます。この攻撃の前には、そのホストに対する偵察試行が行われる場合があります。攻撃には、バッファ オーバーフロー、DoS の試行、SQL インジェクション、および、データベース サーバ権限を使用したその他のリモート コマンドの実行の試行が含まれます。

システム規則: サーバ攻撃: DNS : 試行

この相関規則により、DNS ホストでの特定の攻撃が検出されます。この攻撃の前には、そのホストに対する偵察試行が行われる場合があります。DNS ホストでの攻撃には、バッファ オーバーフローの試行や DoS の試行が含まれます。

システム規則: サーバ攻撃: FTP : 試行

この相関規則により、FTP サーバでの攻撃が検出されます。この攻撃の前には、そのホストに対する偵察試行が行われる場合があります。攻撃には、バッファ オーバーフロー、FTP サーバ権限を使用したリモート コマンドの実行の試行、DoS の試行が含まれます。

システム規則: サーバ攻撃: ログイン: 試行

この相関規則により、ホストのログイン サービスでの攻撃が検出されます。この攻撃の前には、そのホストに対する偵察試行が行われる場合があります。ログイン サービスには、Telnet プロトコル、SSH プロトコル、Rsh、Rlogin、Rexec などの r- プロトコルが含まれます。攻撃には、バッファ オーバーフロー、root になるための権限拡大試行、DoS の試行などが含まれます。

システム規則: サーバ攻撃: メール: 試行

この相関規則により、ホストのメール サービス(SMTP、POP、IMAP)での攻撃が検出されます。この攻撃の前には、そのホストに対する偵察試行が行われる場合があります。メール サービスに対する攻撃には、バッファ オーバーフロー、リモート コマンドの実行の試行、root になるための権限拡大試行、DoS の試行などが含まれます。

システム規則: サーバ攻撃: その他: 試行

この相関規則により、ホストのその他のサービス(たとえば、DNS、FTP、HTTP、メール、FTP、RPC、Telnet、SSH、R の各プロトコル以外のサービス)での攻撃が検出されます。この攻撃の前には、そのホストに対する偵察試行が行われる場合があります。攻撃には、バッファ オーバーフロー、リモート コマンドの実行の試行、root になるための権限拡大試行、DoS の試行などが含まれます。

システム規則: サーバ攻撃: RPC : 試行

この相関規則により、ホストの RPC サービスでの攻撃が検出されます。この攻撃の前には、そのホストに対する偵察試行が行われる場合があります。攻撃には、バッファ オーバーフロー、リモート コマンドの実行の試行、root になるための権限拡大試行、DoS の試行などが含まれます。

システム規則: サーバ攻撃: SNMP : 試行

この相関規則により、ホストの SNMP 実装での攻撃が検出されます。この攻撃の前には、そのホストに対する偵察試行が行われる場合があります。攻撃には、バッファ オーバーフロー、root になるための権限拡大試行などが含まれます。

システム規則: サーバ攻撃: Web : 試行

この相関規則により、Web サーバでの攻撃が検出されます。この攻撃の前には、そのホストに対する偵察試行が行われる場合があります。攻撃には、バッファ オーバーフロー、リモート コマンドの実行の試行、DoS の試行などが含まれます。

システム規則: その他 攻撃: Web カスタマー データのアクセス

この相関規則により、Web アプリケーションによって保存されたカスタマー データに対する悪意のある試行が検出されます。この攻撃の前には、そのホストに対する偵察試行が行われる場合があります。カスタマー データには、通常、履歴の購入やクレジット カード番号などの、機密性の高い情報が含まれます。

システム規則: サーバ攻撃: データベース: 正常であるかのように見える場合

この相関規則により、データベース サーバでの特定の攻撃と、その後続の、ターゲットのホストに対する疑わしいアクティビティが、検出されます。疑わしいアクティビティには、ホストによるネットワークのスキャン、ファイアウォールに過剰なトラフィックが拒否されるアクティビティ、サーバでバックドアがオープンされるアクティビティなどが含まれることがあります。この攻撃の前には、ホストに対して偵察試行が行われることがあります。データベース サーバに対する攻撃には、バッファ オーバーフロー、DoS の試行、SQL インジェクション、および、データベース サーバ権限を使用したその他のリモート コマンドの実行試行が含まれます。

システム規則: サーバ攻撃: DNS : 正常であるかのように見える場合

この相関規則により、DNS ホストで成功しているように見える攻撃が検出されます。これに続いて、ターゲットの DNS サーバで疑わしいアクティビティが行われる場合、攻撃は成功であると見なされます。疑わしいアクティビティには、ホストによるネットワークのスキャン、ファイアウォールに過剰なトラフィックが拒否されるアクティビティ、サーバでバックドアがオープンされるアクティビティなどが含まれます。この攻撃の前には、ホストに対して偵察試行が行われることがあります。

システム規則: サーバ攻撃: FTP : 正常であるかのように見える場合

この相関規則により、FTP サーバでの特定の攻撃と、その後続の、ターゲットのホストに対する疑わしいアクティビティが、検出されます。疑わしいアクティビティには、ホストによるネットワークのスキャン、ファイアウォールに過剰なトラフィックが拒否されるアクティビティ、サーバでバックドアがオープンされるアクティビティなどが含まれることがあります。この攻撃の前には、ホストに対して偵察試行が行われることがあります。FTP サーバに対する攻撃には、バッファ オーバーフロー、FTP サーバ権限を使用したリモート コマンドの実行の試行、DoS の試行が含まれます。

システム規則: サーバ攻撃: ログイン: 正常であるかのように見える場合

この相関規則により、ホストのログイン サービス(たとえば、Telnet および SSH や、Rsh、Rlogin、Rexec などの r- プロトコル)での特定の攻撃と、その後続の、ターゲット ホストでの疑わしいアクティビティが、検出されます。疑わしいアクティビティには、ホストによるネットワークのスキャン、ファイアウォールに過剰なトラフィックが拒否されるアクティビティ、サーバでバックドアがオープンされるアクティビティなどが含まれることがあります。この攻撃の前には、ホストに対して偵察試行が行われることがあります。ログイン サーバに対する攻撃には、バッファ オーバーフロー、サーバ権限を使用したリモート コマンドの実行の試行、DoS の試行が含まれます。

システム規則: サーバ攻撃: メール: 正常であるかのように見える場合

この相関規則により、ホストのメール サービス(SMTP、POP、IMAP)での特定の攻撃と、その後続の、ターゲットのホストに対する疑わしいアクティビティが、検出されます。疑わしいアクティビティには、ホストによるネットワークのスキャン、ファイアウォールに過剰なトラフィックが拒否されるアクティビティ、サーバでバックドアがオープンされるアクティビティなどが含まれることがあります。この攻撃の前には、ホストに対して偵察試行が行われることがあります。メール サーバに対する攻撃には、バッファ オーバーフロー、サーバ権限を使用したリモート コマンドの実行の試行、DoS の試行が含まれます。

システム規則: サーバ攻撃: その他のアクティビティ: 正常であるかのように見える場合

この相関規則により、ホストのその他のサービス(たとえば、DNS、FTP、HTTP、メール、FTP、RPC、Telnet、SSH、R の各プロトコル以外のサービス)での特定の攻撃と、その後続の、ターゲットのホストに対する疑わしいアクティビティが、検出されます。疑わしいアクティビティには、ホストによるネットワークのスキャン、ファイアウォールに過剰なトラフィックが拒否されるアクティビティ、サーバでバックドアがオープンされるアクティビティなどが含まれることがあります。この攻撃の前には、ホストに対して偵察試行が行われることがあります。攻撃には、バッファ オーバーフロー、サーバ権限を使用したリモート コマンドの実行の試行、DoS の試行などが含まれます。

システム規則: サーバ攻撃: RPC : 正常であるかのように見える場合

この相関規則により、ホストの RPC サービスでの特定の攻撃と、その後続の、ターゲットのホストに対する疑わしいアクティビティが、検出されます。疑わしいアクティビティには、ホストによるネットワークのスキャン、ファイアウォールに過剰なトラフィックが拒否されるアクティビティ、サーバでバックドアがオープンされるアクティビティなどが含まれることがあります。この攻撃の前には、ホストに対して偵察試行が行われることがあります。RPC サービスに対する攻撃には、バッファ オーバーフロー、システム権限を使用したリモート コマンドの実行の試行、DoS の試行が含まれます。

システム規則: サーバ攻撃: SNMP : 正常であるかのように見える場合

この相関規則により、ホストの SNMP の実装での特定の攻撃と、その後続の、ターゲットのホストに対する疑わしいアクティビティが、検出されます。疑わしいアクティビティには、ホストによるネットワークのスキャン、ファイアウォールに過剰なトラフィックが拒否されるアクティビティ、サーバでバックドアがオープンされるアクティビティなどが含まれることがあります。この攻撃の前には、ホストに対して偵察試行が行われることがあります。RPC サービスに対する攻撃には、バッファ オーバーフロー、システム権限を使用したリモート コマンドの実行の試行、DoS の試行が含まれます。

システム規則: サーバ攻撃: Web : 正常であるかのように見える場合

この相関規則により、Web サーバでの特定の攻撃と、その後続の、ターゲットのホストに対する疑わしいアクティビティが、検出されます。疑わしいアクティビティには、ホストによるネットワークのスキャン、ファイアウォールに過剰なトラフィックが拒否されるアクティビティ、サーバでバックドアがオープンされるアクティビティなどが含まれることがあります。この攻撃の前には、ホストに対して偵察試行が行われることがあります。攻撃には、バッファ オーバーフロー、リモート コマンドの実行の試行、DoS の試行などが含まれます。

カテゴリ別のシステム レポート

ここでは、このリリースで含められた、カテゴリ別に整理されたシステム レポートのすべてのリストについて定義します。

ここでは、次の内容について説明します。

「システム: ASA Botnet Traffic Filter」

「システム: アクセス」

「すべてのイベント: 集約ビュー」

「システム: すべての悪用: 集約ビュー」

「COBIT DS3.3 : 監視とレポート」

「システム: COBIT DS5.10 : セキュリティ違反」

「システム: COBIT DS5.19 : 悪意のあるソフトウェア」

「システム: COBIT DS5.20 : ファイアウォールの制御」

「システム: COBIT DS5.2 : 認証とアクセス」

「システム: COBIT DS5.4 : ユーザ アカウントの変更」

「システム: COBIT DS5.7 : セキュリティ サーベイランス」

「システム: COBIT DS9.4 : 制御の設定」

「システム: COBIT DS9.5 : 非認可ソフトウェア」

「システム: CS-MARS Distributed Threat Mitigation(Cisco DTM)」

「システム: CS-MARS での問題に対する応答」

「システム: CS-MARS の問題」

「システム: クライアントの悪用、ウイルス、ワーム、悪意のあるソフトウェア」

「システム: 設定の変更」

「システム: 設定の問題」

「システム: データベース サーバ アクティビティ」

「システム: FISMA 準拠性レポート」

「システム: GLBA 準拠性レポート」

「システム: HIPAA 準拠性レポート」

「システム: ホスト アクティビティ」

「システム: ネットワーク攻撃および DoS」

「システム: 新たな悪意のあるソフトウェアの大発生(Cisco ICS)」

「システム: 運用上の問題」

「システム: PCI DSS01 : カード所有者のデータのインストール、管理、転送、保護」

「システム: PCI DSS02 : デフォルトの PWD およびセキュリティ パラメータの使用回避の推奨」

「システム: PCI DSS03 : 保存されているカード所有者のデータの保護」

「システム: PCI DSS04 : カード所有者のデータの暗号化送信」

「システム: PCI DSS05 : アンチウイルス ソフトウェアの使用と定期的なアップデート」

「システム: PCI DSS06 : 保護されるシステムまたはアプリケーションの開発と管理」

「システム: PCI DSS07 : カード所有者のデータに対するアクセス制限」

「システム: PCI DSS08 : コンピュータにアクセスするユーザに対する固有 ID の割り当て」

「システム: PCI DSS09 : カード所有者のデータに対する物理的なアクセスの制限」

「システム: PCI DSS10 : すべてのネットワーク アクセスとカード データの追跡と監視」

「システム: PCI DSS11 : セキュリティ システムとプロセスの定期的なテスト」

「システム: PCI DSS12 : すべての従業員の情報セキュリティ ポリシーの管理」

「システム: 偵察」

「システム: リソース問題」

「システム: リソースの使用状況」

「システム: 制限付きネットワーク トラフィック」

「システム: SOX 302(a)(4)(A)」

「システム: SOX 302(a)(4)(D)」

「システム: SOX 準拠性レポート」

「システム: セキュリティ ポスチャの準拠性(Cisco NAC)」

「システム: サーバの悪用」

アクティビティ: ASA Botnet Traffic Filter: Phone Home: すべてのイベント

このレポートでは、ASA Botnet Traffic Filter によってレポートされた Phone Home アクティビティに関連する、すべての疑わしいイベントの詳細が表示されます。

アクティビティ: ASA Botnet Traffic Filter: 上位のボットネット サイト

このレポートでは、ASA Botnet Traffic Filter から報告されるように、すべてのインバウンド セッションおよびアウトバウンド セッションで、上位のボットネット サイト(ブラック リストまたはグレー リストに掲載されているサイト)がランク付けされます。

アクティビティ: ASA Botnet Traffic Filter: 上位のボットネット ポート

この規則により、MARS によって見つけられたすべてのセッションについて、感染ホストからブラック リストまたはグレー リストに掲載されているサイトに送信されるトラフィックの上位の宛先ポートがランク付けされます。

アクティビティ: ASA Botnet Traffic Filter: 上位の感染ホスト

この規則により、MARS によって見つけられたすべてのセッションについて、感染ホストからブラック リストまたはグレー リストに掲載されているサイトに送信されるトラフィックの上位の感染ホストがランク付けされます。

攻撃: ASA Botnet Traffic Filter: 悪意のあるトラフィック: すべてのイベント

このレポートでは、ASA Botnet Traffic Filter から報告されるように、ブラック リストまたはグレー リストに掲載されているサイトまたは IP を発信元とするトラフィックに関連するすべてのイベントの詳細が示されます。

システム: アクセス

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「攻撃: パスワード: 上位のイベント タイプ」

「アクティビティ: ホストでのログインの失敗: 上位の宛先」

「アクティビティ: ホストでのログインの失敗: 上位のユーザ」

「アクティビティ: ホストでのログインの成功: 上位のホスト」

「攻撃: パスワード: 上位の宛先」

「アクティビティ: ホストでの権限の拡大: 上位のホスト」

「アクティビティ: リモート アクセス ログイン: 上位のユーザ」

「アクティビティ: データベースでのログインの失敗: すべてのイベント」

「アクティビティ: データベースでのログインの失敗: 上位のサーバ」

「アクティビティ: データベースでのログインの成功: 上位のサーバ」

「アクティビティ: データベースでのログインの成功: 上位のユーザ」

「アクティビティ: ホストでのログインの失敗: すべてのイベント」

「アクティビティ: ホストでのログインの成功: すべてのイベント」

「アクティビティ: ホストでの権限の拡大: すべてのイベント」

「アクティビティ: リモート アクセス ログイン: すべてのイベント」

「アクティビティ: リモート アクセス ログインの失敗: すべてのイベント」

「アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント」

「アクティビティ: ロックされたアカウント: すべてのイベント」

「アクティビティ: ロックされたアカウント: 上位のホスト」

「攻撃: パスワード: ロックされたアカウント: すべてのイベント」

「攻撃: パスワード: 制限時間: すべてのイベント」

「アクティビティ: AAA ベースのアクセス: すべてのイベント」

「アクティビティ: データベースでのログインの失敗: 上位のユーザ」

「アクティビティ: データベースでのログインの成功: すべてのイベント」

「アクティビティ: CS-MARS でのログインの失敗」

攻撃: パスワード: 上位のイベント タイプ

このレポートでは、上位のパスワード取得攻撃およびパスワード推測攻撃がランク付けされます。パスワードは、システム パスワードまたはアプリケーション パスワードである場合があります。

アクティビティ: ホストでのログインの失敗: 上位の宛先

このレポートでは、記録されたログイン失敗の回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログイン試行を基準として、ホスト ユーザがランク付けされます。

アクティビティ: ホストでのログインの成功: 上位のホスト

このレポートでは、成功したログインを基準として、ホストがランク付けされます。

攻撃: パスワード: 上位の宛先

このレポートでは、ホストで試行されたパスワード攻撃の回数を基準として、ホストがランク付けされます。パスワード攻撃には、(a)リモートまたはローカルのいずれかでのパスワードの取り込みの試行、および、(b)パスワードの推測の試行が含まれます。パスワード推測試行は、IDS およびホストによって、認証の失敗として記録されます。

アクティビティ: ホストでの権限の拡大: 上位のホスト

このレポート記録では、ホストに対して試行されたアクセス権限拡大試行を基準として、ホストがランク付けされます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: リモート アクセス ログイン: 上位のユーザ

このレポートでは、リモート アクセス ログイン(PPP、L2TP、PPTP、IP セキュリティ)を基準として、ユーザがランク付けされます。

アクティビティ: データベースでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

アクティビティ: データベースでのログインの失敗: 上位のサーバ

このレポートでは、ログイン失敗の回数を基準として、データベース サーバがランク付けされます。

アクティビティ: データベースでのログインの成功: 上位のサーバ

このレポートでは、成功したログインの回数を基準として、データベース サーバ ホストがランク付けされます。

アクティビティ: データベースでのログインの成功: 上位のユーザ

このレポートでは、成功したログインの回数を基準として、データベース ユーザがランク付けされます。

アクティビティ: ホストでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのホスト ログインの詳細が記録されます。

アクティビティ: ホストでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのホスト ログイン イベントの詳細が示されます。

アクティビティ: ホストでの権限の拡大: すべてのイベント

このレポートでは、特定のホストでアクセス権限を増やそうとしているユーザを示すイベントに関する詳細が示されます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: リモート アクセス ログイン: すべてのイベント

このレポートでは、リモート アクセス ログイン イベント(IP セキュリティ、SSLVPN、PPP、L2TP など)の詳細が示されます。

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

このイベントにより、失敗したすべてのリモート アクセス ログイン イベントの詳細が示されます。

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

このレポートでは、失敗したすべての AAA(たとえば、RADIUS、TACACS など)ベース アクセスの試行の詳細が示されます。802.1x、ネットワーク デバイス アクセス、Cisco NAC などの通常のメカニズムでは、アクセス制御に AAA サーバが使用されます。

アクティビティ: ロックされたアカウント: すべてのイベント

このレポートでは、過剰なログイン失敗が原因でロックされたコンピュータ アカウントに関するイベントの詳細が示されます。

アクティビティ: ロックされたアカウント: 上位のホスト

このレポートでは、ロックされたアカウントを基準として、ホストがランク付けされます。

攻撃: パスワード: ロックされたアカウント: すべてのイベント

このレポートでは、ロックされたアカウント、ディセーブルにされたアカウント、期限切れのアカウントに対するパスワード攻撃の詳細が示されます。

攻撃: パスワード: 制限時間: すべてのイベント

このレポートでは、制限時間内でのログインの失敗に関するすべてのイベントの詳細が示されます。ホストは、これらの時間内でのアクセスを認めないよう、特に設定されています。

アクティビティ: AAA ベースのアクセス: すべてのイベント

このレポートでは、(たとえば、ネットワークまたは特定のデバイスなどに対する)AAA ベースのアクセスの詳細が示されます。

アクティビティ: データベースでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログインの回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

アクティビティ: CS-MARS でのログインの失敗

このレポートでは、CS-MARS LC でのログインの失敗が原因で発生したイベントの詳細が示されます。

すべてのイベント: 集約ビュー

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: すべて: 上位の宛先ポート」

「アクティビティ: すべて: 上位の宛先」

「アクティビティ: すべて: 上位のイベント タイプ グループ」

「アクティビティ: すべて: 上位のイベント タイプ」

「アクティビティ: すべて: 上位のレポート デバイス」

「アクティビティ: すべて: 上位の発信元」

「アクティビティ: すべて: 上位のユーザ」

「アクティビティ: すべて: NAT 接続」

「アクティビティ: すべて: 上位のレポート デバイス タイプ」

「アクティビティ: すべてのセッション: バイト数を基準とする上位の宛先」

「詳細な NAC レポート」

アクティビティ: すべて: 上位の宛先ポート

このレポートでは、直前の 1 時間に MARS によって見つけられたすべてのイベントの UDP 宛先ポートおよび TCP 宛先ポートが、ランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: すべて: 上位の宛先

このレポートでは、直前の 1 時間に MARS によって見つけられたすべてのイベントのセッションの宛先が、ランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: すべて: 上位のイベント タイプ グループ

このレポートでは、各グループに属す報告されるイベントを基準として、イベント タイプ グループがランク付けされます。イベント タイプ グループにより、MARS に対して報告されるネットワーク アクティビティのタイプに関する一般的な概要が示されます。

アクティビティ: すべて: 上位のイベント タイプ

このレポートでは、直前の 1 時間に MARS によって見つけられたすべてのイベントのイベント タイプが、ランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: すべて: 上位のレポート デバイス

このレポートでは、各セキュリティ デバイスから報告されるイベントの総数を基準として、セキュリティ デバイスがランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: すべて: 上位の発信元

このレポートでは、直前の 1 時間に MARS によって見つけられたすべてのイベントのセッションの発信元が、ランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: すべて: 上位のユーザ

このレポートでは、最もアクティブなユーザ名を示すことによって、最も頻繁なログインおよびその他のユーザ アクティビティが追跡管理されます。

アクティビティ: すべて: NAT 接続

このレポートでは、MARS に報告されるように、非拒否セッションで実行されたネットワーク アドレス変換のリストが示されます。

アクティビティ: すべて: 上位のレポート デバイス タイプ

このレポートでは、特定の各タイプのデバイスから報告されるイベントの数を基準として、セキュリティ デバイス タイプがランク付けされます。

アクティビティ: すべてのセッション: バイト数を基準とする上位の宛先

このレポートでは、転送されたバイト数を基準として、すべての宛先がランク付けされます。

詳細な NAC レポート

詳細な NAC レポート

システム: すべての悪用: 集約ビュー

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: 防止された攻撃: 上位のレポート デバイス」

「アクティビティ: 見つけられた攻撃: 上位のレポート デバイス」

「攻撃: すべて: 上位の発信元」

「攻撃: すべて: 上位のイベント タイプ グループ」

「攻撃: すべて: すべてのイベント」

「アクティビティ: 見つけられた攻撃: 上位のイベント タイプ」

「攻撃: すべて: 上位の宛先」

「アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント」

「アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ」

アクティビティ: 防止された攻撃: 上位のレポート デバイス

このレポートでは、防止された攻撃の回数を基準として、セキュリティ デバイスがランク付けされます。

アクティビティ: 見つけられた攻撃: 上位のレポート デバイス

このレポートでは、記録された攻撃イベントの回数を基準として、セキュリティ デバイスがランク付けされます。セキュリティ デバイスは、ファイアウォール、NIDS、および HIDS の場合があります。

攻撃: すべて: 上位の発信元

このレポートでは、直前の 1 時間に MARS によって見つけられた攻撃イベントの発信元が、ランク付けされます。

攻撃: すべて: 上位のイベント タイプ グループ

このレポートでは、起動された相関規則に示されているイベント タイプ グループが、ランク付けされます。イベント タイプ グループにより、MARS からの報告の一部として分類されるネットワーク アクティビティに関する一般的な概要が示されます。

攻撃: すべて: すべてのイベント

このイベントにより、すべての攻撃イベントの詳細(イベント タイプ、宛先、発信元)が示されます。

アクティビティ: 見つけられた攻撃: 上位のイベント タイプ

このレポートでは、上位の攻撃イベント タイプがランク付けされます。

攻撃: すべて: 上位の宛先

このレポートでは、各ホストに対する攻撃の回数を基準として、ホストがランク付けされます。

アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント

このレポートには、攻撃(または試行)が防止されたすべての Cisco IPS イベントが含まれます。

アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ

このレポートでは、攻撃(または試行)が防止された上位の Cisco IPS イベント タイプが、ランク付けされます。

COBIT DS3.3 : 監視とレポート

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「運用上の問題: ネットワーク: 上位のレポート デバイス」

「運用上の問題: サーバ: 上位のレポート デバイス」

「リソースの問題: ネットワーク: 上位のレポート デバイス」

「リソースの問題: サーバ: 上位のレポート デバイス」

「リソースの利用率: 帯域幅: インバウンド: 上位のインターフェイス」

「リソースの利用率: CPU : 上位のデバイス」

「リソースの利用率: 帯域幅: アウトバウンド: 上位のインターフェイス」

「リソースの利用率: 並列接続: 上位のデバイス」

「リソースの利用率: エラー: インバウンド: 上位のインターフェイス」

「リソースの利用率: エラー: アウトバウンド: 上位のインターフェイス」

「リソースの利用率: メモリ: 上位のデバイス」

「アクティビティ: ポートに対する急激なトラフィックの増加: すべての宛先」

「アクティビティ: ポートに対する急激なトラフィックの増加: すべての発信元」

「運用上の問題: ネットワーク: すべてのイベント」

「運用上の問題: サーバ: すべてのイベント」

「リソースの問題: ネットワーク: すべてのイベント」

「リソースの問題: サーバ: すべてのイベント」

運用上の問題: ネットワーク: 上位のレポート デバイス

このレポートでは、ルータ、ファイアウォール、ネットワーク IDS システムなどのネットワーク デバイスで発生した運用上の問題を示す可能性があるイベントが要約されます。

運用上の問題: サーバ: 上位のレポート デバイス

このレポートでは、サーバで発生した運用上の問題を示す可能性があるイベントが要約されます。

リソースの問題: ネットワーク: 上位のレポート デバイス

このレポートでは、ファイアウォール、ルータ、スイッチなどのネットワーク デバイスで発生したリソースの問題を示す可能性があるイベントが要約されます。

リソースの問題: サーバ: 上位のレポート デバイス

このレポートでは、サーバで発生したリソースの問題を示す可能性があるイベントが要約されます。これらは、ホスト IDS イベントである可能性が高い場合があります。

リソースの利用率: 帯域幅: インバウンド: 上位のインターフェイス

このレポートでは、PN-MARS によって管理されているデバイス上のインターフェイスでの、インバウンド帯域幅利用率がランク付けされます。

リソースの利用率: CPU : 上位のデバイス

このレポートでは、PN-MARS によって管理されているデバイスでの、CPU 利用率がランク付けされます。

リソースの利用率: 帯域幅: アウトバウンド: 上位のインターフェイス

このレポートでは、PN-MARS によって管理されているデバイス上のインターフェイスでの、アウトバウンド帯域幅利用率がランク付けされます。

リソースの利用率: 並列接続: 上位のデバイス

このレポートでは、PN-MARS によって管理されているデバイス経由で確立された並列接続の数が、ランク付けされます。

リソースの利用率: エラー: インバウンド: 上位のインターフェイス

このレポートでは、PN-MARS によって管理されているデバイスのインバウンド インターフェイスでのエラー率を基準として、ランク付けされます。

リソースの利用率: エラー: アウトバウンド: 上位のインターフェイス

このレポートでは、PN-MARS によって管理されているデバイスのアウトバウンド インターフェイスでのエラー率を基準として、ランク付けされます。

リソースの利用率: メモリ: 上位のデバイス

このレポートでは、PN-MARS によって管理されているデバイスでの、メモリ利用率がランク付けされます。

アクティビティ: ポートに対する急激なトラフィックの増加: すべての宛先

このレポートでは、TCP ポートまたは UDP ポートで急激に受信している統計的に非常に大きな量または ICMP トラフィックにより、異常な動作を見せているホストのリストが示されます。

アクティビティ: ポートに対する急激なトラフィックの増加: すべての発信元

このレポートでは、TCP ポートまたは UDP ポートで急激に送信している統計的に非常に大きな量または ICMP トラフィックにより、異常な動作を見せているホストのリストが示されます。

運用上の問題: ネットワーク: すべてのイベント

このレポートでは、ネットワーク デバイスでのすべての運用上の問題に関する詳細のリストが示されます。

運用上の問題: サーバ: すべてのイベント

このレポートでは、ホストまたはホスト アプリケーションでのすべての運用上の問題を示すイベントに関する詳細のリストが示されます。

リソースの問題: ネットワーク: すべてのイベント

このレポートでは、IDS、ルータ、ファイアウォールなどのネットワーク デバイスで発生したリソースの問題に関連するすべてのイベントのイベント詳細のリストが示されます。

リソースの問題: サーバ: すべてのイベント

このレポートでは、ホスト上のすべてのリソース問題のイベント詳細のリストが示されます。これらは、ホスト IDS またはオペレーティング システムのログによって報告されます。

システム: COBIT DS5.10 : セキュリティ違反

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: IDS の回避: 上位のイベント タイプ」

「アクティビティ: スキャン: 上位の宛先ポート」

「アクティビティ: スキャン: 上位の宛先」

「アクティビティ: ステルスのスキャン: 上位の発信元」

「攻撃: データベース サーバ: 上位のイベント タイプ」

「攻撃: FTP サーバ: 上位のイベント タイプ」

「攻撃: スプーフィングの特定: 上位のイベント タイプ」

「攻撃: ログイン サービス: 上位のイベント タイプ」

「攻撃: メール サーバ: 上位のイベント タイプ」

「攻撃: ネットワーク DoS : 上位のイベント タイプ」

「攻撃: RPC サービス: 上位のイベント タイプ」

「攻撃: SNMP : 上位のイベント タイプ」

「攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ」

「攻撃: すべて: 上位のイベント タイプ グループ」

「攻撃: すべて: すべてのイベント」

「攻撃: 非一般的または異常なトラフィック: 上位のイベント タイプ」

「アクティビティ: データベースの特権コマンドの失敗: すべてのイベント」

「アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント」

「アクティビティ: ホストでのログインの失敗: すべてのイベント」

「アクティビティ: リモート アクセス ログインの失敗: すべてのイベント」

「アクティビティ: ポートに対する急激なトラフィックの増加: すべての宛先」

「アクティビティ: ポートに対する急激なトラフィックの増加: すべての発信元」

「攻撃: パスワード: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント」

アクティビティ: IDS の回避: 上位のイベント タイプ

このレポートでは、ネットワーク IDS システムによる検出を回避する目的を持つ攻撃者による試行を検出するイベントが、ランク付けされます。これは、Web ベースの混乱攻撃、フラグメンテーション攻撃、または、TCP/IP ベースの攻撃の可能性があります。

アクティビティ: スキャン: 上位の宛先ポート

このレポートでは、ポートでのスキャン アクティビティを検出するイベントの総数を基準として、宛先ポートがランク付けされます。スキャンには、稼動ホストおよび稼動ホストでオープンされているサービスの検索や、ホスト設定およびアプリケーション設定の検出などの、アクティビティが含まれます。

アクティビティ: スキャン: 上位の宛先

このレポートでは、ホストに対して誘導されたスキャン アクティビティを検出するイベントの総数を基準として、ホストがランク付けされます。スキャンには、稼動ホストおよび稼動ホストでオープンされているサービスの検索や、ホスト設定およびアプリケーション設定の検出などの、アクティビティが含まれます。

アクティビティ: ステルスのスキャン: 上位の発信元

このレポートでは、ステルス スキャン アクティビティの数を基準として、攻撃者がランク付けされます。このようなアクティビティには、ホスト オペレーティング システムおよびその他の脆弱性を検出するための、クラフト パケットの送信が含まれます。脆弱性のあるスキャン機能により、このようなイベントが生成される場合があります。

攻撃: データベース サーバ: 上位のイベント タイプ

このレポートでは、MS SQL Server、Oracle、Sybase などのデータベース サーバでの攻撃が、ランク付けされます。

攻撃: FTP サーバ: 上位のイベント タイプ

このレポートでは、FTP サーバでの攻撃がランク付けされます。

攻撃: スプーフィングの特定: 上位のイベント タイプ

このレポートでは、直前の 1 時間に識別情報をスプーフィングするために攻撃者によって行われた試行を示すイベントが、ランク付けされます。

攻撃: ログイン サービス: 上位のイベント タイプ

このレポートでは、ログイン サービスおよびリモート シェルを提供しているサーバでの攻撃が、ランク付けされます。その例には、Telnet、SSH、および Berkeley r- プロトコルが含まれます。

攻撃: メール サーバ: 上位のイベント タイプ

このレポートでは、メール サーバ(SMTP、POP、IMAP)での攻撃がランク付けされます。

攻撃: ネットワーク DoS : 上位のイベント タイプ

このレポートでは、ネットワーク全体での DoS 試行を示す攻撃がランク付けされます。このような攻撃には、ルータ、ファイアウォール、スイッチなどのインライン ネットワークのクラッシュやリブート、または、TCP、UDP、ICMP のトラフィックによるネットワーク負荷の増大が、含まれる場合があります。

攻撃: RPC サービス: 上位のイベント タイプ

このレポートでは、RPC ベースのアプリケーションでの攻撃がランク付けされます。

攻撃: SNMP : 上位のイベント タイプ

このレポートでは、直前の 1 時間の SNMP ベースの攻撃がランク付けされます。

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

このレポートでは、直前の 1 時間の Web サーバまたは Web サーバに組み込まれたアプリケーションでの攻撃が、ランク付けされます。

攻撃: すべて: 上位のイベント タイプ グループ

このレポートでは、起動された相関規則に示されているイベント タイプ グループが、ランク付けされます。イベント タイプ グループにより、MARS からの報告の一部として分類されるネットワーク アクティビティに関する一般的な概要が示されます。

攻撃: すべて: すべてのイベント

このイベントにより、すべての攻撃イベントの詳細(イベント タイプ、宛先、発信元)が示されます。

攻撃: 非一般的または異常なトラフィック: 上位のイベント タイプ

このレポートでは、非一般的または異常なトラフィックを示すイベントがランク付けされます。非一般的なトラフィックには、一般的な用途ではない ICMP タイプおよび TCP や IP のオプション、または、非標準ポートでの標準トラフィックが含まれます。異常なトラフィックには、IETF またはその他の広く知られているプロトコル仕様に違反するトラフィックが含まれます。

アクティビティ: データベースの特権コマンドの失敗: すべてのイベント

このレポートでは、失敗したすべての特権データベース コマンドの実行に関するイベント詳細のリストが示されます。

アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベースのユーザまたはグループの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: ホストでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのホスト ログインの詳細が記録されます。

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

このイベントにより、失敗したすべてのリモート アクセス ログイン イベントの詳細が示されます。

アクティビティ: ポートに対する急激なトラフィックの増加: すべての宛先

このレポートでは、TCP ポートまたは UDP ポートで急激に受信している統計的に非常に大きな量または ICMP トラフィックにより、異常な動作を見せているホストのリストが示されます。

アクティビティ: ポートに対する急激なトラフィックの増加: すべての発信元

このレポートでは、TCP ポートまたは UDP ポートで急激に送信している統計的に非常に大きな量または ICMP トラフィックにより、異常な動作を見せているホストのリストが示されます。

攻撃: パスワード: すべてのイベント

このレポートでは、すべてのパスワード攻撃イベントの詳細が示されます。

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

このレポートでは、CHECKUP 状態、QUARANTINE 状態、INFECTED 状態のいずれかなど、セキュリティ ポスチャが最新ではないユーザの詳細イベントのリストが示されます。これらのホストにあるソフトウェアは、アップグレードする必要があります。CHECKUP ホストでは、DAT ファイルをアップデートする必要があります。QUARANTINE ホストでは、ネットワークにアクセスする前に、DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、補修する必要があります。

システム: COBIT DS5.19 : 悪意のあるソフトウェア

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: バックドア: 上位のイベント タイプ」

「アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ」

「攻撃: ウイルスまたはワーム: 上位の発信元」

「アクティビティ: バックドア: 上位の宛先」

「アクティビティ: バックドア: 上位のホスト」

「アクティビティ: スパイウェア: 上位のホスト」

「アクティビティ: ウイルスまたはワーム: 上位の感染ホスト」

「アクティビティ: ウイルス: 検出: 上位のユーザ」

「アクティビティ: ウイルス: 感染: 上位のユーザ」

アクティビティ: バックドア: 上位のイベント タイプ

このレポートでは、バックドア アクティビティの一部の形式を検出するイベントがランク付けされます。バックドアは、欠陥のあるホストで攻撃者によって作成される場合があります。バックドア イベントは、バックドアに接続しようとする試行、または、バックドアを実行中のサーバからの応答のいずれかです。

アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ

このレポートでは、ネットワークにあるウイルスまたはワームのアクティビティを検出するイベントがランク付けされます。

攻撃: ウイルスまたはワーム: 上位の発信元

このレポートでは、ウイルスまたはワームの送信を試行する発信元のアドレスがランク付けされます。

アクティビティ: バックドア: 上位の宛先

このレポートでは、バックドア接続試行に応答するホストがランク付けされます。

アクティビティ: バックドア: 上位のホスト

このレポートでは、バックドア接続試行に応答するホストがランク付けされます。これは、ホストがバックドアに感染し、バックドアが実行されている可能性が高いことを意味します。

アクティビティ: スパイウェア: 上位のホスト

このレポートでは、スパイウェア アプリケーションを実行中のホストがランク付けされます。スパイウェアは、ホスト上でインストールおよび実行されて、ユーザ名、パスワード、およびクレジット カード情報を収集し、その情報をスパイウェアの作成者に送信する、悪意のあるアプリケーションです。

アクティビティ: ウイルスまたはワーム: 上位の感染ホスト

このレポートでは、SMTP、POP、IMAP、ネットワーク共有などを経由してウイルスおよびワームを送信するホストがランク付けされます。

アクティビティ: ウイルス: 検出: 上位のユーザ

このレポートでは、検出されたウイルスを基準として、ユーザまたはワークステーションがランク付けされます。

アクティビティ: ウイルス: 感染: 上位のユーザ

このレポートでは、検出されたが除去されていないウイルスを基準として、ユーザまたはワークステーションがランク付けされます。

システム: COBIT DS5.20 : ファイアウォールの制御

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: 防止された攻撃: 上位のレポート デバイス」

「アクティビティ: 拒否: 上位の宛先ポート」

「アクティビティ: 拒否: 上位の宛先」

「アクティビティ: Web の使用状況: 上位の発信元」

「アクティビティ: ネットワークの使用状況: 上位の宛先ポート」

「アクティビティ: Web の使用状況: バイト数を基準とする上位の宛先」

「アクティビティ: Web の使用状況: セッション数を基準とする上位の宛先」

「リソースの利用率: 並列接続: 上位のデバイス」

「アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート」

「アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント」

「アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ」

アクティビティ: 防止された攻撃: 上位のレポート デバイス

このレポートでは、防止された攻撃の回数を基準として、セキュリティ デバイスがランク付けされます。

アクティビティ: 拒否: 上位の宛先ポート

このレポートでは、攻撃のターゲットとされたが攻撃が拒否された宛先ポートが、ランク付けされます。

アクティビティ: 拒否: 上位の宛先

このレポートでは、攻撃のターゲットとされたが攻撃が拒否された宛先ホストが、ランク付けされます。

アクティビティ: Web の使用状況: 上位の発信元

このシグニチャでは、Web の使用に基づいて、発信元アドレスがランク付けされます。

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

このレポートでは、ネットワーク セッションの数を基準として、宛先ポートがランク付けされます。このレポートでは、セッション イベントを取り込めるようにするため、ルータまたはファイアウォールの Syslog レベルを高く設定する必要があります。このレポートでは、ネットワークの一般的な使用パターンが示されます。

アクティビティ: Web の使用状況: バイト数を基準とする上位の宛先

このレポートでは、転送されたバイト数を基準として、Web サーバがランク付けされます。

アクティビティ: Web の使用状況: セッション数を基準とする上位の宛先

このレポートでは、セッション数を基準として、Web の宛先がランク付けされます。

リソースの利用率: 並列接続: 上位のデバイス

このレポートでは、PN-MARS によって管理されているデバイス経由で確立された並列接続の数が、ランク付けされます。

アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート

このレポートでは、送信されたバイト数を基準として、上位の宛先ポートがランク付けされます。

アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント

このレポートには、攻撃(または試行)が防止されたすべての Cisco IPS イベントが含まれます。

アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ

このレポートでは、攻撃(または試行)が防止された上位の Cisco IPS イベント タイプが、ランク付けされます。

システム: COBIT DS5.2 : 認証とアクセス

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: ホストでのログインの成功: 上位のホスト」

「アクティビティ: ホストでの権限の拡大: 上位のホスト」

「アクティビティ: リモート アクセス ログイン: 上位のユーザ」

「アクティビティ: ホストでのログインの成功: すべてのイベント」

「アクティビティ: ホストでの管理ログインの成功: すべてのイベント」

「アクティビティ: ホストでの権限の拡大: すべてのイベント」

「アクティビティ: リモート アクセス ログイン: すべてのイベント」

「アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント」

「アクティビティ: ロックされたアカウント: すべてのイベント」

「アクティビティ: ロックされたアカウント: 上位のホスト」

「攻撃: パスワード: ロックされたアカウント: すべてのイベント」

「攻撃: パスワード: 制限時間: すべてのイベント」

「アクティビティ: AAA ベースのアクセス: すべてのイベント」

「アクティビティ: データベースでのログインの成功: すべてのイベント」

「アクティビティ: CS-MARS でのログインの失敗」

アクティビティ: ホストでのログインの成功: 上位のホスト

このレポートでは、成功したログインを基準として、ホストがランク付けされます。

アクティビティ: ホストでの権限の拡大: 上位のホスト

このレポート記録では、ホストに対して試行されたアクセス権限拡大試行を基準として、ホストがランク付けされます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: リモート アクセス ログイン: 上位のユーザ

このレポートでは、リモート アクセス ログイン(PPP、L2TP、PPTP、IP セキュリティ)を基準として、ユーザがランク付けされます。

アクティビティ: ホストでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのホスト ログイン イベントの詳細が示されます。

アクティビティ: ホストでの管理ログインの成功: すべてのイベント

このレポートでは、成功したホストに対する管理ログイン イベントの詳細が示されます。

アクティビティ: ホストでの権限の拡大: すべてのイベント

このレポートでは、特定のホストでアクセス権限を増やそうとしているユーザを示すイベントに関する詳細が示されます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: リモート アクセス ログイン: すべてのイベント

このレポートでは、リモート アクセス ログイン イベント(IP セキュリティ、SSLVPN、PPP、L2TP など)の詳細が示されます。

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

このレポートでは、失敗したすべての AAA(たとえば、RADIUS、TACACS など)ベース アクセスの試行の詳細が示されます。802.1x、ネットワーク デバイス アクセス、Cisco NAC などの通常のメカニズムでは、アクセス制御に AAA サーバが使用されます。

アクティビティ: ロックされたアカウント: すべてのイベント

このレポートでは、過剰なログイン失敗が原因でロックされたコンピュータ アカウントに関するイベントの詳細が示されます。

アクティビティ: ロックされたアカウント: 上位のホスト

このレポートでは、ロックされたアカウントを基準として、ホストがランク付けされます。

攻撃: パスワード: ロックされたアカウント: すべてのイベント

このレポートでは、ロックされたアカウント、ディセーブルにされたアカウント、期限切れのアカウントに対するパスワード攻撃の詳細が示されます。

攻撃: パスワード: 制限時間: すべてのイベント

このレポートでは、制限時間内でのログインの失敗に関するすべてのイベントの詳細が示されます。ホストは、これらの時間内でのアクセスを認めないよう、特に設定されています。

アクティビティ: AAA ベースのアクセス: すべてのイベント

このレポートでは、(たとえば、ネットワークまたは特定のデバイスなどに対する)AAA ベースのアクセスの詳細が示されます。

アクティビティ: データベースでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

アクティビティ: CS-MARS でのログインの失敗

このレポートでは、CS-MARS LC でのログインの失敗が原因で発生したイベントの詳細が示されます。

アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント

このレポートでは、ホストから報告されたユーザ グループ管理イベントが記録されます。

アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト

このレポートでは、報告されたユーザ グループ管理イベントを基準として、ホストがランク付けされます。

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベースのユーザまたはグループの変更に関するイベント詳細のリストが示されます。

アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ

このレポートでは、成功したデータベースのユーザまたはグループの変更の実行を基準として、ユーザがランク付けされます。

アクティビティ: すべて: 上位のイベント タイプ

このレポートでは、直前の 1 時間に MARS によって見つけられたすべてのイベントのイベント タイプが、ランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: すべて: 上位のレポート デバイス

このレポートでは、各セキュリティ デバイスから報告されるイベントの総数を基準として、セキュリティ デバイスがランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: 見つけられた攻撃: 上位のレポート デバイス

このレポートでは、記録された攻撃イベントの回数を基準として、セキュリティ デバイスがランク付けされます。セキュリティ デバイスは、ファイアウォール、NIDS、および HIDS の場合があります。

アクティビティ: すべて: 上位のレポート デバイス タイプ

このレポートでは、特定の各タイプのデバイスから報告されるイベントの数を基準として、セキュリティ デバイス タイプがランク付けされます。

アクティビティ: 非アクティブなレポート デバイス: 上位のデバイス

このレポートでは、CS-MARS にイベントを報告するよう設定されているが、直前の 1 時間にイベントを報告しなかったデバイスのリストが示されます。

アクティビティ: ホストでのレジストリの変更: すべてのイベント

このレポートでは、Microsoft Windows のレジストリ変更のシグナルを送信するイベントが記録されます。

アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベース オブジェクトの変更試行に関するイベント詳細のリストが示されます。

設定の変更: ネットワーク: すべてのイベント

このイベントにより、ネットワーク デバイスでのすべての設定変更の詳細が示されます。

設定の変更: サーバ: すべてのイベント

このイベントにより、(OS またはホスト IDS エージェントによって報告される)ホストでのすべての設定変更の詳細が示されます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

このレポートでは、ホストのセキュリティに影響を及ぼす、ホストでのすべてのポリシー変更のリストが示されます。これらのイベントは、通常、ホスト IDS およびホスト エージェントによって報告されます。

アクティビティ: IRC : すべてのイベント

このレポートでは、すべての IRC アクティビティのリストが示されます。通常、ワームにより、IRC 接続が開始される感染ホスト上に、実行可能プログラムが置かれます。

アクティビティ: レクリエーション: すべてのイベント

このイベントにより、ゲームなどのレクリエーション アクティビティや、ギャンブルなどの特定の Web サイトに含まれている、すべてのユーザの詳細が示されます。

アクティビティ: スパイウェア: すべてのイベント

このイベントにより、すべてのスパイウェア イベントの詳細が示されます。

アクティビティ: P2P ファイル共有またはチャット: すべてのイベント

このイベントにより、すべての P2P ファイル共有またはチャットのイベント詳細が示されます。

アクティビティ: 非一般的または異常なトラフィック: すべてのイベント

このレポートでは、未使用 TCP オプション、非一般的な ICMP トラフィック、標準ポートでの非標準トラフィック、トンネル トラフィックなどの、非一般的または異常なトラフィックの詳細が示されます。

システム: CS-MARS Distributed Threat Mitigation(Cisco DTM)

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: IOS IPS DTM シグニチャ調整の成功: すべてのイベント」

「接続の問題: IOS IPS DTM : すべてのイベント」

「リソースの問題: IOS IPS DTM : 上位のデバイス」

「リソースの問題: IOS IPS DTM : すべてのイベント」

アクティビティ: IOS IPS DTM シグニチャ調整の成功: すべてのイベント

このレポートでは、追加および削除の両方の、すべての IOS IPS シグニチャ ダウンロード アクティビティのリストが示されます。CS-MARS Distributed Threat Mitigation(DTM)により、IOS ルータで ACTIVE IPS シグニチャがオンに設定されます。

接続の問題: IOS IPS DTM : すべてのイベント

このレポートでは、CS-MARS と IOS IPS デバイスとの間の接続問題のリストが示されます。接続問題により、CS-MARS では、IOS IPS 上で ACTIVE シグニチャがオンに設定されない場合があります。

リソースの問題: IOS IPS DTM : 上位のデバイス

このレポートでは、CS-MARS Distributed Threat Mitigation(DTM)のメモリが不足している IOS IPS ルータのリストが示されます。メモリ不足が原因で、CS-MARS では、IOS IPS デバイスに対して、ACTIVE IPS シグニチャのセット全体をダウンロードしたり、アクティブにしたりできない場合があります。

リソースの問題: IOS IPS DTM : すべてのイベント

このレポートでは、CS-MARS Distributed Threat Mitigation(DTM)のメモリが不足している特定の IOS IPS ルータを示すイベント詳細のリストが示されます。メモリ不足が原因で、CS-MARS では、これらの IOS IPS デバイスに対して、ACTIVE IPS シグニチャのセット全体をダウンロードしたり、アクティブにしたりできない場合があります。

アクティビティ: CS-MARS ホストの負荷軽減: 失敗: すべてのイベント

このレポートでは、失敗した CS-MARS の負荷軽減の試行のリストが示されます。これらは、不適切なネットワーク接続またはデバイス アクセス クレデンシャルから発生する可能性があります。

アクティビティ: CS-MARS ホストの負荷軽減: 成功: すべてのイベント

このレポートでは、成功した CS-MARS からの負荷軽減に関するリストが示されます。

アクティビティ: IOS IPS DTM シグニチャ調整の成功: すべてのイベント

このレポートでは、追加および削除の両方の、すべての IOS IPS シグニチャ ダウンロード アクティビティのリストが示されます。CS-MARS Distributed Threat Mitigation(DTM)により、IOS ルータで ACTIVE IPS シグニチャがオンに設定されます。

アクティビティ: WLAN の負担軽減の成功

このレポートでは、Cisco WLAN Controller から報告されるように、ネットワークへのアクセスが軽減された、動作が不適切なすべての無線 LAN ホスト、AP、およびアドホック ホストのリストが示されます。

システム: CS-MARS の問題

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: 未知のイベント: すべてのイベント」

「リソースの問題: CS-MARS : すべてのイベント」

「リソースの利用率: CS-MARS : すべてのイベント」

「アクティビティ: CS-MARS で受信した新しい証明書またはフィンガープリント」

「アクティビティ: CS-MARS で受信した矛盾のある証明書またはフィンガープリント」

「アクティビティ: CS-MARS で検出された矛盾のある証明書またはフィンガープリント」

「アクティビティ: CS-MARS での証明書またはフィンガープリントの保存障害」

「アクティビティ: CS-MARS でのデバイス接続のエラー」

「アクティビティ: CS-MARS 認証方式の変更」

「アクティビティ: CS-MARS pnadmin ユーザのパスワード ステータス」

「アクティビティ: CS-MARS でロックされたアカウント」

「アクティビティ: CS-MARS IPS シグニチャ アップデートの成功: すべてのイベント」

「アクティビティ: CS-MARS でのログインの成功」

「アクティビティ: CS-MARS IPS シグニチャ アップデートの失敗: すべてのイベント」

「アクティビティ: CS-MARS でのログインの失敗」

「アクティビティ: CS-MARS LC-GC 通信の回復」

「アクティビティ: CS-MARS でロックが解除されたアカウント」

「アクティビティ: CS-MARS LC-GC 通信の失敗」

アクティビティ: 未知のイベント: すべてのイベント

このレポートでは、MARS で認識されていないイベントが追跡管理されます。

リソースの問題: CS-MARS : すべてのイベント

この規則により、たとえば、イベントまたは NetFlow の廃棄など、CS-MARS デバイスでのリソース問題に関連するすべてのイベントのイベント詳細のリストが示されます。

リソースの利用率: CS-MARS : すべてのイベント

この規則により、たとえば、データベース パーティションなど、CS-MARS のリソース利用率に関連するすべてのイベントのイベント詳細のリストが示されます。

アクティビティ: CS-MARS で受信した新しい証明書またはフィンガープリント

このレポートでは、リモート デバイスへの接続時に、CS-MARS で新しい SSL 証明書または SSH キー フィンガープリントを受信したことが原因で発生したイベント詳細のリストが示されます。

アクティビティ: CS-MARS で受信した矛盾のある証明書またはフィンガープリント

このレポートでは、リモート デバイスへの接続時に、CS-MARS で矛盾のある SSL 証明書または SSH キー フィンガープリントを受信したことが原因で発生したイベント詳細のリストが示されます。

アクティビティ: CS-MARS で検出された矛盾のある証明書またはフィンガープリント

このレポートでは、リモート デバイスへの接続時に、CS-MARS で矛盾のある SSL 証明書または SSH キー フィンガープリントが検出されたことが原因で発生したイベント詳細のリストが示されます。

アクティビティ: CS-MARS での証明書またはフィンガープリントの保存障害

このレポートでは、明示的なユーザ アクションまたは SSL や SSH の設定が原因の自動受信に基づいて、新規または変更された SSL 証明書または SSH キー フィンガープリントを保存する際に、CS-MARS で障害が起きたことが原因で発生した、イベント詳細のリストが示されます。

アクティビティ: CS-MARS でのデバイス接続のエラー

このレポートでは、(たとえば、SSL 証明書または SSH キー フィンガープリントの矛盾、ネットワーク タイムアウトなど)さまざまな理由で発生した CS-MARS デバイス接続エラーの、イベント詳細のリストが示されます。これには、一時的および永続的なエラーの両方が含まれます。

アクティビティ: CS-MARS 認証方式の変更

このレポートでは、ローカル DB から AAA または AAA からローカル DB への認証方式の変更のため、CS-MARS LC アクティビティが原因で発生したイベントの詳細が示されます。

アクティビティ: CS-MARS pnadmin ユーザのパスワード ステータス

このレポートでは、パスワードの変更などの CS-MARS LC "pnadmin" ユーザ アカウント パスワード アクティビティが原因で、または、24 時間ごとにチェックされるパスワードが、工場出荷時のデフォルトのままの場合に発生する、イベントの詳細が示されます。

アクティビティ: CS-MARS でロックされたアカウント

このレポートでは、過剰なログインの失敗または明示的な管理者ユーザによるアクションのためにロックされた CS-MARS LC アカウントが原因で発生した、イベントの詳細が示されます。

アクティビティ: CS-MARS IPS シグニチャ アップデートの成功: すべてのイベント

このレポートでは、CS-MARS での IPS シグニチャ パッケージの自動アップデート中に発生し、成功したすべてのイベントのイベント詳細のリストが示されます。含まれるイベントは、自動アップデートでの中間の手順の成功、または、ダウンロードされた IPS シグニチャ パッケージを使用した CS-MARS データベースのアップデートのすべてまたは部分的な成功を、意味します。

アクティビティ: CS-MARS でのログインの成功

このレポートでは、CS-MARS LC でのログインの成功が原因で発生したイベントの詳細が示されます。

アクティビティ: CS-MARS IPS シグニチャ アップデートの失敗: すべてのイベント

このレポートでは、CS-MARS での IPS シグニチャ パッケージの自動アップデート中に発生し、失敗したすべてのイベントのイベント詳細のリストが示されます。含まれるイベントは、一部の IPS シグニチャに対応する 1 つ以上の CS-MARS イベント タイプの追加またはアップデートの失敗や、シグニチャ パッケージを使用した CS-MARS データベースのダウンロード、解析、アップデート(または部分的なアップデート)の完全な失敗など、途中でのエラーを意味します。

アクティビティ: CS-MARS でのログインの失敗

このレポートでは、CS-MARS LC でのログインの失敗が原因で発生したイベントの詳細が示されます。

アクティビティ: CS-MARS LC-GC 通信の回復

このレポートでは、接続問題、証明書の不一致、互換性のないソフトウェアまたはデータのバージョンなど、さまざまな理由のために失敗した、CS-MARS Local Controller とその Global Controller との間の通信が、すべて元に戻されたことが原因で発生した、直前の 1 時間のイベント詳細のリストが示されます。

アクティビティ: CS-MARS でロックが解除されたアカウント

このレポートでは、管理者ユーザによってロックが解除された CS-MARS LC アカウントが原因で発生した、イベントの詳細が示されます。

アクティビティ: CS-MARS LC-GC 通信の失敗

このレポートでは、接続問題、証明書の不一致、互換性のないソフトウェアまたはデータのバージョンなど、さまざまな理由のために、CS-MARS Local Controller とその Global Controller との間で失敗したすべての通信が原因で発生した、直前の 1 時間のイベント詳細のリストが示されます。

システム: クライアントの悪用、ウイルス、ワーム、悪意のあるソフトウェア

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: バックドア: 上位のイベント タイプ」

「アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ」

「攻撃: ウイルスまたはワーム: 上位の発信元」

「アクティビティ: バックドア: 上位の宛先」

「アクティビティ: バックドア: 上位のホスト」

「攻撃: クライアントの悪用: 上位の発信元」

「アクティビティ: ウイルスまたはワーム: 上位の感染ホスト」

「アクティビティ: ウイルス: 検出: 上位のユーザ」

「アクティビティ: ウイルス: 感染: 上位のユーザ」

「アクティビティ: 新たに検出された悪意のあるソフトウェア: すべてのイベント」

「アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の失敗: すべてのイベント」

「アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の成功: すべてのイベント」

「アクティビティ: 新たな悪意のあるソフトウェア トラフィックの一致: すべてのイベント」

「アクティビティ: 新たな悪意のあるソフトウェアのトラフィックの一致: 上位の発信元」

「アクティビティ: ポートに対する急激なトラフィックの増加: すべての宛先」

「アクティビティ: ポートに対する急激なトラフィックの増加: すべての発信元」

「アクティビティ: ASA Botnet Traffic Filter: Phone Home: すべてのイベント」

「アクティビティ: ASA Botnet Traffic Filter: 上位のボットネット サイト」

「アクティビティ: ASA Botnet Traffic Filter: 上位のボットネット ポート」

「アクティビティ: ASA Botnet Traffic Filter: 上位の感染ホスト」

「攻撃: ASA Botnet Traffic Filter: 悪意のあるトラフィック: すべてのイベント」

アクティビティ: バックドア: 上位のイベント タイプ

このレポートでは、バックドア アクティビティの一部の形式を検出するイベントがランク付けされます。バックドアは、欠陥のあるホストで攻撃者によって作成される場合があります。バックドア イベントは、バックドアに接続しようとする試行、または、バックドアを実行中のサーバからの応答のいずれかです。

アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ

このレポートでは、ネットワークにあるウイルスまたはワームのアクティビティを検出するイベントがランク付けされます。

攻撃: ウイルスまたはワーム: 上位の発信元

このレポートでは、ウイルスまたはワームの送信を試行する発信元のアドレスがランク付けされます。

アクティビティ: バックドア: 上位の宛先

このレポートでは、バックドア接続試行に応答するホストがランク付けされます。

アクティビティ: バックドア: 上位のホスト

このレポートでは、バックドア接続試行に応答するホストがランク付けされます。これは、ホストがバックドアに感染し、バックドアが実行されている可能性が高いことを意味します。

攻撃: クライアントの悪用: 上位の発信元

このレポートでは、各ホストが発信元となっている悪用の回数を基準として、ホストがランク付けされます。

アクティビティ: ウイルスまたはワーム: 上位の感染ホスト

このレポートでは、SMTP、POP、IMAP、ネットワーク共有などを経由してウイルスおよびワームを送信するホストがランク付けされます。

アクティビティ: ウイルス: 検出: 上位のユーザ

このレポートでは、検出されたウイルスを基準として、ユーザまたはワークステーションがランク付けされます。

アクティビティ: ウイルス: 感染: 上位のユーザ

このレポートでは、検出されたが除去されていないウイルスを基準として、ユーザまたはワークステーションがランク付けされます。

アクティビティ: 新たに検出された悪意のあるソフトウェア: すべてのイベント

このレポートでは、Cisco Incident Control Server によって検出された、新たに大発生したすべてのウイルス、ワーム、悪意のあるソフトウェアのリストが示されます。

アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の失敗: すべてのイベント

このレポートでは、新しいウイルス、ワーム、悪意のあるソフトウェアの大発生に対する応答で、Cisco Incident Control Server による ACL およびシグニチャの導入が失敗した、すべてのデバイスのリストが示されます。

アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の成功: すべてのイベント

このレポートでは、新しいウイルス、ワーム、悪意のあるソフトウェアの大発生に対する応答で、Cisco Incident Control Server によって新たな ACL およびシグニチャが導入された、すべての宛先(Cisco IOS IPS デバイスおよび IPS アプライアンス)のリストが示されます。

アクティビティ: 新たな悪意のあるソフトウェア トラフィックの一致: すべてのイベント

このレポートでは、新たに検出された悪意のあるソフトウェアの大発生に対する応答で、Cisco Incident Control Server によって導入された ACL およびシグニチャに一致した、トラフィックの送信元および実行デバイスのリストが示されます。

アクティビティ: 新たな悪意のあるソフトウェアのトラフィックの一致: 上位の発信元

このレポートでは、新しいウイルス、ワーム、悪意のあるソフトウェアの大発生に対する応答で、Cisco Incident Control Server によってダイナミックに導入された ACL およびシグニチャに一致した、上位の送信元のリストが示されます。これは、これらの発信元が感染している可能性が高いことを示します。

アクティビティ: ポートに対する急激なトラフィックの増加: すべての宛先

このレポートでは、TCP ポートまたは UDP ポートで急激に受信している統計的に非常に大きな量または ICMP トラフィックにより、異常な動作を見せているホストのリストが示されます。

アクティビティ: ポートに対する急激なトラフィックの増加: すべての発信元

このレポートでは、TCP ポートまたは UDP ポートで急激に送信している統計的に非常に大きな量または ICMP トラフィックにより、異常な動作を見せているホストのリストが示されます。

アクティビティ: ASA Botnet Traffic Filter: Phone Home: すべてのイベント

このレポートでは、ASA Botnet Traffic Filter によってレポートされた Phone Home アクティビティに関連する、すべての疑わしいイベントの詳細が表示されます。

アクティビティ: ASA Botnet Traffic Filter: 上位のボットネット サイト

このレポートでは、ASA Botnet Traffic Filter から報告されるように、すべてのインバウンド セッションおよびアウトバウンド セッションで、上位のボットネット サイト(ブラック リストまたはグレー リストに掲載されているサイト)がランク付けされます。

アクティビティ: ASA Botnet Traffic Filter: 上位のボットネット ポート

この規則により、MARS によって見つけられたすべてのセッションについて、感染ホストからブラック リストまたはグレー リストに掲載されているサイトに送信されるトラフィックの上位の宛先ポートがランク付けされます。

アクティビティ: ASA Botnet Traffic Filter: 上位の感染ホスト

この規則により、MARS によって見つけられたすべてのセッションについて、感染ホストからブラック リストまたはグレー リストに掲載されているサイトに送信されるトラフィックの上位の感染ホストがランク付けされます。

攻撃: ASA Botnet Traffic Filter: 悪意のあるトラフィック: すべてのイベント

このレポートでは、ASA Botnet Traffic Filter から報告されるように、ブラック リストまたはグレー リストに掲載されているサイトまたは IP を発信元とするトラフィックに関連するすべてのイベントの詳細が示されます。

設定の変更: ネットワーク: 上位のイベント タイプ

このレポートでは、ファイアウォール、ルータ、スイッチなどのネットワーク デバイスに対して、直前の 1 時間に変更された設定が要約されます。

設定の変更: サーバ: 上位のイベント タイプ

このレポートでは、サーバに対して、直前の 1 時間に変更された設定が要約されます。

設定の変更: サーバ: 上位のレポート デバイス

このレポートでは、サーバごとに、直前の 1 時間に変更された設定が要約されます。

設定の変更: ネットワーク: すべてのイベント

このイベントにより、ネットワーク デバイスでのすべての設定変更の詳細が示されます。

設定の変更: サーバ: すべてのイベント

このイベントにより、(OS またはホスト IDS エージェントによって報告される)ホストでのすべての設定変更の詳細が示されます。

システム: 設定の問題

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「設定の問題: ネットワーク: 上位のレポート デバイス」

「設定の問題: サーバ: 上位のレポート デバイス」

「設定の問題: ネットワーク: すべてのイベント」

「設定の問題: サーバ: すべてのイベント」

設定の問題: ネットワーク: 上位のレポート デバイス

このレポートでは、ファイアウォール、ルータ、スイッチなどのネットワーク デバイスでの問題に関連する特定の設定を示す可能性があるイベントが要約されます。

設定の問題: サーバ: 上位のレポート デバイス

このレポートでは、サーバでの問題に関連する特定の設定を示す可能性があるイベントが要約されます。これらは、ホスト IDS イベントである可能性が高い場合があります。

設定の問題: ネットワーク: すべてのイベント

このレポートでは、ネットワーク デバイスでの設定エラーを示すイベントに関する詳細のリストが示されます。

設定の問題: サーバ: すべてのイベント

このレポートでは、ホストまたはホスト アプリケーションでの設定エラーを示す、すべてのイベントに関する詳細のリストが示されます。

システム: データベース サーバ アクティビティ

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント」

「アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ」

「アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント」

「アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ」

「アクティビティ: データベースの特権コマンドの失敗: すべてのイベント」

「アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ」

「アクティビティ: データベースの特権コマンドの成功: すべてのイベント」

「アクティビティ: データベースの特権コマンドの成功: 上位のユーザ」

「アクティビティ: データベースの通常コマンドの失敗: すべてのイベント」

「アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ」

「アクティビティ: データベースの通常コマンドの成功: すべてのイベント」

「アクティビティ: データベースの通常コマンドの成功: 上位のユーザ」

「アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント」

「アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ」

「アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント」

「アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ」

アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベース オブジェクトの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ

このレポートでは、失敗したデータベース オブジェクトの変更試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベース オブジェクトの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ

このレポートでは、成功したデータベース オブジェクトの変更の回数を基準として、ユーザ数がランク付けされます。

アクティビティ: データベースの特権コマンドの失敗: すべてのイベント

このレポートでは、失敗したすべての特権データベース コマンドの実行に関するイベント詳細のリストが示されます。

アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ

このレポートでは、失敗した特権データベース コマンドの実行試行を基準として、ユーザがランク付けされます。

アクティビティ: データベースの特権コマンドの成功: すべてのイベント

このレポートでは、成功したすべての特権データベース コマンドの実行に関するイベント詳細のリストが示されます。

アクティビティ: データベースの特権コマンドの成功: 上位のユーザ

このレポートでは、成功した特権データベース コマンドの実行を基準として、ユーザがランク付けされます。

アクティビティ: データベースの通常コマンドの失敗: すべてのイベント

このレポートでは、失敗したすべての非特権データベース コマンドの実行試行に関するイベント詳細のリストが示されます。

アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ

このレポートでは、非特権データベース コマンドの実行試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースの通常コマンドの成功: すべてのイベント

このレポートでは、成功したすべての非特権データベース コマンドの実行に関するイベント詳細のリストが示されます。

アクティビティ: データベースの通常コマンドの成功: 上位のユーザ

このレポートでは、成功した非特権データベース コマンドの実行を基準として、ユーザがランク付けされます。

アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベースのユーザまたはグループの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ

このレポートでは、失敗したデータベースのユーザまたはグループの変更試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベースのユーザまたはグループの変更に関するイベント詳細のリストが示されます。

アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ

このレポートでは、成功したデータベースのユーザまたはグループの変更の実行を基準として、ユーザがランク付けされます。

システム: FISMA 準拠性レポート

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: すべて: 上位のレポート デバイス」

「アクティビティ: 防止された攻撃: 上位のレポート デバイス」

「アクティビティ: 拒否: 上位の宛先ポート」

「アクティビティ: 拒否: 上位の宛先」

「アクティビティ: 拒否: 上位の発信元」

「アクティビティ: IDS の回避: 上位のイベント タイプ」

「アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ」

「アクティビティ: スキャン: 上位の宛先ポート」

「アクティビティ: スキャン: 上位の宛先」

「アクティビティ: ステルスのスキャン: 上位の発信元」

「アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ」

「アクティビティ: すべて: 上位の起動規則」

「攻撃: すべて: 上位の発信元」

「攻撃: データベース サーバ: 上位のイベント タイプ」

「攻撃: FTP サーバ: 上位のイベント タイプ」

「攻撃: スプーフィングの特定: 上位のイベント タイプ」

「攻撃: ログイン サービス: 上位のイベント タイプ」

「攻撃: メール サーバ: 上位のイベント タイプ」

「攻撃: ネットワーク DoS : 上位のイベント タイプ」

「攻撃: RPC サービス: 上位のイベント タイプ」

「攻撃: ウイルスまたはワーム: 上位の発信元」

「攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ」

「設定の変更: ネットワーク: 上位のイベント タイプ」

「アクティビティ: すべて: 上位のユーザ」

「アクティビティ: IRC : すべてのイベント」

「攻撃: すべて: 上位のイベント タイプ グループ」

「アクティビティ: すべて: 上位のレポート デバイス タイプ」

「アクティビティ: ホストでのログインの失敗: 上位の宛先」

「アクティビティ: ホストでのログインの失敗: 上位のユーザ」

「アクティビティ: ホストでのログインの成功: 上位のホスト」

「アクティビティ: ホストでのレジストリの変更: すべてのイベント」

「アクティビティ: ホストでのレジストリの変更: 上位のホスト」

「アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト」

「攻撃: すべて: 上位の宛先」

「アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント」

「アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト」

「アクティビティ: ネットワークの使用状況: 上位の宛先ポート」

「攻撃: パスワード: 上位の宛先」

「攻撃: 非一般的または異常なトラフィック: 上位のイベント タイプ」

「設定の変更: サーバ: 上位のイベント タイプ」

「アクティビティ: スパイウェア: 上位のホスト」

「設定の変更: サーバ: 上位のレポート デバイス」

「アクティビティ: すべてのイベントおよび NetFlow : 上位の宛先ポート」

「アクティビティ: ホストでの権限の拡大: 上位のホスト」

「アクティビティ: P2P ファイル共有またはチャット: 上位のホスト」

「アクティビティ: レクリエーション: 上位の発信元」

「アクティビティ: リモート アクセス ログイン: 上位のユーザ」

「アクティビティ: ウイルスまたはワーム: 上位の感染ホスト」

「アクティビティ: データベースでのログインの失敗: すべてのイベント」

「アクティビティ: データベースでのログインの失敗: 上位のサーバ」

「アクティビティ: データベースでのログインの成功: 上位のサーバ」

「アクティビティ: データベースでのログインの成功: 上位のユーザ」

「アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント」

「アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ」

「アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント」

「アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ」

「アクティビティ: データベースの特権コマンドの失敗: すべてのイベント」

「アクティビティ: ウイルス: 検出: 上位のユーザ」

「アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ」

「アクティビティ: ウイルス: 感染: 上位のユーザ」

「アクティビティ: データベースの通常コマンドの失敗: すべてのイベント」

「アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ」

「アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント」

「アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ」

「アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント」

「アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ」

「リソースの利用率: 並列接続: 上位のデバイス」

「アクティビティ: ホストでのログインの失敗: すべてのイベント」

「アクティビティ: ホストでのログインの成功: すべてのイベント」

「アクティビティ: CS-MARS ホストの負荷軽減: 失敗: すべてのイベント」

「アクティビティ: CS-MARS ホストの負荷軽減: 成功: すべてのイベント」

「アクティビティ: ホストでの管理ログインの成功: すべてのイベント」

「アクティビティ: ホストでの権限の拡大: すべてのイベント」

「アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート」

「アクティビティ: リモート アクセス ログイン: すべてのイベント」

「アクティビティ: リモート アクセス ログインの失敗: すべてのイベント」

「アクティビティ: VA スキャナによって見つけられた脆弱なホスト」

「アクティビティ: 見つけられた脆弱なホスト」

「攻撃: パスワード: すべてのイベント」

「設定の変更: ネットワーク: すべてのイベント」

「設定の変更: サーバ: すべてのイベント」

「アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント」

「アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント」

「アクティビティ: データベースでのログインの失敗: 上位のユーザ」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント」

「アクティビティ: AAA 認証の失敗: すべてのイベント」

「アクティビティ: AAA 認証の失敗: 上位のユーザ」

「アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント」

「アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ」

「アクティビティ: CS-MARS pnadmin ユーザのパスワード ステータス」

「アクティビティ: CS-MARS でのログインの成功」

アクティビティ: すべて: 上位のレポート デバイス

このレポートでは、各セキュリティ デバイスから報告されるイベントの総数を基準として、セキュリティ デバイスがランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: 防止された攻撃: 上位のレポート デバイス

このレポートでは、防止された攻撃の回数を基準として、セキュリティ デバイスがランク付けされます。

アクティビティ: 拒否: 上位の宛先ポート

このレポートでは、攻撃のターゲットとされたが攻撃が拒否された宛先ポートが、ランク付けされます。

アクティビティ: 拒否: 上位の宛先

このレポートでは、攻撃のターゲットとされたが攻撃が拒否された宛先ホストが、ランク付けされます。

アクティビティ: 拒否: 上位の発信元

このレポートでは、拒否された接続試行の回数を基準として、攻撃の発信元がランク付けされます。

アクティビティ: IDS の回避: 上位のイベント タイプ

このレポートでは、ネットワーク IDS システムによる検出を回避する目的を持つ攻撃者による試行を検出するイベントが、ランク付けされます。これは、Web ベースの混乱攻撃、フラグメンテーション攻撃、または、TCP/IP ベースの攻撃の可能性があります。

アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ

このイベントにより、ユーザ間のファイル共有プロトコルまたはチャット プロトコルのアクティビティを検出するイベントが、ランク付けされます。KaZaa、Napster、EDonkey などのファイル共有プロトコル、および、IRC、Hotline、インスタント メッセージング プロトコルなどのチャット プロトコルは、ビジネス環境に適さない場合があります。

アクティビティ: スキャン: 上位の宛先ポート

このレポートでは、ポートでのスキャン アクティビティを検出するイベントの総数を基準として、宛先ポートがランク付けされます。スキャンには、稼動ホストおよび稼動ホストでオープンされているサービスの検索や、ホスト設定およびアプリケーション設定の検出などの、アクティビティが含まれます。

アクティビティ: スキャン: 上位の宛先

このレポートでは、ホストに対して誘導されたスキャン アクティビティを検出するイベントの総数を基準として、ホストがランク付けされます。スキャンには、稼動ホストおよび稼動ホストでオープンされているサービスの検索や、ホスト設定およびアプリケーション設定の検出などの、アクティビティが含まれます。

アクティビティ: ステルスのスキャン: 上位の発信元

このレポートでは、ステルス スキャン アクティビティの数を基準として、攻撃者がランク付けされます。このようなアクティビティには、ホスト オペレーティング システムおよびその他の脆弱性を検出するための、クラフト パケットの送信が含まれます。脆弱性のあるスキャン機能により、このようなイベントが生成される場合があります。

アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ

このレポートでは、ネットワークにあるウイルスまたはワームのアクティビティを検出するイベントがランク付けされます。

アクティビティ: すべて: 上位の起動規則

このレポートでは、発生した問題の回数を基準として、直前の 1 時間に起動された規則がランク付けされます。これによって、攻撃アクティビティと非攻撃アクティビティの両方が含まれるネットワークで、規則の起動アクティビティに関する一般的な概要が示されます。このレポートは、[Summary] タブにあるページによって使用されます。

攻撃: すべて: 上位の発信元

このレポートでは、直前の 1 時間に MARS によって見つけられた攻撃イベントの発信元が、ランク付けされます。

攻撃: データベース サーバ: 上位のイベント タイプ

このレポートでは、MS SQL Server、Oracle、Sybase などのデータベース サーバでの攻撃が、ランク付けされます。

攻撃: FTP サーバ: 上位のイベント タイプ

このレポートでは、FTP サーバでの攻撃がランク付けされます。

攻撃: スプーフィングの特定: 上位のイベント タイプ

このレポートでは、直前の 1 時間に識別情報をスプーフィングするために攻撃者によって行われた試行を示すイベントが、ランク付けされます。

攻撃: ログイン サービス: 上位のイベント タイプ

このレポートでは、ログイン サービスおよびリモート シェルを提供しているサーバでの攻撃が、ランク付けされます。その例には、Telnet、SSH、および Berkeley r- プロトコルが含まれます。

攻撃: メール サーバ: 上位のイベント タイプ

このレポートでは、メール サーバ(SMTP、POP、IMAP)での攻撃がランク付けされます。

攻撃: ネットワーク DoS : 上位のイベント タイプ

このレポートでは、ネットワーク全体での DoS 試行を示す攻撃がランク付けされます。このような攻撃には、ルータ、ファイアウォール、スイッチなどのインライン ネットワークのクラッシュやリブート、または、TCP、UDP、ICMP のトラフィックによるネットワーク負荷の増大が、含まれる場合があります。

攻撃: RPC サービス: 上位のイベント タイプ

このレポートでは、RPC ベースのアプリケーションでの攻撃がランク付けされます。

攻撃: ウイルスまたはワーム: 上位の発信元

このレポートでは、ウイルスまたはワームの送信を試行する発信元のアドレスがランク付けされます。

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

このレポートでは、直前の 1 時間の Web サーバまたは Web サーバに組み込まれたアプリケーションでの攻撃が、ランク付けされます。

設定の変更: ネットワーク: 上位のイベント タイプ

このレポートでは、ファイアウォール、ルータ、スイッチなどのネットワーク デバイスに対して、直前の 1 時間に変更された設定が要約されます。

アクティビティ: すべて: 上位のユーザ

このレポートでは、最もアクティブなユーザ名を示すことによって、最も頻繁なログインおよびその他のユーザ アクティビティが追跡管理されます。

アクティビティ: IRC : すべてのイベント

このレポートでは、すべての IRC アクティビティのリストが示されます。通常、ワームにより、IRC 接続が開始される感染ホスト上に、実行可能プログラムが置かれます。

攻撃: すべて: 上位のイベント タイプ グループ

このレポートでは、起動された相関規則に示されているイベント タイプ グループが、ランク付けされます。イベント タイプ グループにより、MARS からの報告の一部として分類されるネットワーク アクティビティに関する一般的な概要が示されます。

アクティビティ: すべて: 上位のレポート デバイス タイプ

このレポートでは、特定の各タイプのデバイスから報告されるイベントの数を基準として、セキュリティ デバイス タイプがランク付けされます。

アクティビティ: ホストでのログインの失敗: 上位の宛先

このレポートでは、記録されたログイン失敗の回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログイン試行を基準として、ホスト ユーザがランク付けされます。

アクティビティ: ホストでのログインの成功: 上位のホスト

このレポートでは、成功したログインを基準として、ホストがランク付けされます。

アクティビティ: ホストでのレジストリの変更: すべてのイベント

このレポートでは、Microsoft Windows のレジストリ変更のシグナルを送信するイベントが記録されます。

アクティビティ: ホストでのレジストリの変更: 上位のホスト

このレポートでは、報告された Microsoft Windows レジストリの変更回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト

このレポートでは、ホストで行われたセキュリティ ポリシー変更の回数を基準として、ホストがランク付けされます。

攻撃: すべて: 上位の宛先

このレポートでは、各ホストに対する攻撃の回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント

このレポートでは、ホストから報告されたユーザ グループ管理イベントが記録されます。

アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト

このレポートでは、報告されたユーザ グループ管理イベントを基準として、ホストがランク付けされます。

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

このレポートでは、ネットワーク セッションの数を基準として、宛先ポートがランク付けされます。このレポートでは、セッション イベントを取り込めるようにするため、ルータまたはファイアウォールの Syslog レベルを高く設定する必要があります。このレポートでは、ネットワークの一般的な使用パターンが示されます。

攻撃: パスワード: 上位の宛先

このレポートでは、ホストで試行されたパスワード攻撃の回数を基準として、ホストがランク付けされます。パスワード攻撃には、(a)リモートまたはローカルのいずれかでのパスワードの取り込みの試行、および、(b)パスワードの推測の試行が含まれます。パスワード推測試行は、IDS およびホストによって、認証の失敗として記録されます。

攻撃: 非一般的または異常なトラフィック: 上位のイベント タイプ

このレポートでは、非一般的または異常なトラフィックを示すイベントがランク付けされます。非一般的なトラフィックには、一般的な用途ではない ICMP タイプおよび TCP や IP のオプション、または、非標準ポートでの標準トラフィックが含まれます。異常なトラフィックには、IETF またはその他の広く知られているプロトコル仕様に違反するトラフィックが含まれます。

設定の変更: サーバ: 上位のイベント タイプ

このレポートでは、サーバに対して、直前の 1 時間に変更された設定が要約されます。

アクティビティ: スパイウェア: 上位のホスト

このレポートでは、スパイウェア アプリケーションを実行中のホストがランク付けされます。スパイウェアは、ホスト上でインストールおよび実行されて、ユーザ名、パスワード、およびクレジット カード情報を収集し、その情報をスパイウェアの作成者に送信する、悪意のあるアプリケーションです。

設定の変更: サーバ: 上位のレポート デバイス

このレポートでは、サーバごとに、直前の 1 時間に変更された設定が要約されます。

アクティビティ: すべてのイベントおよび NetFlow : 上位の宛先ポート

このレポートでは、直前の 1 時間に MARS によって見つけられた(NetFlow イベントを含む)すべてのイベントの UDP 宛先ポートおよび TCP 宛先ポートが、ランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: ホストでの権限の拡大: 上位のホスト

このレポート記録では、ホストに対して試行されたアクセス権限拡大試行を基準として、ホストがランク付けされます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: P2P ファイル共有またはチャット: 上位のホスト

このレポートでは、P2P ファイル共有プロトコルおよびチャット プロトコルのアクティビティに関連するホストが、ランク付けされます。このようなプロトコルは、ビジネス環境に適さない場合があります。

アクティビティ: レクリエーション: 上位の発信元

このレポートでは、ゲーム、成人向け Web サイト、株式サイトなどのレクリエーション アクティビティに関連する発信元アドレスが、ランク付けされます。

アクティビティ: リモート アクセス ログイン: 上位のユーザ

このレポートでは、リモート アクセス ログイン(PPP、L2TP、PPTP、IP セキュリティ)を基準として、ユーザがランク付けされます。

アクティビティ: ウイルスまたはワーム: 上位の感染ホスト

このレポートでは、SMTP、POP、IMAP、ネットワーク共有などを経由してウイルスおよびワームを送信するホストがランク付けされます。

アクティビティ: データベースでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

アクティビティ: データベースでのログインの失敗: 上位のサーバ

このレポートでは、ログイン失敗の回数を基準として、データベース サーバがランク付けされます。

アクティビティ: データベースでのログインの成功: 上位のサーバ

このレポートでは、成功したログインの回数を基準として、データベース サーバ ホストがランク付けされます。

アクティビティ: データベースでのログインの成功: 上位のユーザ

このレポートでは、成功したログインの回数を基準として、データベース ユーザがランク付けされます。

アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベース オブジェクトの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ

このレポートでは、失敗したデータベース オブジェクトの変更試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベース オブジェクトの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ

このレポートでは、成功したデータベース オブジェクトの変更の回数を基準として、ユーザ数がランク付けされます。

アクティビティ: データベースの特権コマンドの失敗: すべてのイベント

このレポートでは、失敗したすべての特権データベース コマンドの実行に関するイベント詳細のリストが示されます。

アクティビティ: ウイルス: 検出: 上位のユーザ

このレポートでは、検出されたウイルスを基準として、ユーザまたはワークステーションがランク付けされます。

アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ

このレポートでは、失敗した特権データベース コマンドの実行試行を基準として、ユーザがランク付けされます。

アクティビティ: ウイルス: 感染: 上位のユーザ

このレポートでは、検出されたが除去されていないウイルスを基準として、ユーザまたはワークステーションがランク付けされます。

アクティビティ: データベースの通常コマンドの失敗: すべてのイベント

このレポートでは、失敗したすべての非特権データベース コマンドの実行試行に関するイベント詳細のリストが示されます。

アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ

このレポートでは、非特権データベース コマンドの実行試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベースのユーザまたはグループの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ

このレポートでは、失敗したデータベースのユーザまたはグループの変更試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベースのユーザまたはグループの変更に関するイベント詳細のリストが示されます。

アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ

このレポートでは、成功したデータベースのユーザまたはグループの変更の実行を基準として、ユーザがランク付けされます。

リソースの利用率: 並列接続: 上位のデバイス

このレポートでは、PN-MARS によって管理されているデバイス経由で確立された並列接続の数が、ランク付けされます。

アクティビティ: ホストでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのホスト ログインの詳細が記録されます。

アクティビティ: ホストでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのホスト ログイン イベントの詳細が示されます。

アクティビティ: CS-MARS ホストの負荷軽減: 失敗: すべてのイベント

このレポートでは、失敗した CS-MARS の負荷軽減の試行のリストが示されます。これらは、不適切なネットワーク接続またはデバイス アクセス クレデンシャルから発生する可能性があります。

アクティビティ: CS-MARS ホストの負荷軽減: 成功: すべてのイベント

このレポートでは、成功した CS-MARS からの負荷軽減に関するリストが示されます。

アクティビティ: ホストでの管理ログインの成功: すべてのイベント

このレポートでは、成功したホストに対する管理ログイン イベントの詳細が示されます。

アクティビティ: ホストでの権限の拡大: すべてのイベント

このレポートでは、特定のホストでアクセス権限を増やそうとしているユーザを示すイベントに関する詳細が示されます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート

このレポートでは、送信されたバイト数を基準として、上位の宛先ポートがランク付けされます。

アクティビティ: リモート アクセス ログイン: すべてのイベント

このレポートでは、リモート アクセス ログイン イベント(IP セキュリティ、SSLVPN、PPP、L2TP など)の詳細が示されます。

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

このイベントにより、失敗したすべてのリモート アクセス ログイン イベントの詳細が示されます。

アクティビティ: VA スキャナによって見つけられた脆弱なホスト

このレポートでは、Vulnerability Analysis(VA)スキャナから情報をインポートすることによって見つけられた、脆弱なホストおよび関連する脆弱性のリストが示されます。

アクティビティ: 見つけられた脆弱なホスト

このホストでは、IDS または VA スキャナによって見つけられたすべての脆弱なホストのリストが示されます。

攻撃: パスワード: すべてのイベント

このレポートでは、すべてのパスワード攻撃イベントの詳細が示されます。

設定の変更: ネットワーク: すべてのイベント

このイベントにより、ネットワーク デバイスでのすべての設定変更の詳細が示されます。

設定の変更: サーバ: すべてのイベント

このイベントにより、(OS またはホスト IDS エージェントによって報告される)ホストでのすべての設定変更の詳細が示されます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

このレポートでは、ホストのセキュリティに影響を及ぼす、ホストでのすべてのポリシー変更のリストが示されます。これらのイベントは、通常、ホスト IDS およびホスト エージェントによって報告されます。

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

このレポートでは、失敗したすべての AAA(たとえば、RADIUS、TACACS など)ベース アクセスの試行の詳細が示されます。802.1x、ネットワーク デバイス アクセス、Cisco NAC などの通常のメカニズムでは、アクセス制御に AAA サーバが使用されます。

アクティビティ: データベースでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログインの回数を基準として、ユーザがランク付けされます。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関するイベント詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関する詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

このレポートでは、CHECKUP 状態、QUARANTINE 状態、INFECTED 状態のいずれかなど、セキュリティ ポスチャが最新ではないユーザの詳細イベントのリストが示されます。これらのホストにあるソフトウェアは、アップグレードする必要があります。CHECKUP ホストでは、DAT ファイルをアップデートする必要があります。QUARANTINE ホストでは、ネットワークにアクセスする前に、DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、補修する必要があります。

アクティビティ: AAA 認証の失敗: すべてのイベント

このレポートでは、失敗した AAA 認証のイベント詳細が表示されます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: AAA 認証の失敗: 上位のユーザ

このレポートでは、失敗した AAA 認証に基づいて、ユーザがランク付けされます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント

このレポートには、攻撃(または試行)が防止されたすべての Cisco IPS イベントが含まれます。

アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ

このレポートでは、攻撃(または試行)が防止された上位の Cisco IPS イベント タイプが、ランク付けされます。

アクティビティ: CS-MARS pnadmin ユーザのパスワード ステータス

このレポートでは、パスワードの変更などの CS-MARS LC "pnadmin" ユーザ アカウント パスワード アクティビティが原因で、または、24 時間ごとにチェックされるパスワードが、工場出荷時のデフォルトのままの場合に発生する、イベントの詳細が示されます。

アクティビティ: CS-MARS でのログインの成功

このレポートでは、CS-MARS LC でのログインの成功が原因で発生したイベントの詳細が示されます。

システム: GLBA 準拠性レポート

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: すべて: 上位のレポート デバイス」

「アクティビティ: 防止された攻撃: 上位のレポート デバイス」

「アクティビティ: 拒否: 上位の宛先ポート」

「アクティビティ: 拒否: 上位の宛先」

「アクティビティ: 拒否: 上位の発信元」

「アクティビティ: IDS の回避: 上位のイベント タイプ」

「アクティビティ: スキャン: 上位の宛先ポート」

「アクティビティ: スキャン: 上位の宛先」

「アクティビティ: ステルスのスキャン: 上位の発信元」

「アクティビティ: すべて: 上位の起動規則」

「攻撃: すべて: 上位の発信元」

「攻撃: データベース サーバ: 上位のイベント タイプ」

「攻撃: FTP サーバ: 上位のイベント タイプ」

「攻撃: スプーフィングの特定: 上位のイベント タイプ」

「攻撃: ログイン サービス: 上位のイベント タイプ」

「攻撃: メール サーバ: 上位のイベント タイプ」

「攻撃: ネットワーク DoS : 上位のイベント タイプ」

「攻撃: RPC サービス: 上位のイベント タイプ」

「攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ」

「設定の変更: ネットワーク: 上位のイベント タイプ」

「設定の問題: ネットワーク: 上位のレポート デバイス」

「設定の問題: サーバ: 上位のレポート デバイス」

「アクティビティ: IRC : すべてのイベント」

「アクティビティ: すべて: 上位のレポート デバイス タイプ」

「アクティビティ: ホストでのログインの失敗: 上位の宛先」

「アクティビティ: ホストでのログインの失敗: 上位のユーザ」

「アクティビティ: ホストでのレジストリの変更: すべてのイベント」

「アクティビティ: ホストでのレジストリの変更: 上位のホスト」

「アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト」

「攻撃: すべて: 上位の宛先」

「アクティビティ: ネットワークの使用状況: 上位の宛先ポート」

「攻撃: パスワード: 上位の宛先」

「設定の変更: サーバ: 上位のイベント タイプ」

「アクティビティ: スパイウェア: 上位のホスト」

「設定の変更: サーバ: 上位のレポート デバイス」

「アクティビティ: すべてのイベントおよび NetFlow : 上位の宛先ポート」

「アクティビティ: ホストでの権限の拡大: 上位のホスト」

「アクティビティ: P2P ファイル共有またはチャット: 上位のホスト」

「アクティビティ: データベースでのログインの失敗: すべてのイベント」

「アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント」

「アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ」

「アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント」

「アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ」

「アクティビティ: データベースの特権コマンドの失敗: すべてのイベント」

「アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ」

「アクティビティ: データベースの特権コマンドの成功: すべてのイベント」

「アクティビティ: データベースの特権コマンドの成功: 上位のユーザ」

「アクティビティ: データベースの通常コマンドの失敗: すべてのイベント」

「アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ」

「アクティビティ: データベースの通常コマンドの成功: すべてのイベント」

「アクティビティ: データベースの通常コマンドの成功: 上位のユーザ」

「アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント」

「アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ」

「アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント」

「アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ」

「リソースの利用率: 並列接続: 上位のデバイス」

「アクティビティ: ホストでのログインの失敗: すべてのイベント」

「アクティビティ: スパイウェア: すべてのイベント」

「アクティビティ: ホストでの権限の拡大: すべてのイベント」

「アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート」

「アクティビティ: リモート アクセス ログインの失敗: すべてのイベント」

「アクティビティ: VA スキャナによって見つけられた脆弱なホスト」

「アクティビティ: 見つけられた脆弱なホスト」

「攻撃: パスワード: すべてのイベント」

「設定の変更: ネットワーク: すべてのイベント」

「設定の変更: サーバ: すべてのイベント」

「設定の問題: ネットワーク: すべてのイベント」

「設定の問題: サーバ: すべてのイベント」

「アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント」

「アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント」

「アクティビティ: AAA 認証の失敗: すべてのイベント」

「アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント」

「アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ」

アクティビティ: すべて: 上位のレポート デバイス

このレポートでは、各セキュリティ デバイスから報告されるイベントの総数を基準として、セキュリティ デバイスがランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: 防止された攻撃: 上位のレポート デバイス

このレポートでは、防止された攻撃の回数を基準として、セキュリティ デバイスがランク付けされます。

アクティビティ: 拒否: 上位の宛先ポート

このレポートでは、攻撃のターゲットとされたが攻撃が拒否された宛先ポートが、ランク付けされます。

アクティビティ: 拒否: 上位の宛先

このレポートでは、攻撃のターゲットとされたが攻撃が拒否された宛先ホストが、ランク付けされます。

アクティビティ: 拒否: 上位の発信元

このレポートでは、拒否された接続試行の回数を基準として、攻撃の発信元がランク付けされます。

アクティビティ: IDS の回避: 上位のイベント タイプ

このレポートでは、ネットワーク IDS システムによる検出を回避する目的を持つ攻撃者による試行を検出するイベントが、ランク付けされます。これは、Web ベースの混乱攻撃、フラグメンテーション攻撃、または、TCP/IP ベースの攻撃の可能性があります。

アクティビティ: スキャン: 上位の宛先ポート

このレポートでは、ポートでのスキャン アクティビティを検出するイベントの総数を基準として、宛先ポートがランク付けされます。スキャンには、稼動ホストおよび稼動ホストでオープンされているサービスの検索や、ホスト設定およびアプリケーション設定の検出などの、アクティビティが含まれます。

アクティビティ: スキャン: 上位の宛先

このレポートでは、ホストに対して誘導されたスキャン アクティビティを検出するイベントの総数を基準として、ホストがランク付けされます。スキャンには、稼動ホストおよび稼動ホストでオープンされているサービスの検索や、ホスト設定およびアプリケーション設定の検出などの、アクティビティが含まれます。

アクティビティ: ステルスのスキャン: 上位の発信元

このレポートでは、ステルス スキャン アクティビティの数を基準として、攻撃者がランク付けされます。このようなアクティビティには、ホスト オペレーティング システムおよびその他の脆弱性を検出するための、クラフト パケットの送信が含まれます。脆弱性のあるスキャン機能により、このようなイベントが生成される場合があります。

アクティビティ: すべて: 上位の起動規則

このレポートでは、発生した問題の回数を基準として、直前の 1 時間に起動された規則がランク付けされます。これによって、攻撃アクティビティと非攻撃アクティビティの両方が含まれるネットワークで、規則の起動アクティビティに関する一般的な概要が示されます。このレポートは、[Summary] タブにあるページによって使用されます。

攻撃: すべて: 上位の発信元

このレポートでは、直前の 1 時間に MARS によって見つけられた攻撃イベントの発信元が、ランク付けされます。

攻撃: データベース サーバ: 上位のイベント タイプ

このレポートでは、MS SQL Server、Oracle、Sybase などのデータベース サーバでの攻撃が、ランク付けされます。

攻撃: FTP サーバ: 上位のイベント タイプ

このレポートでは、FTP サーバでの攻撃がランク付けされます。

攻撃: スプーフィングの特定: 上位のイベント タイプ

このレポートでは、直前の 1 時間に識別情報をスプーフィングするために攻撃者によって行われた試行を示すイベントが、ランク付けされます。

攻撃: ログイン サービス: 上位のイベント タイプ

このレポートでは、ログイン サービスおよびリモート シェルを提供しているサーバでの攻撃が、ランク付けされます。その例には、Telnet、SSH、および Berkeley r- プロトコルが含まれます。

攻撃: メール サーバ: 上位のイベント タイプ

このレポートでは、メール サーバ(SMTP、POP、IMAP)での攻撃がランク付けされます。

攻撃: ネットワーク DoS : 上位のイベント タイプ

このレポートでは、ネットワーク全体での DoS 試行を示す攻撃がランク付けされます。このような攻撃には、ルータ、ファイアウォール、スイッチなどのインライン ネットワークのクラッシュやリブート、または、TCP、UDP、ICMP のトラフィックによるネットワーク負荷の増大が、含まれる場合があります。

攻撃: RPC サービス: 上位のイベント タイプ

このレポートでは、RPC ベースのアプリケーションでの攻撃がランク付けされます。

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

このレポートでは、直前の 1 時間の Web サーバまたは Web サーバに組み込まれたアプリケーションでの攻撃が、ランク付けされます。

設定の変更: ネットワーク: 上位のイベント タイプ

このレポートでは、ファイアウォール、ルータ、スイッチなどのネットワーク デバイスに対して、直前の 1 時間に変更された設定が要約されます。

設定の問題: ネットワーク: 上位のレポート デバイス

このレポートでは、ファイアウォール、ルータ、スイッチなどのネットワーク デバイスでの問題に関連する特定の設定を示す可能性があるイベントが要約されます。

設定の問題: サーバ: 上位のレポート デバイス

このレポートでは、サーバでの問題に関連する特定の設定を示す可能性があるイベントが要約されます。これらは、ホスト IDS イベントである可能性が高い場合があります。

アクティビティ: IRC : すべてのイベント

このレポートでは、すべての IRC アクティビティのリストが示されます。通常、ワームにより、IRC 接続が開始される感染ホスト上に、実行可能プログラムが置かれます。

アクティビティ: すべて: 上位のレポート デバイス タイプ

このレポートでは、特定の各タイプのデバイスから報告されるイベントの数を基準として、セキュリティ デバイス タイプがランク付けされます。

アクティビティ: ホストでのログインの失敗: 上位の宛先

このレポートでは、記録されたログイン失敗の回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログイン試行を基準として、ホスト ユーザがランク付けされます。

アクティビティ: ホストでのレジストリの変更: すべてのイベント

このレポートでは、Microsoft Windows のレジストリ変更のシグナルを送信するイベントが記録されます。

アクティビティ: ホストでのレジストリの変更: 上位のホスト

このレポートでは、報告された Microsoft Windows レジストリの変更回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト

このレポートでは、ホストで行われたセキュリティ ポリシー変更の回数を基準として、ホストがランク付けされます。

攻撃: すべて: 上位の宛先

このレポートでは、各ホストに対する攻撃の回数を基準として、ホストがランク付けされます。

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

このレポートでは、ネットワーク セッションの数を基準として、宛先ポートがランク付けされます。このレポートでは、セッション イベントを取り込めるようにするため、ルータまたはファイアウォールの Syslog レベルを高く設定する必要があります。このレポートでは、ネットワークの一般的な使用パターンが示されます。

攻撃: パスワード: 上位の宛先

このレポートでは、ホストで試行されたパスワード攻撃の回数を基準として、ホストがランク付けされます。パスワード攻撃には、(a)リモートまたはローカルのいずれかでのパスワードの取り込みの試行、および、(b)パスワードの推測の試行が含まれます。パスワード推測試行は、IDS およびホストによって、認証の失敗として記録されます。

設定の変更: サーバ: 上位のイベント タイプ

このレポートでは、サーバに対して、直前の 1 時間に変更された設定が要約されます。

アクティビティ: スパイウェア: 上位のホスト

このレポートでは、スパイウェア アプリケーションを実行中のホストがランク付けされます。スパイウェアは、ホスト上でインストールおよび実行されて、ユーザ名、パスワード、およびクレジット カード情報を収集し、その情報をスパイウェアの作成者に送信する、悪意のあるアプリケーションです。

設定の変更: サーバ: 上位のレポート デバイス

このレポートでは、サーバごとに、直前の 1 時間に変更された設定が要約されます。

アクティビティ: すべてのイベントおよび NetFlow : 上位の宛先ポート

このレポートでは、直前の 1 時間に MARS によって見つけられた(NetFlow イベントを含む)すべてのイベントの UDP 宛先ポートおよび TCP 宛先ポートが、ランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: ホストでの権限の拡大: 上位のホスト

このレポート記録では、ホストに対して試行されたアクセス権限拡大試行を基準として、ホストがランク付けされます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: P2P ファイル共有またはチャット: 上位のホスト

このレポートでは、P2P ファイル共有プロトコルおよびチャット プロトコルのアクティビティに関連するホストが、ランク付けされます。このようなプロトコルは、ビジネス環境に適さない場合があります。

アクティビティ: データベースでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベース オブジェクトの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ

このレポートでは、失敗したデータベース オブジェクトの変更試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベース オブジェクトの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ

このレポートでは、成功したデータベース オブジェクトの変更の回数を基準として、ユーザ数がランク付けされます。

アクティビティ: データベースの特権コマンドの失敗: すべてのイベント

このレポートでは、失敗したすべての特権データベース コマンドの実行に関するイベント詳細のリストが示されます。

アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ

このレポートでは、失敗した特権データベース コマンドの実行試行を基準として、ユーザがランク付けされます。

アクティビティ: データベースの特権コマンドの成功: すべてのイベント

このレポートでは、成功したすべての特権データベース コマンドの実行に関するイベント詳細のリストが示されます。

アクティビティ: データベースの特権コマンドの成功: 上位のユーザ

このレポートでは、成功した特権データベース コマンドの実行を基準として、ユーザがランク付けされます。

アクティビティ: データベースの通常コマンドの失敗: すべてのイベント

このレポートでは、失敗したすべての非特権データベース コマンドの実行試行に関するイベント詳細のリストが示されます。

アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ

このレポートでは、非特権データベース コマンドの実行試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースの通常コマンドの成功: すべてのイベント

このレポートでは、成功したすべての非特権データベース コマンドの実行に関するイベント詳細のリストが示されます。

アクティビティ: データベースの通常コマンドの成功: 上位のユーザ

このレポートでは、成功した非特権データベース コマンドの実行を基準として、ユーザがランク付けされます。

アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベースのユーザまたはグループの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ

このレポートでは、失敗したデータベースのユーザまたはグループの変更試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベースのユーザまたはグループの変更に関するイベント詳細のリストが示されます。

アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ

このレポートでは、成功したデータベースのユーザまたはグループの変更の実行を基準として、ユーザがランク付けされます。

リソースの利用率: 並列接続: 上位のデバイス

このレポートでは、PN-MARS によって管理されているデバイス経由で確立された並列接続の数が、ランク付けされます。

アクティビティ: ホストでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのホスト ログインの詳細が記録されます。

アクティビティ: スパイウェア: すべてのイベント

このイベントにより、すべてのスパイウェア イベントの詳細が示されます。

アクティビティ: ホストでの権限の拡大: すべてのイベント

このレポートでは、特定のホストでアクセス権限を増やそうとしているユーザを示すイベントに関する詳細が示されます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート

このレポートでは、送信されたバイト数を基準として、上位の宛先ポートがランク付けされます。

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

このイベントにより、失敗したすべてのリモート アクセス ログイン イベントの詳細が示されます。

アクティビティ: VA スキャナによって見つけられた脆弱なホスト

このレポートでは、Vulnerability Analysis(VA)スキャナから情報をインポートすることによって見つけられた、脆弱なホストおよび関連する脆弱性のリストが示されます。

アクティビティ: 見つけられた脆弱なホスト

このホストでは、IDS または VA スキャナによって見つけられたすべての脆弱なホストのリストが示されます。

攻撃: パスワード: すべてのイベント

このレポートでは、すべてのパスワード攻撃イベントの詳細が示されます。

設定の変更: ネットワーク: すべてのイベント

このイベントにより、ネットワーク デバイスでのすべての設定変更の詳細が示されます。

設定の変更: サーバ: すべてのイベント

このイベントにより、(OS またはホスト IDS エージェントによって報告される)ホストでのすべての設定変更の詳細が示されます。

設定の問題: ネットワーク: すべてのイベント

このレポートでは、ネットワーク デバイスでの設定エラーを示すイベントに関する詳細のリストが示されます。

設定の問題: サーバ: すべてのイベント

このレポートでは、ホストまたはホスト アプリケーションでの設定エラーを示す、すべてのイベントに関する詳細のリストが示されます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

このレポートでは、ホストのセキュリティに影響を及ぼす、ホストでのすべてのポリシー変更のリストが示されます。これらのイベントは、通常、ホスト IDS およびホスト エージェントによって報告されます。

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

このレポートでは、失敗したすべての AAA(たとえば、RADIUS、TACACS など)ベース アクセスの試行の詳細が示されます。802.1x、ネットワーク デバイス アクセス、Cisco NAC などの通常のメカニズムでは、アクセス制御に AAA サーバが使用されます。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関するイベント詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関する詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

このレポートでは、CHECKUP 状態、QUARANTINE 状態、INFECTED 状態のいずれかなど、セキュリティ ポスチャが最新ではないユーザの詳細イベントのリストが示されます。これらのホストにあるソフトウェアは、アップグレードする必要があります。CHECKUP ホストでは、DAT ファイルをアップデートする必要があります。QUARANTINE ホストでは、ネットワークにアクセスする前に、DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、補修する必要があります。

アクティビティ: AAA 認証の失敗: すべてのイベント

このレポートでは、失敗した AAA 認証のイベント詳細が表示されます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント

このレポートには、攻撃(または試行)が防止されたすべての Cisco IPS イベントが含まれます。

アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ

このレポートでは、攻撃(または試行)が防止された上位の Cisco IPS イベント タイプが、ランク付けされます。

システム: HIPAA 準拠性レポート

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: すべて: 上位のレポート デバイス」

「アクティビティ: 防止された攻撃: 上位のレポート デバイス」

「アクティビティ: 拒否: 上位の宛先ポート」

「アクティビティ: 拒否: 上位の宛先」

「アクティビティ: 拒否: 上位の発信元」

「アクティビティ: IDS の回避: 上位のイベント タイプ」

「アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ」

「アクティビティ: スキャン: 上位の宛先ポート」

「アクティビティ: スキャン: 上位の宛先」

「アクティビティ: ステルスのスキャン: 上位の発信元」

「アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ」

「アクティビティ: すべて: 上位の起動規則」

「攻撃: すべて: 上位の発信元」

「攻撃: データベース サーバ: 上位のイベント タイプ」

「攻撃: FTP サーバ: 上位のイベント タイプ」

「攻撃: スプーフィングの特定: 上位のイベント タイプ」

「攻撃: ログイン サービス: 上位のイベント タイプ」

「攻撃: メール サーバ: 上位のイベント タイプ」

「攻撃: ネットワーク DoS : 上位のイベント タイプ」

「攻撃: RPC サービス: 上位のイベント タイプ」

「攻撃: ウイルスまたはワーム: 上位の発信元」

「攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ」

「設定の変更: ネットワーク: 上位のイベント タイプ」

「アクティビティ: すべて: 上位のユーザ」

「アクティビティ: IRC : すべてのイベント」

「攻撃: すべて: 上位のイベント タイプ グループ」

「アクティビティ: すべて: 上位のレポート デバイス タイプ」

「アクティビティ: ホストでのログインの失敗: 上位の宛先」

「アクティビティ: ホストでのログインの失敗: 上位のユーザ」

「アクティビティ: ホストでのログインの成功: 上位のホスト」

「アクティビティ: ホストでのレジストリの変更: すべてのイベント」

「アクティビティ: ホストでのレジストリの変更: 上位のホスト」

「アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト」

「攻撃: すべて: 上位の宛先」

「アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント」

「アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト」

「アクティビティ: ネットワークの使用状況: 上位の宛先ポート」

「攻撃: パスワード: 上位の宛先」

「攻撃: 非一般的または異常なトラフィック: 上位のイベント タイプ」

「設定の変更: サーバ: 上位のイベント タイプ」

「アクティビティ: スパイウェア: 上位のホスト」

「設定の変更: サーバ: 上位のレポート デバイス」

「アクティビティ: すべてのイベントおよび NetFlow : 上位の宛先ポート」

「アクティビティ: ホストでの権限の拡大: 上位のホスト」

「アクティビティ: P2P ファイル共有またはチャット: 上位のホスト」

「アクティビティ: レクリエーション: 上位の発信元」

「アクティビティ: リモート アクセス ログイン: 上位のユーザ」

「アクティビティ: ウイルスまたはワーム: 上位の感染ホスト」

「アクティビティ: データベースでのログインの失敗: すべてのイベント」

「アクティビティ: データベースでのログインの失敗: 上位のサーバ」

「アクティビティ: データベースでのログインの成功: 上位のサーバ」

「アクティビティ: データベースでのログインの成功: 上位のユーザ」

「アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント」

「アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ」

「アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント」

「アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ」

「アクティビティ: データベースの特権コマンドの失敗: すべてのイベント」

「アクティビティ: ウイルス: 検出: 上位のユーザ」

「アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ」

「アクティビティ: ウイルス: 感染: 上位のユーザ」

「アクティビティ: データベースの通常コマンドの失敗: すべてのイベント」

「アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ」

「アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント」

「アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ」

「アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント」

「アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ」

「リソースの利用率: 並列接続: 上位のデバイス」

「アクティビティ: ホストでのログインの失敗: すべてのイベント」

「アクティビティ: ホストでのログインの成功: すべてのイベント」

「アクティビティ: CS-MARS ホストの負荷軽減: 失敗: すべてのイベント」

「アクティビティ: CS-MARS ホストの負荷軽減: 成功: すべてのイベント」

「アクティビティ: ホストでの管理ログインの成功: すべてのイベント」

「アクティビティ: ホストでの権限の拡大: すべてのイベント」

「アクティビティ: リモート アクセス ログイン: すべてのイベント」

「アクティビティ: リモート アクセス ログインの失敗: すべてのイベント」

「アクティビティ: VA スキャナによって見つけられた脆弱なホスト」

「アクティビティ: 見つけられた脆弱なホスト」

「攻撃: パスワード: すべてのイベント」

「設定の変更: ネットワーク: すべてのイベント」

「設定の変更: サーバ: すべてのイベント」

「アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント」

「アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント」

「アクティビティ: データベースでのログインの失敗: 上位のユーザ」

「アクティビティ: データベースでのログインの成功: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント」

「アクティビティ: AAA 認証の失敗: すべてのイベント」

「アクティビティ: AAA 認証の失敗: 上位のユーザ」

「アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント」

「アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ」

「アクティビティ: CS-MARS pnadmin ユーザのパスワード ステータス」

「アクティビティ: CS-MARS でのログインの成功」

「アクティビティ: CS-MARS でのログインの失敗」

アクティビティ: すべて: 上位のレポート デバイス

このレポートでは、各セキュリティ デバイスから報告されるイベントの総数を基準として、セキュリティ デバイスがランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: 防止された攻撃: 上位のレポート デバイス

このレポートでは、防止された攻撃の回数を基準として、セキュリティ デバイスがランク付けされます。

アクティビティ: 拒否: 上位の宛先ポート

このレポートでは、攻撃のターゲットとされたが攻撃が拒否された宛先ポートが、ランク付けされます。

アクティビティ: 拒否: 上位の宛先

このレポートでは、攻撃のターゲットとされたが攻撃が拒否された宛先ホストが、ランク付けされます。

アクティビティ: 拒否: 上位の発信元

このレポートでは、拒否された接続試行の回数を基準として、攻撃の発信元がランク付けされます。

アクティビティ: IDS の回避: 上位のイベント タイプ

このレポートでは、ネットワーク IDS システムによる検出を回避する目的を持つ攻撃者による試行を検出するイベントが、ランク付けされます。これは、Web ベースの混乱攻撃、フラグメンテーション攻撃、または、TCP/IP ベースの攻撃の可能性があります。

アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ

このイベントにより、ユーザ間のファイル共有プロトコルまたはチャット プロトコルのアクティビティを検出するイベントが、ランク付けされます。KaZaa、Napster、EDonkey などのファイル共有プロトコル、および、IRC、Hotline、インスタント メッセージング プロトコルなどのチャット プロトコルは、ビジネス環境に適さない場合があります。

アクティビティ: スキャン: 上位の宛先ポート

このレポートでは、ポートでのスキャン アクティビティを検出するイベントの総数を基準として、宛先ポートがランク付けされます。スキャンには、稼動ホストおよび稼動ホストでオープンされているサービスの検索や、ホスト設定およびアプリケーション設定の検出などの、アクティビティが含まれます。

アクティビティ: スキャン: 上位の宛先

このレポートでは、ホストに対して誘導されたスキャン アクティビティを検出するイベントの総数を基準として、ホストがランク付けされます。スキャンには、稼動ホストおよび稼動ホストでオープンされているサービスの検索や、ホスト設定およびアプリケーション設定の検出などの、アクティビティが含まれます。

アクティビティ: ステルスのスキャン: 上位の発信元

このレポートでは、ステルス スキャン アクティビティの数を基準として、攻撃者がランク付けされます。このようなアクティビティには、ホスト オペレーティング システムおよびその他の脆弱性を検出するための、クラフト パケットの送信が含まれます。脆弱性のあるスキャン機能により、このようなイベントが生成される場合があります。

アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ

このレポートでは、ネットワークにあるウイルスまたはワームのアクティビティを検出するイベントがランク付けされます。

アクティビティ: すべて: 上位の起動規則

このレポートでは、発生した問題の回数を基準として、直前の 1 時間に起動された規則がランク付けされます。これによって、攻撃アクティビティと非攻撃アクティビティの両方が含まれるネットワークで、規則の起動アクティビティに関する一般的な概要が示されます。このレポートは、[Summary] タブにあるページによって使用されます。

攻撃: すべて: 上位の発信元

このレポートでは、直前の 1 時間に MARS によって見つけられた攻撃イベントの発信元が、ランク付けされます。

攻撃: データベース サーバ: 上位のイベント タイプ

このレポートでは、MS SQL Server、Oracle、Sybase などのデータベース サーバでの攻撃が、ランク付けされます。

攻撃: FTP サーバ: 上位のイベント タイプ

このレポートでは、FTP サーバでの攻撃がランク付けされます。

攻撃: スプーフィングの特定: 上位のイベント タイプ

このレポートでは、直前の 1 時間に識別情報をスプーフィングするために攻撃者によって行われた試行を示すイベントが、ランク付けされます。

攻撃: ログイン サービス: 上位のイベント タイプ

このレポートでは、ログイン サービスおよびリモート シェルを提供しているサーバでの攻撃が、ランク付けされます。その例には、Telnet、SSH、および Berkeley r- プロトコルが含まれます。

攻撃: メール サーバ: 上位のイベント タイプ

このレポートでは、メール サーバ(SMTP、POP、IMAP)での攻撃がランク付けされます。

攻撃: ネットワーク DoS : 上位のイベント タイプ

このレポートでは、ネットワーク全体での DoS 試行を示す攻撃がランク付けされます。このような攻撃には、ルータ、ファイアウォール、スイッチなどのインライン ネットワークのクラッシュやリブート、または、TCP、UDP、ICMP のトラフィックによるネットワーク負荷の増大が、含まれる場合があります。

攻撃: RPC サービス: 上位のイベント タイプ

このレポートでは、RPC ベースのアプリケーションでの攻撃がランク付けされます。

攻撃: ウイルスまたはワーム: 上位の発信元

このレポートでは、ウイルスまたはワームの送信を試行する発信元のアドレスがランク付けされます。

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

このレポートでは、直前の 1 時間の Web サーバまたは Web サーバに組み込まれたアプリケーションでの攻撃が、ランク付けされます。

設定の変更: ネットワーク: 上位のイベント タイプ

このレポートでは、ファイアウォール、ルータ、スイッチなどのネットワーク デバイスに対して、直前の 1 時間に変更された設定が要約されます。

アクティビティ: すべて: 上位のユーザ

このレポートでは、最もアクティブなユーザ名を示すことによって、最も頻繁なログインおよびその他のユーザ アクティビティが追跡管理されます。

アクティビティ: IRC : すべてのイベント

このレポートでは、すべての IRC アクティビティのリストが示されます。通常、ワームにより、IRC 接続が開始される感染ホスト上に、実行可能プログラムが置かれます。

攻撃: すべて: 上位のイベント タイプ グループ

このレポートでは、起動された相関規則に示されているイベント タイプ グループが、ランク付けされます。イベント タイプ グループにより、MARS からの報告の一部として分類されるネットワーク アクティビティに関する一般的な概要が示されます。

アクティビティ: すべて: 上位のレポート デバイス タイプ

このレポートでは、特定の各タイプのデバイスから報告されるイベントの数を基準として、セキュリティ デバイス タイプがランク付けされます。

アクティビティ: ホストでのログインの失敗: 上位の宛先

このレポートでは、記録されたログイン失敗の回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログイン試行を基準として、ホスト ユーザがランク付けされます。

アクティビティ: ホストでのログインの成功: 上位のホスト

このレポートでは、成功したログインを基準として、ホストがランク付けされます。

アクティビティ: ホストでのレジストリの変更: すべてのイベント

このレポートでは、Microsoft Windows のレジストリ変更のシグナルを送信するイベントが記録されます。

アクティビティ: ホストでのレジストリの変更: 上位のホスト

このレポートでは、報告された Microsoft Windows レジストリの変更回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト

このレポートでは、ホストで行われたセキュリティ ポリシー変更の回数を基準として、ホストがランク付けされます。

攻撃: すべて: 上位の宛先

このレポートでは、各ホストに対する攻撃の回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント

このレポートでは、ホストから報告されたユーザ グループ管理イベントが記録されます。

アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト

このレポートでは、報告されたユーザ グループ管理イベントを基準として、ホストがランク付けされます。

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

このレポートでは、ネットワーク セッションの数を基準として、宛先ポートがランク付けされます。このレポートでは、セッション イベントを取り込めるようにするため、ルータまたはファイアウォールの Syslog レベルを高く設定する必要があります。このレポートでは、ネットワークの一般的な使用パターンが示されます。

攻撃: パスワード: 上位の宛先

このレポートでは、ホストで試行されたパスワード攻撃の回数を基準として、ホストがランク付けされます。パスワード攻撃には、(a)リモートまたはローカルのいずれかでのパスワードの取り込みの試行、および、(b)パスワードの推測の試行が含まれます。パスワード推測試行は、IDS およびホストによって、認証の失敗として記録されます。

攻撃: 非一般的または異常なトラフィック: 上位のイベント タイプ

このレポートでは、非一般的または異常なトラフィックを示すイベントがランク付けされます。非一般的なトラフィックには、一般的な用途ではない ICMP タイプおよび TCP や IP のオプション、または、非標準ポートでの標準トラフィックが含まれます。異常なトラフィックには、IETF またはその他の広く知られているプロトコル仕様に違反するトラフィックが含まれます。

設定の変更: サーバ: 上位のイベント タイプ

このレポートでは、サーバに対して、直前の 1 時間に変更された設定が要約されます。

アクティビティ: スパイウェア: 上位のホスト

このレポートでは、スパイウェア アプリケーションを実行中のホストがランク付けされます。スパイウェアは、ホスト上でインストールおよび実行されて、ユーザ名、パスワード、およびクレジット カード情報を収集し、その情報をスパイウェアの作成者に送信する、悪意のあるアプリケーションです。

設定の変更: サーバ: 上位のレポート デバイス

このレポートでは、サーバごとに、直前の 1 時間に変更された設定が要約されます。

アクティビティ: すべてのイベントおよび NetFlow : 上位の宛先ポート

このレポートでは、直前の 1 時間に MARS によって見つけられた(NetFlow イベントを含む)すべてのイベントの UDP 宛先ポートおよび TCP 宛先ポートが、ランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: ホストでの権限の拡大: 上位のホスト

このレポート記録では、ホストに対して試行されたアクセス権限拡大試行を基準として、ホストがランク付けされます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: P2P ファイル共有またはチャット: 上位のホスト

このレポートでは、P2P ファイル共有プロトコルおよびチャット プロトコルのアクティビティに関連するホストが、ランク付けされます。このようなプロトコルは、ビジネス環境に適さない場合があります。

アクティビティ: レクリエーション: 上位の発信元

このレポートでは、ゲーム、成人向け Web サイト、株式サイトなどのレクリエーション アクティビティに関連する発信元アドレスが、ランク付けされます。

アクティビティ: リモート アクセス ログイン: 上位のユーザ

このレポートでは、リモート アクセス ログイン(PPP、L2TP、PPTP、IP セキュリティ)を基準として、ユーザがランク付けされます。

アクティビティ: ウイルスまたはワーム: 上位の感染ホスト

このレポートでは、SMTP、POP、IMAP、ネットワーク共有などを経由してウイルスおよびワームを送信するホストがランク付けされます。

アクティビティ: データベースでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

アクティビティ: データベースでのログインの失敗: 上位のサーバ

このレポートでは、ログイン失敗の回数を基準として、データベース サーバがランク付けされます。

アクティビティ: データベースでのログインの成功: 上位のサーバ

このレポートでは、成功したログインの回数を基準として、データベース サーバ ホストがランク付けされます。

アクティビティ: データベースでのログインの成功: 上位のユーザ

このレポートでは、成功したログインの回数を基準として、データベース ユーザがランク付けされます。

アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベース オブジェクトの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ

このレポートでは、失敗したデータベース オブジェクトの変更試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベース オブジェクトの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ

このレポートでは、成功したデータベース オブジェクトの変更の回数を基準として、ユーザ数がランク付けされます。

アクティビティ: データベースの特権コマンドの失敗: すべてのイベント

このレポートでは、失敗したすべての特権データベース コマンドの実行に関するイベント詳細のリストが示されます。

アクティビティ: ウイルス: 検出: 上位のユーザ

このレポートでは、検出されたウイルスを基準として、ユーザまたはワークステーションがランク付けされます。

アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ

このレポートでは、失敗した特権データベース コマンドの実行試行を基準として、ユーザがランク付けされます。

アクティビティ: ウイルス: 感染: 上位のユーザ

このレポートでは、検出されたが除去されていないウイルスを基準として、ユーザまたはワークステーションがランク付けされます。

アクティビティ: データベースの通常コマンドの失敗: すべてのイベント

このレポートでは、失敗したすべての非特権データベース コマンドの実行試行に関するイベント詳細のリストが示されます。

アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ

このレポートでは、非特権データベース コマンドの実行試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベースのユーザまたはグループの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ

このレポートでは、失敗したデータベースのユーザまたはグループの変更試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベースのユーザまたはグループの変更に関するイベント詳細のリストが示されます。

アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ

このレポートでは、成功したデータベースのユーザまたはグループの変更の実行を基準として、ユーザがランク付けされます。

リソースの利用率: 並列接続: 上位のデバイス

このレポートでは、PN-MARS によって管理されているデバイス経由で確立された並列接続の数が、ランク付けされます。

アクティビティ: ホストでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのホスト ログインの詳細が記録されます。

アクティビティ: ホストでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのホスト ログイン イベントの詳細が示されます。

アクティビティ: CS-MARS ホストの負荷軽減: 失敗: すべてのイベント

このレポートでは、失敗した CS-MARS の負荷軽減の試行のリストが示されます。これらは、不適切なネットワーク接続またはデバイス アクセス クレデンシャルから発生する可能性があります。

アクティビティ: CS-MARS ホストの負荷軽減: 成功: すべてのイベント

このレポートでは、成功した CS-MARS からの負荷軽減に関するリストが示されます。

アクティビティ: ホストでの管理ログインの成功: すべてのイベント

このレポートでは、成功したホストに対する管理ログイン イベントの詳細が示されます。

アクティビティ: ホストでの権限の拡大: すべてのイベント

このレポートでは、特定のホストでアクセス権限を増やそうとしているユーザを示すイベントに関する詳細が示されます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: リモート アクセス ログイン: すべてのイベント

このレポートでは、リモート アクセス ログイン イベント(IP セキュリティ、SSLVPN、PPP、L2TP など)の詳細が示されます。

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

このイベントにより、失敗したすべてのリモート アクセス ログイン イベントの詳細が示されます。

アクティビティ: VA スキャナによって見つけられた脆弱なホスト

このレポートでは、Vulnerability Analysis(VA)スキャナから情報をインポートすることによって見つけられた、脆弱なホストおよび関連する脆弱性のリストが示されます。

アクティビティ: 見つけられた脆弱なホスト

このホストでは、IDS または VA スキャナによって見つけられたすべての脆弱なホストのリストが示されます。

攻撃: パスワード: すべてのイベント

このレポートでは、すべてのパスワード攻撃イベントの詳細が示されます。

設定の変更: ネットワーク: すべてのイベント

このイベントにより、ネットワーク デバイスでのすべての設定変更の詳細が示されます。

設定の変更: サーバ: すべてのイベント

このイベントにより、(OS またはホスト IDS エージェントによって報告される)ホストでのすべての設定変更の詳細が示されます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

このレポートでは、ホストのセキュリティに影響を及ぼす、ホストでのすべてのポリシー変更のリストが示されます。これらのイベントは、通常、ホスト IDS およびホスト エージェントによって報告されます。

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

このレポートでは、失敗したすべての AAA(たとえば、RADIUS、TACACS など)ベース アクセスの試行の詳細が示されます。802.1x、ネットワーク デバイス アクセス、Cisco NAC などの通常のメカニズムでは、アクセス制御に AAA サーバが使用されます。

アクティビティ: データベースでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログインの回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関するイベント詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関する詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

このレポートでは、CHECKUP 状態、QUARANTINE 状態、INFECTED 状態のいずれかなど、セキュリティ ポスチャが最新ではないユーザの詳細イベントのリストが示されます。これらのホストにあるソフトウェアは、アップグレードする必要があります。CHECKUP ホストでは、DAT ファイルをアップデートする必要があります。QUARANTINE ホストでは、ネットワークにアクセスする前に、DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、補修する必要があります。

アクティビティ: AAA 認証の失敗: すべてのイベント

このレポートでは、失敗した AAA 認証のイベント詳細が表示されます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: AAA 認証の失敗: 上位のユーザ

このレポートでは、失敗した AAA 認証に基づいて、ユーザがランク付けされます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント

このレポートには、攻撃(または試行)が防止されたすべての Cisco IPS イベントが含まれます。

アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ

このレポートでは、攻撃(または試行)が防止された上位の Cisco IPS イベント タイプが、ランク付けされます。

アクティビティ: CS-MARS pnadmin ユーザのパスワード ステータス

このレポートでは、パスワードの変更などの CS-MARS LC "pnadmin" ユーザ アカウント パスワード アクティビティが原因で、または、24 時間ごとにチェックされるパスワードが、工場出荷時のデフォルトのままの場合に発生する、イベントの詳細が示されます。

アクティビティ: CS-MARS でのログインの成功

このレポートでは、CS-MARS LC でのログインの成功が原因で発生したイベントの詳細が示されます。

アクティビティ: CS-MARS でのログインの失敗

このレポートでは、CS-MARS LC でのログインの失敗が原因で発生したイベントの詳細が示されます。

システム: ホスト アクティビティ

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: ホストでのオブジェクトのアクセス: すべてのイベント」

「アクティビティ: ホストでの特権アクセス: すべてのイベント」

「アクティビティ: ホストでのレジストリの変更: すべてのイベント」

「アクティビティ: ホストでのレジストリの変更: 上位のホスト」

「アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト」

「アクティビティ: ホストでのシステム イベント: すべてのイベント」

「アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント」

「アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト」

「アクティビティ: ホストでのプロセスの追跡管理: すべてのイベント」

アクティビティ: ホストでのオブジェクトのアクセス: すべてのイベント

このレポートでは、Windows イベント ログからのすべての Microsoft Windows Object Access イベントが記録されます。

アクティビティ: ホストでの特権アクセス: すべてのイベント

このレポートでは、Windows イベント ログからのすべての Microsoft Windows Host Privileged Access イベントが記録されます。

アクティビティ: ホストでのレジストリの変更: すべてのイベント

このレポートでは、Microsoft Windows のレジストリ変更のシグナルを送信するイベントが記録されます。

アクティビティ: ホストでのレジストリの変更: 上位のホスト

このレポートでは、報告された Microsoft Windows レジストリの変更回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト

このレポートでは、ホストで行われたセキュリティ ポリシー変更の回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのシステム イベント: すべてのイベント

このレポートでは、たとえば、起動、シャットダウン、LSA 登録、監査イベントの廃棄など、Microsoft Windows のシステム イベントが記録されます。

アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント

このレポートでは、ホストから報告されたユーザ グループ管理イベントが記録されます。

アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト

このレポートでは、報告されたユーザ グループ管理イベントを基準として、ホストがランク付けされます。

アクティビティ: ホストでのプロセスの追跡管理: すべてのイベント

このレポートでは、Windows イベント ログからのすべての Microsoft Windows Detailed Process Tracking イベントが記録されます。

攻撃: ネットワーク DoS : 上位のイベント タイプ

このレポートでは、ネットワーク全体での DoS 試行を示す攻撃がランク付けされます。このような攻撃には、ルータ、ファイアウォール、スイッチなどのインライン ネットワークのクラッシュやリブート、または、TCP、UDP、ICMP のトラフィックによるネットワーク負荷の増大が、含まれる場合があります。

アクティビティ: ポートに対する急激なトラフィックの増加: すべての宛先

このレポートでは、TCP ポートまたは UDP ポートで急激に受信している統計的に非常に大きな量または ICMP トラフィックにより、異常な動作を見せているホストのリストが示されます。

アクティビティ: ポートに対する急激なトラフィックの増加: すべての発信元

このレポートでは、TCP ポートまたは UDP ポートで急激に送信している統計的に非常に大きな量または ICMP トラフィックにより、異常な動作を見せているホストのリストが示されます。

アクティビティ: 検出された WLAN DoS 攻撃

このレポートでは、Cisco WLAN Controller から報告されるように、すべての無線 LAN DoS 攻撃(たとえば、Broadcast Deauth、Null Probe、Association、およびその他のフラッド アタック)のリストが示されます。

アクティビティ: 検出された WLAN プローブ

このレポートでは、Cisco WLAN Controller から報告されるように、すべての無線プローブ(たとえば、Netstumbler および Wellenreiter スキャナ)のリストが示されます。

アクティビティ: 検出された WLAN の不正な AP またはアドホック ホスト

このレポートでは、Cisco WLAN Controller から報告されるように、動作が不適切なすべての無線 LAN ホスト、AP、およびアドホック ホストのリストが示されます。

システム: 新たな悪意のあるソフトウェアの大発生(Cisco ICS)

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: 新たに検出された悪意のあるソフトウェア: すべてのイベント」

「アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の失敗: すべてのイベント」

「アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の成功: すべてのイベント」

「アクティビティ: 新たな悪意のあるソフトウェア トラフィックの一致: すべてのイベント」

「アクティビティ: 新たな悪意のあるソフトウェアのトラフィックの一致: 上位の発信元」

アクティビティ: 新たに検出された悪意のあるソフトウェア: すべてのイベント

このレポートでは、Cisco Incident Control Server によって検出された、新たに大発生したすべてのウイルス、ワーム、悪意のあるソフトウェアのリストが示されます。

アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の失敗: すべてのイベント

このレポートでは、新しいウイルス、ワーム、悪意のあるソフトウェアの大発生に対する応答で、Cisco Incident Control Server による ACL およびシグニチャの導入が失敗した、すべてのデバイスのリストが示されます。

アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の成功: すべてのイベント

このレポートでは、新しいウイルス、ワーム、悪意のあるソフトウェアの大発生に対する応答で、Cisco Incident Control Server によって新たな ACL およびシグニチャが導入された、すべての宛先(Cisco IOS IPS デバイスおよび IPS アプライアンス)のリストが示されます。

アクティビティ: 新たな悪意のあるソフトウェア トラフィックの一致: すべてのイベント

このレポートでは、新たに検出された悪意のあるソフトウェアの大発生に対する応答で、Cisco Incident Control Server によって導入された ACL およびシグニチャに一致した、トラフィックの送信元および実行デバイスのリストが示されます。

アクティビティ: 新たな悪意のあるソフトウェアのトラフィックの一致: 上位の発信元

このレポートでは、新しいウイルス、ワーム、悪意のあるソフトウェアの大発生に対する応答で、Cisco Incident Control Server によってダイナミックに導入された ACL およびシグニチャに一致した、上位の送信元のリストが示されます。これは、これらの発信元が感染している可能性が高いことを示します。

システム: 運用上の問題

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「運用上の問題: ネットワーク: 上位のレポート デバイス」

「運用上の問題: サーバ: 上位のレポート デバイス」

「リソースの利用率: エラー: インバウンド: 上位のインターフェイス」

「リソースの利用率: エラー: アウトバウンド: 上位のインターフェイス」

「アクティビティ: 非アクティブなレポート デバイス: 上位のデバイス」

「運用上の問題: ネットワーク: すべてのイベント」

「運用上の問題: サーバ: すべてのイベント」

「接続の問題: IOS IPS DTM : すべてのイベント」

「リソースの利用率: CS-MARS : すべてのイベント」

「アクティビティ: CS-MARS での証明書またはフィンガープリントの保存障害」

「アクティビティ: CS-MARS でのデバイス接続のエラー」

「アクティビティ: CS-MARS IPS シグニチャ アップデートの失敗: すべてのイベント」

「アクティビティ: CS-MARS LC-GC 通信の失敗」

運用上の問題: ネットワーク: 上位のレポート デバイス

このレポートでは、ルータ、ファイアウォール、ネットワーク IDS システムなどのネットワーク デバイスで発生した運用上の問題を示す可能性があるイベントが要約されます。

運用上の問題: サーバ: 上位のレポート デバイス

このレポートでは、サーバで発生した運用上の問題を示す可能性があるイベントが要約されます。

リソースの利用率: エラー: インバウンド: 上位のインターフェイス

このレポートでは、PN-MARS によって管理されているデバイスのインバウンド インターフェイスでのエラー率を基準として、ランク付けされます。

リソースの利用率: エラー: アウトバウンド: 上位のインターフェイス

このレポートでは、PN-MARS によって管理されているデバイスのアウトバウンド インターフェイスでのエラー率を基準として、ランク付けされます。

アクティビティ: 非アクティブなレポート デバイス: 上位のデバイス

このレポートでは、CS-MARS にイベントを報告するよう設定されているが、直前の 1 時間にイベントを報告しなかったデバイスのリストが示されます。

運用上の問題: ネットワーク: すべてのイベント

このレポートでは、ネットワーク デバイスでのすべての運用上の問題に関する詳細のリストが示されます。

運用上の問題: サーバ: すべてのイベント

このレポートでは、ホストまたはホスト アプリケーションでのすべての運用上の問題を示すイベントに関する詳細のリストが示されます。

接続の問題: IOS IPS DTM : すべてのイベント

このレポートでは、CS-MARS と IOS IPS デバイスとの間の接続問題のリストが示されます。接続問題により、CS-MARS では、IOS IPS 上で ACTIVE シグニチャがオンに設定されない場合があります。

リソースの利用率: CS-MARS : すべてのイベント

この規則により、たとえば、データベース パーティションなど、CS-MARS のリソース利用率に関連するすべてのイベントのイベント詳細のリストが示されます。

アクティビティ: CS-MARS での証明書またはフィンガープリントの保存障害

このレポートでは、明示的なユーザ アクションまたは SSL や SSH の設定が原因の自動受信に基づいて、新規または変更された SSL 証明書または SSH キー フィンガープリントを保存する際に、CS-MARS で障害が起きたことが原因で発生した、イベント詳細のリストが示されます。

アクティビティ: CS-MARS でのデバイス接続のエラー

このレポートでは、(たとえば、SSL 証明書または SSH キー フィンガープリントの矛盾、ネットワーク タイムアウトなど)さまざまな理由で発生した CS-MARS デバイス接続エラーの、イベント詳細のリストが示されます。これには、一時的および永続的なエラーの両方が含まれます。

アクティビティ: CS-MARS IPS シグニチャ アップデートの失敗: すべてのイベント

このレポートでは、CS-MARS での IPS シグニチャ パッケージの自動アップデート中に発生し、失敗したすべてのイベントのイベント詳細のリストが示されます。含まれるイベントは、一部の IPS シグニチャに対応する 1 つ以上の CS-MARS イベント タイプの追加またはアップデートの失敗や、シグニチャ パッケージを使用した CS-MARS データベースのダウンロード、解析、アップデート(または部分的なアップデート)の完全な失敗など、途中でのエラーを意味します。

アクティビティ: CS-MARS LC-GC 通信の失敗

このレポートでは、接続問題、証明書の不一致、互換性のないソフトウェアまたはデータのバージョンなど、さまざまな理由のために、CS-MARS Local Controller とその Global Controller との間で失敗したすべての通信が原因で発生した、直前の 1 時間のイベント詳細のリストが示されます。

システム: PCI DSS01 : カード所有者のデータのインストール、管理、転送、保護

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: すべて: 上位の宛先ポート」

「アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ」

「攻撃: ログイン サービス: 上位のイベント タイプ」

「設定の変更: ネットワーク: 上位のイベント タイプ」

「アクティビティ: ネットワークの使用状況: 上位の宛先ポート」

「設定の変更: サーバ: 上位のイベント タイプ」

「設定の変更: サーバ: 上位のレポート デバイス」

「アクティビティ: すべてのセッション: バイト数を基準とする上位の宛先ポート」

「アクティビティ: P2P ファイル共有またはチャット: 上位のホスト」

「アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート」

「設定の変更: ネットワーク: すべてのイベント」

「設定の変更: サーバ: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: 正常: 上位のユーザ」

「アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD」

「アクティビティ: セキュリティ ポスチャ: NAC : 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC L2IP : 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC 監査サーバの問題: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: NAC L2 802.1x : 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位の NAD」

「アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD とトークン」

「アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC エンド ホストの詳細: すべてのイベント」

「アクティビティ: AAA 認証の失敗: すべてのイベント」

「アクティビティ: AAA 認証の失敗: 上位の NAD」

「アクティビティ: AAA 認証の失敗: 上位のユーザ」

「アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位の NAD」

アクティビティ: すべて: 上位の宛先ポート

このレポートでは、直前の 1 時間に MARS によって見つけられたすべてのイベントの UDP 宛先ポートおよび TCP 宛先ポートが、ランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ

このイベントにより、ユーザ間のファイル共有プロトコルまたはチャット プロトコルのアクティビティを検出するイベントが、ランク付けされます。KaZaa、Napster、EDonkey などのファイル共有プロトコル、および、IRC、Hotline、インスタント メッセージング プロトコルなどのチャット プロトコルは、ビジネス環境に適さない場合があります。

攻撃: ログイン サービス: 上位のイベント タイプ

このレポートでは、ログイン サービスおよびリモート シェルを提供しているサーバでの攻撃が、ランク付けされます。その例には、Telnet、SSH、および Berkeley r- プロトコルが含まれます。

設定の変更: ネットワーク: 上位のイベント タイプ

このレポートでは、ファイアウォール、ルータ、スイッチなどのネットワーク デバイスに対して、直前の 1 時間に変更された設定が要約されます。

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

このレポートでは、ネットワーク セッションの数を基準として、宛先ポートがランク付けされます。このレポートでは、セッション イベントを取り込めるようにするため、ルータまたはファイアウォールの Syslog レベルを高く設定する必要があります。このレポートでは、ネットワークの一般的な使用パターンが示されます。

設定の変更: サーバ: 上位のイベント タイプ

このレポートでは、サーバに対して、直前の 1 時間に変更された設定が要約されます。

設定の変更: サーバ: 上位のレポート デバイス

このレポートでは、サーバごとに、直前の 1 時間に変更された設定が要約されます。

アクティビティ: すべてのセッション: バイト数を基準とする上位の宛先ポート

このレポートでは、転送されたバイト数を基準として、すべての宛先ポートがランク付けされます。

アクティビティ: P2P ファイル共有またはチャット: 上位のホスト

このレポートでは、P2P ファイル共有プロトコルおよびチャット プロトコルのアクティビティに関連するホストが、ランク付けされます。このようなプロトコルは、ビジネス環境に適さない場合があります。

アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート

このレポートでは、送信されたバイト数を基準として、上位の宛先ポートがランク付けされます。

設定の変更: ネットワーク: すべてのイベント

このイベントにより、ネットワーク デバイスでのすべての設定変更の詳細が示されます。

設定の変更: サーバ: すべてのイベント

このイベントにより、(OS またはホスト IDS エージェントによって報告される)ホストでのすべての設定変更の詳細が示されます。

アクティビティ: セキュリティ ポスチャ: 正常: 上位のユーザ

このレポートでは、セキュリティ ポスチャの状態が HEALTHY のユーザのリストが示されます。正常なセキュリティ ポスチャは、ホストのポスチャが最新で、ポリシーに準拠しているため、注意を払う必要がないことを意味します。

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD

このレポートでは、ネットワーク アドミッション コントロールのトランザクションを処理する Network Access Device(NAD)がランク付けされます。

アクティビティ: セキュリティ ポスチャ: NAC : 上位のトークン

このレポートでは、ネットワーク全体での NAC トークンの配信状況が示されます。示される可能性があるトークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC L2IP : 上位のトークン

このレポートでは、レイヤ 2 IP 方式を使用してそのポスチャを検証するエンド ホストでの NAC トークンの配信が記録されます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC 監査サーバの問題: すべてのイベント

このレポートでは、監査サーバからの正しいセキュリティ ポスチャの取得に問題がある AAA サーバについて、エンド ホストがランク付けされます。これらのホストでは、Cisco Trust Agent(CTA)が実行されておらず、監査サーバに依存して、適切なセキュリティ ポスチャ トークンが取得されます。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関するイベント詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関する詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC L2 802.1x : 上位のトークン

このレポートでは、レイヤ 2 IEEE 802.1x 方式を使用してそのポスチャを検証する、エンド ホストでの NAC トークンの配信が記録されます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位のホスト

このレポートでは、Network Access Device(NAD)でスタティックな例外として設定されたホストが記録されます。これらのホストについては、NAD により、ポスチャ検証サーバに対する問い合せなしで、ネットワーク アクセスが許可されます。

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位の NAD

このレポートでは、ネットワークでスタティックな例外としてエンド ホストを許可する Network Access Device(NAD)が記録されます。これらのエンド ホストでは、NAD により、ポスチャ検証サーバに対する問い合せなしで、ネットワーク アクセスが許可されます。

アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト

このレポートでは、Network Access Devices(NAD)からのステータス クエリーに障害が発生した上位ホストの詳細が示されます。このような障害は、初期認可後、エンド ホスト上で Cisco Trust Agent(CTA)によって検出されるポスチャに変更があるたびに、発生します。このような障害は、CTA エージェントを頻繁にイネーブルまたはディセーブルにするユーザが原因で発生する場合があります。

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

このレポートでは、CHECKUP 状態、QUARANTINE 状態、INFECTED 状態のいずれかなど、セキュリティ ポスチャが最新ではないユーザの詳細イベントのリストが示されます。これらのホストにあるソフトウェアは、アップグレードする必要があります。CHECKUP ホストでは、DAT ファイルをアップデートする必要があります。QUARANTINE ホストでは、ネットワークにアクセスする前に、DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、補修する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD とトークン

このレポートでは、それぞれによって割り当てられたトークンとともにネットワーク アドミッション コントロールのトランザクションを処理する Network Access Device(NAD)が示されます。

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のトークン

このレポートでは、Cisco Trust Agent(CTA)ソフトウェアがないエンド ホストでの NAC トークンの配信が記録されます。この場合、ポスチャの検証は、ローカルに、または、監視サーバ経由で Network Access Device によって、行われます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC エンド ホストの詳細: すべてのイベント

このレポートでは、Network Access Devices(NAD)および AAA サーバからの、すべての NAC 関連メッセージの詳細が示されます。1 つのエンド ホストのメッセージを参照するには、発信元の IP アドレスを選択します。

アクティビティ: AAA 認証の失敗: すべてのイベント

このレポートでは、失敗した AAA 認証のイベント詳細が表示されます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: AAA 認証の失敗: 上位の NAD

このレポートでは、失敗した AAA 認証に基づいて、Network Access Devices(NAD)がランク付けされます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: AAA 認証の失敗: 上位のユーザ

このレポートでは、失敗した AAA 認証に基づいて、ユーザがランク付けされます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のホスト

このレポートでは、Cisco Trust Agent(CTA)ソフトウェアがないエンド ホストでの NAC トークンの配信が記録されます。この場合、ポスチャの検証は、ローカルに、または、監視サーバ経由で Network Access Device によって、行われます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位の NAD

このレポートでは、Cisco Trust Agent(CTA)ソフトウェアがないエンド ホストでの NAC トークンの配信が記録されます。この場合、ポスチャの検証は、ローカルに、または、監視サーバ経由で Network Access Device によって、行われます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

システム: PCI DSS02 : デフォルトの PWD およびセキュリティ パラメータの使用回避の推奨

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: すべて: 上位の宛先ポート」

「アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ」

「攻撃: ログイン サービス: 上位のイベント タイプ」

「設定の変更: ネットワーク: 上位のイベント タイプ」

「アクティビティ: ホストでのオブジェクトのアクセス: すべてのイベント」

「アクティビティ: ホストでの特権アクセス: すべてのイベント」

「アクティビティ: ホストでのレジストリの変更: すべてのイベント」

「アクティビティ: ホストでのレジストリの変更: 上位のホスト」

「アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト」

「アクティビティ: ホストでのシステム イベント: すべてのイベント」

「アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント」

「アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト」

「アクティビティ: ネットワークの使用状況: 上位の宛先ポート」

「設定の変更: サーバ: 上位のレポート デバイス」

「アクティビティ: P2P ファイル共有またはチャット: 上位のホスト」

「アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート」

「アクティビティ: P2P ファイル共有またはチャット: すべてのイベント」

「設定の変更: ネットワーク: すべてのイベント」

「アクティビティ: ホストでのプロセスの追跡管理: すべてのイベント」

アクティビティ: すべて: 上位の宛先ポート

このレポートでは、直前の 1 時間に MARS によって見つけられたすべてのイベントの UDP 宛先ポートおよび TCP 宛先ポートが、ランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ

このイベントにより、ユーザ間のファイル共有プロトコルまたはチャット プロトコルのアクティビティを検出するイベントが、ランク付けされます。KaZaa、Napster、EDonkey などのファイル共有プロトコル、および、IRC、Hotline、インスタント メッセージング プロトコルなどのチャット プロトコルは、ビジネス環境に適さない場合があります。

攻撃: ログイン サービス: 上位のイベント タイプ

このレポートでは、ログイン サービスおよびリモート シェルを提供しているサーバでの攻撃が、ランク付けされます。その例には、Telnet、SSH、および Berkeley r- プロトコルが含まれます。

設定の変更: ネットワーク: 上位のイベント タイプ

このレポートでは、ファイアウォール、ルータ、スイッチなどのネットワーク デバイスに対して、直前の 1 時間に変更された設定が要約されます。

アクティビティ: ホストでのオブジェクトのアクセス: すべてのイベント

このレポートでは、Windows イベント ログからのすべての Microsoft Windows Object Access イベントが記録されます。

アクティビティ: ホストでの特権アクセス: すべてのイベント

このレポートでは、Windows イベント ログからのすべての Microsoft Windows Host Privileged Access イベントが記録されます。

アクティビティ: ホストでのレジストリの変更: すべてのイベント

このレポートでは、Microsoft Windows のレジストリ変更のシグナルを送信するイベントが記録されます。

アクティビティ: ホストでのレジストリの変更: 上位のホスト

このレポートでは、報告された Microsoft Windows レジストリの変更回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト

このレポートでは、ホストで行われたセキュリティ ポリシー変更の回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのシステム イベント: すべてのイベント

このレポートでは、たとえば、起動、シャットダウン、LSA 登録、監査イベントの廃棄など、Microsoft Windows のシステム イベントが記録されます。

アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント

このレポートでは、ホストから報告されたユーザ グループ管理イベントが記録されます。

アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト

このレポートでは、報告されたユーザ グループ管理イベントを基準として、ホストがランク付けされます。

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

このレポートでは、ネットワーク セッションの数を基準として、宛先ポートがランク付けされます。このレポートでは、セッション イベントを取り込めるようにするため、ルータまたはファイアウォールの Syslog レベルを高く設定する必要があります。このレポートでは、ネットワークの一般的な使用パターンが示されます。

設定の変更: サーバ: 上位のレポート デバイス

このレポートでは、サーバごとに、直前の 1 時間に変更された設定が要約されます。

アクティビティ: P2P ファイル共有またはチャット: 上位のホスト

このレポートでは、P2P ファイル共有プロトコルおよびチャット プロトコルのアクティビティに関連するホストが、ランク付けされます。このようなプロトコルは、ビジネス環境に適さない場合があります。

アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート

このレポートでは、送信されたバイト数を基準として、上位の宛先ポートがランク付けされます。

アクティビティ: P2P ファイル共有またはチャット: すべてのイベント

このイベントにより、すべての P2P ファイル共有またはチャットのイベント詳細が示されます。

設定の変更: ネットワーク: すべてのイベント

このイベントにより、ネットワーク デバイスでのすべての設定変更の詳細が示されます。

アクティビティ: ホストでのプロセスの追跡管理: すべてのイベント

このレポートでは、Windows イベント ログからのすべての Microsoft Windows Detailed Process Tracking イベントが記録されます。

システム: PCI DSS03 : 保存されているカード所有者のデータの保護

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「攻撃: SNMP : 上位のイベント タイプ」

「攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ」

「アクティビティ: ホストでのレジストリの変更: すべてのイベント」

「アクティビティ: ホストでのレジストリの変更: 上位のホスト」

「アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト」

「アクティビティ: データベースでのログインの失敗: すべてのイベント」

「アクティビティ: データベースでのログインの失敗: 上位のサーバ」

「アクティビティ: データベースでのログインの成功: 上位のサーバ」

「アクティビティ: データベースでのログインの成功: 上位のユーザ」

「アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント」

「アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ」

「アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント」

「アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ」

「アクティビティ: ホストでのログインの失敗: すべてのイベント」

「アクティビティ: ホストでのログインの成功: すべてのイベント」

「アクティビティ: ホストでの権限の拡大: すべてのイベント」

「アクティビティ: リモート アクセス ログイン: すべてのイベント」

「アクティビティ: リモート アクセス ログインの失敗: すべてのイベント」

「アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント」

「アクティビティ: データベースでのログインの失敗: 上位のユーザ」

「アクティビティ: データベースでのログインの成功: すべてのイベント」

「アクティビティ: AAA 認証の失敗: すべてのイベント」

「アクティビティ: AAA 認証の失敗: 上位の NAD」

「アクティビティ: AAA 認証の失敗: 上位のユーザ」

攻撃: SNMP : 上位のイベント タイプ

このレポートでは、直前の 1 時間の SNMP ベースの攻撃がランク付けされます。

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

このレポートでは、直前の 1 時間の Web サーバまたは Web サーバに組み込まれたアプリケーションでの攻撃が、ランク付けされます。

アクティビティ: ホストでのレジストリの変更: すべてのイベント

このレポートでは、Microsoft Windows のレジストリ変更のシグナルを送信するイベントが記録されます。

アクティビティ: ホストでのレジストリの変更: 上位のホスト

このレポートでは、報告された Microsoft Windows レジストリの変更回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト

このレポートでは、ホストで行われたセキュリティ ポリシー変更の回数を基準として、ホストがランク付けされます。

アクティビティ: データベースでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

アクティビティ: データベースでのログインの失敗: 上位のサーバ

このレポートでは、ログイン失敗の回数を基準として、データベース サーバがランク付けされます。

アクティビティ: データベースでのログインの成功: 上位のサーバ

このレポートでは、成功したログインの回数を基準として、データベース サーバ ホストがランク付けされます。

アクティビティ: データベースでのログインの成功: 上位のユーザ

このレポートでは、成功したログインの回数を基準として、データベース ユーザがランク付けされます。

アクティビティ: データベース オブジェクトの変更の失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベース オブジェクトの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベース オブジェクトの変更の失敗: 上位のユーザ

このレポートでは、失敗したデータベース オブジェクトの変更試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベース オブジェクトの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベース オブジェクトの変更の成功: 上位のユーザ

このレポートでは、成功したデータベース オブジェクトの変更の回数を基準として、ユーザ数がランク付けされます。

アクティビティ: ホストでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのホスト ログインの詳細が記録されます。

アクティビティ: ホストでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのホスト ログイン イベントの詳細が示されます。

アクティビティ: ホストでの権限の拡大: すべてのイベント

このレポートでは、特定のホストでアクセス権限を増やそうとしているユーザを示すイベントに関する詳細が示されます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: リモート アクセス ログイン: すべてのイベント

このレポートでは、リモート アクセス ログイン イベント(IP セキュリティ、SSLVPN、PPP、L2TP など)の詳細が示されます。

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

このイベントにより、失敗したすべてのリモート アクセス ログイン イベントの詳細が示されます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

このレポートでは、ホストのセキュリティに影響を及ぼす、ホストでのすべてのポリシー変更のリストが示されます。これらのイベントは、通常、ホスト IDS およびホスト エージェントによって報告されます。

アクティビティ: データベースでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログインの回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

アクティビティ: AAA 認証の失敗: すべてのイベント

このレポートでは、失敗した AAA 認証のイベント詳細が表示されます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: AAA 認証の失敗: 上位の NAD

このレポートでは、失敗した AAA 認証に基づいて、Network Access Devices(NAD)がランク付けされます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: AAA 認証の失敗: 上位のユーザ

このレポートでは、失敗した AAA 認証に基づいて、ユーザがランク付けされます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

システム: PCI DSS04 : カード所有者のデータの暗号化送信

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「設定の問題: ネットワーク: 上位のレポート デバイス」

「運用上の問題: ネットワーク: 上位のレポート デバイス」

「アクティビティ: リモート アクセス ログイン: 上位のユーザ」

「アクティビティ: リモート アクセス ログイン: すべてのイベント」

「アクティビティ: リモート アクセス ログインの失敗: すべてのイベント」

「設定の問題: ネットワーク: すべてのイベント」

「運用上の問題: ネットワーク: すべてのイベント」

設定の問題: ネットワーク: 上位のレポート デバイス

このレポートでは、ファイアウォール、ルータ、スイッチなどのネットワーク デバイスでの問題に関連する特定の設定を示す可能性があるイベントが要約されます。

運用上の問題: ネットワーク: 上位のレポート デバイス

このレポートでは、ルータ、ファイアウォール、ネットワーク IDS システムなどのネットワーク デバイスで発生した運用上の問題を示す可能性があるイベントが要約されます。

アクティビティ: リモート アクセス ログイン: 上位のユーザ

このレポートでは、リモート アクセス ログイン(PPP、L2TP、PPTP、IP セキュリティ)を基準として、ユーザがランク付けされます。

アクティビティ: リモート アクセス ログイン: すべてのイベント

このレポートでは、リモート アクセス ログイン イベント(IP セキュリティ、SSLVPN、PPP、L2TP など)の詳細が示されます。

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

このイベントにより、失敗したすべてのリモート アクセス ログイン イベントの詳細が示されます。

設定の問題: ネットワーク: すべてのイベント

このレポートでは、ネットワーク デバイスでの設定エラーを示すイベントに関する詳細のリストが示されます。

運用上の問題: ネットワーク: すべてのイベント

このレポートでは、ネットワーク デバイスでのすべての運用上の問題に関する詳細のリストが示されます。

システム: PCI DSS05 : アンチウイルス ソフトウェアの使用と定期的なアップデート

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: VA スキャナによって見つけられた脆弱なホスト」

「アクティビティ: 見つけられた脆弱なホスト」

「アクティビティ: セキュリティ ポスチャ: 正常: 上位のユーザ」

「アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD」

「アクティビティ: セキュリティ ポスチャ: NAC : 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC L2IP : 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC 監査サーバの問題: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: NAC L2 802.1x : 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位の NAD」

「アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD とトークン」

「アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC エンド ホストの詳細: すべてのイベント」

「アクティビティ: AAA 認証の失敗: すべてのイベント」

「アクティビティ: AAA 認証の失敗: 上位の NAD」

「アクティビティ: AAA 認証の失敗: 上位のユーザ」

「アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位の NAD」

アクティビティ: VA スキャナによって見つけられた脆弱なホスト

このレポートでは、Vulnerability Analysis(VA)スキャナから情報をインポートすることによって見つけられた、脆弱なホストおよび関連する脆弱性のリストが示されます。

アクティビティ: 見つけられた脆弱なホスト

このホストでは、IDS または VA スキャナによって見つけられたすべての脆弱なホストのリストが示されます。

アクティビティ: セキュリティ ポスチャ: 正常: 上位のユーザ

このレポートでは、セキュリティ ポスチャの状態が HEALTHY のユーザのリストが示されます。正常なセキュリティ ポスチャは、ホストのポスチャが最新で、ポリシーに準拠しているため、注意を払う必要がないことを意味します。

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD

このレポートでは、ネットワーク アドミッション コントロールのトランザクションを処理する Network Access Device(NAD)がランク付けされます。

アクティビティ: セキュリティ ポスチャ: NAC : 上位のトークン

このレポートでは、ネットワーク全体での NAC トークンの配信状況が示されます。示される可能性があるトークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC L2IP : 上位のトークン

このレポートでは、レイヤ 2 IP 方式を使用してそのポスチャを検証するエンド ホストでの NAC トークンの配信が記録されます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC 監査サーバの問題: すべてのイベント

このレポートでは、監査サーバからの正しいセキュリティ ポスチャの取得に問題がある AAA サーバについて、エンド ホストがランク付けされます。これらのホストでは、Cisco Trust Agent(CTA)が実行されておらず、監査サーバに依存して、適切なセキュリティ ポスチャ トークンが取得されます。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関するイベント詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関する詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC L2 802.1x : 上位のトークン

このレポートでは、レイヤ 2 IEEE 802.1x 方式を使用してそのポスチャを検証する、エンド ホストでの NAC トークンの配信が記録されます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位のホスト

このレポートでは、Network Access Device(NAD)でスタティックな例外として設定されたホストが記録されます。これらのホストについては、NAD により、ポスチャ検証サーバに対する問い合せなしで、ネットワーク アクセスが許可されます。

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位の NAD

このレポートでは、ネットワークでスタティックな例外としてエンド ホストを許可する Network Access Device(NAD)が記録されます。これらのエンド ホストでは、NAD により、ポスチャ検証サーバに対する問い合せなしで、ネットワーク アクセスが許可されます。

アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト

このレポートでは、Network Access Devices(NAD)からのステータス クエリーに障害が発生した上位ホストの詳細が示されます。このような障害は、初期認可後、エンド ホスト上で Cisco Trust Agent(CTA)によって検出されるポスチャに変更があるたびに、発生します。このような障害は、CTA エージェントを頻繁にイネーブルまたはディセーブルにするユーザが原因で発生する場合があります。

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

このレポートでは、CHECKUP 状態、QUARANTINE 状態、INFECTED 状態のいずれかなど、セキュリティ ポスチャが最新ではないユーザの詳細イベントのリストが示されます。これらのホストにあるソフトウェアは、アップグレードする必要があります。CHECKUP ホストでは、DAT ファイルをアップデートする必要があります。QUARANTINE ホストでは、ネットワークにアクセスする前に、DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、補修する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD とトークン

このレポートでは、それぞれによって割り当てられたトークンとともにネットワーク アドミッション コントロールのトランザクションを処理する Network Access Device(NAD)が示されます。

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のトークン

このレポートでは、Cisco Trust Agent(CTA)ソフトウェアがないエンド ホストでの NAC トークンの配信が記録されます。この場合、ポスチャの検証は、ローカルに、または、監視サーバ経由で Network Access Device によって、行われます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC エンド ホストの詳細: すべてのイベント

このレポートでは、Network Access Devices(NAD)および AAA サーバからの、すべての NAC 関連メッセージの詳細が示されます。1 つのエンド ホストのメッセージを参照するには、発信元の IP アドレスを選択します。

アクティビティ: AAA 認証の失敗: すべてのイベント

このレポートでは、失敗した AAA 認証のイベント詳細が表示されます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: AAA 認証の失敗: 上位の NAD

このレポートでは、失敗した AAA 認証に基づいて、Network Access Devices(NAD)がランク付けされます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: AAA 認証の失敗: 上位のユーザ

このレポートでは、失敗した AAA 認証に基づいて、ユーザがランク付けされます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のホスト

このレポートでは、Cisco Trust Agent(CTA)ソフトウェアがないエンド ホストでの NAC トークンの配信が記録されます。この場合、ポスチャの検証は、ローカルに、または、監視サーバ経由で Network Access Device によって、行われます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位の NAD

このレポートでは、Cisco Trust Agent(CTA)ソフトウェアがないエンド ホストでの NAC トークンの配信が記録されます。この場合、ポスチャの検証は、ローカルに、または、監視サーバ経由で Network Access Device によって、行われます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

システム: PCI DSS06 : 保護されるシステムまたはアプリケーションの開発と管理

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ」

「アクティビティ: ホストでのレジストリの変更: 上位のホスト」

「アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト」

「アクティビティ: 新たに検出された悪意のあるソフトウェア: すべてのイベント」

「アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の失敗: すべてのイベント」

「アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の成功: すべてのイベント」

「アクティビティ: 新たな悪意のあるソフトウェア トラフィックの一致: すべてのイベント」

「アクティビティ: 新たな悪意のあるソフトウェアのトラフィックの一致: 上位の発信元」

「アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: 正常: 上位のユーザ」

「アクティビティ: AAA ベースのアクセス: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD」

「アクティビティ: セキュリティ ポスチャ: NAC : 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC L2IP : 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC 監査サーバの問題: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: NAC L2 802.1x : 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位の NAD」

「アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD とトークン」

「アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC エンド ホストの詳細: すべてのイベント」

「アクティビティ: AAA 認証の失敗: すべてのイベント」

「アクティビティ: AAA 認証の失敗: 上位の NAD」

「アクティビティ: AAA 認証の失敗: 上位のユーザ」

「アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位の NAD」

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

このレポートでは、直前の 1 時間の Web サーバまたは Web サーバに組み込まれたアプリケーションでの攻撃が、ランク付けされます。

アクティビティ: ホストでのレジストリの変更: 上位のホスト

このレポートでは、報告された Microsoft Windows レジストリの変更回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: 上位のホスト

このレポートでは、ホストで行われたセキュリティ ポリシー変更の回数を基準として、ホストがランク付けされます。

アクティビティ: 新たに検出された悪意のあるソフトウェア: すべてのイベント

このレポートでは、Cisco Incident Control Server によって検出された、新たに大発生したすべてのウイルス、ワーム、悪意のあるソフトウェアのリストが示されます。

アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の失敗: すべてのイベント

このレポートでは、新しいウイルス、ワーム、悪意のあるソフトウェアの大発生に対する応答で、Cisco Incident Control Server による ACL およびシグニチャの導入が失敗した、すべてのデバイスのリストが示されます。

アクティビティ: 新たに検出された悪意のあるソフトウェアの防止の成功: すべてのイベント

このレポートでは、新しいウイルス、ワーム、悪意のあるソフトウェアの大発生に対する応答で、Cisco Incident Control Server によって新たな ACL およびシグニチャが導入された、すべての宛先(Cisco IOS IPS デバイスおよび IPS アプライアンス)のリストが示されます。

アクティビティ: 新たな悪意のあるソフトウェア トラフィックの一致: すべてのイベント

このレポートでは、新たに検出された悪意のあるソフトウェアの大発生に対する応答で、Cisco Incident Control Server によって導入された ACL およびシグニチャに一致した、トラフィックの送信元および実行デバイスのリストが示されます。

アクティビティ: 新たな悪意のあるソフトウェアのトラフィックの一致: 上位の発信元

このレポートでは、新しいウイルス、ワーム、悪意のあるソフトウェアの大発生に対する応答で、Cisco Incident Control Server によってダイナミックに導入された ACL およびシグニチャに一致した、上位の送信元のリストが示されます。これは、これらの発信元が感染している可能性が高いことを示します。

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

このレポートでは、失敗したすべての AAA(たとえば、RADIUS、TACACS など)ベース アクセスの試行の詳細が示されます。802.1x、ネットワーク デバイス アクセス、Cisco NAC などの通常のメカニズムでは、アクセス制御に AAA サーバが使用されます。

アクティビティ: セキュリティ ポスチャ: 正常: 上位のユーザ

このレポートでは、セキュリティ ポスチャの状態が HEALTHY のユーザのリストが示されます。正常なセキュリティ ポスチャは、ホストのポスチャが最新で、ポリシーに準拠しているため、注意を払う必要がないことを意味します。

アクティビティ: AAA ベースのアクセス: すべてのイベント

このレポートでは、(たとえば、ネットワークまたは特定のデバイスなどに対する)AAA ベースのアクセスの詳細が示されます。

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD

このレポートでは、ネットワーク アドミッション コントロールのトランザクションを処理する Network Access Device(NAD)がランク付けされます。

アクティビティ: セキュリティ ポスチャ: NAC : 上位のトークン

このレポートでは、ネットワーク全体での NAC トークンの配信状況が示されます。示される可能性があるトークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC L2IP : 上位のトークン

このレポートでは、レイヤ 2 IP 方式を使用してそのポスチャを検証するエンド ホストでの NAC トークンの配信が記録されます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC 監査サーバの問題: すべてのイベント

このレポートでは、監査サーバからの正しいセキュリティ ポスチャの取得に問題がある AAA サーバについて、エンド ホストがランク付けされます。これらのホストでは、Cisco Trust Agent(CTA)が実行されておらず、監査サーバに依存して、適切なセキュリティ ポスチャ トークンが取得されます。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関するイベント詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関する詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC L2 802.1x : 上位のトークン

このレポートでは、レイヤ 2 IEEE 802.1x 方式を使用してそのポスチャを検証する、エンド ホストでの NAC トークンの配信が記録されます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位のホスト

このレポートでは、Network Access Device(NAD)でスタティックな例外として設定されたホストが記録されます。これらのホストについては、NAD により、ポスチャ検証サーバに対する問い合せなしで、ネットワーク アクセスが許可されます。

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位の NAD

このレポートでは、ネットワークでスタティックな例外としてエンド ホストを許可する Network Access Device(NAD)が記録されます。これらのエンド ホストでは、NAD により、ポスチャ検証サーバに対する問い合せなしで、ネットワーク アクセスが許可されます。

アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト

このレポートでは、Network Access Devices(NAD)からのステータス クエリーに障害が発生した上位ホストの詳細が示されます。このような障害は、初期認可後、エンド ホスト上で Cisco Trust Agent(CTA)によって検出されるポスチャに変更があるたびに、発生します。このような障害は、CTA エージェントを頻繁にイネーブルまたはディセーブルにするユーザが原因で発生する場合があります。

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

このレポートでは、CHECKUP 状態、QUARANTINE 状態、INFECTED 状態のいずれかなど、セキュリティ ポスチャが最新ではないユーザの詳細イベントのリストが示されます。これらのホストにあるソフトウェアは、アップグレードする必要があります。CHECKUP ホストでは、DAT ファイルをアップデートする必要があります。QUARANTINE ホストでは、ネットワークにアクセスする前に、DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、補修する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD とトークン

このレポートでは、それぞれによって割り当てられたトークンとともにネットワーク アドミッション コントロールのトランザクションを処理する Network Access Device(NAD)が示されます。

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のトークン

このレポートでは、Cisco Trust Agent(CTA)ソフトウェアがないエンド ホストでの NAC トークンの配信が記録されます。この場合、ポスチャの検証は、ローカルに、または、監視サーバ経由で Network Access Device によって、行われます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC エンド ホストの詳細: すべてのイベント

このレポートでは、Network Access Devices(NAD)および AAA サーバからの、すべての NAC 関連メッセージの詳細が示されます。1 つのエンド ホストのメッセージを参照するには、発信元の IP アドレスを選択します。

アクティビティ: AAA 認証の失敗: すべてのイベント

このレポートでは、失敗した AAA 認証のイベント詳細が表示されます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: AAA 認証の失敗: 上位の NAD

このレポートでは、失敗した AAA 認証に基づいて、Network Access Devices(NAD)がランク付けされます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: AAA 認証の失敗: 上位のユーザ

このレポートでは、失敗した AAA 認証に基づいて、ユーザがランク付けされます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のホスト

このレポートでは、Cisco Trust Agent(CTA)ソフトウェアがないエンド ホストでの NAC トークンの配信が記録されます。この場合、ポスチャの検証は、ローカルに、または、監視サーバ経由で Network Access Device によって、行われます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位の NAD

このレポートでは、Cisco Trust Agent(CTA)ソフトウェアがないエンド ホストでの NAC トークンの配信が記録されます。この場合、ポスチャの検証は、ローカルに、または、監視サーバ経由で Network Access Device によって、行われます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

システム: PCI DSS07 : カード所有者のデータに対するアクセス制限

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: ホストでのログインの失敗: 上位の宛先」

「アクティビティ: ホストでのログインの失敗: 上位のユーザ」

「アクティビティ: ホストでのログインの成功: 上位のホスト」

「アクティビティ: ホストでの権限の拡大: 上位のホスト」

「アクティビティ: リモート アクセス ログイン: 上位のユーザ」

「アクティビティ: データベースでのログインの失敗: すべてのイベント」

「アクティビティ: データベースでのログインの失敗: 上位のサーバ」

「アクティビティ: データベースでのログインの成功: 上位のサーバ」

「アクティビティ: データベースでのログインの成功: 上位のユーザ」

「アクティビティ: ホストでのログインの失敗: すべてのイベント」

「アクティビティ: ホストでのログインの成功: すべてのイベント」

「アクティビティ: ホストでの権限の拡大: すべてのイベント」

「アクティビティ: リモート アクセス ログイン: すべてのイベント」

「アクティビティ: リモート アクセス ログインの失敗: すべてのイベント」

「アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント」

「アクティビティ: ロックされたアカウント: すべてのイベント」

「アクティビティ: ロックされたアカウント: 上位のホスト」

「攻撃: パスワード: ロックされたアカウント: すべてのイベント」

「攻撃: パスワード: 制限時間: すべてのイベント」

「アクティビティ: AAA ベースのアクセス: すべてのイベント」

「アクティビティ: データベースでのログインの失敗: 上位のユーザ」

「アクティビティ: データベースでのログインの成功: すべてのイベント」

アクティビティ: ホストでのログインの失敗: 上位の宛先

このレポートでは、記録されたログイン失敗の回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログイン試行を基準として、ホスト ユーザがランク付けされます。

アクティビティ: ホストでのログインの成功: 上位のホスト

このレポートでは、成功したログインを基準として、ホストがランク付けされます。

アクティビティ: ホストでの権限の拡大: 上位のホスト

このレポート記録では、ホストに対して試行されたアクセス権限拡大試行を基準として、ホストがランク付けされます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: リモート アクセス ログイン: 上位のユーザ

このレポートでは、リモート アクセス ログイン(PPP、L2TP、PPTP、IP セキュリティ)を基準として、ユーザがランク付けされます。

アクティビティ: データベースでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

アクティビティ: データベースでのログインの失敗: 上位のサーバ

このレポートでは、ログイン失敗の回数を基準として、データベース サーバがランク付けされます。

アクティビティ: データベースでのログインの成功: 上位のサーバ

このレポートでは、成功したログインの回数を基準として、データベース サーバ ホストがランク付けされます。

アクティビティ: データベースでのログインの成功: 上位のユーザ

このレポートでは、成功したログインの回数を基準として、データベース ユーザがランク付けされます。

アクティビティ: ホストでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのホスト ログインの詳細が記録されます。

アクティビティ: ホストでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのホスト ログイン イベントの詳細が示されます。

アクティビティ: ホストでの権限の拡大: すべてのイベント

このレポートでは、特定のホストでアクセス権限を増やそうとしているユーザを示すイベントに関する詳細が示されます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: リモート アクセス ログイン: すべてのイベント

このレポートでは、リモート アクセス ログイン イベント(IP セキュリティ、SSLVPN、PPP、L2TP など)の詳細が示されます。

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

このイベントにより、失敗したすべてのリモート アクセス ログイン イベントの詳細が示されます。

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

このレポートでは、失敗したすべての AAA(たとえば、RADIUS、TACACS など)ベース アクセスの試行の詳細が示されます。802.1x、ネットワーク デバイス アクセス、Cisco NAC などの通常のメカニズムでは、アクセス制御に AAA サーバが使用されます。

アクティビティ: ロックされたアカウント: すべてのイベント

このレポートでは、過剰なログイン失敗が原因でロックされたコンピュータ アカウントに関するイベントの詳細が示されます。

アクティビティ: ロックされたアカウント: 上位のホスト

このレポートでは、ロックされたアカウントを基準として、ホストがランク付けされます。

攻撃: パスワード: ロックされたアカウント: すべてのイベント

このレポートでは、ロックされたアカウント、ディセーブルにされたアカウント、期限切れのアカウントに対するパスワード攻撃の詳細が示されます。

攻撃: パスワード: 制限時間: すべてのイベント

このレポートでは、制限時間内でのログインの失敗に関するすべてのイベントの詳細が示されます。ホストは、これらの時間内でのアクセスを認めないよう、特に設定されています。

アクティビティ: AAA ベースのアクセス: すべてのイベント

このレポートでは、(たとえば、ネットワークまたは特定のデバイスなどに対する)AAA ベースのアクセスの詳細が示されます。

アクティビティ: データベースでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログインの回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

システム: PCI DSS08 : コンピュータにアクセスするユーザに対する固有 ID の割り当て

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: ホストでのログインの失敗: 上位の宛先」

「アクティビティ: ホストでのログインの失敗: 上位のユーザ」

「アクティビティ: ホストでのログインの成功: 上位のホスト」

「アクティビティ: ホストでの権限の拡大: 上位のホスト」

「アクティビティ: リモート アクセス ログイン: 上位のユーザ」

「アクティビティ: データベースでのログインの失敗: すべてのイベント」

「アクティビティ: データベースでのログインの失敗: 上位のサーバ」

「アクティビティ: データベースでのログインの成功: 上位のサーバ」

「アクティビティ: データベースでのログインの成功: 上位のユーザ」

「アクティビティ: ホストでのログインの失敗: すべてのイベント」

「アクティビティ: ホストでのログインの成功: すべてのイベント」

「アクティビティ: ホストでの権限の拡大: すべてのイベント」

「アクティビティ: リモート アクセス ログイン: すべてのイベント」

「アクティビティ: リモート アクセス ログインの失敗: すべてのイベント」

「アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント」

「アクティビティ: ロックされたアカウント: すべてのイベント」

「アクティビティ: ロックされたアカウント: 上位のホスト」

「攻撃: パスワード: ロックされたアカウント: すべてのイベント」

「攻撃: パスワード: 制限時間: すべてのイベント」

「アクティビティ: AAA ベースのアクセス: すべてのイベント」

「アクティビティ: データベースでのログインの失敗: 上位のユーザ」

「アクティビティ: データベースでのログインの成功: すべてのイベント」

アクティビティ: ホストでのログインの失敗: 上位の宛先

このレポートでは、記録されたログイン失敗の回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログイン試行を基準として、ホスト ユーザがランク付けされます。

アクティビティ: ホストでのログインの成功: 上位のホスト

このレポートでは、成功したログインを基準として、ホストがランク付けされます。

アクティビティ: ホストでの権限の拡大: 上位のホスト

このレポート記録では、ホストに対して試行されたアクセス権限拡大試行を基準として、ホストがランク付けされます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: リモート アクセス ログイン: 上位のユーザ

このレポートでは、リモート アクセス ログイン(PPP、L2TP、PPTP、IP セキュリティ)を基準として、ユーザがランク付けされます。

アクティビティ: データベースでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

アクティビティ: データベースでのログインの失敗: 上位のサーバ

このレポートでは、ログイン失敗の回数を基準として、データベース サーバがランク付けされます。

アクティビティ: データベースでのログインの成功: 上位のサーバ

このレポートでは、成功したログインの回数を基準として、データベース サーバ ホストがランク付けされます。

アクティビティ: データベースでのログインの成功: 上位のユーザ

このレポートでは、成功したログインの回数を基準として、データベース ユーザがランク付けされます。

アクティビティ: ホストでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのホスト ログインの詳細が記録されます。

アクティビティ: ホストでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのホスト ログイン イベントの詳細が示されます。

アクティビティ: ホストでの権限の拡大: すべてのイベント

このレポートでは、特定のホストでアクセス権限を増やそうとしているユーザを示すイベントに関する詳細が示されます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: リモート アクセス ログイン: すべてのイベント

このレポートでは、リモート アクセス ログイン イベント(IP セキュリティ、SSLVPN、PPP、L2TP など)の詳細が示されます。

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

このイベントにより、失敗したすべてのリモート アクセス ログイン イベントの詳細が示されます。

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

このレポートでは、失敗したすべての AAA(たとえば、RADIUS、TACACS など)ベース アクセスの試行の詳細が示されます。802.1x、ネットワーク デバイス アクセス、Cisco NAC などの通常のメカニズムでは、アクセス制御に AAA サーバが使用されます。

アクティビティ: ロックされたアカウント: すべてのイベント

このレポートでは、過剰なログイン失敗が原因でロックされたコンピュータ アカウントに関するイベントの詳細が示されます。

アクティビティ: ロックされたアカウント: 上位のホスト

このレポートでは、ロックされたアカウントを基準として、ホストがランク付けされます。

攻撃: パスワード: ロックされたアカウント: すべてのイベント

このレポートでは、ロックされたアカウント、ディセーブルにされたアカウント、期限切れのアカウントに対するパスワード攻撃の詳細が示されます。

攻撃: パスワード: 制限時間: すべてのイベント

このレポートでは、制限時間内でのログインの失敗に関するすべてのイベントの詳細が示されます。ホストは、これらの時間内でのアクセスを認めないよう、特に設定されています。

アクティビティ: AAA ベースのアクセス: すべてのイベント

このレポートでは、(たとえば、ネットワークまたは特定のデバイスなどに対する)AAA ベースのアクセスの詳細が示されます。

アクティビティ: データベースでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログインの回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

システム: PCI DSS09 : カード所有者のデータに対する物理的なアクセスの制限

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: ホストでのログインの失敗: 上位のユーザ」

「アクティビティ: ホストでのログインの成功: 上位のホスト」

「アクティビティ: ホストでのログインの成功: すべてのイベント」

「アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント」

「アクティビティ: ロックされたアカウント: すべてのイベント」

「アクティビティ: ロックされたアカウント: 上位のホスト」

「アクティビティ: AAA ベースのアクセス: すべてのイベント」

アクティビティ: ホストでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログイン試行を基準として、ホスト ユーザがランク付けされます。

アクティビティ: ホストでのログインの成功: 上位のホスト

このレポートでは、成功したログインを基準として、ホストがランク付けされます。

アクティビティ: ホストでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのホスト ログイン イベントの詳細が示されます。

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

このレポートでは、失敗したすべての AAA(たとえば、RADIUS、TACACS など)ベース アクセスの試行の詳細が示されます。802.1x、ネットワーク デバイス アクセス、Cisco NAC などの通常のメカニズムでは、アクセス制御に AAA サーバが使用されます。

アクティビティ: ロックされたアカウント: すべてのイベント

このレポートでは、過剰なログイン失敗が原因でロックされたコンピュータ アカウントに関するイベントの詳細が示されます。

アクティビティ: ロックされたアカウント: 上位のホスト

このレポートでは、ロックされたアカウントを基準として、ホストがランク付けされます。

アクティビティ: AAA ベースのアクセス: すべてのイベント

このレポートでは、(たとえば、ネットワークまたは特定のデバイスなどに対する)AAA ベースのアクセスの詳細が示されます。

システム: PCI DSS10 : すべてのネットワーク アクセスとカード データの追跡と監視

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: ホストでのログインの失敗: 上位の宛先」

「アクティビティ: ホストでのログインの失敗: 上位のユーザ」

「アクティビティ: ホストでのログインの成功: 上位のホスト」

「アクティビティ: ホストでの権限の拡大: 上位のホスト」

「アクティビティ: リモート アクセス ログイン: 上位のユーザ」

「アクティビティ: データベースでのログインの失敗: すべてのイベント」

「アクティビティ: データベースでのログインの失敗: 上位のサーバ」

「アクティビティ: データベースでのログインの成功: 上位のサーバ」

「アクティビティ: データベースでのログインの成功: 上位のユーザ」

「アクティビティ: ホストでのログインの失敗: すべてのイベント」

「アクティビティ: ホストでのログインの成功: すべてのイベント」

「アクティビティ: ホストでの権限の拡大: すべてのイベント」

「アクティビティ: リモート アクセス ログイン: すべてのイベント」

「アクティビティ: リモート アクセス ログインの失敗: すべてのイベント」

「アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント」

「アクティビティ: ロックされたアカウント: すべてのイベント」

「アクティビティ: ロックされたアカウント: 上位のホスト」

「攻撃: パスワード: ロックされたアカウント: すべてのイベント」

「攻撃: パスワード: 制限時間: すべてのイベント」

「アクティビティ: AAA ベースのアクセス: すべてのイベント」

「アクティビティ: データベースでのログインの失敗: 上位のユーザ」

「アクティビティ: データベースでのログインの成功: すべてのイベント」

「アクティビティ: 検出された WLAN DoS 攻撃」

「アクティビティ: 検出された WLAN プローブ」

「アクティビティ: 検出された WLAN の不正な AP またはアドホック ホスト」

アクティビティ: ホストでのログインの失敗: 上位の宛先

このレポートでは、記録されたログイン失敗の回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログイン試行を基準として、ホスト ユーザがランク付けされます。

アクティビティ: ホストでのログインの成功: 上位のホスト

このレポートでは、成功したログインを基準として、ホストがランク付けされます。

アクティビティ: ホストでの権限の拡大: 上位のホスト

このレポート記録では、ホストに対して試行されたアクセス権限拡大試行を基準として、ホストがランク付けされます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: リモート アクセス ログイン: 上位のユーザ

このレポートでは、リモート アクセス ログイン(PPP、L2TP、PPTP、IP セキュリティ)を基準として、ユーザがランク付けされます。

アクティビティ: データベースでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

アクティビティ: データベースでのログインの失敗: 上位のサーバ

このレポートでは、ログイン失敗の回数を基準として、データベース サーバがランク付けされます。

アクティビティ: データベースでのログインの成功: 上位のサーバ

このレポートでは、成功したログインの回数を基準として、データベース サーバ ホストがランク付けされます。

アクティビティ: データベースでのログインの成功: 上位のユーザ

このレポートでは、成功したログインの回数を基準として、データベース ユーザがランク付けされます。

アクティビティ: ホストでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのホスト ログインの詳細が記録されます。

アクティビティ: ホストでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのホスト ログイン イベントの詳細が示されます。

アクティビティ: ホストでの権限の拡大: すべてのイベント

このレポートでは、特定のホストでアクセス権限を増やそうとしているユーザを示すイベントに関する詳細が示されます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: リモート アクセス ログイン: すべてのイベント

このレポートでは、リモート アクセス ログイン イベント(IP セキュリティ、SSLVPN、PPP、L2TP など)の詳細が示されます。

アクティビティ: リモート アクセス ログインの失敗: すべてのイベント

このイベントにより、失敗したすべてのリモート アクセス ログイン イベントの詳細が示されます。

アクティビティ: AAA ベースのアクセスの失敗: すべてのイベント

このレポートでは、失敗したすべての AAA(たとえば、RADIUS、TACACS など)ベース アクセスの試行の詳細が示されます。802.1x、ネットワーク デバイス アクセス、Cisco NAC などの通常のメカニズムでは、アクセス制御に AAA サーバが使用されます。

アクティビティ: ロックされたアカウント: すべてのイベント

このレポートでは、過剰なログイン失敗が原因でロックされたコンピュータ アカウントに関するイベントの詳細が示されます。

アクティビティ: ロックされたアカウント: 上位のホスト

このレポートでは、ロックされたアカウントを基準として、ホストがランク付けされます。

攻撃: パスワード: ロックされたアカウント: すべてのイベント

このレポートでは、ロックされたアカウント、ディセーブルにされたアカウント、期限切れのアカウントに対するパスワード攻撃の詳細が示されます。

攻撃: パスワード: 制限時間: すべてのイベント

このレポートでは、制限時間内でのログインの失敗に関するすべてのイベントの詳細が示されます。ホストは、これらの時間内でのアクセスを認めないよう、特に設定されています。

アクティビティ: AAA ベースのアクセス: すべてのイベント

このレポートでは、(たとえば、ネットワークまたは特定のデバイスなどに対する)AAA ベースのアクセスの詳細が示されます。

アクティビティ: データベースでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログインの回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

アクティビティ: 検出された WLAN DoS 攻撃

このレポートでは、Cisco WLAN Controller から報告されるように、すべての無線 LAN DoS 攻撃(たとえば、Broadcast Deauth、Null Probe、Association、およびその他のフラッド アタック)のリストが示されます。

アクティビティ: 検出された WLAN プローブ

このレポートでは、Cisco WLAN Controller から報告されるように、すべての無線プローブ(たとえば、Netstumbler および Wellenreiter スキャナ)のリストが示されます。

アクティビティ: 検出された WLAN の不正な AP またはアドホック ホスト

このレポートでは、Cisco WLAN Controller から報告されるように、動作が不適切なすべての無線 LAN ホスト、AP、およびアドホック ホストのリストが示されます。

システム: PCI DSS11 : セキュリティ システムとプロセスの定期的なテスト

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: 見つけられた攻撃: 上位のレポート デバイス」

「アクティビティ: バックドア: 上位のイベント タイプ」

「アクティビティ: 拒否: 上位の宛先」

「アクティビティ: 拒否: 上位の発信元」

「アクティビティ: IDS の回避: 上位のイベント タイプ」

「アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ」

「アクティビティ: バックドア: 上位の宛先」

「アクティビティ: 見つけられた攻撃: 上位のイベント タイプ」

「アクティビティ: バックドア: 上位のホスト」

「アクティビティ: スパイウェア: 上位のホスト」

「アクティビティ: ホストでの権限の拡大: 上位のホスト」

「アクティビティ: ウイルスまたはワーム: 上位の感染ホスト」

「アクティビティ: ウイルス: 検出: 上位のユーザ」

「アクティビティ: ウイルス: 感染: 上位のユーザ」

「アクティビティ: 新たな悪意のあるソフトウェアのトラフィックの一致: 上位の発信元」

「アクティビティ: VA スキャナによって見つけられた脆弱なホスト」

「アクティビティ: 見つけられた脆弱なホスト」

「アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント」

「アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ」

「アクティビティ: CS-MARS IPS シグニチャ アップデートの成功: すべてのイベント」

「アクティビティ: CS-MARS IPS シグニチャ アップデートの失敗: すべてのイベント」

「アクティビティ: 検出された WLAN DoS 攻撃」

「アクティビティ: 検出された WLAN プローブ」

「アクティビティ: 検出された WLAN の不正な AP またはアドホック ホスト」

アクティビティ: 見つけられた攻撃: 上位のレポート デバイス

このレポートでは、記録された攻撃イベントの回数を基準として、セキュリティ デバイスがランク付けされます。セキュリティ デバイスは、ファイアウォール、NIDS、および HIDS の場合があります。

アクティビティ: バックドア: 上位のイベント タイプ

このレポートでは、バックドア アクティビティの一部の形式を検出するイベントがランク付けされます。バックドアは、欠陥のあるホストで攻撃者によって作成される場合があります。バックドア イベントは、バックドアに接続しようとする試行、または、バックドアを実行中のサーバからの応答のいずれかです。

アクティビティ: 拒否: 上位の宛先

このレポートでは、攻撃のターゲットとされたが攻撃が拒否された宛先ホストが、ランク付けされます。

アクティビティ: 拒否: 上位の発信元

このレポートでは、拒否された接続試行の回数を基準として、攻撃の発信元がランク付けされます。

アクティビティ: IDS の回避: 上位のイベント タイプ

このレポートでは、ネットワーク IDS システムによる検出を回避する目的を持つ攻撃者による試行を検出するイベントが、ランク付けされます。これは、Web ベースの混乱攻撃、フラグメンテーション攻撃、または、TCP/IP ベースの攻撃の可能性があります。

アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ

このレポートでは、ネットワークにあるウイルスまたはワームのアクティビティを検出するイベントがランク付けされます。

アクティビティ: バックドア: 上位の宛先

このレポートでは、バックドア接続試行に応答するホストがランク付けされます。

アクティビティ: 見つけられた攻撃: 上位のイベント タイプ

このレポートでは、上位の攻撃イベント タイプがランク付けされます。

アクティビティ: バックドア: 上位のホスト

このレポートでは、バックドア接続試行に応答するホストがランク付けされます。これは、ホストがバックドアに感染し、バックドアが実行されている可能性が高いことを意味します。

アクティビティ: スパイウェア: 上位のホスト

このレポートでは、スパイウェア アプリケーションを実行中のホストがランク付けされます。スパイウェアは、ホスト上でインストールおよび実行されて、ユーザ名、パスワード、およびクレジット カード情報を収集し、その情報をスパイウェアの作成者に送信する、悪意のあるアプリケーションです。

アクティビティ: ホストでの権限の拡大: 上位のホスト

このレポート記録では、ホストに対して試行されたアクセス権限拡大試行を基準として、ホストがランク付けされます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: ウイルスまたはワーム: 上位の感染ホスト

このレポートでは、SMTP、POP、IMAP、ネットワーク共有などを経由してウイルスおよびワームを送信するホストがランク付けされます。

アクティビティ: ウイルス: 検出: 上位のユーザ

このレポートでは、検出されたウイルスを基準として、ユーザまたはワークステーションがランク付けされます。

アクティビティ: ウイルス: 感染: 上位のユーザ

このレポートでは、検出されたが除去されていないウイルスを基準として、ユーザまたはワークステーションがランク付けされます。

アクティビティ: 新たな悪意のあるソフトウェアのトラフィックの一致: 上位の発信元

このレポートでは、新しいウイルス、ワーム、悪意のあるソフトウェアの大発生に対する応答で、Cisco Incident Control Server によってダイナミックに導入された ACL およびシグニチャに一致した、上位の送信元のリストが示されます。これは、これらの発信元が感染している可能性が高いことを示します。

アクティビティ: VA スキャナによって見つけられた脆弱なホスト

このレポートでは、Vulnerability Analysis(VA)スキャナから情報をインポートすることによって見つけられた、脆弱なホストおよび関連する脆弱性のリストが示されます。

アクティビティ: 見つけられた脆弱なホスト

このホストでは、IDS または VA スキャナによって見つけられたすべての脆弱なホストのリストが示されます。

アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント

このレポートには、攻撃(または試行)が防止されたすべての Cisco IPS イベントが含まれます。

アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ

このレポートでは、攻撃(または試行)が防止された上位の Cisco IPS イベント タイプが、ランク付けされます。

アクティビティ: CS-MARS IPS シグニチャ アップデートの成功: すべてのイベント

このレポートでは、CS-MARS での IPS シグニチャ パッケージの自動アップデート中に発生し、成功したすべてのイベントのイベント詳細のリストが示されます。含まれるイベントは、自動アップデートでの中間の手順の成功、または、ダウンロードされた IPS シグニチャ パッケージを使用した CS-MARS データベースのアップデートのすべてまたは部分的な成功を、意味します。

アクティビティ: CS-MARS IPS シグニチャ アップデートの失敗: すべてのイベント

このレポートでは、CS-MARS での IPS シグニチャ パッケージの自動アップデート中に発生し、失敗したすべてのイベントのイベント詳細のリストが示されます。含まれるイベントは、一部の IPS シグニチャに対応する 1 つ以上の CS-MARS イベント タイプの追加またはアップデートの失敗や、シグニチャ パッケージを使用した CS-MARS データベースのダウンロード、解析、アップデート(または部分的なアップデート)の完全な失敗など、途中でのエラーを意味します。

アクティビティ: 検出された WLAN DoS 攻撃

このレポートでは、Cisco WLAN Controller から報告されるように、すべての無線 LAN DoS 攻撃(たとえば、Broadcast Deauth、Null Probe、Association、およびその他のフラッド アタック)のリストが示されます。

アクティビティ: 検出された WLAN プローブ

このレポートでは、Cisco WLAN Controller から報告されるように、すべての無線プローブ(たとえば、Netstumbler および Wellenreiter スキャナ)のリストが示されます。

アクティビティ: 検出された WLAN の不正な AP またはアドホック ホスト

このレポートでは、Cisco WLAN Controller から報告されるように、動作が不適切なすべての無線 LAN ホスト、AP、およびアドホック ホストのリストが示されます。

システム: PCI DSS12 : すべての従業員の情報セキュリティ ポリシーの管理

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: 見つけられた攻撃: 上位のレポート デバイス」

「アクティビティ: バックドア: 上位のイベント タイプ」

「アクティビティ: 拒否: 上位の宛先」

「アクティビティ: 拒否: 上位の発信元」

「アクティビティ: IDS の回避: 上位のイベント タイプ」

「アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ」

「アクティビティ: バックドア: 上位の宛先」

「アクティビティ: 見つけられた攻撃: 上位のイベント タイプ」

「アクティビティ: バックドア: 上位のホスト」

「アクティビティ: スパイウェア: 上位のホスト」

「アクティビティ: ホストでの権限の拡大: 上位のホスト」

「アクティビティ: ウイルスまたはワーム: 上位の感染ホスト」

「アクティビティ: ウイルス: 検出: 上位のユーザ」

「アクティビティ: ウイルス: 感染: 上位のユーザ」

「アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント」

「アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ」

「アクティビティ: CS-MARS IPS シグニチャ アップデートの成功: すべてのイベント」

「アクティビティ: CS-MARS IPS シグニチャ アップデートの失敗: すべてのイベント」

アクティビティ: 見つけられた攻撃: 上位のレポート デバイス

このレポートでは、記録された攻撃イベントの回数を基準として、セキュリティ デバイスがランク付けされます。セキュリティ デバイスは、ファイアウォール、NIDS、および HIDS の場合があります。

アクティビティ: バックドア: 上位のイベント タイプ

このレポートでは、バックドア アクティビティの一部の形式を検出するイベントがランク付けされます。バックドアは、欠陥のあるホストで攻撃者によって作成される場合があります。バックドア イベントは、バックドアに接続しようとする試行、または、バックドアを実行中のサーバからの応答のいずれかです。

アクティビティ: 拒否: 上位の宛先

このレポートでは、攻撃のターゲットとされたが攻撃が拒否された宛先ホストが、ランク付けされます。

アクティビティ: 拒否: 上位の発信元

このレポートでは、拒否された接続試行の回数を基準として、攻撃の発信元がランク付けされます。

アクティビティ: IDS の回避: 上位のイベント タイプ

このレポートでは、ネットワーク IDS システムによる検出を回避する目的を持つ攻撃者による試行を検出するイベントが、ランク付けされます。これは、Web ベースの混乱攻撃、フラグメンテーション攻撃、または、TCP/IP ベースの攻撃の可能性があります。

アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ

このレポートでは、ネットワークにあるウイルスまたはワームのアクティビティを検出するイベントがランク付けされます。

アクティビティ: バックドア: 上位の宛先

このレポートでは、バックドア接続試行に応答するホストがランク付けされます。

アクティビティ: 見つけられた攻撃: 上位のイベント タイプ

このレポートでは、上位の攻撃イベント タイプがランク付けされます。

アクティビティ: バックドア: 上位のホスト

このレポートでは、バックドア接続試行に応答するホストがランク付けされます。これは、ホストがバックドアに感染し、バックドアが実行されている可能性が高いことを意味します。

アクティビティ: スパイウェア: 上位のホスト

このレポートでは、スパイウェア アプリケーションを実行中のホストがランク付けされます。スパイウェアは、ホスト上でインストールおよび実行されて、ユーザ名、パスワード、およびクレジット カード情報を収集し、その情報をスパイウェアの作成者に送信する、悪意のあるアプリケーションです。

アクティビティ: ホストでの権限の拡大: 上位のホスト

このレポート記録では、ホストに対して試行されたアクセス権限拡大試行を基準として、ホストがランク付けされます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: ウイルスまたはワーム: 上位の感染ホスト

このレポートでは、SMTP、POP、IMAP、ネットワーク共有などを経由してウイルスおよびワームを送信するホストがランク付けされます。

アクティビティ: ウイルス: 検出: 上位のユーザ

このレポートでは、検出されたウイルスを基準として、ユーザまたはワークステーションがランク付けされます。

アクティビティ: ウイルス: 感染: 上位のユーザ

このレポートでは、検出されたが除去されていないウイルスを基準として、ユーザまたはワークステーションがランク付けされます。

アクティビティ: Cisco IPS によって防止された攻撃: すべてのイベント

このレポートには、攻撃(または試行)が防止されたすべての Cisco IPS イベントが含まれます。

アクティビティ: Cisco IPS によって防止された攻撃: 上位のイベント タイプ

このレポートでは、攻撃(または試行)が防止された上位の Cisco IPS イベント タイプが、ランク付けされます。

アクティビティ: CS-MARS IPS シグニチャ アップデートの成功: すべてのイベント

このレポートでは、CS-MARS での IPS シグニチャ パッケージの自動アップデート中に発生し、成功したすべてのイベントのイベント詳細のリストが示されます。含まれるイベントは、自動アップデートでの中間の手順の成功、または、ダウンロードされた IPS シグニチャ パッケージを使用した CS-MARS データベースのアップデートのすべてまたは部分的な成功を、意味します。

アクティビティ: CS-MARS IPS シグニチャ アップデートの失敗: すべてのイベント

このレポートでは、CS-MARS での IPS シグニチャ パッケージの自動アップデート中に発生し、失敗したすべてのイベントのイベント詳細のリストが示されます。含まれるイベントは、一部の IPS シグニチャに対応する 1 つ以上の CS-MARS イベント タイプの追加またはアップデートの失敗や、シグニチャ パッケージを使用した CS-MARS データベースのダウンロード、解析、アップデート(または部分的なアップデート)の完全な失敗など、途中でのエラーを意味します。

アクティビティ: 拒否: 上位の宛先ポート

このレポートでは、攻撃のターゲットとされたが攻撃が拒否された宛先ポートが、ランク付けされます。

アクティビティ: 拒否: 上位の宛先

このレポートでは、攻撃のターゲットとされたが攻撃が拒否された宛先ホストが、ランク付けされます。

アクティビティ: 拒否: 上位の発信元

このレポートでは、拒否された接続試行の回数を基準として、攻撃の発信元がランク付けされます。

アクティビティ: スキャン: 上位の宛先ポート

このレポートでは、ポートでのスキャン アクティビティを検出するイベントの総数を基準として、宛先ポートがランク付けされます。スキャンには、稼動ホストおよび稼動ホストでオープンされているサービスの検索や、ホスト設定およびアプリケーション設定の検出などの、アクティビティが含まれます。

アクティビティ: スキャン: 上位の宛先

このレポートでは、ホストに対して誘導されたスキャン アクティビティを検出するイベントの総数を基準として、ホストがランク付けされます。スキャンには、稼動ホストおよび稼動ホストでオープンされているサービスの検索や、ホスト設定およびアプリケーション設定の検出などの、アクティビティが含まれます。

アクティビティ: スキャン: 上位の発信元

このレポートでは、特定のサービスに対するスキャン アクティビティを検出するイベントの総数を基準として、攻撃の発信元がランク付けされます。スキャンには、稼動ホストおよび稼動ホストでオープンされているサービスの検索や、ホスト設定およびアプリケーション設定の検出などの、アクティビティが含まれます。

アクティビティ: ステルスのスキャン: 上位の発信元

このレポートでは、ステルス スキャン アクティビティの数を基準として、攻撃者がランク付けされます。このようなアクティビティには、ホスト オペレーティング システムおよびその他の脆弱性を検出するための、クラフト パケットの送信が含まれます。脆弱性のあるスキャン機能により、このようなイベントが生成される場合があります。

攻撃: ASA Botnet Traffic Filter: 悪意のあるトラフィック: すべてのイベント

このレポートでは、ASA Botnet Traffic Filter から報告されるように、ブラック リストまたはグレー リストに掲載されているサイトまたは IP を発信元とするトラフィックに関連するすべてのイベントの詳細が示されます。

リソースの問題: ネットワーク: 上位のレポート デバイス

このレポートでは、ファイアウォール、ルータ、スイッチなどのネットワーク デバイスで発生したリソースの問題を示す可能性があるイベントが要約されます。

リソースの問題: サーバ: 上位のレポート デバイス

このレポートでは、サーバで発生したリソースの問題を示す可能性があるイベントが要約されます。これらは、ホスト IDS イベントである可能性が高い場合があります。

リソースの問題: ネットワーク: すべてのイベント

このレポートでは、IDS、ルータ、ファイアウォールなどのネットワーク デバイスで発生したリソースの問題に関連するすべてのイベントのイベント詳細のリストが示されます。

リソースの問題: サーバ: すべてのイベント

このレポートでは、ホスト上のすべてのリソース問題のイベント詳細のリストが示されます。これらは、ホスト IDS またはオペレーティング システムのログによって報告されます。

リソースの問題: IOS IPS DTM : 上位のデバイス

このレポートでは、CS-MARS Distributed Threat Mitigation(DTM)のメモリが不足している IOS IPS ルータのリストが示されます。メモリ不足が原因で、CS-MARS では、IOS IPS デバイスに対して、ACTIVE IPS シグニチャのセット全体をダウンロードしたり、アクティブにしたりできない場合があります。

リソースの問題: IOS IPS DTM : すべてのイベント

このレポートでは、CS-MARS Distributed Threat Mitigation(DTM)のメモリが不足している特定の IOS IPS ルータを示すイベント詳細のリストが示されます。メモリ不足が原因で、CS-MARS では、これらの IOS IPS デバイスに対して、ACTIVE IPS シグニチャのセット全体をダウンロードしたり、アクティブにしたりできない場合があります。

リソースの問題: CS-MARS : すべてのイベント

この規則により、たとえば、イベントまたは NetFlow の廃棄など、CS-MARS デバイスでのリソース問題に関連するすべてのイベントのイベント詳細のリストが示されます。

システム: リソースの使用状況

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: すべて: 上位の宛先」

「アクティビティ: すべて: 上位のレポート デバイス」

「アクティビティ: すべて: 上位の発信元」

「アクティビティ: すべて: 上位のレポート デバイス タイプ」

「アクティビティ: ネットワークの使用状況: 上位の宛先ポート」

「アクティビティ: すべてのイベントおよび NetFlow : 上位の宛先ポート」

「アクティビティ: すべてのセッション: バイト数を基準とする上位の宛先ポート」

「アクティビティ: すべてのセッション: バイト数を基準とする上位の宛先」

「リソースの利用率: 帯域幅: インバウンド: 上位のインターフェイス」

「リソースの利用率: CPU : 上位のデバイス」

「リソースの利用率: 帯域幅: アウトバウンド: 上位のインターフェイス」

「リソースの利用率: 並列接続: 上位のデバイス」

「リソースの利用率: メモリ: 上位のデバイス」

「アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート」

アクティビティ: すべて: 上位の宛先

このレポートでは、直前の 1 時間に MARS によって見つけられたすべてのイベントのセッションの宛先が、ランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: すべて: 上位のレポート デバイス

このレポートでは、各セキュリティ デバイスから報告されるイベントの総数を基準として、セキュリティ デバイスがランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: すべて: 上位の発信元

このレポートでは、直前の 1 時間に MARS によって見つけられたすべてのイベントのセッションの発信元が、ランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: すべて: 上位のレポート デバイス タイプ

このレポートでは、特定の各タイプのデバイスから報告されるイベントの数を基準として、セキュリティ デバイス タイプがランク付けされます。

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

このレポートでは、ネットワーク セッションの数を基準として、宛先ポートがランク付けされます。このレポートでは、セッション イベントを取り込めるようにするため、ルータまたはファイアウォールの Syslog レベルを高く設定する必要があります。このレポートでは、ネットワークの一般的な使用パターンが示されます。

アクティビティ: すべてのイベントおよび NetFlow : 上位の宛先ポート

このレポートでは、直前の 1 時間に MARS によって見つけられた(NetFlow イベントを含む)すべてのイベントの UDP 宛先ポートおよび TCP 宛先ポートが、ランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: すべてのセッション: バイト数を基準とする上位の宛先ポート

このレポートでは、転送されたバイト数を基準として、すべての宛先ポートがランク付けされます。

アクティビティ: すべてのセッション: バイト数を基準とする上位の宛先

このレポートでは、転送されたバイト数を基準として、すべての宛先がランク付けされます。

リソースの利用率: 帯域幅: インバウンド: 上位のインターフェイス

このレポートでは、PN-MARS によって管理されているデバイス上のインターフェイスでの、インバウンド帯域幅利用率がランク付けされます。

リソースの利用率: CPU : 上位のデバイス

このレポートでは、PN-MARS によって管理されているデバイスでの、CPU 利用率がランク付けされます。

リソースの利用率: 帯域幅: アウトバウンド: 上位のインターフェイス

このレポートでは、PN-MARS によって管理されているデバイス上のインターフェイスでの、アウトバウンド帯域幅利用率がランク付けされます。

リソースの利用率: 並列接続: 上位のデバイス

このレポートでは、PN-MARS によって管理されているデバイス経由で確立された並列接続の数が、ランク付けされます。

リソースの利用率: メモリ: 上位のデバイス

このレポートでは、PN-MARS によって管理されているデバイスでの、メモリ利用率がランク付けされます。

アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート

このレポートでは、送信されたバイト数を基準として、上位の宛先ポートがランク付けされます。

システム: 制限付きネットワーク トラフィック

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ」

「アクティビティ: IRC : すべてのイベント」

「アクティビティ: スパイウェア: 上位のホスト」

「アクティビティ: P2P ファイル共有またはチャット: 上位のホスト」

「アクティビティ: レクリエーション: 上位の発信元」

「アクティビティ: レクリエーション: すべてのイベント」

「アクティビティ: スパイウェア: すべてのイベント」

「アクティビティ: P2P ファイル共有またはチャット: すべてのイベント」

「アクティビティ: 非一般的または異常なトラフィック: すべてのイベント」

アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ

このイベントにより、ユーザ間のファイル共有プロトコルまたはチャット プロトコルのアクティビティを検出するイベントが、ランク付けされます。KaZaa、Napster、EDonkey などのファイル共有プロトコル、および、IRC、Hotline、インスタント メッセージング プロトコルなどのチャット プロトコルは、ビジネス環境に適さない場合があります。

アクティビティ: IRC : すべてのイベント

このレポートでは、すべての IRC アクティビティのリストが示されます。通常、ワームにより、IRC 接続が開始される感染ホスト上に、実行可能プログラムが置かれます。

アクティビティ: スパイウェア: 上位のホスト

このレポートでは、スパイウェア アプリケーションを実行中のホストがランク付けされます。スパイウェアは、ホスト上でインストールおよび実行されて、ユーザ名、パスワード、およびクレジット カード情報を収集し、その情報をスパイウェアの作成者に送信する、悪意のあるアプリケーションです。

アクティビティ: P2P ファイル共有またはチャット: 上位のホスト

このレポートでは、P2P ファイル共有プロトコルおよびチャット プロトコルのアクティビティに関連するホストが、ランク付けされます。このようなプロトコルは、ビジネス環境に適さない場合があります。

アクティビティ: レクリエーション: 上位の発信元

このレポートでは、ゲーム、成人向け Web サイト、株式サイトなどのレクリエーション アクティビティに関連する発信元アドレスが、ランク付けされます。

アクティビティ: レクリエーション: すべてのイベント

このイベントにより、ゲームなどのレクリエーション アクティビティや、ギャンブルなどの特定の Web サイトに含まれている、すべてのユーザの詳細が示されます。

アクティビティ: スパイウェア: すべてのイベント

このイベントにより、すべてのスパイウェア イベントの詳細が示されます。

アクティビティ: P2P ファイル共有またはチャット: すべてのイベント

このイベントにより、すべての P2P ファイル共有またはチャットのイベント詳細が示されます。

アクティビティ: 非一般的または異常なトラフィック: すべてのイベント

このレポートでは、未使用 TCP オプション、非一般的な ICMP トラフィック、標準ポートでの非標準トラフィック、トンネル トラフィックなどの、非一般的または異常なトラフィックの詳細が示されます。

システム: SOX 302(a)(4)(A)

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント」

「アクティビティ: データベースの特権コマンドの成功: すべてのイベント」

「アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント」

「アクティビティ: ホストでのログインの成功: すべてのイベント」

「アクティビティ: ホストでの管理ログインの成功: すべてのイベント」

「アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント」

「アクティビティ: データベースでのログインの成功: すべてのイベント」

アクティビティ: データベース オブジェクトの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベース オブジェクトの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベースの特権コマンドの成功: すべてのイベント

このレポートでは、成功したすべての特権データベース コマンドの実行に関するイベント詳細のリストが示されます。

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベースのユーザまたはグループの変更に関するイベント詳細のリストが示されます。

アクティビティ: ホストでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのホスト ログイン イベントの詳細が示されます。

アクティビティ: ホストでの管理ログインの成功: すべてのイベント

このレポートでは、成功したホストに対する管理ログイン イベントの詳細が示されます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

このレポートでは、ホストのセキュリティに影響を及ぼす、ホストでのすべてのポリシー変更のリストが示されます。これらのイベントは、通常、ホスト IDS およびホスト エージェントによって報告されます。

アクティビティ: データベースでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

システム: SOX 302(a)(4)(D)

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: ホストでのレジストリの変更: すべてのイベント」

「アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント」

「アクティビティ: データベースの特権コマンドの成功: すべてのイベント」

「アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント」

「アクティビティ: ホストでのログインの成功: すべてのイベント」

「アクティビティ: ホストでの管理ログインの成功: すべてのイベント」

「アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント」

「アクティビティ: データベースでのログインの成功: すべてのイベント」

アクティビティ: ホストでのレジストリの変更: すべてのイベント

このレポートでは、Microsoft Windows のレジストリ変更のシグナルを送信するイベントが記録されます。

アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント

このレポートでは、ホストから報告されたユーザ グループ管理イベントが記録されます。

アクティビティ: データベースの特権コマンドの成功: すべてのイベント

このレポートでは、成功したすべての特権データベース コマンドの実行に関するイベント詳細のリストが示されます。

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベースのユーザまたはグループの変更に関するイベント詳細のリストが示されます。

アクティビティ: ホストでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのホスト ログイン イベントの詳細が示されます。

アクティビティ: ホストでの管理ログインの成功: すべてのイベント

このレポートでは、成功したホストに対する管理ログイン イベントの詳細が示されます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

このレポートでは、ホストのセキュリティに影響を及ぼす、ホストでのすべてのポリシー変更のリストが示されます。これらのイベントは、通常、ホスト IDS およびホスト エージェントによって報告されます。

アクティビティ: データベースでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

システム: SOX 準拠性レポート

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: すべて: 上位のレポート デバイス」

「アクティビティ: 防止された攻撃: 上位のレポート デバイス」

「アクティビティ: 見つけられた攻撃: 上位のレポート デバイス」

「アクティビティ: 拒否: 上位の宛先ポート」

「アクティビティ: 拒否: 上位の宛先」

「アクティビティ: 拒否: 上位の発信元」

「アクティビティ: IDS の回避: 上位のイベント タイプ」

「アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ」

「アクティビティ: スキャン: 上位の宛先ポート」

「アクティビティ: スキャン: 上位の宛先」

「アクティビティ: ステルスのスキャン: 上位の発信元」

「アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ」

「アクティビティ: すべて: 上位の起動規則」

「攻撃: すべて: 上位の発信元」

「攻撃: データベース サーバ: 上位のイベント タイプ」

「攻撃: FTP サーバ: 上位のイベント タイプ」

「攻撃: スプーフィングの特定: 上位のイベント タイプ」

「攻撃: ログイン サービス: 上位のイベント タイプ」

「攻撃: メール サーバ: 上位のイベント タイプ」

「攻撃: ネットワーク DoS : 上位のイベント タイプ」

「攻撃: RPC サービス: 上位のイベント タイプ」

「攻撃: ウイルスまたはワーム: 上位の発信元」

「攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ」

「運用上の問題: ネットワーク: 上位のレポート デバイス」

「運用上の問題: サーバ: 上位のレポート デバイス」

「リソースの問題: ネットワーク: 上位のレポート デバイス」

「リソースの問題: サーバ: 上位のレポート デバイス」

「アクティビティ: IRC : すべてのイベント」

「攻撃: すべて: 上位のイベント タイプ グループ」

「アクティビティ: すべて: 上位のレポート デバイス タイプ」

「アクティビティ: ホストでのログインの失敗: 上位の宛先」

「アクティビティ: ホストでのログインの失敗: 上位のユーザ」

「アクティビティ: ホストでのレジストリの変更: すべてのイベント」

「攻撃: すべて: 上位の宛先」

「アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント」

「アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト」

「アクティビティ: ネットワークの使用状況: 上位の宛先ポート」

「攻撃: パスワード: 上位の宛先」

「攻撃: 非一般的または異常なトラフィック: 上位のイベント タイプ」

「アクティビティ: スパイウェア: 上位のホスト」

「アクティビティ: ホストでの権限の拡大: 上位のホスト」

「アクティビティ: P2P ファイル共有またはチャット: 上位のホスト」

「アクティビティ: ウイルスまたはワーム: 上位の感染ホスト」

「アクティビティ: データベースの特権コマンドの失敗: すべてのイベント」

「アクティビティ: ウイルス: 検出: 上位のユーザ」

「アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ」

「アクティビティ: ウイルス: 感染: 上位のユーザ」

「アクティビティ: データベースの通常コマンドの失敗: すべてのイベント」

「アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ」

「アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント」

「アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ」

「アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント」

「アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ」

「アクティビティ: レクリエーション: すべてのイベント」

「リソースの利用率: 帯域幅: インバウンド: 上位のインターフェイス」

「リソースの利用率: CPU : 上位のデバイス」

「リソースの利用率: 帯域幅: アウトバウンド: 上位のインターフェイス」

「リソースの利用率: 並列接続: 上位のデバイス」

「リソースの利用率: エラー: インバウンド: 上位のインターフェイス」

「リソースの利用率: エラー: アウトバウンド: 上位のインターフェイス」

「リソースの利用率: メモリ: 上位のデバイス」

「アクティビティ: ホストでのログインの失敗: すべてのイベント」

「アクティビティ: スパイウェア: すべてのイベント」

「アクティビティ: ホストでのログインの成功: すべてのイベント」

「アクティビティ: ホストでの管理ログインの成功: すべてのイベント」

「アクティビティ: ホストでの権限の拡大: すべてのイベント」

「アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート」

「アクティビティ: リモート アクセス ログイン: すべてのイベント」

「アクティビティ: VA スキャナによって見つけられた脆弱なホスト」

「アクティビティ: 見つけられた脆弱なホスト」

「攻撃: パスワード: すべてのイベント」

「設定の変更: ネットワーク: すべてのイベント」

「運用上の問題: ネットワーク: すべてのイベント」

「運用上の問題: サーバ: すべてのイベント」

「アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント」

「アクティビティ: データベースでのログインの成功: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント」

アクティビティ: すべて: 上位のレポート デバイス

このレポートでは、各セキュリティ デバイスから報告されるイベントの総数を基準として、セキュリティ デバイスがランク付けされます。このレポートは、[Summary] タブにあるページによって使用されます。

アクティビティ: 防止された攻撃: 上位のレポート デバイス

このレポートでは、防止された攻撃の回数を基準として、セキュリティ デバイスがランク付けされます。

アクティビティ: 見つけられた攻撃: 上位のレポート デバイス

このレポートでは、記録された攻撃イベントの回数を基準として、セキュリティ デバイスがランク付けされます。セキュリティ デバイスは、ファイアウォール、NIDS、および HIDS の場合があります。

アクティビティ: 拒否: 上位の宛先ポート

このレポートでは、攻撃のターゲットとされたが攻撃が拒否された宛先ポートが、ランク付けされます。

アクティビティ: 拒否: 上位の宛先

このレポートでは、攻撃のターゲットとされたが攻撃が拒否された宛先ホストが、ランク付けされます。

アクティビティ: 拒否: 上位の発信元

このレポートでは、拒否された接続試行の回数を基準として、攻撃の発信元がランク付けされます。

アクティビティ: IDS の回避: 上位のイベント タイプ

このレポートでは、ネットワーク IDS システムによる検出を回避する目的を持つ攻撃者による試行を検出するイベントが、ランク付けされます。これは、Web ベースの混乱攻撃、フラグメンテーション攻撃、または、TCP/IP ベースの攻撃の可能性があります。

アクティビティ: P2P ファイル共有またはチャット: 上位のイベント タイプ

このイベントにより、ユーザ間のファイル共有プロトコルまたはチャット プロトコルのアクティビティを検出するイベントが、ランク付けされます。KaZaa、Napster、EDonkey などのファイル共有プロトコル、および、IRC、Hotline、インスタント メッセージング プロトコルなどのチャット プロトコルは、ビジネス環境に適さない場合があります。

アクティビティ: スキャン: 上位の宛先ポート

このレポートでは、ポートでのスキャン アクティビティを検出するイベントの総数を基準として、宛先ポートがランク付けされます。スキャンには、稼動ホストおよび稼動ホストでオープンされているサービスの検索や、ホスト設定およびアプリケーション設定の検出などの、アクティビティが含まれます。

アクティビティ: スキャン: 上位の宛先

このレポートでは、ホストに対して誘導されたスキャン アクティビティを検出するイベントの総数を基準として、ホストがランク付けされます。スキャンには、稼動ホストおよび稼動ホストでオープンされているサービスの検索や、ホスト設定およびアプリケーション設定の検出などの、アクティビティが含まれます。

アクティビティ: ステルスのスキャン: 上位の発信元

このレポートでは、ステルス スキャン アクティビティの数を基準として、攻撃者がランク付けされます。このようなアクティビティには、ホスト オペレーティング システムおよびその他の脆弱性を検出するための、クラフト パケットの送信が含まれます。脆弱性のあるスキャン機能により、このようなイベントが生成される場合があります。

アクティビティ: ウイルスまたはワーム: 上位のイベント タイプ

このレポートでは、ネットワークにあるウイルスまたはワームのアクティビティを検出するイベントがランク付けされます。

アクティビティ: すべて: 上位の起動規則

このレポートでは、発生した問題の回数を基準として、直前の 1 時間に起動された規則がランク付けされます。これによって、攻撃アクティビティと非攻撃アクティビティの両方が含まれるネットワークで、規則の起動アクティビティに関する一般的な概要が示されます。このレポートは、[Summary] タブにあるページによって使用されます。

攻撃: すべて: 上位の発信元

このレポートでは、直前の 1 時間に MARS によって見つけられた攻撃イベントの発信元が、ランク付けされます。

攻撃: データベース サーバ: 上位のイベント タイプ

このレポートでは、MS SQL Server、Oracle、Sybase などのデータベース サーバでの攻撃が、ランク付けされます。

攻撃: FTP サーバ: 上位のイベント タイプ

このレポートでは、FTP サーバでの攻撃がランク付けされます。

攻撃: スプーフィングの特定: 上位のイベント タイプ

このレポートでは、直前の 1 時間に識別情報をスプーフィングするために攻撃者によって行われた試行を示すイベントが、ランク付けされます。

攻撃: ログイン サービス: 上位のイベント タイプ

このレポートでは、ログイン サービスおよびリモート シェルを提供しているサーバでの攻撃が、ランク付けされます。その例には、Telnet、SSH、および Berkeley r- プロトコルが含まれます。

攻撃: メール サーバ: 上位のイベント タイプ

このレポートでは、メール サーバ(SMTP、POP、IMAP)での攻撃がランク付けされます。

攻撃: ネットワーク DoS : 上位のイベント タイプ

このレポートでは、ネットワーク全体での DoS 試行を示す攻撃がランク付けされます。このような攻撃には、ルータ、ファイアウォール、スイッチなどのインライン ネットワークのクラッシュやリブート、または、TCP、UDP、ICMP のトラフィックによるネットワーク負荷の増大が、含まれる場合があります。

攻撃: RPC サービス: 上位のイベント タイプ

このレポートでは、RPC ベースのアプリケーションでの攻撃がランク付けされます。

攻撃: ウイルスまたはワーム: 上位の発信元

このレポートでは、ウイルスまたはワームの送信を試行する発信元のアドレスがランク付けされます。

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

このレポートでは、直前の 1 時間の Web サーバまたは Web サーバに組み込まれたアプリケーションでの攻撃が、ランク付けされます。

運用上の問題: ネットワーク: 上位のレポート デバイス

このレポートでは、ルータ、ファイアウォール、ネットワーク IDS システムなどのネットワーク デバイスで発生した運用上の問題を示す可能性があるイベントが要約されます。

運用上の問題: サーバ: 上位のレポート デバイス

このレポートでは、サーバで発生した運用上の問題を示す可能性があるイベントが要約されます。

リソースの問題: ネットワーク: 上位のレポート デバイス

このレポートでは、ファイアウォール、ルータ、スイッチなどのネットワーク デバイスで発生したリソースの問題を示す可能性があるイベントが要約されます。

リソースの問題: サーバ: 上位のレポート デバイス

このレポートでは、サーバで発生したリソースの問題を示す可能性があるイベントが要約されます。これらは、ホスト IDS イベントである可能性が高い場合があります。

アクティビティ: IRC : すべてのイベント

このレポートでは、すべての IRC アクティビティのリストが示されます。通常、ワームにより、IRC 接続が開始される感染ホスト上に、実行可能プログラムが置かれます。

攻撃: すべて: 上位のイベント タイプ グループ

このレポートでは、起動された相関規則に示されているイベント タイプ グループが、ランク付けされます。イベント タイプ グループにより、MARS からの報告の一部として分類されるネットワーク アクティビティに関する一般的な概要が示されます。

アクティビティ: すべて: 上位のレポート デバイス タイプ

このレポートでは、特定の各タイプのデバイスから報告されるイベントの数を基準として、セキュリティ デバイス タイプがランク付けされます。

アクティビティ: ホストでのログインの失敗: 上位の宛先

このレポートでは、記録されたログイン失敗の回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのログインの失敗: 上位のユーザ

このレポートでは、失敗したログイン試行を基準として、ホスト ユーザがランク付けされます。

アクティビティ: ホストでのレジストリの変更: すべてのイベント

このレポートでは、Microsoft Windows のレジストリ変更のシグナルを送信するイベントが記録されます。

攻撃: すべて: 上位の宛先

このレポートでは、各ホストに対する攻撃の回数を基準として、ホストがランク付けされます。

アクティビティ: ホストでのユーザまたはグループの管理: すべてのイベント

このレポートでは、ホストから報告されたユーザ グループ管理イベントが記録されます。

アクティビティ: ホストでのユーザまたはグループの管理: 上位のホスト

このレポートでは、報告されたユーザ グループ管理イベントを基準として、ホストがランク付けされます。

アクティビティ: ネットワークの使用状況: 上位の宛先ポート

このレポートでは、ネットワーク セッションの数を基準として、宛先ポートがランク付けされます。このレポートでは、セッション イベントを取り込めるようにするため、ルータまたはファイアウォールの Syslog レベルを高く設定する必要があります。このレポートでは、ネットワークの一般的な使用パターンが示されます。

攻撃: パスワード: 上位の宛先

このレポートでは、ホストで試行されたパスワード攻撃の回数を基準として、ホストがランク付けされます。パスワード攻撃には、(a)リモートまたはローカルのいずれかでのパスワードの取り込みの試行、および、(b)パスワードの推測の試行が含まれます。パスワード推測試行は、IDS およびホストによって、認証の失敗として記録されます。

攻撃: 非一般的または異常なトラフィック: 上位のイベント タイプ

このレポートでは、非一般的または異常なトラフィックを示すイベントがランク付けされます。非一般的なトラフィックには、一般的な用途ではない ICMP タイプおよび TCP や IP のオプション、または、非標準ポートでの標準トラフィックが含まれます。異常なトラフィックには、IETF またはその他の広く知られているプロトコル仕様に違反するトラフィックが含まれます。

アクティビティ: スパイウェア: 上位のホスト

このレポートでは、スパイウェア アプリケーションを実行中のホストがランク付けされます。スパイウェアは、ホスト上でインストールおよび実行されて、ユーザ名、パスワード、およびクレジット カード情報を収集し、その情報をスパイウェアの作成者に送信する、悪意のあるアプリケーションです。

アクティビティ: ホストでの権限の拡大: 上位のホスト

このレポート記録では、ホストに対して試行されたアクセス権限拡大試行を基準として、ホストがランク付けされます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: P2P ファイル共有またはチャット: 上位のホスト

このレポートでは、P2P ファイル共有プロトコルおよびチャット プロトコルのアクティビティに関連するホストが、ランク付けされます。このようなプロトコルは、ビジネス環境に適さない場合があります。

アクティビティ: ウイルスまたはワーム: 上位の感染ホスト

このレポートでは、SMTP、POP、IMAP、ネットワーク共有などを経由してウイルスおよびワームを送信するホストがランク付けされます。

アクティビティ: データベースの特権コマンドの失敗: すべてのイベント

このレポートでは、失敗したすべての特権データベース コマンドの実行に関するイベント詳細のリストが示されます。

アクティビティ: ウイルス: 検出: 上位のユーザ

このレポートでは、検出されたウイルスを基準として、ユーザまたはワークステーションがランク付けされます。

アクティビティ: データベースの特権コマンドの失敗: 上位のユーザ

このレポートでは、失敗した特権データベース コマンドの実行試行を基準として、ユーザがランク付けされます。

アクティビティ: ウイルス: 感染: 上位のユーザ

このレポートでは、検出されたが除去されていないウイルスを基準として、ユーザまたはワークステーションがランク付けされます。

アクティビティ: データベースの通常コマンドの失敗: すべてのイベント

このレポートでは、失敗したすべての非特権データベース コマンドの実行試行に関するイベント詳細のリストが示されます。

アクティビティ: データベースの通常コマンドの失敗: 上位のユーザ

このレポートでは、非特権データベース コマンドの実行試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースのユーザまたはグループの変更の失敗: すべてのイベント

このレポートでは、失敗したすべてのデータベースのユーザまたはグループの変更試行に関するイベント詳細のリストが示されます。

アクティビティ: データベースのユーザまたはグループの変更の失敗: 上位のユーザ

このレポートでは、失敗したデータベースのユーザまたはグループの変更試行の回数を基準として、ユーザがランク付けされます。

アクティビティ: データベースのユーザまたはグループの変更の成功: すべてのイベント

このレポートでは、成功したすべてのデータベースのユーザまたはグループの変更に関するイベント詳細のリストが示されます。

アクティビティ: データベースのユーザまたはグループの変更の成功: 上位のユーザ

このレポートでは、成功したデータベースのユーザまたはグループの変更の実行を基準として、ユーザがランク付けされます。

アクティビティ: レクリエーション: すべてのイベント

このイベントにより、ゲームなどのレクリエーション アクティビティや、ギャンブルなどの特定の Web サイトに含まれている、すべてのユーザの詳細が示されます。

リソースの利用率: 帯域幅: インバウンド: 上位のインターフェイス

このレポートでは、PN-MARS によって管理されているデバイス上のインターフェイスでの、インバウンド帯域幅利用率がランク付けされます。

リソースの利用率: CPU : 上位のデバイス

このレポートでは、PN-MARS によって管理されているデバイスでの、CPU 利用率がランク付けされます。

リソースの利用率: 帯域幅: アウトバウンド: 上位のインターフェイス

このレポートでは、PN-MARS によって管理されているデバイス上のインターフェイスでの、アウトバウンド帯域幅利用率がランク付けされます。

リソースの利用率: 並列接続: 上位のデバイス

このレポートでは、PN-MARS によって管理されているデバイス経由で確立された並列接続の数が、ランク付けされます。

リソースの利用率: エラー: インバウンド: 上位のインターフェイス

このレポートでは、PN-MARS によって管理されているデバイスのインバウンド インターフェイスでのエラー率を基準として、ランク付けされます。

リソースの利用率: エラー: アウトバウンド: 上位のインターフェイス

このレポートでは、PN-MARS によって管理されているデバイスのアウトバウンド インターフェイスでのエラー率を基準として、ランク付けされます。

リソースの利用率: メモリ: 上位のデバイス

このレポートでは、PN-MARS によって管理されているデバイスでの、メモリ利用率がランク付けされます。

アクティビティ: ホストでのログインの失敗: すべてのイベント

このレポートでは、失敗したすべてのホスト ログインの詳細が記録されます。

アクティビティ: スパイウェア: すべてのイベント

このイベントにより、すべてのスパイウェア イベントの詳細が示されます。

アクティビティ: ホストでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのホスト ログイン イベントの詳細が示されます。

アクティビティ: ホストでの管理ログインの成功: すべてのイベント

このレポートでは、成功したホストに対する管理ログイン イベントの詳細が示されます。

アクティビティ: ホストでの権限の拡大: すべてのイベント

このレポートでは、特定のホストでアクセス権限を増やそうとしているユーザを示すイベントに関する詳細が示されます。このような試行は、リモートにまたはローカル コンソールから発生する場合があり、ネットワーク IDS デバイス、ホスト IDS デバイス、またはホスト自体から報告されることがあります。

アクティビティ: ネットワークの使用状況: バイト数を基準とする上位の宛先ポート

このレポートでは、送信されたバイト数を基準として、上位の宛先ポートがランク付けされます。

アクティビティ: リモート アクセス ログイン: すべてのイベント

このレポートでは、リモート アクセス ログイン イベント(IP セキュリティ、SSLVPN、PPP、L2TP など)の詳細が示されます。

アクティビティ: VA スキャナによって見つけられた脆弱なホスト

このレポートでは、Vulnerability Analysis(VA)スキャナから情報をインポートすることによって見つけられた、脆弱なホストおよび関連する脆弱性のリストが示されます。

アクティビティ: 見つけられた脆弱なホスト

このホストでは、IDS または VA スキャナによって見つけられたすべての脆弱なホストのリストが示されます。

攻撃: パスワード: すべてのイベント

このレポートでは、すべてのパスワード攻撃イベントの詳細が示されます。

設定の変更: ネットワーク: すべてのイベント

このイベントにより、ネットワーク デバイスでのすべての設定変更の詳細が示されます。

運用上の問題: ネットワーク: すべてのイベント

このレポートでは、ネットワーク デバイスでのすべての運用上の問題に関する詳細のリストが示されます。

運用上の問題: サーバ: すべてのイベント

このレポートでは、ホストまたはホスト アプリケーションでのすべての運用上の問題を示すイベントに関する詳細のリストが示されます。

アクティビティ: ホストでのセキュリティ ポリシーの変更: すべてのイベント

このレポートでは、ホストのセキュリティに影響を及ぼす、ホストでのすべてのポリシー変更のリストが示されます。これらのイベントは、通常、ホスト IDS およびホスト エージェントによって報告されます。

アクティビティ: データベースでのログインの成功: すべてのイベント

このレポートでは、成功したすべてのデータベース ログイン イベントのイベント詳細のリストが示されます。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関するイベント詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関する詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト

このレポートでは、Network Access Devices(NAD)からのステータス クエリーに障害が発生した上位ホストの詳細が示されます。このような障害は、初期認可後、エンド ホスト上で Cisco Trust Agent(CTA)によって検出されるポスチャに変更があるたびに、発生します。このような障害は、CTA エージェントを頻繁にイネーブルまたはディセーブルにするユーザが原因で発生する場合があります。

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

このレポートでは、CHECKUP 状態、QUARANTINE 状態、INFECTED 状態のいずれかなど、セキュリティ ポスチャが最新ではないユーザの詳細イベントのリストが示されます。これらのホストにあるソフトウェアは、アップグレードする必要があります。CHECKUP ホストでは、DAT ファイルをアップデートする必要があります。QUARANTINE ホストでは、ネットワークにアクセスする前に、DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、補修する必要があります。

システム: セキュリティ ポスチャの準拠性(Cisco NAC)

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: VA スキャナによって見つけられた脆弱なホスト」

「アクティビティ: 見つけられた脆弱なホスト」

「アクティビティ: セキュリティ ポスチャ: 正常: 上位のユーザ」

「アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD」

「アクティビティ: セキュリティ ポスチャ: NAC : 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC L2IP : 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC 監査サーバの問題: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: NAC L2 802.1x : 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位の NAD」

「アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント」

「アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD とトークン」

「アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のトークン」

「アクティビティ: セキュリティ ポスチャ: NAC エンド ホストの詳細: すべてのイベント」

「アクティビティ: AAA 認証の失敗: すべてのイベント」

「アクティビティ: AAA 認証の失敗: 上位の NAD」

「アクティビティ: AAA 認証の失敗: 上位のユーザ」

「アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のホスト」

「アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位の NAD」

アクティビティ: VA スキャナによって見つけられた脆弱なホスト

このレポートでは、Vulnerability Analysis(VA)スキャナから情報をインポートすることによって見つけられた、脆弱なホストおよび関連する脆弱性のリストが示されます。

アクティビティ: 見つけられた脆弱なホスト

このホストでは、IDS または VA スキャナによって見つけられたすべての脆弱なホストのリストが示されます。

アクティビティ: セキュリティ ポスチャ: 正常: 上位のユーザ

このレポートでは、セキュリティ ポスチャの状態が HEALTHY のユーザのリストが示されます。正常なセキュリティ ポスチャは、ホストのポスチャが最新で、ポリシーに準拠しているため、注意を払う必要がないことを意味します。

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD

このレポートでは、ネットワーク アドミッション コントロールのトランザクションを処理する Network Access Device(NAD)がランク付けされます。

アクティビティ: セキュリティ ポスチャ: NAC : 上位のトークン

このレポートでは、ネットワーク全体での NAC トークンの配信状況が示されます。示される可能性があるトークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC L2IP : 上位のトークン

このレポートでは、レイヤ 2 IP 方式を使用してそのポスチャを検証するエンド ホストでの NAC トークンの配信が記録されます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC 監査サーバの問題: すべてのイベント

このレポートでは、監査サーバからの正しいセキュリティ ポスチャの取得に問題がある AAA サーバについて、エンド ホストがランク付けされます。これらのホストでは、Cisco Trust Agent(CTA)が実行されておらず、監査サーバに依存して、適切なセキュリティ ポスチャ トークンが取得されます。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: すべてのイベント

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関するイベント詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC の感染と検疫: 上位のホスト

このレポートでは、INFECTED 状態または QUARANTINE 状態のホストに関する詳細が報告されます。QUARANTINE ホストでは、ネットワークにアクセスする前に、アンチウイルス DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、感染を除去する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC L2 802.1x : 上位のトークン

このレポートでは、レイヤ 2 IEEE 802.1x 方式を使用してそのポスチャを検証する、エンド ホストでの NAC トークンの配信が記録されます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位のホスト

このレポートでは、Network Access Device(NAD)でスタティックな例外として設定されたホストが記録されます。これらのホストについては、NAD により、ポスチャ検証サーバに対する問い合せなしで、ネットワーク アクセスが許可されます。

アクティビティ: セキュリティ ポスチャ: NAC スタティック認証: 上位の NAD

このレポートでは、ネットワークでスタティックな例外としてエンド ホストを許可する Network Access Device(NAD)が記録されます。これらのエンド ホストでは、NAD により、ポスチャ検証サーバに対する問い合せなしで、ネットワーク アクセスが許可されます。

アクティビティ: セキュリティ ポスチャ: NAC ステータス クエリーの障害: 上位のホスト

このレポートでは、Network Access Devices(NAD)からのステータス クエリーに障害が発生した上位ホストの詳細が示されます。このような障害は、初期認可後、エンド ホスト上で Cisco Trust Agent(CTA)によって検出されるポスチャに変更があるたびに、発生します。このような障害は、CTA エージェントを頻繁にイネーブルまたはディセーブルにするユーザが原因で発生する場合があります。

アクティビティ: セキュリティ ポスチャ: 異常: すべてのイベント

このレポートでは、CHECKUP 状態、QUARANTINE 状態、INFECTED 状態のいずれかなど、セキュリティ ポスチャが最新ではないユーザの詳細イベントのリストが示されます。これらのホストにあるソフトウェアは、アップグレードする必要があります。CHECKUP ホストでは、DAT ファイルをアップデートする必要があります。QUARANTINE ホストでは、ネットワークにアクセスする前に、DAT ファイルをアップデートする必要があります。INFECTED ホストでは、ネットワークにアクセスする前に、補修する必要があります。

アクティビティ: セキュリティ ポスチャ: NAC : 上位の NAD とトークン

このレポートでは、それぞれによって割り当てられたトークンとともにネットワーク アドミッション コントロールのトランザクションを処理する Network Access Device(NAD)が示されます。

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のトークン

このレポートでは、Cisco Trust Agent(CTA)ソフトウェアがないエンド ホストでの NAC トークンの配信が記録されます。この場合、ポスチャの検証は、ローカルに、または、監視サーバ経由で Network Access Device によって、行われます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC エンド ホストの詳細: すべてのイベント

このレポートでは、Network Access Devices(NAD)および AAA サーバからの、すべての NAC 関連メッセージの詳細が示されます。1 つのエンド ホストのメッセージを参照するには、発信元の IP アドレスを選択します。

アクティビティ: AAA 認証の失敗: すべてのイベント

このレポートでは、失敗した AAA 認証のイベント詳細が表示されます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: AAA 認証の失敗: 上位の NAD

このレポートでは、失敗した AAA 認証に基づいて、Network Access Devices(NAD)がランク付けされます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: AAA 認証の失敗: 上位のユーザ

このレポートでは、失敗した AAA 認証に基づいて、ユーザがランク付けされます。このレポートには、通常の AAA 認証、802.1x 認証、L2 IP 認証および L3 IP 認証、L2 802.1x 認証が含まれます。認証は、AAA サーバ上でのポリシーの設定の誤り、または、誤りのあるユーザ クレデンシャルが原因で、失敗する場合があります。

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位のホスト

このレポートでは、Cisco Trust Agent(CTA)ソフトウェアがないエンド ホストでの NAC トークンの配信が記録されます。この場合、ポスチャの検証は、ローカルに、または、監視サーバ経由で Network Access Device によって、行われます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

アクティビティ: セキュリティ ポスチャ: NAC エージェントレス: 上位の NAD

このレポートでは、Cisco Trust Agent(CTA)ソフトウェアがないエンド ホストでの NAC トークンの配信が記録されます。この場合、ポスチャの検証は、ローカルに、または、監視サーバ経由で Network Access Device によって、行われます。このレポートで示される可能性がある NAC トークンの値は、HEALTHY、CHECKUP、INFECTED、QUARANTINE、UNKNOWN です。TRANSITION トークンは、中間状態のため、除外されます。

システム: サーバの悪用

このカテゴリで説明するシステム レポートは、次のとおりです。

ここでは、次の内容について説明します。

「アクティビティ: IDS の回避: 上位のイベント タイプ」

「攻撃: データベース サーバ: 上位のイベント タイプ」

「攻撃: FTP サーバ: 上位のイベント タイプ」

「攻撃: スプーフィングの特定: 上位のイベント タイプ」

「攻撃: ログイン サービス: 上位のイベント タイプ」

「攻撃: メール サーバ: 上位のイベント タイプ」

「攻撃: RPC サービス: 上位のイベント タイプ」

「攻撃: SNMP : 上位のイベント タイプ」

「攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ」

「攻撃: 非一般的または異常なトラフィック: 上位のイベント タイプ」

アクティビティ: IDS の回避: 上位のイベント タイプ

このレポートでは、ネットワーク IDS システムによる検出を回避する目的を持つ攻撃者による試行を検出するイベントが、ランク付けされます。これは、Web ベースの混乱攻撃、フラグメンテーション攻撃、または、TCP/IP ベースの攻撃の可能性があります。

攻撃: データベース サーバ: 上位のイベント タイプ

このレポートでは、MS SQL Server、Oracle、Sybase などのデータベース サーバでの攻撃が、ランク付けされます。

攻撃: FTP サーバ: 上位のイベント タイプ

このレポートでは、FTP サーバでの攻撃がランク付けされます。

攻撃: スプーフィングの特定: 上位のイベント タイプ

このレポートでは、直前の 1 時間に識別情報をスプーフィングするために攻撃者によって行われた試行を示すイベントが、ランク付けされます。

攻撃: ログイン サービス: 上位のイベント タイプ

このレポートでは、ログイン サービスおよびリモート シェルを提供しているサーバでの攻撃が、ランク付けされます。その例には、Telnet、SSH、および Berkeley r- プロトコルが含まれます。

攻撃: メール サーバ: 上位のイベント タイプ

このレポートでは、メール サーバ(SMTP、POP、IMAP)での攻撃がランク付けされます。

攻撃: RPC サービス: 上位のイベント タイプ

このレポートでは、RPC ベースのアプリケーションでの攻撃がランク付けされます。

攻撃: SNMP : 上位のイベント タイプ

このレポートでは、直前の 1 時間の SNMP ベースの攻撃がランク付けされます。

攻撃: Web サーバまたはアプリケーション: 上位のイベント タイプ

このレポートでは、直前の 1 時間の Web サーバまたは Web サーバに組み込まれたアプリケ