- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: レポートの操作
レポートの操作
FireSIGHT システムは柔軟なレポート作成システムを提供しており、防御センターで表示されるイベント ビューやダッシュボードを使用して、複数のセクションがあるレポートを短時間で簡単に生成できます。独自のカスタム レポートを最初から設計することもできます。レポート作成は、防御センターでのみ使用可能です。
レポートは、通信しようとしている内容が含まれるドキュメント ファイルで、PDF、HTML、または CSV 形式になります。レポート テンプレートは、データの検索設定とレポートおよびそのセクションの形式を指定します。FireSIGHT システムには強力なレポート デザイナが含まれていて、レポート テンプレートの設計を自動的に行います。Web インターフェイスに表示されるイベント ビュー テーブルやダッシュボードのグラフィックの内容を複製できます。
レポート テンプレートは必要な数だけ作成できます。各レポート テンプレートは、レポートの個々のセクションを定義し、レポートの内容を作成するデータベース検索設定を指定し、表示形式(表、グラフ、詳細表示など)とタイム フレームも指定します。さらに、テンプレートでは、表紙や目次の情報、ドキュメント ページに見出しとフッターを付けるかどうかなどのドキュメント属性も指定します(PDF 形式のレポートでのみ指定可能)。レポート テンプレートを 1 つの設定パッケージ ファイルとしてエクスポートし、別の防御センターにインポートして再使用できます。
テンプレートに入力パラメータを組み込んで実用性を向上させることができます。入力パラメータを使用すると、同じレポートを用途に合わせて異なる様々なレポートに変えることができます。入力パラメータのあるレポートを生成するときには、生成プロセスで各入力パラメータの値を入力するよう求められます。ユーザが入力する値は、レポートの内容をその 1 回だけ決定するものです。たとえば、侵入イベントのレポートを作成する検索の宛先 IP フィールドに入力パラメータを使用できます。この場合、レポートの生成時に、宛先 IP アドレスの入力を求められたときに特定の部門のネットワーク セグメントを指定できます。その結果、この特定の部門に関する情報だけが含まれるレポートが生成されます。
レポートの生成
FireSIGHT システムのレポート作成機能によって、防御センターからイベント ビュー、ダッシュボード、またはワークフローの内容をすばやくキャプチャして、レポート形式で表示できます。
•
「ダッシュボードまたはワークフローのインポートによるレポート テンプレートの作成」
イベント ビューからのレポート テンプレートの作成
レポートを生成する前に、レポート作成システムにより作成されるレポート テンプレートに、必要に合わせて変更を加えることができます。セクションを追加したり、自動的に組み込まれるセクションを変更したり、セクションを削除したりできます。
アクセス:Admin/Any Security Analyst
ステップ 1 レポートに含めるイベントをイベント ビューに入力します。さまざまな方法で入力できます。
• イベント検索設定を使用して、表示するイベントを定義します。イベント検索設定の使用法の詳細については、「イベントの検索」を参照してください。
• イベント ビューに該当するイベントが表示されるまでワークフローをドリルダウンします。ワークフローと、ワークフロー内のイベントを制約する方法の詳細については、「ワークフローの概要と使用」を参照してください。
ステップ 2 イベント ビューのページから、[Report Designer] をクリックします。
[Report Sections] ページが表示され、キャプチャされるワークフロー内のビューごとにセクションが示されます。
ステップ 3 オプションで、[Report Title] フィールドに新しい名前を入力し、[Save] をクリックします。
ステップ 4 オプションで、セクションのタイトル バーの削除アイコン(
)をクリックし、削除を確認して、レポートから除外するテンプレート セクションを削除します。
注 一部のワークフロー内の最後のレポート セクションには詳細ビューが含まれ、ワークフローに応じてパケット、ホスト プロファイル、または脆弱性が示されます。レポートの生成時に、これらの詳細ビューがあるイベントを多数取得すると、防御センターのパフォーマンスに影響を与えることがあります。
ステップ 5 オプションで、レポート セクション内のフィールドの設定を調整します。
レポート セクション内のフィールドの設定の詳細については、「レポート テンプレートのセクションの編集」を参照してください。
ヒント セクションの現在のカラムのレイアウトやグラフの形式を表示する場合は、そのセクションの [Preview] リンクをクリックします。
ステップ 6 オプションで、タイトル バーでセクションのタイトルをクリックして、そのセクションのタイトルを変更します。
[Set Section Title] ポップアップ ウィンドウが表示されます。セクションのタイトルを入力し、[OK] をクリックします。
ステップ 7 オプションで、改ページを追加します。改ページ追加アイコン(
)をクリックします。
新しい改ページ オブジェクトがテンプレートの下部に表示されます。そのオブジェクトを、新しいページの先頭にするセクションの前にドラッグします。改ページの使用法の詳細については、「レポート テンプレートのセクションの編集」を参照してください。
ステップ 8 オプションで、テキスト セクションを追加します。テキスト セクション追加アイコン(
)をクリックします。
新しいテキスト セクションがテンプレートの下部に表示されます。そのセクションを、レポート テンプレート内の表示位置にドラッグします。テキスト セクションの編集については、「レポート テンプレートのセクションの編集」を参照してください。
ヒント テキスト セクションはリッチ テキスト(太字、斜体、可変フォント サイズなど)やインポート済みイメージをサポートしており、レポートやレポート セクションの概要として活用できます。
ステップ 9 オプションで、[Advanced Settings] をクリックして、表紙、目次、開始ページ番号、または見出しとフッターのテキストを追加します。詳細については、「レポート テンプレート内のドキュメント属性の編集」を参照してください。
ステップ 10 レポート テンプレートが適切な場合は、[Save] をクリックします。
レポート テンプレートが保存され、レポート テンプレートのエントリが [Report Templates] ページに表示されます。
ダッシュボードまたはワークフローのインポートによるレポート テンプレートの作成
ダッシュボード、ワークフロー、統計の要約をインポートして、新しいレポートをすばやく作成できます。インポートすると、ダッシュボードのウィジェット グラフィックごと、およびワークフローのイベント ビューごとにセクションが作成されます。最も重要な情報に焦点が当たるように不要なセクションを削除できます。次の表で、インポート オプションについて説明します。
|
|
|
|---|---|
| は、Connection Events テーブルから生成された Traffic by Port ワークフロー内のビューをインポートします。 | |
ダッシュボード、ワークフロー、または統計情報の要約からレポート テンプレートを作成する方法:
アクセス:Admin/Any Security Analyst
ステップ 1 レポート内で複製するダッシュボード、ワークフロー、または要約を識別します。
ステップ 2 [Overview] > [Reporting] を選択します。
ステップ 3 [Report Templates] タブをクリックします。
[Report Templates] ページが表示されます。
ステップ 4 [Create Report Template] をクリックします。
ステップ 5 [Report Title] フィールドに新しいレポート テンプレートの名前を入力します。
ステップ 6 新しい名前でレポート テンプレートを保存する場合は、[Save] をクリックします。
レポート テンプレートが保存され、レポート テンプレートのエントリが [Report Templates] ページに表示されます。
ステップ 7 ダッシュボード、要約、ワークフローのアイコン(
)からインポート セクションをクリックします。
[Import Report Sections] ポップアップ ウィンドウが表示されます。 「[Import Report Sections] ウィンドウのデータ ソース オプション」 表で説明されているデータ ソースのいずれかを選択できます。
ステップ 8 ドロップダウンメニューからダッシュボード、ワークフロー、または要約を選択します。
ステップ 9 追加しようとしているデータ ソースの、[Import] をクリックします。
テンプレートの [Report Sections] ページが再び表示され、選択したデータ ソースの要素ごとのセクションが示されます。ダッシュボードの場合、ウィジェット グラフィックごとに独自のセクションがあります。ワークフローの場合、イベント ビューごとに独自のセクションがあります。
レポート テンプレートの編集については、「レポート テンプレートのセクションの編集」を参照してください。
注 一部のワークフロー内の最後のレポート セクションには詳細ビューが含まれ、ワークフローに応じてパケット、ホスト プロファイル、または脆弱性が示されます。レポートの生成時に、これらの詳細ビューがあるイベントを多数取得すると、防御センターのパフォーマンスに影響を与えることがあります。
ステップ 11 レポート テンプレートが適切な場合は、[Save] をクリックします。
レポート テンプレートが保存され、レポート テンプレートのエントリが [Report Templates] ページに表示されます。
レポート テンプレートからのレポートの生成
レポート テンプレートを定義し終えたら、レポート自体を生成する準備ができたことになります。生成プロセスで、レポートの形式(HTML、 PDF、または CSV)を選択できます。レポートのグローバル時間枠を調整することもできます。この時間枠は、免除していないすべてのセクションに一貫したタイム フレームを適用します。レポートの時間枠の設定については、「テンプレートとそのセクションの時間枠の設定」を参照してください。
レポート テンプレートの検索の指定にユーザ入力パラメータが含まれている場合、生成プロセスで値を入力するよう求められ、このレポートの実行内容がデータのサブセットに合わせて調整されます。入力パラメータの詳細については、「入力パラメータの使用法」を参照してください。
[Reports] タブには、以前に生成されたすべてのレポートと、そのレポート名、生成日時、生成したユーザ、およびそのレポートがローカルに保存されたかリモートに保存されたかが一覧表示されます。ステータスのカラムには、レポートがすでに生成されているか、生成キュー内にある(スケジュール済みタスクの場合など)か、それとも生成できなかった(ディスク領域不足などの理由で)かが示されます。
[Reports] タブのページには、ローカルに保存されたレポートがすべて示されます。現在リモート ストレージが設定されている場合、リモートに保存されたレポートも示されます。ページの下部に、現在設定されているレポート ストレージの場所が表示され、ローカル、NFS、SMB ストレージの場合はディスク使用率も表示されます。SSH を使用してリモート ストレージにアクセスする場合、ディスク使用率のデータは利用できません。リモート ストレージのセットアップの詳細については、「レポート用のリモート ストレージの使用法」を参照してください。
注 リモートに保存してから、ローカル ストレージに切り替えた場合、リモート ストレージ内のレポートは [Reports] タブのリストに表示されません。同様に、あるリモート ストレージの場所から別の場所に切り替えた場合、以前の場所にあるレポートはリストに表示されません。
レポートを生成して表示するには、次の手順を実行します。管理者アクセス権を持つユーザはすべてのレポートを表示でき、その他のユーザは自分が生成したレポートだけを表示できることに注意してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブをクリックします。
[Report Templates] ページが表示されます。
ステップ 3 使用するテンプレートのレポート生成アイコン(
)をクリックします。
[Generate Report] ポップアップ ダイアログが表示されます。
ステップ 4 オプションで、[File Name] フィールドに新しい名前を入力します。生成されるレポート ファイルの名前が設定されます。入力パラメータのアイコン(
)を使用して、1 つ以上の入力パラメータをファイル名に追加することもできます。入力パラメータの詳細については、「入力パラメータの使用法」を参照してください。
ステップ 5 対応するアイコン(HTML、PDF、または CSV)をクリックして、レポートの出力形式を選択します。
ステップ 6 オプションで、時間枠のアイコン(
)をクリックして、グローバル時間枠を変更します。
[Events Time Window] ポップアップ ウィンドウが表示されます。イベントの時間枠の設定については、「イベント時間の制約の設定」を参照してください。
注 グローバル時間枠を設定すると、個々のレポート セクションのうちグローバル設定を継承するように設定されているものの内容だけに影響します。レポート セクションのグローバル時間枠の継承については、「テンプレートとそのセクションの時間枠の設定」を参照してください。
ステップ 7 [Input Parameters] セクションに表示されるフィールドの値を入力します。
ヒント フィールドにワイルドカード文字 * を入力すると、ユーザ パラメータを無視できます。こうすると、検索設定がユーザ パラメータで制約されなくなります。
ステップ 8 オプションで、システム ポリシーで電子メール リレー ホストが設定されている場合、[Email] をクリックして、レポートの生成時電子メール配信を自動化します。電子メール配信機能について詳しくは、「レポートの生成時の電子メール配布」を参照してください。
ステップ 9 求められたら、[OK] をクリックして確認します。
[Report Generation Complete] ポップアップ ウィンドウと、レポートを表示するためのリンクが表示されます。
• 新しいウィンドウを開いてレポートを表示する場合は、レポートのリンク。
• [Report Section] ページに戻る場合は、[OK]。このページでレポートの設計を変更できます。
初めて生成した後に、完成したレポートをレビューすることもできます。
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ローカル ホスト上のデフォルトのプログラムにより、新しいウィンドウでレポートが開かれます。
ステップ 4 ドキュメントの確認が終わったら、ブラウザを使用して [Reports] タブに戻ります。
レポート生成オプションの使用法
• レポートが自動的に生成されるようにスケジュールします。「スケジューラを使用したレポートの生成」を参照してください。
• 電子メールで新しいレポートを自動的に配布します。「レポートの生成時の電子メール配布」を参照してください。
• リモート ホストにレポート ファイルを保存します。「レポート用のリモート ストレージの使用法」を参照してください。
レポートの管理
生成したレポート ファイルを管理するには、次のオプションから選択できます。
• ローカル コンピュータにレポート ファイルを保存します。「レポートのダウンロード」を参照してください。
• レポート ファイルを削除します。「レポートの削除」を参照してください。
レポート テンプレートについて
レポート テンプレートを使用して、レポートの各セクション内のデータの内容と形式や、レポート ファイルのドキュメント属性(表紙、目次、ページ 見出し、ページ フッター)を定義します。レポートの生成後、削除しない限りテンプレートは再利用可能な状態になります。
レポートには、1 つ以上の情報セクションが含まれます。個々のセクションごとに形式(テキスト、表、またはグラフ)を選択します。セクションの形式の選択内容によっては、組み込めるデータが制約される場合があります。たとえば、円グラフの形式を使用すると、特定の表に時間ベースの情報を表示できません。いつでもセクションのデータの基準や形式を変更して、表示を最適にすることができます。
定義済みイベント ビューのレポートの初期設計をベースにするか、定義済みのダッシュボード、ワークフロー、または要約から内容をインポートして設計を開始できます。空のテンプレート シェルから始めて、1 つずつセクションを追加したり属性を定義したりすることもできます。
レポート テンプレートのすべてのセクションには、タイトル バーと、セクションの内容や外観を制御する各種の属性フィールドがあります。詳細については、次の説明を参照してください。
次の表に、テンプレート セクションごとのタイトル バー上のコントロールについて説明します。
|
|
|
|---|---|
レポート テンプレートにセクションの複製を追加するには、複製アイコン( |
)をクリックします。
)をクリックします。次の表は、レポート テンプレートの各セクション内のフィールドを定義します。
|
|
|
|---|---|
定義済み検索設定のドロップダウンメニューを表示します。新しい検索設定を定義する際に、該当する事前設定を選択して、検索条件を初期化できます。 |
|
セクション データの形式を選択できるアイコンを表示します。次のオプションがあります。 |
|
検索設定またはアプリケーション フィルタのドロップダウンメニューを表示します。 ほとんどのテーブルの場合、定義済みまたは保存済みの検索設定を使用してレポートを制約できます。編集アイコン( Application Statistics テーブルの場合、ユーザ定義のアプリケーション フィルタを使用して、レポートを制約できます。フィルタの作成については、「アプリケーション フィルタの操作」を参照してください。 |
|
選択したグラフの X 軸に関する使用可能なデータ列のドロップダウンメニューを表示します。グラフの形式を選択する場合にのみ表示されます。折れ線グラフの場合、X 軸の値は常に時刻です。棒グラフと円グラフの場合、X 軸の値として時刻を選択できません。 |
|
セクション内で検索データの前にある説明テキストを定義します。テキストと入力パラメータの組み合わせを入力します。新しいセクションのデフォルトは、$<Time Window> と $<Constraints>の 2 つの入力パラメータのセットです。 入力パラメータの詳細については、「入力パラメータの使用法」を参照してください。 |
|
セクションに表示されるデータの時間枠を定義します。セクションで時間ベースのテーブルが検索される場合、このチェック ボックスを選択して、レポートのグローバル時間枠を継承できます。または、セクションの特定の時間枠を設定することもできます。時間枠の設定については、「レポート テンプレートのセクションの編集」を参照してください。 |
|
棒グラフ:選択した変数の数量を比較します。
折れ線グラフ:選択した変数の、時間の経過に伴う傾向/変化を示します。時間ベースのテーブルにのみ使用できます。
円グラフ:選択した各変数を全体の割合として示します。数量がゼロの変数はグラフからドロップされます。ごくわずかな数量は、[Other] というラベルのカテゴリに集められます。
表形式の表示:レコードごとの属性の値を示します。要約や統計のデータには使用できません。
詳細表示:パケット(侵入イベントの場合)やホスト プロファイル(ホスト イベントの場合)など、特定のイベントに関連付けられた複合オブジェクトのデータを示します。Format は、この種のオブジェクトが関係する特定のイベント タイプだけに使用できます。出力が多数要求されている場合には、パフォーマンスが低下することがあります。レポート テンプレートの使用法
次のいずれかの方法で新しいレポート テンプレートを構築できます。
• 「ダッシュボードまたはワークフローのインポートによるレポート テンプレートの作成」
• 「既存のテンプレートからのレポート テンプレートの作成」
テンプレートにセクションを入力した後に、必要に応じてドキュメント属性やセクション属性をを編集できます。詳細については、以下を参照してください。
レポートが正常に作成されるかどうかは、レポートのセクションへの入力内容を決める検索設定の定義が重要な要素になります。これらの検索設定の定義については、「レポート テンプレート セクションの検索設定の操作」を参照してください。
既存のテンプレートからのレポート テンプレートの作成
既存のテンプレートをコピーして、新しいレポート テンプレートを構築できます。既存のテンプレートのうち適切なモデルを特定したら、そのテンプレートをコピーし、必要に応じてその属性を編集できます。
ヒント シスコは定義済みのレポート テンプレートのセットを用意しています。[Report Templates] タブのテンプレートのリストにこれらのテンプレートの名前が表示されます。これらの属性の説明については、「定義済みレポート テンプレートの使用法」を参照してください。
既存のテンプレートからレポート テンプレートを作成する方法:
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブをクリックします。
[Report Templates] ページが表示されます。シスコが用意しているレポート テンプレートについては、「定義済みレポート テンプレートの使用法」を参照してください。
ステップ 3 モデルとしてコピーするレポート テンプレートの横のコピー アイコン(
)をクリックします。
コピーしたテンプレートが、新しいレポート テンプレートとして表示されます。
ステップ 4 [Report Title] フィールドに、新しいレポート テンプレートの名前を入力します。
レポート テンプレートが保存され、新しいレポート テンプレートのエントリが [Report Templates] ページに表示されます。
テンプレートのセクションやドキュメントの属性の定義の詳細については、以下を参照してください。
定義済みレポート テンプレートの使用法
次の定義済みレポート テンプレートが FireSIGHT システムに付属しています。
• Attack Report: Attack $<Attack SID>
• FireSIGHT Report: $<Customer Name>
これらのテンプレートを現状のまま使用したり、編集したり、独自のテンプレートのベースとして使用したりできます。
Host Report: $<Host> レポート テンプレートは、ネットワーク上の特定のホストについての情報を提供します。このレポート テンプレートには、次のセクションがあります。
• Intrusion Events Originating from This Host
• Intrusion Events Destined to This Host
• Connections Originating from This Host
• Connections Destined to This Host
• White List Violations by This Host
User Report: $<User> レポート テンプレートは、ネットワーク上の特定のユーザに関する情報を提供します。このレポート テンプレートには、次のセクションがあります。
• Client Applications Used by This User
• Web Applications Used by This User
• Application Protocols Used by This User
• Comprehensive List of Applications Used by This User
• Intrusion Events Originated By This User's Machines
• Intrusion Events Destined to This User's Machines
• Connections Originating from This User's Machines
• Connections Destined to This User's Machines
Attack Report: Attack $<Attack SID>
Attack Report: Attack $<Attack SID> レポート テンプレートは、ネットワーク上の特定の攻撃に関する情報を提供します。このレポート テンプレートには、次のセクションがあります。
• General Information About This Attack
• Number of Machines Initiating Attack
• Number of Machines Being Attacked
• Traffic Patterns of This Attack
Malware Report レポート テンプレートは、ネットワークベースとエンドポイントベースのマルウェア イベントに関する情報を提供します。このレポート テンプレートには、次のセクションがあります。
• Application Protocols Transferring Malware
• File Types Infected with Malware
• Applications Introducing Malware
• Table View of Malware Events
シリーズ 2 デバイスと DC500 防御センターのどちらもネットワークベースのマルウェア対策をサポートしておらず、検出されて表示されるデータに影響を与える可能性があることに注意してください。たとえば、シリーズ 2 デバイスだけを管理するシリーズ 3 防御センターは、エンドポイントベースのマルウェア イベントだけを表示できます。
FireSIGHT Report: $<Customer Name>
FireSIGHT Report: $<Customer Name> レポート テンプレートは、組織のネットワークに関する全体的な情報を提供します。このレポート テンプレートには、次のセクションがあります。
• Summary of Application Traffic by Risk
• Risky Applications with Low Business Relevance
• Typically High Bandwidth Applications
• Applications by Total Bandwidth
• Hosts Accessing Sensitive Network
• Users Accessing Sensitive Network
• Applications on Sensitive Network
• Ports and Protocols Related to Sensitive Network
• Hosts Visiting Malicious URLs
• Users Visiting Malicious URLs
• Intrusion Events by Impact (After Blocking)
• Intrusion Events by Application
• Comprehensive Application List
Files Report レポート テンプレートは、管理対象デバイスによってネットワーク トラフィックで検出されたファイルに関する情報を提供します。このレポート テンプレートには、次のセクションがあります。
新しいレポート テンプレートの作成
既存のレポート テンプレートをコピーしない場合は、まったく新しいテンプレートを作成できます。最初に、デフォルト テンプレートのシェルを作成します。次に、ご希望の順序で、個々のテンプレート セクションを設計し、レポート ドキュメントの属性を設定します。これらの手順の詳細については、次の項を参照してください。
テンプレートのシェルの作成
レポート テンプレートは、独自のデータベース クエリから個別に構築されたセクションのフレームワークです。テンプレート作成の最初の手順として、セクションを追加したり形式設定したりできるフレームワーク シェルを生成します。
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブをクリックします。
[Report Templates] ページが表示されます。
ステップ 3 [Create Report Template] をクリックします。
[Report Sections] ページが表示され、デフォルトのテンプレート名 New Report が [Report Title] フィールドに表示されます。
ステップ 4 オプションで、[Report Title] フィールドに新しいテンプレートの名前を入力し、[Save] をクリックします。レポート タイトルには英数字とスペースの組み合わせを使用できます。
新しいテンプレート名のエントリが [Report Templates] ページのリストに表示されます。
ステップ 5 入力パラメータもレポート タイトルに使用できます。入力パラメータを追加するには、タイトル内で、パラメータの値を表示させるスポットにカーソルを置いてから、入力パラメータ挿入アイコン( )をクリックします。入力パラメータの詳細については、「入力パラメータの使用法」を参照してください。
追加した入力パラメータが [Report Title] フィールドに表示されます。
ステップ 6 必要に応じて、[Report Sections] タイトル バーの下にある追加アイコンのセットを使用し、セクション シェルを挿入します。セクションの形式設定の詳細については、 「レポート セクションのフィールド」 表を参照してください。
追加した各セクションは、テンプレートの下部に表示されます。セクションを正しい場所にドラッグします。
ステップ 7 セクションのタイトル バーに表示されているセクションのタイトルをクリックし、セクションの名前を入力します。
ステップ 8 [Save] をクリックして、テンプレートを保存します。
テンプレート セクションの内容の設定
各テンプレート セクションは、検索設定やフィルタによって生成されたデータセットで構成され、表示モードを確定する形式の仕様(表や円グラフなど)があります。出力に含めるデータ レコードのフィールドを選択し、タイム フレームと表示するレコード数も選択して、さらにセクションの内容を確定します。
アクセス:Admin/Any Security Analyst
ステップ 1 「レポート テンプレートのセクションの編集」で説明されているように、セクションの属性を編集します。
ステップ 2 オプションで、セクションのウィンドウの下部にある [Preview] をクリックして、選択したカラムのレイアウトやグラフィックの形式を表示します。
注 セクション プレビュー ユーティリティを使用して、カラムの選択内容や、円グラフの色などの出力の特性を検査します。このインジケータは、設定済みの検索設定を必ずしも正確に反映するとは限りません。
PDF および HTML レポート ドキュメントの属性の設定
テンプレートから生成したレポートには、表紙、見出しとフッター、ページ番号など、すべてのセクションにまたがって機能を制御する複数のドキュメント属性があります。
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブをクリックします。
[Report Templates] ページが表示されます。
ステップ 3 レポートの生成に使用するレポート テンプレートの [Edit] をクリックします。
このテンプレートの [Report Sections] ページが表示されます。
[Advanced Settings] ポップアップ ウィンドウが表示されます。
ステップ 5 PDF 形式か HTML 形式のキュメントの場合は、「レポート テンプレート内のドキュメント属性の編集」で説明されている作業を実行します。
CSV をドキュメントの形式として選択した場合は、ドキュメントの属性を設定できません。
レポート テンプレートのセクションの編集
さまざまなレポート セクションの属性を変更して、セクションとそのデータ表示の内容を調整できます。詳細については、次の項を参照してください。
• 「テンプレート セクションのテーブルとデータ形式の設定」
• 「テンプレート セクションの検索設定またはフィルタの指定」
• 「レポート テンプレートへのテキスト セクションの追加」
注 セキュリティ アナリストは、自分が作成したレポート テンプレートだけを編集できます。
テンプレート セクションのテーブルとデータ形式の設定
レポート テンプレート内の各セクションでは、データベース テーブルを照会して、そのセクションの内容を生成します。セクションのデータ形式を変更する際にも同じデータ クエリーが使用されますが、形式のタイプごとの分析の目的に従って、セクションに表示されるフィールドが変わります。たとえば、侵入イベントの表形式の表示では、イベント レコードごとに多数のデータ フィールドがセクションに入力され、円グラフのセクションでは、選択した各属性が表すすべての一致レコードの割合が示され、個々のイベントに関する詳細情報は表示されません。棒グラフのセクションでは、特定の属性を持つ一致レコードの合計数が比較されます。折れ線グラフでは、1 つの属性に関係する一致レコード数の変化が時系列で要約されます。折れ線グラフは時間ベースのデータの場合のみ使用でき、ホスト、ユーザ、サードパーティの脆弱性などに関する情報の場合は使用できません。
使用できるさまざまな形式の詳細については、 「レポート セクションのフィールド」 表を参照してください。
テンプレート セクションのテーブルと出力形式を選択する方法:
アクセス:Admin/Any Security Analyst
ステップ 1 [Table] ドロップダウンメニューを使用して、このセクションで照会するテーブルを選択します。
選択したテーブルで使用できる出力形式ごとに、アイコンが [Format] フィールドに表示されます。
ステップ 2 セクションに該当する出力形式のアイコンを選択します。これらの形式については、 「レポート セクションのタイトル バーの要素」 表を参照してください。
ステップ 3 検索設定の制約を変更するには、[Search] フィールドか [Filter] フィールドの横にある編集アイコン(
)クリックします。
[Search Editor] ポップアップ ウィンドウが表示され、検索設定の制約に関するオプションが示されます。このウィンドウの使用方法の詳細については、「レポート テンプレート セクションの検索設定の操作」を参照してください。
ステップ 4 グラフ出力形式(円グラフや棒グラフなど)の場合、ドロップダウンメニューを使用して、[X-Axis] と [Y-Axis] のパラメータを調整します。
X 軸の値を選択すると、互換性のある値だけが Y 軸のドロップダウンメニューに表示されます。その逆も同様です。
ステップ 5 表出力の場合、出力内の列、表示順序、ソート順序を選択します。詳細については、「表形式のセクションに表示される検索フィールドの設定」を参照してください。
ステップ 6 [Save] をクリックして、テンプレートを保存します。
テンプレート セクションの検索設定またはフィルタの指定
レポート セクションの検索設定やフィルタは、セクションの内容のベースになるデータベース クエリーを指定します。ほとんどのテーブルの場合、定義済み検索設定か保存済み検索設定を使用してレポートを制約するか、新しい検索設定を即座に作成することができます。
• 定義済み検索設定は特定のイベント テーブルの検索サンプルの役割を果たし、レポートに含めようとしている、ネットワークに関する重要情報にクイック アクセスできます。
• 保存済みイベント検索設定には、自分や他のユーザが作成したすべてのパブリック イベント検索設定と、自分で保存したすべてのプライベート イベント検索設定が含まれます。保存済みイベント検索設定の定義、命名、使用法の詳細については、「イベントの検索」を参照してください。
• 現在のレポート テンプレートの保存済み検索設定は、そのレポート テンプレート自体に限りアクセスできます。保存済みレポート テンプレートの検索設定の名前は、末尾が文字列「Custom Search」になります。ユーザは、レポートの設計中にこれらの検索設定を作成します。
Application Statistics テーブルの場合、ユーザ定義のアプリケーション フィルタを使用してレポートを制約できます。フィルタの作成については、「アプリケーション フィルタの操作」を参照してください。
テンプレート セクションの検索設定やフィルタを指定する方法:
アクセス:Admin/Any Security Analyst
ステップ 1 [Table] ドロップダウンメニューから、照会するデータベース テーブルを選択します。
• ほとんどのテーブルの場合、[Search] ドロップダウン リストが表示されます。
• Application Statistics テーブルの場合、[Filter] ドロップダウン リストが表示されます。
ステップ 2 レポートの制約に使用する検索設定かフィルタを選択します。
編集アイコン( )をクリックして、検索条件を表示したり、新しい検索設定を作成したりできます。詳細については、「レポート テンプレート セクションの検索設定の操作」を参照してください。
表形式のセクションに表示される検索フィールドの設定
セクションに表データを組み込む場合に、データ レコード内のどのフィールドを表示するか選択できます。表形式のすべてのフィールドを組み込みに対象にも除外対象にもすることができます。レポートの目的を達成するのに必要なフィールドを選択し、それに従って配列したりソートしたりします。
表形式のセクションでフィールドを追加したり削除したりする方法:
アクセス:Admin/Any Security Analyst
ステップ 1 表形式のセクションで、[Fields] パラメータの横にある編集アイコン( )をクリックします。
[Table Field Selector] ウィンドウが表示されます。
ステップ 2 オプションで、フィールドを追加したり削除したりしてから、フィールドのアイコンをドラッグし、ご希望のカラム順にします。
ステップ 3 オプションで、カラムのソート順序を変更します。各フィールド アイコン上のドロップダウン リストを使用して、ソート順序と優先度を設定します。
ステップ 4 フィールドの順序が正しく、必要なソート特性がある場合は、[OK] をクリックします。
レポート テンプレートへのテキスト セクションの追加
テンプレートにテキスト セクションを追加して、レポート全体や個々のセクションに概要などのカスタム テキストを用意することができます。テキスト セクションには、複数のフォント サイズやフォント スタイル(太字や斜体など)を使用できるリッチ テキスト、入力パラメータ、インポート済みイメージを使用できます。入力パラメータの詳細については、「入力パラメータの使用法」を参照してください。
テキスト セクションをレポート テンプレートに追加する方法:
アクセス:Admin/Any Security Analyst
ステップ 1 テキスト セクション追加アイコン( )をクリックします。
ステップ 2 新しいテキスト セクションを、レポート テンプレート内のご希望の位置にドラッグします。
ステップ 3 オプションで、テキスト セクションの前後に改ページを追加します。改ページの詳細については、「レポート テンプレートへの改ページの追加」を参照してください。
ステップ 4 オプションで、タイトル バー内のテキスト セクションの総称名をクリックして、新しい名前を入力します。
ステップ 5 テキスト セクションの本文に形式設定済みのテキストやイメージを追加します。レポートの生成時に動的に更新する入力パラメータを組み込むことができます。
ステップ 6 設定が終わったら [Save] をクリックします。
レポート テンプレートへの改ページの追加
テンプレート内のどのセクションの前後にも改ページを追加できます。この機能は、複数のセクションから成るレポートで、各種セクションの概要を示すテキスト ページがある場合に特に便利です。
アクセス:Admin/Any Security Analyst
ステップ 2 改ページを、セクションの前後のご希望の場所にドラッグします。
ステップ 3 テンプレートに追加するすべての改ページに対してこのプロセスを繰り返します。
テンプレートとそのセクションの時間枠の設定
レポート テンプレートの時間枠は、テンプレートのレポート作成期間を定義します。時間ベースのデータ(侵入イベントや検出イベントなど)があるレポート テンプレートにはグローバル時間枠があります。この時間枠は、テンプレート内の時間ベースのセクションでデフォルトで作成時に継承されます。グローバル時間枠を変更すると、グローバル時間枠を継承するように設定されているセクションのローカル時間枠が変更されます。[Inherit Time Window] チェック ボックスをクリアすると、個々のセクションの時間枠の継承を無効にできます。それから、ローカル時間枠を編集できます。
注 グローバル時間枠の継承は、侵入イベントや検出イベントなど、時間ベースのテーブルからのデータがあるレポート セクションだけに適用されます。ネットワーク アセット(ホストやデバイス)と関連情報(脆弱性など)を報告するセクションの場合、各時間枠を個別に設定する必要があります。
アクセス:Admin/Any Security Analyst
ステップ 1 [Report Templates] ページで、編集するレポート テンプレートの横にある編集アイコン( )をクリックします。
[Generate Report] ポップアップ ウィンドウが表示されます。
ステップ 3 グローバル時間枠を変更するには、時間枠のアイコン( )をクリックします。
新しいウィンドウに [Events Time Window] ページが表示されます。このページの使用法に関する詳細については、「イベント時間の制約の設定」を参照してください。
ステップ 4 終了したら、[Events Time Window] ウィンドウで [Apply] をクリックします。
[Generate Report] ポップアップ ウィンドウに新しい時間枠が再表示されます。
ステップ 5 [Cancel] をクリックして [Report Sections] ページに戻るか、[OK] をクリックしてレポートを生成します。
レポート内のセクションごとに別の時間枠を使用できます。たとえば、最初のセクションを月の要約にして、残りのセクションで週レベルの詳細情報へドリルダウンするようにできます。この場合、セクション レベルの時間枠を個別に設定します。
アクセス:Admin/Any Security Analyst
ステップ 1 テンプレートの [Report Sections] ページで、セクションの [Inherit Time Window] チェック ボックスが存在する場合はクリアします。
ステップ 2 セクションのローカル時間枠を変更するには、時間枠のアイコン( )をクリックします。
[Events Time Window] ページが表示されます。このページの使用法に関する詳細については、「イベント時間の制約の設定」を参照してください。
注 統計テーブルからのデータがあるセクションでは、スライド式の時間枠のみ使用できます。
ステップ 3 新しいローカル時間枠を設定し終えたら、[Events Time Window] で [Apply] をクリックします。
さらに編集できるように [Report Sections] ページが表示されます。
テンプレート セクションの名前変更
新しいテンプレートの作成時に追加したセクションには総称セクション名が付けられるので、内容を表す名前に変更する必要があります。
アクセス:Admin/Any Security Analyst
ステップ 1 セクション 見出し内の現在のセクション名をクリックします。
[Set Section Title] ポップアップ ウィンドウが表示されます。
ステップ 2 セクションの新しい名前を入力し、[OK] をクリックします。
テンプレート セクションのプレビュー
プレビュー機能は、表形式の表示のフィールドのレイアウトとソート順序や、円グラフの色などのグラフの読みやすさに関する重要な特性を表示します。
アクセス:Admin/Any Security Analyst
ステップ 1 セクションの編集中のいつでも、そのセクションの [Preview] をクリックします。
[Preview] ポップアップ ウィンドウが表示されます。
ステップ 2 ウィンドウの下部にある [OK] をクリックし、プレビューを閉じます。
レポート テンプレート セクションの検索設定の操作
FireSIGHT システムには検索エディタが備えられており、レポート テンプレートで使用できる検索設定を表示したり、新しいカスタム検索設定を定義したりできます。
ヒント レポート テンプレート内で作成したカスタム検索設定は、そのテンプレートに固有になります。イベント ビューアで、すべてのレポート テンプレートで再利用できる検索設定を作成できます。イベント ビューアでカスタム検索設定を保存すると、すべてのレポート テンプレートの [Search] ドロップダウンメニューに表示されます。イベント ビューアを使用してカスタム検索設定を作成して保存する方法の詳細については、「イベントの検索」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 レポート テンプレート内の関連するセクションから、[Search] フィールドの横にある編集アイコン( )をクリックします。
[Search Editor] ページが表示され、選択した検索対象のテーブルが示されます。
ステップ 2 オプションで、[Saved Searches] ドロップダウンメニューから、定義済み検索設定を選択します。
ドロップダウンに、このテーブルに関する使用可能な定義済み検索設定がすべて表示されます。システム規模の定義済み検索設定とレポート固有の定義済み検索設定が含まれます。
ステップ 3 該当するフィールドで検索条件を編集します。特定のフィールドの場合、制約にイベント検索設定と同じ演算子( < や <> など)を含めることができます。検索条件の構文については、「イベントの検索」を参照してください。
複数の条件を入力すると、検索時にはすべての条件を満たすレコードだけが返されます。
ステップ 4 オプションで、入力パラメータのアイコン( )が表示されている位置で、制約値を入力する代わりにドロップダウンメニューから入力パラメータを挿入できます。レポートの設計で入力パラメータを使用する方法の詳細については、「入力パラメータの使用法」を参照してください。
一部の検索フィールドの場合、ドロップダウンメニューにユーザ定義の管理対象オブジェクトが、入力パラメータの代わりに示されるか、入力パラメータと共に示される場合があります。管理対象オブジェクトは、検索設定を制約する値として使用できるシステム設定変数で、タイプに応じて固有なアイコンがあります。しかし、入力パラメータで行われるユーザ入力に関する生成時クエリを作成しません。管理対象オブジェクトの詳細については、「再利用可能なオブジェクトの管理」を参照してください。
注 レポートの検索設定の制約を編集すると、システムによりsection custom search という名前で編集済みの検索設定が保存されます。section は、セクションのタイトル バーに示される文字列 custom search の前の名前の部分です。保存するカスタム検索設定の名前をわかりやすくするには、セクション名を変更した後に編集済みの検索設定を保存するようにしてください。保存したレポートの検索設定の名前を変更することはできません。
ステップ 5 検索エディタでフィールドを変更し終えたら、[OK] をクリックします。
[Report Sections] ページが再表示され、新しい定義済み検索設定がセクションの [Search] ドロップダウンメニューに表示されます。
入力パラメータの使用法
レポートの生成時に動的に更新できる入力パラメータをレポート テンプレート内で使用できます。入力パラメータのアイコン( )は、入力パラメータを処理できるフィールドを示します。次の 2 種類の入力パラメータがあります。
• 定義済み: 「定義済みの入力パラメータ」 表を参照
• ユーザ定義: 「ユーザ定義の入力パラメータのタイプ」 表を参照
定義済みの入力パラメータ
定義済みの入力パラメータは、内部システム関数か設定情報によって解決されます。たとえば、レポートの生成時に、システムにより $<Time> パラメータは現在の日時に置き換えられます。次の表に、使用できるパラメータを定義します。たとえば、スケジューラの制御下で自動的に生成される月次要約レポートのタイトルに $<Month> を含めることもできます。その後、レポートのタイトルは正しい月で自動的に更新されます。
|
|
|
|---|---|
次の表に、[Report Templates] ページ内のさまざまな領域で使用できる有効な入力パラメータをリストします。
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|
ユーザ定義の入力パラメータ
独自の入力パラメータを作成して、セクションの検索設定で制約として使用できます。入力パラメータを使用して検索設定を制約すると、レポートの生成時に要求者から値を収集するようにシステムに指示できます。この方法で、テンプレートを変更せずに、レポートを生成時に動的に調整して特定のデータのサブセットを表示できます。たとえば、レポート セクションの検索設定の [Destination IP] フィールドに入力パラメータを指定できます。指定後、レポートの生成時に、特定の部門の IP ネットワークのセグメントを入力して、その部門のデータだけを取得できます。
ヒント また、入力パラメータ フィールドに * を入力すると、制約が無視される効果があります。
文字列タイプの入力パラメータを定義して、電子メール(件名または本文)、レポート ファイル名、テキスト セクションなどのレポートの特定のフィールドに動的テキストを追加することもできます。すべて同じテンプレートを利用し、カスタマイズしたレポート ファイル名、電子メール アドレス、電子メール メッセージを使用して、さまざまな部門用にレポートをパーソナル化できます。
定義する入力パラメータごとに名前とタイプがあります。次の表に、パラメータのタイプを示します。
|
|
|
|---|---|
入力パラメータのタイプにより、そのパラメータを使用できる検索フィールドが決まります。指定したタイプは、 「ユーザ定義の入力パラメータのタイプ」 表に示されている当該フィールドのみで使用できます。たとえば、ユーザ パラメータを文字列タイプとして定義すると、テキスト フィールド内への挿入には使用できますが、IP アドレスを使用するフィールドでは使用できません。
レポート テンプレートに関するユーザ定義の入力パラメータを作成する方法:
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブを選択します。
[Report Templates] ページが表示されます。
ステップ 3 編集するテンプレートの編集アイコン( )をクリックします。
[Advanced Settings] ポップアップ ウィンドウが表示されます。
ステップ 5 入力パラメータ追加アイコン(
)をクリックします。
[Add Input Parameter] ポップアップ ウィンドウが表示されます。
ステップ 6 [Name] フィールドにパラメータ名を入力し、[Type] ドロップダウンメニューを使用してタイプを選択してから、[OK] をクリックします。
新しいパラメータが [Input Parameters] メニューに表示されます。
ステップ 7 必要なパラメータをすべて定義し終えるまで、上記の手順を繰り返します。
このテンプレートの新しい入力パラメータが保存され、[Report Sections] ページが再表示されます。
レポート テンプレートを再利用する場合、入力パラメータの名前とタイプを変更して、新しいレポートの目的をいっそう反映させることができます。
レポート テンプレートに関するユーザ定義の入力パラメータを編集する方法:
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブを選択します。
[Report Templates] ページが表示されます。
ステップ 3 編集するテンプレートの編集アイコン( )をクリックします。
[Advanced Settings] ポップアップ ウィンドウが表示されます。[Input Parameters] セクションに、レポート テンプレートの使用可能なユーザ定義パラメータがすべてリストされます。
[Edit Input Parameter] ポップアップ ウィンドウが表示されます。
ステップ 6 [Name] フィールドでパラメータ名を変更し、[Type] ドロップダウンメニューを使用してパラメータ タイプを変更してから、[OK] をクリックします。
変更したパラメータが、[Input Parameters] セクションに表示されます。
ステップ 7 必要なパラメータをすべて定義し終えるまで、上記の手順を繰り返します。[OK] をクリックします。
変更が保存され、[Report Sections] ページが再表示されます。
レポート テンプレートに関するユーザ定義の入力パラメータを削除する方法:
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブを選択します。
[Report Templates] ページが表示されます。
ステップ 3 編集するテンプレートの編集アイコン( )をクリックします。
[Advanced Settings] ポップアップ ウィンドウが表示されます。[Input Parameters] セクションに、レポート テンプレートの使用可能なユーザ定義パラメータがすべてリストされます。
ステップ 5 入力パラメータの横の削除アイコン(
)をクリックして確認します。
入力パラメータが削除され、[Report Sections] ページが再表示されます。
入力パラメータを使用して、検索設定の実用性を向上させます。入力パラメータにより、レポートの生成時に要求者から値を収集するようにシステムに指示できます。この方法で、検索設定を変更せずに、レポートを生成時に動的に制約して特定のデータのサブセットを表示できます。たとえば、レポート セクションの [Destination IP] フィールドに入力パラメータを指定して、部門レベルでセキュリティ イベントをドリル ダウンできます。レポートの生成時に、特定の部門の IP ネットワークのセグメントを入力して、その部門のデータだけを取得できます。
ユーザ定義の入力パラメータを使用してレポート テンプレート内の検索設定を制約する方法:
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブを選択します。
[Report Templates] ページが表示されます。
ステップ 3 編集するテンプレートの編集アイコン( )をクリックします。
ステップ 4 セクション内の [Search] ]フィールドの横にある編集アイコン( )をクリックします。
[Search Editor] ポップアップ ウィンドウが表示されます。入力パラメータを使用できるフィールドは、入力パラメータのアイコン( )のマークが付けられます。
ステップ 5 フィールドの横にある入力パラメータのアイコン( )をクリックして、ドロップダウンメニューから入力パラメータを選択します。ユーザ定義の入力パラメータはアイコン(
)のマークが付けられます。
注 定義した入力パラメータは、そのパラメータのタイプと一致する検索フィールドでのみ使用できます。たとえば、ネットワーク/IP タイプのパラメータは、CIDR 形式の IP アドレスまたはネットワーク セグメントを受け入れるフィールドだけで使用できます。
ステップ 6 必要な入力パラメータをすべて追加し終えたら、[OK] をクリックします。
[Report Sections] ページと変更内容が表示されます。
レポート テンプレート内のドキュメント属性の編集
レポートを生成する前に、レポートの外観に影響を与えるドキュメント属性を設定できます。これらの属性には、オプションの表紙と目次が含まれます。一部の属性のサポートは、レポートの形式に PDF、HTML、CSV のいずれを選択したかによって異なります。次の表で、形式別の属性のサポートについて詳しく説明します。
|
|
|
|
|
|---|---|---|---|
PDF レポートや HTML レポートのドキュメント属性を設定する方法:
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブを選択します。
[Report Templates] ページが表示されます。
ステップ 3 編集するレポート テンプレートの編集アイコン( )をクリックします。
[Advanced Settings] ポップアップ ウィンドウが表示されます。
ステップ 5 [Include Cover Page ] を選択して表紙を追加します。
ステップ 6 [Cover Page Design] フィールドの横にある編集アイコン( )をクリックして、表紙のデザインを編集します。詳細については、「表紙のカスタマイズ」を参照してください。
ステップ 7 [Include Table of Contents] を選択して、目次を追加します。
ステップ 8 3 つの [Header] フィールドと [Footer] フィールドのドロップダウンを使用して、見出しとフッターを設定します。ドロップダウンメニューから見出しとフッターのコンテンツとしてロゴ、日付、ページ番号などを選択します。
[Logo] を選択すると、選択したフィールドにデフォルトのロゴ イメージが表示されます。デフォルトのロゴ イメージを変更する場合は、「ロゴの管理」を参照してください。
ステップ 9 [Page Number Start] フィールドで、レポートの先頭ページのページ番号を選択します。
[Number First Page?] を選択して、 表紙の次の先頭ページにページ番号を表示します。これを選択すると、表紙には番号が付けられません。
ドキュメント属性が保存され、[Report Sections] ページが再表示されます。
表紙のカスタマイズ
レポート テンプレートの表紙をカスタマイズできます。表紙には、複数のフォント サイズやフォント スタイル(太字や斜体など)を使用できるリッチ テキスト、入力パラメータ、インポート済みイメージを使用できます。入力パラメータの詳細については、「入力パラメータの使用法」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブを選択します。
[Report Templates] ページが表示され、テンプレートのリストが示されます。
ステップ 3 レポート テンプレートの編集アイコン( )をクリックします。
[Advanced Settings] ポップアップ ウィンドウが表示されます。
ステップ 5 [Cover Page Design] の横にある編集アイコン( )をクリックします。
[Edit Cover Page] ウィンドウが表示され、デフォルトの表紙のデザインが示されます。
ステップ 6 リッチ テキスト エディタで表紙のデザインを編集します。
表紙のデザインが保存され、[Advanced Settings] ウィンドウが再表示されます。
ロゴの管理
防御センターで複数のロゴを保存し、さまざまなレポート テンプレートに関連付けることができます。テンプレートを設計する際に、ロゴの関連付けを設定します。テンプレートをエクスポートすると、エクスポート パッケージにロゴが含まれます。
レポート内のロゴを挿入できる位置については、「レポート テンプレート内のドキュメント属性の編集」を参照してください。
• 「ロゴの削除」
新しいロゴの追加
防御センターにアップロードしたロゴは、その防御センター上のすべてのレポート テンプレートで利用できます。ロゴ イメージは JPG 形式にする必要があります。
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブを選択します。
[Report Templates] ページが表示されます。
ステップ 3 編集するレポート テンプレートの編集アイコン( )をクリックします。
[Advanced Settings] ポップアップ ウィンドウが表示されます。現在テンプレートと関連付けられているロゴが、[General Settings] の [Logo] の下に表示されます。
[Select Logo] ポップアップ ウィンドウが表示され、現在アップロードされているロゴのイメージが示されます。
ステップ 6 [Upload Logo] をクリックします。
[Upload Logo] ポップアップ ウィンドウが表示されます。
ステップ 7 次のいずれかの手順で、アップロードするロゴ ファイルを選択します。
• [Browse] ボタンをクリックし、ファイルの場所を参照します。
イメージが防御センターにアップロードされ、[Select Logo] ポップアップ ウィンドウに表示されます。
ステップ 9 オプションで、新しいロゴを選択して [OK] をクリックし、現在のテンプレートに関連付けます。
[Advanced Settings] ウィンドウが再表示され、関連付けられたロゴ イメージが表示されます。
レポート テンプレートのロゴの変更
レポート内のロゴを、防御センターにアップロードされている JPG イメージのいずれかに変更できます。たとえば、テンプレートを再使用する場合に、別の組織のロゴをレポートに関連付けることができます。
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブを選択します。
[Report Templates] ページが表示されます。
ステップ 3 編集するレポート テンプレートの編集アイコン( )をクリックします。
[Advanced Settings] ポップアップ ウィンドウが表示されます。現在テンプレートと関連付けられているロゴが、[General Settings] の [Logo] の下に表示されます。
[Select Logo] ポップアップ ウィンドウが表示され、現在アップロードされているロゴのイメージが示されます。
ステップ 6 レポート テンプレートに関連付けるロゴを選択します。
[Advanced Settings] ウィンドウが再表示され、関連付けられたロゴ イメージが表示されます。
ロゴの削除
ロゴを防御センターから削除できます。ロゴを削除すると、そのロゴが使用されているすべてのテンプレートから削除されます。削除を取り消すことはできません。
定義済みのシスコのロゴを削除できないことに注意してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブを選択します。
[Report Templates] ページが表示されます。
ステップ 3 編集するレポート テンプレートの編集アイコン( )をクリックします。
[Advanced Settings] ポップアップ ウィンドウが表示されます。現在テンプレートと関連付けられているロゴが、[General Settings] の [Logo] の下に表示されます。
[Select Logo] ポップアップ ウィンドウが表示され、現在アップロードされているロゴのイメージが示されます。
ステップ 7 [Delete Logo] をクリックします。
削除するロゴが、[Select Logo] ポップアップ ウィンドウで非表示になります。
変更内容が保存され、[Advanced Settings] ウィンドウが再表示されます。
レポート生成オプションの使用法
レポートを生成する際の追加のオプションが複数あります。レポートの生成を自動的にスケジュールしたり、レポートを電子メールで送信したり、生成したレポートをリモートに保存したりできます。詳細については、次の項を参照してください。
スケジューラを使用したレポートの生成
FireSIGHT システムのスケジューラを使用して、レポートの生成を自動化できます。毎日、毎週、毎月など、さまざまな範囲のタイム フレームに基づいたスケジュールでもカスタマイズできます。詳細については、「レポートの自動化」を参照してください。
レポートの生成時の電子メール配布
レポートをテンプレートから生成するときには、レポートを電子メールの添付ファイルとして受信者のリストに自動的に送信するよう選択できます。
注 レポートを電子メールで配信するように、メール リレー ホストを適切に設定していなければなりません。以前にメール ホストをセットアップしていない場合は、「メール リレー ホストおよび通知アドレスの設定」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブを選択します。
[Report Templates] ページが表示されます。
ステップ 3 生成元のテンプレートのレポート生成アイコン( )をクリックします。
[Generate Report] ポップアップ ウィンドウが表示されます。
ステップ 4 このウィンドウの [Email] セクションを展開します。
ステップ 5 [Email Options] フィールドで、[Send Email] を選択します。
ステップ 6 [Recipient List]、[CC] および [BCC] フィールドで、コンマ区切りリストの形式で受信者の電子メール アドレスを入力します。
ステップ 7 [Subject] フィールドに電子メールの件名を入力します。
ヒント [Subject] フィールドやメッセージ本文に入力パラメータを使用して、電子メール内にタイムスタンプや防御センターの名前などの情報を動的に生成できます。詳細については、「入力パラメータの使用法」を参照してください。
ステップ 8 必要に応じて、電子メールの本文にカバレターを入力します。さまざまなフォント、番号リスト、箇条書きリストなどのリッチ テキスト機能を使用できます。
ステップ 9 [Generate Report] ウィンドウのすべてのフィールドが正しい場合は、[OK] をクリックして確認します。
システムにより、生成されたレポートが電子メールで配布されます。システム ポリシーで、[Email Notification] を利用して電子メールの送信元アドレスを設定できます。詳細については、「システム ポリシーの管理」を参照してください。
レポート用のリモート ストレージの使用法
新しく生成されたレポート ファイルを設定済みのリモート ストレージの場所に置くように、レポート作成システムを設定できます。ローカルに保存されたレポートを、リモート ストレージの場所に移動することもできます。
注 リモート ストレージ内のレポートを移動してローカル ストレージに戻すことはできません。
リモート ストレージを使用するには、まずリモート ストレージの場所を設定します。リモート ストレージの場所を設定すると、レポート リストの下部に表示されます。NFS および SMB がマウントされたストレージの場合、この場所には現在のディスク使用状況も示されますが、SSH の場合は示されません。設定情報については、「リモート ストレージの管理」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 3 ページ下部の [Enable Remote Storage of Reports] チェック ボックスを選択します。
防御センターにより、新しく生成されたレポートが、ページの下部に示されているリモートの場所に保存されます。これらのレポートの [Location] カラム データは、[Remote] になります。
バッチ モードまたは単独で、ローカル ストレージ内のレポートをリモート ストレージの場所に移動できます。
生成したレポートをローカル ストレージからリモート ストレージに移動する方法:
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 3 移動するレポートの横にあるチェック ボックスを選択して、[Move] をクリックします。
ヒント ページ上のすべてのレポートを移動するには、そのページの左上にあるチェック ボックスを選択します。複数のレポートが複数のページにある場合は、2 つ目のチェック ボックスが表示され、すべてのページ上のすべてのレポートを移動するよう選択できます。
レポート テンプレートとレポート ファイルの管理
テンプレートの作成と編集に加えて、次のテンプレートの管理タスクを実行できます。
生成されたレポート ファイルに対して次の管理タスクも実行できます。
レポート テンプレートのエクスポートとインポート
レポート テンプレートをエクスポートする際に生成するファイルには、別の防御センターで同じレポートを作成するのに必要なすべてのデータが含まれます。エクスポート ファイルは独自の SFO 形式で、次のものが含まれます。
• レポート テンプレート、およびすべてのセクションの設計要素とドキュメント属性
自動レポート生成スケジュールの設定だけは、別の防御センターにテンプレートをインポートした後に必要になることがあります。
注 レポート テンプレートをインポートしたりエクスポートしたりするには、両方の防御センターのソフトウェア バージョン レベルが同じである必要があります。
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブを選択します。
[Report Templates] ページが表示されます。
ステップ 3 エクスポートするテンプレートのエクスポート アイコン(
)をクリックします。
システムにより、拡張子が .sfo の設定パッケージ ファイルが作成され、[Opening Object] ポップアップ ウィンドウが開かれてパッケージのファイル名が表示されます。
ステップ 4 [Save file] と [OK] を選択して、ローカル コンピュータにファイルを保存します。
ステップ 5 .sfo パッケージの名前を変更し、後で参考になるように説明的な名前にすることができます。パッケージ名にかかわらず、パッケージをインポートすると、インポート先の防御センターでは元の防御センターと同じ名前がテンプレートに付けられます。
防御センターからエクスポートされる SFO ファイルには、別の防御センターにレポート テンプレートを追加するのに必要なすべての要素が含まれています。したがって、インポート プロセスで必要なのは、2 つ目の防御センターにパッケージをアップロードすることと、インポート プロセスを実行することだけです。
ステップ 1 [System] > [Tools] > [Import/Export] を選択します。
[Import/Export] ページが表示され、防御センター上のレポート テンプレートのリストが示されます。
ステップ 2 [Upload Package] をクリックします。
• [Browse] をクリックして、パッケージを見つけます。
設定リストの [Report Template] セクションが表示され、インポートするテンプレートが示されます。
ステップ 5 テンプレートの横にあるチェック ボックスを選択し、[Import] をクリックします。
このテンプレートが、インポート先の防御センターの設定のリストに表示されます。
レポート テンプレートの削除
レポート テンプレートは、削除しない限り、再利用できるように [Report Templates] タブにリストされたままになります。シスコから提供されているレポート テンプレートは削除できないことに注意してください。
注 セキュリティ アナリストは、自分が作成したレポート テンプレートだけを削除できます。
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 2 [Report Templates] タブを選択します。
[Report Templates] ページが表示されます。
ステップ 3 削除するテンプレートの隣にある削除アイコン( )をクリックして確認します。
レポートのダウンロード
ローカル コンピュータにレポート ファイルをダウンロードできます。そのコンピュータから、電子メールや他の使用可能な方法で電子的に配布できます。レポートを生成時に電子メールで自動的に配布することについて詳しくは、「レポートの生成時の電子メール配布」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 3 ダウンロードするレポートの横にあるチェック ボックスを選択し、[Download] をクリックします。
ヒント ページ上のすべてのレポートをダウンロードするには、そのページの左上にあるチェック ボックスを選択します。複数のレポートが複数のページにある場合は、2 つ目のチェック ボックスが表示され、すべてのページ上のすべてのレポートをダウンロードするよう選択できます。
ステップ 4 ブラウザのプロンプトに従って、レポートをダウンロードします。
複数のレポートを選択すると、1 つの .zip ファイルでダウンロードされます。
レポートの削除
レポート ファイルはいつでも削除できます。この手順ではファイルが完全に削除され、リカバリは不可能になります。レポートの生成に使用したレポート テンプレートがまだ残っていますが、時間枠を拡大したりスライドしたりした場合は、特定のレポート ファイルを再生成するのは難しくなることがあります。時間枠の詳細については、「レポート テンプレートのセクションの編集」を参照してください。テンプレートで入力パラメータを使用した場合も、再生成するのが難しくなることがあります。入力パラメータの使用法の詳細については、「入力パラメータの使用法」を参照してください。
アクセス:Admin/Any Security Analyst
ステップ 1 [Overview] > [Reporting] を選択します。
ステップ 3 削除するレポートの隣のチェック ボックスを選択し、[Delete] をクリックします。
ヒント ページ上のすべてのレポートを削除するには、そのページの左上にあるチェック ボックスを選択します。複数のレポートが複数のページにある場合は、2 つ目のチェック ボックスが表示され、すべてのページ上のすべてのレポートを削除するよう選択できます。
フィードバック