Glossary
シリーズ 3 FirePOWER
管理対象デバイスのグループ。このシリーズのデバイスには、70xx ファミリ(3D7010、3D7020、3D7030、3D7050 モデル)と 71xx ファミリ(3D7110、3D7115、3D7120、3D7125、AMP7150 モデル)が含まれます。
シリーズ 3 FirePOWER
管理対象デバイスのグループ。このシリーズのデバイスには、81xx ファミリ(3D8120、3D8130、3D8140、AMP8150 モデル)、82xx ファミリ(3D8250、3D8260、3D8270、3D8290 モデル)、および83xx ファミリ(3D8350、3D8360、3D8370、3D8390 モデル)があります。8000 シリーズ デバイスは、一般的に
7000 シリーズ デバイスよりも高性能です。
Cisco ASA with FirePOWER Services
Cisco Adaptive Security Appliance (ASA)
管理対象デバイスのグループ。このシリーズのデバイスには、ASA5506-X、ASA5512-X、ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X、ASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40、および ASA5585-X-SSP-60 のモデルが含まれます。
LDAP 認証、
Context Explorer、ファイル、
位置情報、マルウェア、および
ディスカバリ ポリシーを使用して、監視対象ネットワークに関する詳細でインタラクティブなグラフィカル情報を表示するページ。個々のセクションには、詳細なリストとともに鮮明な折れ線グラフ、棒グラフ、円グラフ、およびドーナツ グラフの形式で情報が表示されます。分析を調整するためにカスタム フィルタを容易に作成および適用できます。また、グラフ エリアをクリックするかまたはカーソルを置くと、データ セクションの詳細を確認できます。細かいカスタマイズが可能であり、区分化されており、リアルタイムで更新される
ダッシュボードと比較。Context Explorer は手動で更新され、データのより幅広いコンテキストを提供することを目的としており、アクティブなユーザ操作のために単一で一貫性のあるレイアウトを備えています。
サブスクリプションベースの
FireAMP 展開のユーザがコンピュータやモバイル デバイスなどの
エンドポイントにインストールする軽量のエージェント。コネクタは
シスコ クラウドと通信し、情報を交換します。これにより、組織全体でマルウェアを迅速に特定して検疫できます。
シスコ のエンタープライズ クラスの
エンドポイントをベースとした高度なマルウェア分析およびマルウェア対策ソリューション。マルウェアの感染、継続的に発生する脅威、標的型攻撃を検出、認識し、ブロックします。組織に
FireAMP サブスクリプションがある場合、個々のユーザがエンドポイント(コンピュータ、モバイル デバイス)にインストールした軽量の
FireAMP コネクタが
シスコ クラウドと通信します。これにより、マルウェアを瞬時に識別して検疫するだけでなく、マルウェアの発生を識別し、その伝搬経路を追跡し、その影響を把握して、正常にリカバリする方法を知ることができます。また、FireAMP ポータルを使用して、カスタムの対策を作成し、特定のアプリケーションの実行をブロックし、カスタム ホワイトリストを作成できます。ネットワーク ベースの
高度マルウェア防御と比較。
ユーザ資格情報を、Lightweight Directory Access Protocol(LDAP)ディレクトリ サーバに保存されている LDAP ディレクトリと比較して、その資格情報を検証する外部認証方式。
Lights Out Management(LOM)
アウトバンド Serial over LAN (SOL)管理接続を使用することにより、アプライアンスの Web インターフェイスにログインせずに、
アプライアンスをリモートでモニタまたは管理することができる シリーズ 3 の機能。シャーシのシリアル番号の確認や、ファンの速度や温度などの状態の監視などの限られたタスクを実行できます。
NAT ルールを使用して
NAT によるルーティングを実行するポリシー。
Remote Authentication Dial In User Service。ネットワーク リソースへのユーザ アクセスの認証、認可、およびアカウンティングに使用されるサービスです。FireSIGHT システム ユーザが RADIUS サーバを介して認証できるように、外部認証オブジェクトを作成できます。
Security Intelligence フィード
Security Intelligence オブジェクトのタイプの 1 つで、システムが定期的または設定した間隔でダウンロードする IP アドレスの動的なコレクション。フィードは定期的に更新されるため、フィードを使用することで、システムが
Security Intelligence 機能を使用したネットワーク トラフィックのフィルタリングに最新の情報を使用することが保証されます。
シスコ インテリジェンス フィードも参照してください。
Security Intelligence リスト
防御センターに Security Intelligence オブジェクトとして手動でアップロードする IP アドレスのシンプルで静的なコレクション。このリストは、
Security Intelligence フィードだけでなく、グローバル ブラックリストとグローバル ホワイトリストも拡張または最適化するために使用します。
送信元または宛先の IP アドレスに基づいて、
アクセス制御ポリシーごとにネットワークを通過できるトラフィックを指定できる機能。これは、トラフィックが
アクセス制御ルールによって分析される前に、特定の IP アドレスをブラックリストに登録する(この IP アドレスを宛先または送信元するトラフィックを拒否する)場合に特に便利です。オプションで Security Intelligence フィルタリングに
モニタ設定を使用できます。これにより、システムはブラックリストに追加される可能性がある接続を分析でき、また一致がブラックリストに記録されます。
71xx ファミリ デバイスのネットワーク モジュールに挿入される小型フォーム ファクタ トランシーバ。SFP モジュールのセンシング インターフェイスでは
設定可能なバイパスは許可されていません。
URL の一般的な分類(マルウェア、ソーシャル ネットワーキングなど)。
防御センターによって
シスコ クラウドから取得された URL の
URL カテゴリと URL レピュテーション情報と相関がある、モニタ対象ホストから要求された URL に基づいてネットワーク上を伝送可能なトラフィックを決定する
アクセス制御ルールを作成するための機能。許可またはブロックする個々の URL または URL のグループを指定することで、Web トラフィックに対するきめの細かいカスタム コントロールを実現できます。
協定世界時。UTC は世界のあらゆる場所で共通の標準時間です。グリニッチ標準時(GMT)とも呼ばれます。FireSIGHT システム は UTC を使用しますが、[Time Zone] 機能を使用して現地時間を設定することもできます。
仮想ローカル エリア ネットワーク VLAN では、地理的な場所ではなく、部門や主な用途などの基準に基づいてホストがマッピングされます。監視対象ホストのホスト プロファイルには、ホストに関連付けられているすべての VLAN 情報が示されます。VLAN 情報は、イベントをトリガーしたパケット内の最も内側の VLAN タグとして、
侵入イベントにも含まれています。VLAN に基づいて侵入ポリシーをフィルタリングしたり、VLAN でコンプライアンス ホワイトリストを対象にしたりできます。レイヤ 2 およびレイヤ 3 の展開では、VLAN のタグが付けられたトラフィックを適切に処理するように、管理対象
デバイスで
仮想スイッチおよび
仮想ルータを設定できます。
HTTP トラフィックの内容または HTTP トラフィックに対して要求された URL を表す
アプリケーション制御 タイプ。
ネットワークを通過できるトラフィックの指定、検査、記録を可能にする FireSIGHT システム の機能。アクセス制御には、
侵入検知と防御、
ファイル制御、
高度マルウェア防御の各機能が含まれます。またアクセス制御によって、
ディスカバリ機能を使用して検査できるトラフィックが決定されます。
アプライアンスにアクセス可能な
ホストを表す IP アドレスのリスト。
システム ポリシーで設定されます。デフォルトでは、すべてのユーザがポート 443(HTTPS)を使用してアプライアンスの Web インターフェイスにアクセスでき、ポート 22(SSH)を使用してコマンドラインにアクセスできます。また、ポート 161 を使用する SNMP アクセスを追加できます。
FireSIGHT システムが監視対象ネットワーク トラフィックの検査に使用する一連の条件。これらを使用することで、きめ細かな
アクセス コントロールが可能になります。
アクセス制御ポリシーに組み込まれるアクセス コントロール ルールは、簡単な IP アドレスのマッチングを実行したり、各種のユーザ
Context Explorer、ポート、URL が関係する複雑な
アプリケーション制御の特性を示したりすることがあります。アクセス制御ルール アクションは、ルールの条件を満たすトラフィックをシステムがどのように処理するかを決定します。その他のルール設定により、接続をログに記録する方法(およびログに記録するかどうか)と、
侵入ポリシーまたは
ファイル ポリシーが一致するトラフィックを検査するかどうかが決定します。
サーバとホスト上の
クライアント アプリケーションの間の通信で検出されたアプリケーション プロトコル トラフィックを表す
アプリケーション制御のタイプ(例:SSH、HTTP など)。
GeoDB とも呼ばれます。ルーティング可能な IP アドレスに関連付けられている既知の位置情報データが格納されており、定期的に更新されるデータベースです。
監視対象ネットワークのトラフィックで検出されたルーティング可能な IP アドレスの位置情報ソースに関するデータ(接続タイプ、インターネット サービス プロバイダなど)を提供する機能。ジオロケーション データベース、接続イベント、
侵入イベント、ファイル イベント、および
マルウェア イベントだけでなく、ホスト プロファイルに保存されたジオロケーション情報も表示できます。
ワークフローを使用してイベント ビューアで表示できる特定の発生事象に関する詳細の集合。イベントは、ネットワークに対する攻撃、検出されたネットワーク資産の変更、組織のセキュリティおよびネットワーク使用ポリシーの違反などを表します。システムは、
アプライアンスのヘルス ステータスの変更、Web インターフェイスの使用、オンライン変更のヘルス ステータス、
ルール更新、起動された
修復に関する情報を含むイベントも生成します。最後に、システムはその他の特定情報をイベントとして示しますが、このような「イベント」が特定の発生事象を表していないこともあります。たとえば、イベント ビューアを使用して、検出された
ホスト、
アプリケーション制御、およびそれらの脆弱性に関する詳細情報を表示することができます。
イベントを表示したり、処理したりできるシステムのコンポーネント。イベント ビューアでは、ワークフローを使用して幅広いイベント ビューが示され、さらに目的のイベントのみを表示する絞り込まれたイベント ビューが表示されます。ワークフローをドリルダウンするか、または検索を使用して、イベント ビューのイベントを制限できます。
アプライアンス間で各種設定を転送するために使用できる手法。同じタイプの別のアプライアンスから以前にエクスポートした設定をインポートできます。
管理対象
デバイスがネットワーク上にインラインで配置される FireSIGHT システムの展開。この設定では、デバイスはスイッチング、ルーティング、
アクセス コントロール、および
侵入検知と防御を使用するネットワーク トラフィック フローに影響することがあります。
特殊なアクセス特権が付与されている
ユーザ ロール。カスタム ユーザ ロールには一連のメニュー ベースのアクセス許可およびシステム アクセス許可を含めることができます。またカスタム ユーザ ロールは完全に独自に作成されるか、または事前定義ユーザ ロールに基づいています。
ネットワークを通過するインバウンドおよびアウトバウンドのトラフィックを処理する
スイッチド インターフェイスのグループ。レイヤ 2 展開では、論理セグメントにネットワークを分割しながら、スタンドアロン ブロードキャスト ドメインとして機能するように管理対象
デバイスで仮想スイッチを設定できます。仮想
URL カテゴリは、ホストからの Media Access Control(MAC)アドレスを使用してパケットの送信先を決定します。
仮想ホスティング環境の各自の機器に展開できる
防御センター。
レイヤ 3 トラフィックをルーティングする
ルーテッド インターフェイスのグループ。レイヤ 3 展開環境では、宛先 IP アドレスに基づいてパケットの転送を決定してパケットをルーティングするように、仮想ルータを設定できます。スタティック ルートを定義し、Routing Information Protocol(RIP)および Open Shortest Path First(OSPF)ダイナミック ルーティング プロトコルを設定し、ネットワーク アドレス変換(
NAT)を実装できます。
1 つの
ホストで実行され、一部の操作を別のホスト(
サーバ)で実行する
アプリケーション制御。クライアント アプリケーションとも呼ばれます。たとえば、電子メール クライアントでは電子メールを送受信できます。システムは、あるホスト上のユーザが特定のクライアントを使用して別のホストにアクセスすることを検出すると、ホスト プロファイルおよび
ネットワーク マップのその情報(クライアントの名前とバージョン(使用可能な場合)など)を報告します。
2 つのピア シリーズ 3
デバイスまたはスタック間のネットワーキング機能と構成データの冗長性を実現可能にする機能。クラスタリングは、
ポリシーの適用、システムの更新、および登録のための 1 つの論理システムを提供します。冗長
防御センターの設定を可能にする
ハイ アベイラビリティと比較してください。
シリーズ 3 および仮想
デバイス上の制限されたテキストベースのインターフェイス。CLI ユーザが実行できるコマンドは、ユーザに割り当てられているアクセスのレベルによって異なります。
FireSIGHT システム の他の機能にアクセスするためのショートカットとして使用できる、Web インターフェイスの多くのページで使用可能なポップアップ メニュー。このメニューの内容は、さまざまな要因(表示しているページ、調査対象データ、
ユーザ ロールなど)に応じて異なります。コンテキスト メニュー オプションには、
侵入ルール、
イベント、およびホスト情報へのリンク、さまざまな侵入ルール設定、Context Explorer へのクイック リンク、IP アドレスによるセキュリティ インテリジェンス グローバル ブラックリストまたはグローバル ホワイトリストをホストに追加するためのオプション、およびグローバル ホワイトリストに SHA-256 ハッシュ値を使用してファイルを追加するためのオプションがあります。
シスコ VRT によりレピュテーションが低いと判定される IP アドレスのリストの集合。リストは定期的に更新されます。フィードの各リストは特定のカテゴリ(オープン リレー、既知の攻撃者、偽の IP アドレス(bogon)など)を表します。
アクセス制御ポリシーでは、
Security Intelligence を使用して一部またはすべてのカテゴリのブラックリストを作成できます。インテリジェンス フィードは定期的に更新されるため、インテリジェンス フィードを使用することで、システムがネットワーク トラフィックのフィルタリングに最新の情報を使用することが保証されます。
メール中継ホスト設定や時刻同期設定のような、展開内の複数の
アプライアンスで同じになる可能性のある設定。システム ポリシーは、
防御センターを使用して、防御センター自体または管理対象
デバイスに
適用します。
システムに対して行われる可能性のある攻撃の影響を軽減するアクション。修復を設定し、相関ポリシー内で修復を相関ルールとコンプライアンス ホワイトリストに関連付けることができます。これにより、ルールがトリガーされると、
防御センターが修復を実行します。これにより、ユーザが攻撃に即時に対処できない場合でも攻撃の影響を自動的に緩和でき、またシステムが組織の
セキュリティ ポリシーに準拠し続けるようにすることができます。防御センターには事前定義の修復モジュールが付属しています。また柔軟性のある API を使用してカスタム修復を作成することもできます。
設定するにあたって特定の専門知識を必要とする
プリプロセッサまたはその他の
侵入ポリシー機能。通常、詳細設定は変更をほとんどまたはまったく必要とせず、またすべての展開環境に共通するものではありません。
シスコ
アプライアンス モデルの 2 番目のシリーズ。リソース、アーキテクチャ、ライセンス制限のため、シリーズ 2 アプライアンスでサポートされる FireSIGHT システム 機能セットは限定されています。シリーズ 2 デバイスには、3D500、3D1000、3D2000、3D2100、3D2500、3D3500、3D4500、3D6500 および 3D9900 が含まれます。シリーズ 2
防御センターには、DC500、DC 1000、および DC3000 が含まれます。
ネットワークで発生したセキュリティ違反、攻撃、またはエクスプロイト。
侵入ポリシー違反を記録する
イベント。侵入イベント データには、日付、時刻、エクスプロイトのタイプ、および攻撃とその標的に関するコンテキスト情報が含まれます。
セキュリティ ポリシー違反についてのネットワーク トラフィックのモニタリング、および
インライン展開で悪質なトラフィックをブロックまたは変更する機能。FireSIGHT システム では、アクセス制御ルールまたはデフォルト アクションに侵入ポリシーを関連付けるときに侵入検知と防御を実行します。
LDAP 認証および
セキュリティ ポリシー違反についてネットワーク トラフィックを検査するために設定できる各種のコンポーネント。これらのコンポーネントには、プロトコル ヘッダー値、ペイロードの内容、および特定のパケット サイズの特性を検査する
侵入ルール、侵入ルールでよく使用される変数、FireSIGHT の推奨ルール設定、
プリプロセッサやその他の検出およびパフォーマンス機能などの
詳細設定、および関連するプリプロセッサ オプション用のイベントを生成可能な
プリプロセッサ ルールが含まれます。ネットワーク トラフィックが
アクセス制御ルールの条件を満たす場合、侵入ポリシーでそのトラフィックを検査できます。また、侵入ポリシーを
デフォルト アクションに関連付けることもできます。
モニタ対象のネットワーク トラフィックに適用される場合に、潜在的な
LDAP 認証、
セキュリティ ポリシー違反、およびセキュリティ違反を識別する一連のキーワードおよび引数。システムはルール条件に照らしてパケットを比較します。パケット データが条件に一致すると、ルールがトリガーされ、
侵入イベントが生成されます。侵入ルールには、ドロップ ルールやパス ルールなどが含まれます。
レイヤ 2 展開環境でトラフィックを切り替えるために使用するインターフェイス。タグなし
VLAN トラフィックを処理するための物理スイッチド インターフェイスと、指定の VLAN タグが付いたトラフィックを処理するための論理スイッチド インターフェイスを設定できます。
1 回実行するか、または繰り返し定期的に実行するようにスケジュールできる管理タスク。
スタック構成で 2 ~ 4 台の物理
デバイスを接続することによって、ネットワーク セグメントで検査されるトラフィックの量を増加させることができる機能。スタック構成を確立するときに、各スタック構成デバイスのリソースを 1 つの共有構成に統合します。
検出リソースを共有する、2 ~ 4 台の接続された
デバイス。
ホストが影響を受けやすい特定のセキュリティ侵害の記述。
防御センターは、各ホストが影響を受ける脆弱性に関する情報を、ホストのホスト プロファイルに示します。また、脆弱性
ネットワーク マップを使用して、監視対象ネットワーク全体でシステムが検出した脆弱性の概要を把握できます。
ホストが特定のセキュリティ侵害に対して脆弱ではなくなったと判断した場合は、特定の脆弱性を非アクティブ化するか、または無効としてマークできます。
ホストに被害を及ぼす可能性のある既知の脆弱性のデータベース。VDB とも呼ばれます。ユーザが特定のホストでネットワークのセキュリティ侵害のリスクが大きくなっているかどうかを判断できるように、システムは各ホストで検出されたオペレーティング システム、
アクセス コントロール、および
クライアントを VDB に関連付けます。VDB 更新には、新規および更新された脆弱性、および新規または更新されたアプリケーション ディテクタが含まれる場合があります。
さまざまなポリシーおよび設定でトラフィック フローを管理および分類するために使用できる 1 つ以上のインライン、パッシブ、スイッチド、または
ルーテッド インターフェイスのグループ。単一ゾーンのインターフェイスは、複数
デバイスのにまたがる場合があります。単一のデバイスに対して複数のセキュリティ ゾーンを設定することもできます。トラフィックを処理するには、その前に、設定する各インターフェイスをセキュリティ ゾーンに割り当てる必要があります。各インターフェイスは 1 つのセキュリティ ゾーンだけに属することができます。
セキュリティ侵害、攻撃、エクスプロイト、またはその他のネットワークの不正使用。
ネットワークを保護するための組織のガイドライン。たとえば、
セキュリティ ポリシーではワイヤレス アクセス ポイントの使用が禁止されることがあります。セキュリティ ポリシーにはアクセプタブル ユース ポリシー(AUP)も含まれていることがあります。AUP は、組織のシステムの使用方法に関するガイドラインを従業員に提供します。
ネットワークの脅威にリアルタイムで対応する相関ポリシーを作成するために使用できる機能。相関の
修復コンポーネントは、
ポリシー違反に対応する独自のカスタム修復モジュールを作成してアップロードすることを可能にする柔軟な API を提供します。
アプライアンスが実行する必要があるジョブのキュー。
ポリシーを
適用し、ソフトウェア更新をインストールし、他の長時間かかるジョブを実行すると、ジョブがキューに入れられ、ジョブのステータスが [Task Status] ページに表示されます。[Task Status] ページにはジョブの詳細なリストが表示され、ジョブのステータスを更新するために 10 秒ごとに更新されます。
FireSIGHT システム の特定の側面に関する情報を示す小型で自己完結型の
ダッシュボード コンポーネント。
現在のシステム ステータスを一目で理解できるビューを提供するディスプレイ。これには、システムによって収集され、生成される
イベントに関するデータが含まれます。システムによって提供されるダッシュボードを補強するために、選択した
ダッシュボード ウィジェットを組み込んだ複数のカスタム ダッシュボードを作成できます。監視対象ネットワークの状況と動作について、幅広く簡潔で鮮やかな情報を表示する Context Explorer と比較。
ネットワーク トラフィック フローが
デバイスを通過する代わりに、各パケットのコピーが分析され、ネットワーク トラフィック フローが影響を受けない、シリーズ 3 デバイスおよび 3D9900 で使用可能な拡張
インライン セット オプション。パケット自体ではなくパケットのコピーを処理するため、トラフィックをドロップ、変更、またはブロックするようにアクセス制御および侵入ポリシーを設定している場合でも、デバイスはパケット ストリームに影響しません。
サードパーティ クライアントによる
防御センター データベースへの読み取り専用アクセスを許可する機能。
イベント情報を表示するワークフロー ページ タイプ。データベース テーブルのフィールドごとに 1 つのカラムがあります。イベント分析の実行時に、目的のイベントの詳細を表示するテーブル ビューに移動する前に、ドリルダウン ページを使用して調査するイベントを制限できます。多くの場合、テーブル ビューは、システムに付属のワークフローの最後から 2 番目のページになります。
管理対象
デバイスを使用してネットワークをモニタし、ネットワークの完全で永続的なビューを提供する、FireSIGHT システムのコンポーネント。ネットワーク検出は、ネットワーク上の
ホスト(
ネットワーク デバイスと
モバイル デバイスを含む)の数と種類、およびそれらのホストのオペレーティング システム、アクティブな
アプリケーション制御、オープン ポートを判別します。ネットワーク上の
ユーザ アクティビティを監視するようにシスコの管理対象デバイスを設定することもできます。これにより、ポリシー違反、攻撃、またはネットワークの脆弱性の源を識別できます。
ポリシーまたはそのポリシーに対する変更を反映するために実行するアクション。ほとんどのポリシーは、
防御センターから管理対象
デバイスに適用します。ただし、
相関ポリシーは管理対象デバイスの設定への変更に関与しないため、このポリシーはアクティブにしたり非アクティブにしたりします。
管理トラフィックまたはイベント トラフィックのいずれかを伝送するため、シリーズ 3 のアプライアンスまたは仮想防御センターの管理インターフェイスで設定できる接続。イベント トラフィック チャネルは、外部(Web ブラウザなど)で生成されたトラフィックだけを伝送し、管理トラフィック チャネルは内部で生成されたトラフィック(つまり、防御センターとデバイス間の管理トラフィック)だけを伝送します。
複数の管理インターフェイスを参照してください。
デバイスが「Bump In The Wire」として動作できるようにし、また認識するすべてのネットワーク トラフィックを、その送信元と宛先に関係なく転送できるようにする拡張
インライン セット オプション。
ホストがネットワークでファイルを転送する際のファイル パスの視覚表現。SHA-256 ハッシュ値が関連付けられているすべてのファイルに対して、伝搬経路マップには、ファイルを転送したすべてのホストの IP アドレス、ファイルが検出された時間、ファイルのマルウェアの性質、関連するファイル イベントおよび
マルウェア イベントなどが表示されます。
デバイスのグループを管理するために、冗長物理
防御センターを設定することができる機能。管理対象デバイスから両方の防御センターへのイベント データ ストリームとほとんどの設定要素は、両方の防御センターで維持されます。プライマリ防御センターで障害が発生した場合、セカンダリ防御センターを使用して中断せずにネットワークを監視できます。冗長なデバイスを指定できる
クラスタリングと比較。
PDF、EXE、MP3 など、特定のファイル形式タイプ。
アクセス コントロールの一部であり、ネットワークを通過できるファイル タイプを指定し、ログに記録できるようにする機能。
トラフィックをトラフィック チャネルに分割してパフォーマンスを向上させるか、追加のネットワークへのルートを作成して防御センターが異なるネットワークにトラフィックを分離できるように設定できるシリーズ 3 アプライアンス上の追加の管理インターフェイス。また、別個のネットワークにトラフィック チャネルをルーティングして、スループット容量を増やすこともできます。
管理インターフェイスを参照してください。
プリプロセッサまたはポートスキャン フロー ディテクタに関連付けられている
侵入ルール。プリプロセッサ ルールで
イベントを生成するには、プリプロセッサ ルールを有効にする必要があります。プリプロセッサ ルールには、プリプロセッサ固有の GID(ジェネレータ ID)があります。
侵入ポリシーにより検査されたトラフィックを正規化する機能。不適切なヘッダー オプションの特定、IP データグラムの最適化、TCP ステートフル インスペクションおよびストリーム リアセンブリの提供、チェックサムの検証により、ネットワーク層プロトコルおよびトランスポート層プロトコルの異常を特定するのに役立ちます。プリプロセッサは、システムが分析できる形式で特定のタイプのパケット データをレンダリングできます。このようなプリプロセッサは、データ正規化プリプロセッサまたはアプリケーション層プロトコル プリプロセッサとも呼ばれます。アプリケーション層プロトコル エンコードを正規化することで、システムは、データを表す方法が異なるパケットに同じコンテンツ関連侵入ルールを効果的に適用し、意味のあるな結果を得ることができます。プリプロセッサは、パケットがユーザが設定したプリプロセッサ オプションをトリガーとして使用するたびに、
プリプロセッサ ルールを生成します。
展開環境内の
アプライアンスのヘルスを検査するときに使用される条件。ヘルス ポリシーは、
ヘルス モジュールを使用して、FireSIGHT システムのハードウェアおよびソフトウェアが正しく動作しているかどうかを示します。デフォルトのヘルス ポリシーを使用するか、または独自のポリシーを作成できます。
展開内の
アプライアンスの特定のパフォーマンスの側面(CPU 使用率や使用可能なディスク領域)のテスト。ヘルス モジュールは
ヘルス ポリシーで有効にし、監視対象のパフォーマンス要素が特定のレベルに達するとヘルス イベントを生成します。
デバイスを管理し、それらが生成した
イベントを自動的に集約し、関連付けることができる一元管理ポイント。
ファイアウォールなどのデバイスによって他のネットワークのユーザから保護されている組織の内部ネットワーク。FireSIGHT システムを使用して配信される
侵入ルールの多くは、保護されたネットワークと保護されていない(または外部の)ネットワークを定義する変数を使用します。
ネットワーク マップの情報を増やすために、スクリプトまたはコマンドライン ファイルを使用してサードパーティ ソースからデータを
LDAP 認証できるようにする機能。Web インターフェイスは、いくつかのホスト入力機能を提供します。オペレーティング システムや
アクセス コントロール ID の変更、脆弱性の有効化または無効化、ネットワーク マップからのさまざまな項目(
クライアントと
サーバのポートなど)の削除を実行できます。
固有の IP アドレスが割り当てられているネットワーク接続デバイス。FireSIGHT システム では、ホストとは、特定されたホストのうち、
モバイル デバイス、ブリッジ、
ルータ、
NAT デバイス、または
論理インターフェイスのいずれにも分類されないものです。
シスコ の
高度マルウェア防御ソリューションの 1 つにより生成される
イベント。ネットワーク ベースのマルウェア イベントは、
シスコ クラウドからネットワーク トラフィックで検出されたファイルのマルウェアの性質が返されると、生成されます。その性質が変更されると、遡及的マルウェア イベントが生成されます。
エンドポイント ベースのマルウェア イベント(展開されている
FireAMP コネクタ が脅威を検出するか、マルウェアの実行をブロックするか、マルウェアを検疫するか、マルウェアの検疫に失敗した場合に生成されるイベント)と比較。
ファイルの SHA-256 ハッシュ値に基づいて、ネットワーク トラフィックで検出されたファイルのマルウェアの性質を判別するため、
防御センターが
シスコ クラウドと通信するプロセス。
アクセス制御ポリシーで、Security Intelligence のブラックリストまたは
アクセス制御ルールに一致するが、即時に許可したりブロックしたりせずにトラフィックの評価を続行することを許可するトラフィックの記録方法。
FireSIGHT システム では、
ディスカバリ機能によりモバイル ハンドヘルド デバイス(携帯電話やタブレットなど)として識別される
ホスト。多くの場合、モバイル デバイスがジェイルブレイクされているかどうかをシステムが検出できます。
システムがユーザ ログイン(オプションで一部の失敗したログイン試行を含む)または
防御センター データベースでのユーザ レコードの追加または削除を検出すると生成される
イベント。
ネットワークにログインするとき、またはその他の何らかの理由で Active Directory 資格情報に対して認証するときに、ユーザを監視するために
サーバにインストールされるエージェント。アクセス制御ユーザのユーザ アクティビティは、ユーザ エージェントによって報告される場合にだけ
アクセス コントロールに使用されます。
FireSIGHT システム のユーザに付与されたアクセスのレベル。たとえば、
イベント アナリスト、FireSIGHT システム を管理する管理者、サードパーティ ツールを使用して
防御センター データベースにアクセスするユーザなどに対し、Web インターフェイスへの異なるアクセス特権を付与できます。また、特殊なアクセス権限を含むカスタム ロールを作成できます。
ネットワークに入ることができるか、ネットワークから出ることができるか、またはネットワークから出ずに内部を移動できるユーザ関連トラフィックを指定し、これをログに記録することができるようにする機能(
アクセス コントロールの一部)。
組織が脅威、エンドポイント、ネットワーク インテリジェンスをユーザ識別情報に関連付けることができるようにし、またユーザが
ユーザ制御を実行できるようにする機能。
インライン セットのインターフェイスの 1 つが停止したときに、ペアの 2 番目のインターフェイスを自動的に停止させる、バイパス モードの
インライン セットのオプション。停止したインターフェイスが再び起動すると、もう一方のインターフェイスも自動的に起動します。つまり、ペアの 1 つのインターフェイスのリンク ステートが変化すると、もう一方のインターフェイスのリンク ステートも、その状態に一致するように自動的に変更されます。
レイヤ 3 展開環境でトラフィックをルーティングするインターフェイス。タグなし
VLAN トラフィックを処理するための物理ルーテッド インターフェイスと、指定の VLAN タグが付いたトラフィックを処理するための論理ルーテッド インターフェイスを設定できます。また、ルーテッド インターフェイスに静的なアドレス解決プロトコル(ARP)エントリを追加できます。
ネットワーク トラフィックの検査で照合する基準を提供する構成要素。通常、
ポリシーに含まれています。
ルールの条件を満たすネットワーク トラフィックがシステムによりどのように処理されるかを指定する設定。「アクセス制御ルール」および「ファイル ルール アクション」を参照。
必要に応じて提供される
侵入ルールの更新。新規および更新された標準テキスト ルール、共有オブジェクトのルール、およびプリプロセッサ ルールが含まれています。ルール更新により、ルールが削除され、デフォルト侵入ポリシー設定が変更され、システム変数とルール カテゴリが追加または削除されることもあります。
侵入ルールが
侵入ポリシー内で有効であるか([Generate Events] または [Drop and Generate Events] に設定)、または無効であるか([Disable] に設定)。有効にされたルールはネットワーク トラフィックの評価に使用され、無効にされたルールは使用されません。
特定の
VLAN タグ付きトラフィックが
物理インターフェイスを通過するときに、そのトラフィックを処理するために定義する仮想サブ インターフェイス。