Action
次の接続をロギングしたアクセス コントロール ルールまたはデフォルト アクションに関連付けられたアクション。
– [Allow]
は、明示的に許可され、インタラクティブにユーザがバイパスした、ブロックされた接続を表します。
– [Trust]
は、信頼できる接続を表します。システムは、信頼ルールによって検出された TCP 接続をアプライアンスに応じて別にロギングすることに注意してください。
シリーズ 2、仮想アプライアンス、Sourcefire Software for X-Seriesでは、信頼ルールによって最初のパケットで検出された TCP 接続は、接続終了イベントだけを生成します。システムは、最終セッションのパケットの 1 時間後にイベントを生成します。
シリーズ 3 アプライアンスでは、信頼ルールによって最初のパケットで検出された TCP 接続は、監視ルールの有無に応じて異なるイベントを生成します。監視ルールがアクティブな場合、システムはパケットを評価し、開始および接続終了イベントの両方を生成します。アクティブな監視ルールがない場合、システムは接続終了イベントだけを生成します。
– [Block]
と [Block with reset]
は、ブロックされた接続を表します。さらにシステムは、[Block]
アクションを、セキュリティ インテリジェンスによってブラックリストに記載された接続、侵入ポリシーによってエクスプロイトが検出された接続、ファイル ポリシーによってファイルがブロックされた接続と関連付けます。
– [Interactive Block]
と [Interactive Block with reset]
は、システムが Interactive Block ルールを使用して最初にユーザの HTTP 要求をブロックしたときにロギングできる接続開始イベントを示します。システムが表示する警告ページでユーザがクリック操作をすると、そのセッションについてロギングするその他の接続イベントは、アクションが
[Allow] になります。
– [Default Action]
は、接続がデフォルト アクションによって処理されたことを示します。
– セキュリティ インテリジェンスによって監視されている接続の場合、そのアクションは、接続によってトリガーされる最初の監視以外のアクセス コントロール ルールのアクションか、デフォルト アクションです。同様に、Monitor ルールに一致するトラフィックは常に後続のルールまたはデフォルト アクションによって処理されるため、Monitor ルールによってロギングされた接続に関連付けられたアクションが [Monitor]
になることはありません。
Application Protocol
接続で検出された、ホスト間の通信を表すアプリケーション プロトコル。
Application Risk
接続で検出されたアプリケーション
トラフィックに関連付けられたリスク。[Very
High]、[High]、[Medium]、[Low]、[Very
Low]。
接続で検出されたアプリケーションのタイプごとに、リスクが関連付けられています。このフィールドは、最も高いものを表示します。詳細については、 「アプリケーションの特徴」 の表を参照してください。
Business Relevance
接続で検出されたアプリケーション
トラフィックに関連付けられた、ビジネスとの関連性。[Very
High]、[High]、[Medium]、[Low]、[Very
Low]。
接続で検出されたアプリケーションのタイプごとに、ビジネスとの関連性が関連付けられています。このフィールドは、最も低いもの(関連性が最も低い)を表示します。詳細については、 「アプリケーションの特徴」 の表を参照してください。
Category, Tag (Application Protocol, Client, Web Application)
アプリケーションの機能を理解するのに役立つ、アプリケーションを特徴付ける条件。詳細については、 「アプリケーションの特徴」 の表を参照してください。
Client and Client Version
接続で検出されたクライアントのクライアント アプリケーションとバージョン。
接続に使用されている特定のクライアントをシステムが特定できなかった場合、このフィールドは汎用的な名称としてアプリケーション プロトコル名の後に client
を付加して FTP client
などと表示します。
Connections
接続サマリーに含まれる接続数。長時間接続(複数回の接続サマリー間隔にまたがる接続)の場合、最初の接続サマリー間隔の分だけ増加します。
Count
各行に表示される情報に一致する接続数。同一の行が複数作成される制約を適用した後にのみ、[Count] フィールドが表示されることに注意してください。
注 カスタム ワークフローを作成し、ドリルダウン ページに [Count] カラムを追加しない場合、各接続は個別に表示され、パケット数とバイト数は合計されません。
Device
接続を検出した管理対象デバイス。または、NetFlow 対応デバイスからエクスポートされた接続の場合は、NetFlow データを処理した管理対象デバイス。
Files
接続に関連付けられたファイル イベント(ある場合)。ファイル リストの代わりに、防御センターはファイル表示アイコン( )をこのフィールドに表示します。アイコンの数字は、その接続で検出またはブロックされたファイル数(マルウェア ファイルを含む)を示します。
アイコンをクリックするとポップアップ ウィンドウが表示され、接続で検出されたファイルのリストとともに、そのタイプと、該当する場合はマルウェアのルックアップ処理が示されます。
DC500 防御センターおよび シリーズ 2 デバイスはどちらもネットワークベースのマルウェア ファイル検出をサポートしていないことに注意してください。
詳細については、「接続で検出されたファイルの表示」を参照してください。
First Packet or Last Packet
セッションの最初または最後のパケットが検出された日時。
Ingress Interface or Egress Interface
接続に関連付けられた入力または出力のインターフェイス。
Ingress Security Zone or Egress Security Zone
接続に関連付けられた入力または出力のセキュリティ ゾーン。
Initiator Bytes or Responder Bytes
セッションの開始側またはセッションの応答側が送信した合計バイト数。
Initiator Country or Responder Country
ルーティング可能な IP が検出された場合に、セッションを開始したホスト IP アドレスまたはセッションの応答側に関連付けられた国。その国の国旗のアイコンとともに、その国の ISO 3166-1 alpha- 3 の国番号が表示されます。国旗アイコンの上にポインタを移動すると、国の完全な名称が表示されます。
DC500 防御センターはこの機能をサポートしていないことに注意してください。
Initiator IP or Responder IP
セッションを開始したか、またはセッション応答側として応答したホスト IP アドレス(DNS 解決が有効化されている場合はホスト名も)。ブラックリストに記載された接続でブラックリストに記載された IP アドレスを識別できるように、ブラックリストに記載された IP アドレスの横のアイコンは見た目が少し異なります。
Initiator Packets or Responder Packets
セッションの開始側またはセッションの応答側が送信した合計パケット数。
Initiator User
セッションの開始側にログインしていたユーザ。
Intrusion Events
接続に関連付けられた侵入イベント(ある場合)。イベント リストの代わりに、防御センターは侵入イベント表示アイコン(防御センター)をこのフィールドに表示します。防御センター
アイコンをクリックするとポップアップ ウィンドウが表示され、接続に関連付けられた侵入イベントのリストとともに、優先度と影響度が示されます。詳細については、「接続に関連付けられた侵入イベントの表示」を参照してください。
IOC
接続にかかわったホストに対する侵害の痕跡(IOC)をこのイベントがトリガーとして使用するかどうか。IOC の詳細については、「侵害の兆候について」を参照してください。
NetBIOS Domain
セッションで使用された NetBIOS ドメイン。
NetFlow Destination/Source Autonomous System
NetFlow 対応デバイスによってエクスポートされた接続の場合、接続のトラフィックの送信元または宛先に対する、Border Gateway Protocol の自律システム番号。
NetFlow Destination/Source Prefix
NetFlow 対応デバイスによってエクスポートされた接続の場合、送信元または宛先の IP アドレスに、送信元と宛先のプレフィクス マスクが追加されたもの。
NetFlow Destination/Source TOS
NetFlow 対応デバイスによってエクスポートされた接続の場合、接続トラフィックが NetFlow 対応デバイスに入ったか、NetFlow 対応デバイスから出たときの Type of Service(TOS)バイトの設定。
NetFlow SNMP Input/Output
NetFlow 対応デバイスによってエクスポートされた接続の場合、接続トラフィックが NetFlow 対応デバイスに入ったか、NetFlow 対応デバイスから出た際のインターフェイスのインターフェイス インデックス。
Reason
次の場合に接続がロギングされた 1 つまたは複数の原因。
– [User Bypass]
は、システムが最初はユーザの HTTP 要求をブロックしたが、ユーザが警告ページでクリック操作をして、最初に要求していたサイトへ進むことを選択したことを示します。[User Bypass]
の原因は必ず [Allow]
のアクションとペアになります。
– [IP Block]
は、システムがセキュリティ インテリジェンス データに基づいて、インスペクションなしで接続を拒否したことを示します。[IP Block]
の原因は必ず [Block]
のアクションとペアになります。
– [IP Monitor]
は、システムがセキュリティ インテリジェンス データに基づいて接続を拒否するはずでしたが、ユーザが接続を拒否せず監視するように設定したことを示します。
– [File Monitor]
は、システムが接続において特定のファイルの種類を検出したことを示します。
– [File Block]
は、ファイルまたはマルウェア ファイルが接続に含まれており、システムがその送信を防いだことを示します。[File Block]
の理由は必ず [Block]
のアクションとペアになります。
– [File Custom Detection]
は、カスタム検出リストにあるファイルが接続に含まれており、システムがその送信を防いだことを示します。
– [File Resume Allow]
は、ファイル送信がはじめにファイル ブロックまたはマルウェア ブロック ファイル ルールによってブロックされたことを示します。そのファイルを許可する新しいアクセス コントロール ポリシーが適用された後で、HTTP セッションは自動的に再開しました。
– [File Resume Block]
は、ファイル送信がはじめにファイル検出または マルウェア クラウド ルックアップ ファイル ルールによって許可されたことを示します。そのファイルをブロックする新しいアクセス コントロール ポリシーが適用された後で、HTTP セッションは自動的に停止しました。
– [Intrusion Block] は、接続で検出されたエクスプロイト(侵入ポリシー違反)をシステムがブロックしたか、ブロックするはずだったことを示します。[Intrusion Block]
の原因は、ブロックされたエクスプロイトの場合は
[Block]、ブロックされるはずだったエクスプロイトの場合は [Allow]
のアクションとペアになります。
– [Intrusion Monitor]
は、接続で検出されたエクスプロイトをシステムが検出したものの、ブロックしなかったことを示します。これは、トリガーされた侵入ルールの状態が [Generate Events] に設定されている場合に発生します。
Security Context
トラフィックが通過した仮想ファイアウォール グループを識別するメタデータ。システムは、マルチコンテキスト モードの ASA FirePOWER デバイスの場合のみ、このフィールドに値を入力することに注意してください。
Security Intelligence Category
接続でブラックリストに記載された IP アドレスを表すか、もしくはそれを含む、ブラックリストに記載されたオブジェクトの名前。セキュリティ インテリジェンスのカテゴリは、ネットワーク オブジェクトまたはグループ、グローバル ブラックリスト、カスタム セキュリティ インテリジェンスのリストとフィード、いずれかのシスコ インテリジェンス フィードのカテゴリのうち、いずれかの名前です。[Reason] が [IP Block]
または [IP Monitor]
の場合にのみ、このフィールドに値が入力されることに注意してください。セキュリティ インテリジェンス イベントのビューでは、エントリに必ず原因が表示されます。詳細については、「セキュリティ インテリジェンス データに基づくトラフィックのフィルタリング」を参照してください。
また、DC500 防御センターおよび シリーズ 2 デバイスはどちらもこの機能をサポートしていないことに注意してください。
Source Device
接続のデータをエクスポートした NetFlow 対応デバイスの IP アドレス。管理対象デバイスによって接続が検出された場合、このフィールドには FireSIGHT の値が入ります。
Source Port/ICMP Type or Destination Port/ICMP Code
セッションの開始側またはセッションの応答側で使用されるポート、ICMP タイプ、または ICMP コード。
TCP Flags
接続で検出された TCP フラグ。
Time
システムが接続を接続サマリーに集約するために使用した 5 分間隔の終了時刻。
URL, URL Category, and URL Reputation
セッション中に監視対象のホストによって要求された URLと、関連付けられたカテゴリおよびレピュテーション(利用できる場合)。
システムが SSL アプリケーションを識別またはブロックする場合、要求された URL は暗号化トラフィック内にあるため、システムは、SSL 証明書に基づいてトラフィックを識別します。したがって SSL アプリケーションの場合、このフィールドは証明書に含まれる一般名を表示します。詳細については、「アクセス コントロール ポリシーの詳細設定」および「クラウド通信の有効化」を参照してください。
DC500 防御センターおよび シリーズ 2 デバイスはどちらも、URL カテゴリとレピュテーション データをサポートしていないことに注意してください。
Web Application
接続で検出された HTTP トラフィックの内容または要求された URL を表す Web アプリケーション。
Web アプリケーションがイベントの URL に一致しない場合、そのトラフィックは通常、参照先のトラフィックです(アドバタイズメントのトラフィックなど)。システムは、参照先のトラフィックを検出すると、参照元のアプリケーションを保存し(可能な場合)、そのアプリケーションを Web アプリケーションとして表示します。
HTTP トラフィックに含まれる特定の Web アプリケーションをシステムが特定できなかった場合、このフィールドには [Web Browsing]
と表示されます。