IME ガジェット
ここでは、IME ガジェットについて説明します。内容は次のとおりです。
• 「[Sensor Information] ガジェット」
• 「[Sensor Health] ガジェット」
• 「[Licensing] ガジェット」
• 「[Interface Status] ガジェット」
• 「[Global Correlation Reports] ガジェット」
• 「[Global Correlation Health] ガジェット」
• 「[Network Security] ガジェット」
• 「[Top Applications] ガジェット」
• 「[CPU, Memory, & Load] ガジェット」
• 「[RSS Feed] ガジェット」
• 「[Top Attackers] ガジェット」
• 「[Top Victims] ガジェット」
• 「[Top Signatures] ガジェット」
• 「[Attacks Over Time] ガジェット」
[Sensor Information] ガジェット
[Sensor Information] ガジェットには、次のようなセンサー情報が表示されます。
• [Host Name]:初期化中に設定されます。
• [IPS Version]:現在インストールされている IPS のバージョン。
• [In Bypass]:インターフェイスがバイパス モードで動作しているかどうか。
(注) IPS SSP は、バイパス モードをサポートしていません。適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスの設定と IPS SSP 上で行われているアクティビティのタイプによって、フェールオープン、フェールクローズ、またはフェールオーバーします。
• [Total Sensing Interfaces]:センサー プラットフォーム上のセンシング インターフェイスの数が表示されます。
• [Analysis Engine Status]:分析エンジンの実行ステータスが表示されます。分析エンジンが初期化中または再設定中である場合は、[Processing Transaction] と表示されます。それ以外の場合は、[Running Normally] と表示されます。
– [Stage]:経過表示バーに分析エンジンのアップデートがどの段階にあるかが表示されます。
– [Step]:経過表示バーに分析エンジンのアップデート中に実行される追加の処理が表示されます。
– [Activity]:分析エンジンの動作が完了したことを通知します。
(注) [Stage]、[Step]、[Activity] の各バーは、分析エンジンのアップデートが完了すると非表示になります。
• [IP Address]:初期化中に設定されます。
• [Device Type]:IPS センサー プラットフォームが表示されます。
• [Total Memory]:メモリの総容量が表示されます。
• [Total Data Storage]:データ ストレージの総容量が表示されます。
[Sensor Information] ガジェットの表示の変更
[Sensor Information] ガジェットのタイトルや表示する情報を取得するセンサーを変更するには、次の手順を実行します。
ステップ 1
ガジェットの右上にある [Tool]
アイコンをクリックします。
ステップ 2 [Configure Settings] ウィンドウで次の値を変更できます。
• ガジェットのタイトル
• デバイス
ステップ 3 変更を保存するには、[Apply] をクリックします。変更を破棄する場合は、[Cancel] をクリックします。
詳細情報
• 分析エンジンの詳細については、「分析エンジンの概要」を参照してください。
• センサーおよびバイパス モードの詳細については、「バイパス モードの設定」を参照してください。
[Sensor Health] ガジェット
(注) AIP SSC-5 は、グローバル相関機能をサポートしていません。
[Sensor Health] ガジェットには、センサーのヘルス情報とネットワーク セキュリティ情報が 2 つのカラー メーターとして表示されます。これらのメーターには、特定のメトリックの分析結果に応じて、[Normal]、[Needs Attention]、または [Critical] が表示されます。設定したメトリックの中で全体的なヘルス ステータスが最も高い重大度に設定されます。たとえば、センサーのヘルスを決定する 8 つのメトリックを設定し、そのうちの 7 つが緑で、1 つが赤である場合、全体的なセンサー ヘルスは赤で表示されます。
特定のセンサー ヘルス メトリックを表示するには、センサー ヘルス グラフの近くにある [i] アイコンをクリックします。センサー ヘルス メトリックは黄色と赤のしきい値レベルに従ってグループ化されています。
センサー ヘルス メトリックを変更するには、[Details] > [Configure Sensor Health Metrics] をクリックします。[Configuration] > sensor_name > [Sensor Management] > [Sensor Health] へ移動し、ヘルス メトリックを再設定したり、センサー ヘルス パラメータを有効または無効にしたりすることができます。
次のセンサー ヘルス メトリックとそのステータスが表示されます。
• 検査負荷
• 失われたパケット
• シグニチャ アップデート
• 残りのライセンス期間
• イベントの取得
• 失敗したアプリケーション
• バイパス モード状態
(注) IPS SSP は、バイパス モードをサポートしていません。適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスの設定と IPS SSP 上で行われているアクティビティのタイプによって、フェールオープン、フェールクローズ、またはフェールオーバーします。
• ダウンしているアクティブなインターフェイス
• グローバル相関
• ネットワーク参加
特定のネットワーク ヘルス メトリックとそのステータスを表示するには、ネットワーク セキュリティ ヘルス グラフの近くにある [i] アイコンをクリックします。色は、過去 5 分間に収集されたリスク レーティングおよび脅威レーティングを表します。これらのレーティングは、緑、黄、赤の 3 レベルに分類され、赤が最高のリスク レベルを表します。
脅威のしきい値を変更するには、[Details] > [Configure Thresholds] をクリックします。[Configuration] > sensor_name > [Policies] > [IPS Policies] > [Risk Category] へ移動し、脅威のしきい値を設定できます。
ネットワーク セキュリティ ヘルスをリセットするには、[Details] > [Reset Health Status] をクリックします。[Configuration] > sensor_name > [Sensor Monitoring] > [Properties] > [Reset Network Security Health] へ移動し、ネットワーク セキュリティ ヘルスのステータスと計算をリセットできます。
メーター内を右クリックすると、メニューが表示され、メーターのプロパティの変更、メーターに含まれる情報の印刷、およびセンサー ヘルスやネットワーク ヘルスの詳細の保存を実行できます。
[Sensor Health] ガジェットの表示の変更
[Sensor Health] ガジェットのタイトルや表示する情報を取得するセンサーを変更するには、次の手順を実行します。
ステップ 1
ガジェットの右上にある [Tool]
アイコンをクリックします。
ステップ 2 [Configure Settings] ウィンドウで次の値を変更できます。
• ガジェットのタイトル
• デバイス
ステップ 3 変更を保存するには、[Apply] をクリックします。変更を破棄する場合は、[Cancel] をクリックします。
詳細情報
• 脅威のしきい値を変更する手順については、「リスク カテゴリの設定」を参照してください。
• センサーおよびバイパス モードの詳細については、「バイパス モードの設定」を参照してください。
• センサーおよびネットワーク セキュリティ ヘルスを設定する手順については、「センサーのヘルスの設定」を参照してください。
• ネットワーク セキュリティ ヘルスを再設定する手順については、「ネットワーク セキュリティの稼動状態のリセット」を参照してください。
[Licensing] ガジェット
[Licensing] ガジェットには、次のようなライセンス キーおよび他のソフトウェア アップデートのステータスに関する情報が表示されます。
• [License Status]:ライセンス キーがインストールされているかどうかと、その有効期限が表示されます。
• [Signature Version]:インストールされているシグニチャのバージョンが表示されます。
– [Released On]:このシグニチャ バージョンがリリースされた日付。
– [Applied On]:このシグニチャ バージョンが適用された日付。
– [Auto Update Status]:自動アップデートが新しいバージョンをチェックしたかどうか。
• [Engine version]:インストールされているシグニチャ エンジンのバージョンが表示されます。
– [Released On]:このシグニチャ エンジンがリリースされた日付。
– [Applied On]:このシグニチャ エンジンが適用された日付。
– [Auto Update Status]:自動アップデートが最後にアップデートをチェックした日時。
[Licensing] ガジェットの表示の変更
[Licensing] ガジェットのタイトルや表示する情報を取得するセンサーを変更するには、次の手順を実行します。
ステップ 1
ガジェットの右上にある [Tool]
アイコンをクリックします。
ステップ 2 [Configure Settings] ウィンドウで次の値を変更できます。
• ガジェットのタイトル
• デバイス
ステップ 3 変更を保存するには、[Apply] をクリックします。変更を破棄する場合は、[Cancel] をクリックします。
詳細情報
ライセンス キーを取得してインストールする手順については、「ライセンスの設定」を参照してください。
[Interface Status] ガジェット
[Interface Status] ガジェットには、次のような各インターフェイスに関する情報が表示されます。
• [Interface]:物理インターフェイスの名前(FastEthernet、GigabitEthernet、または PortChannel)。
• [Link]:インターフェイスがアップ状態かダウン状態か。
• [Enabled]:インターフェイスが無効であるか有効であるか。
• [Speed]:インターフェイスの速度が Auto、10 MB、100 MB、1000、10,000 MB のいずれであるか。
• [Mode]:インターフェイスが、無差別モード、インライン インターフェイス モード、インライン VLAN ペア モード、VLAN グループ モードのいずれであるか。
• [Received packets]:このインターフェイスで受信されたパケットの総数。
• [Transmitted packets]:このインターフェイスから送信されたパケットの総数。
[Interface Status] ガジェットの表示の変更
[Interface Status] ガジェットのタイトルや表示する情報を取得するデバイスを変更するには、次の手順を実行します。
ステップ 1
ガジェットの右上にある [Tool]
アイコンをクリックします。
ステップ 2 [Configure Settings] ウィンドウで次の値を変更できます。
• ガジェットのタイトル
• デバイス
ステップ 3 変更を保存するには、[Apply] をクリックします。変更を破棄する場合は、[Cancel] をクリックします。
詳細情報
インターフェイスの詳細については、「インターフェイスの設定」を参照してください。
[Global Correlation Reports] ガジェット
(注) AIP SSC-5 は、グローバル相関機能をサポートしていません。
[Global Correlation Reports] ガジェットには、次のようなレピュテーションに関する情報が表示されます。
• [Packets Denied Due to Global Correlation]:検出された悪意のあるパケットのパーセンテージと、グローバル相関によってドロップされたパケットがあるかどうかが表示されます。
• [Total Packets Denied]:検出された悪意のあるパケットの総数と、グローバル相関基準によってドロップされたパケットが表示されます。
[Global Correlation Reports] ガジェットの表示の変更
[Global Correlation Reports] ガジェットのタイトルと情報の表示方法を変更するには、次の手順を実行します。
ステップ 1
ガジェットの右上にある [Tool]
アイコンをクリックします。
ステップ 2 [Configure Settings] ウィンドウで次の値を変更できます。
• ガジェットのタイトル
• 表示メソッド(円グラフ、棒グラフ、または表)
ステップ 3 変更を保存するには、[Apply] をクリックします。変更を破棄する場合は、[Cancel] をクリックします。
詳細情報
• グローバル相関のレピュテーション機能の説明については、「レピュテーションについて」を参照してください。
• ガジェットに表示されるセンサー ヘルス メトリックを設定する手順については、「センサーのヘルスの設定」を参照してください。
• IME レポートの詳細については、「レポートの設定と生成」を参照してください。
[Global Correlation Health] ガジェット
(注) AIP SSC-5 は、グローバル相関機能をサポートしていません。
[Global Correlation Health] ガジェットには、次のようなグローバル相関に関する情報が表示されます。
• [Global Correlation Health]:グローバル相関のステータスが表示されます。
– [Status of the Last Update Attempt]:グローバル相関がイネーブルであるかディセーブルであるかと、最後のアップデートが成功したか失敗したかを示します。ステータスの説明を表示するには、[i] アイコンをクリックします。
(注) ステータスが [Disabled]
である場合は、グローバル相関がオフであるか、センサーのライセンスが取得されていません。
– [Time Since Last Successful Update]:前回のアップデートからの時間を示します。
– [Update Interval in Seconds]:アップデート間隔を秒数で示します。
– [Update Server]:アップデートを実行するグローバル相関サーバの名前。
– [Update Server Address]:アップデートを実行するグローバル相関サーバの IP アドレス。
• [Counters]:接続試行の回数が表示されます。
– [Update Failures Since Last Success]:前回の成功したアップデート以降に発生した障害の数。
– [Total Update Attempts]:センサーがグローバル相関をアップデートしようとした回数。
– [Total Update Failures]:アップデートが失敗した回数。
• [Current Versions]:センサーがアップデートをチェックするコンポーネント(drop、rule、ip、config)のバージョンが表示されます。
• [Warnings]:グローバル相関に関する警告の数。
• [Network Participation]:ネットワーク参加のステータスが表示されます。
– [Status]:接続状態が良好であるか、成功した最後の接続以降に発生した接続障害の回数が 1 ~ 5 回であるか、成功した最後の接続以降に発生した接続障害の回数が 5 回を超えるかを示します。ステータスの説明を表示するには、[i] アイコンをクリックします。
• [Counters]:接続試行の回数が表示されます。
– [Total connection attempts]:接続試行の回数。
– [Total connection failures]:接続障害が発生した回数。
– [Connection failures since last success]:成功した最後の接続以降に発生した接続障害の数。
• [Connection History]:すべての接続試行とその結果(成功または失敗)が表示されます。接続試行のリストを表示するには、[i] アイコンをクリックします。
[Global Correlation Health] ガジェットの表示の変更
[Global Correlation Health] ガジェットの表示を変更するには、次の手順を実行します。
ステップ 1
ガジェットの右上にある [Tool]
アイコンをクリックします。
ステップ 2 [Configure Settings] ウィンドウでガジェットのタイトルを変更します。
ステップ 3 変更を保存するには、[Apply] をクリックします。変更を破棄する場合は、[Cancel] をクリックします。
詳細情報
• グローバル相関のレピュテーション機能の説明については、「レピュテーションについて」を参照してください。
• ガジェットに表示されるセンサー ヘルス メトリックを設定する手順については、「センサーのヘルスの設定」を参照してください。
• ネットワーク参加の説明については、「ネットワーク参加について」を参照してください。
[Network Security] ガジェット
[Network Security] ガジェットには、次のようなネットワーク セキュリティに関する情報が表示されます。
• Meta アラートとサマリー アラートを含むアラート数。
• 脅威レーティングおよびリスク レーティングの平均値。
• 脅威レーティングおよびリスク レーティングの指定期間内における最大値。
これらの値は、10 秒間隔でセンサーごとに集計され、緑、黄色、赤のいずれかに分類されます。緑が最高の安全性を表し、赤が最低の安全性を表します。全体的なネットワーク セキュリティ値は、すべての仮想センサーから取得されたセキュア値の中で最低の値を表します。
特定の仮想センサーの重大度レベルは、次のように計算されます。
• そのセンサーで過去 n 分以内に赤のイベントが 1 つ以上検出された場合、重大度は赤。 n は設定された値で、デフォルトは 5 分です。
• そのセンサーで過去 n 分以内に黄のイベントが 1 つ以上検出され、赤のイベントが検出されなかった場合、重大度は黄。
それ以外の場合、重大度は緑。
[Configuration] > sensor_name > [Policies] > [Event Action Rules] > [rules0] > [Risk Category] を選択し、リスク カテゴリを設定して、しきい値として緑、黄、赤のリスク レーティング値を指定します。
上のグラフは、合計、赤のイベント、黄のイベント、緑のイベントなどのカテゴリごとのイベント数を示します。下のグラフは、平均リスク レーティングと平均脅威レーティングの対比、または最大リスク レーティングと最大脅威レーティングの対比を示します。この情報は仮想センサーごとに分類されます。
[Network Security] ガジェットの表示の変更
[Network Security] ガジェットに表示されるネットワーク セキュリティ値を変更するには、次の手順を実行します。
ステップ 1
右上の [Tool]
アイコンをクリックします。
ステップ 2 [Configure Settings] ウィンドウで次の値を変更できます。
• ガジェットのタイトル
• デバイスと仮想センサー
• イベント数グラフに表示するグラフを指定(すべて、赤、黄、緑)
• リスクと脅威の対比グラフに表示するグラフを指定(平均リスク レーティングと平均脅威レーティングの対比、または最大リスク レーティングと最大脅威レーティングの対比)
ステップ 3 [Apply] をクリックします。
詳細情報
脅威のしきい値を変更する手順については、「リスク カテゴリの設定」を参照してください。
[Top Applications] ガジェット
[Top Applications] ガジェットには、センサーが検出した上位 10 のレイヤ 4 プロトコルが表示されます。
• TCP
• UDP
• ICMP
• IP
[Top Applications] ガジェットによって、センサー上の各種トラフィックの全体像を把握できます。
[Top Applications] ガジェットの表示の変更
[Top Applications] ガジェットに上位アプリケーションを表示する方法を変更するには、次の手順を実行します。
ステップ 1
ガジェットの右上にある [Tool]
アイコンをクリックします。
ステップ 2 [Configure Settings] ウィンドウで次の値を変更できます。
• ガジェットのタイトル
• 情報を表示するデバイス
• 表示メソッド(円グラフ、棒グラフ、または表)
• 情報を表示するデバイス仮想センサー
ステップ 3 変更を保存するには、[Apply] をクリックします。変更を破棄する場合は、[Cancel] をクリックします。
[CPU, Memory, & Load] ガジェット
[CPU, Memory, & Load] ガジェットには、センサーの負荷、メモリ使用率、およびディスク使用量が表示されます。センサーに複数の CPU がある場合は、複数のメーターが表示されます。
• [Inspection Load]:トラフィック検査容量のうちセンサーの使用量を示します。
0 はトラフィック バックアップが存在しないことを表し、100 はバッファが完全にバックアップされることを表します。検査負荷は、次の要因の影響を受けます。
– 検査が必要なトラフィックの割合
– 検査の対象となるトラフィックの種類
– 検査の対象となるアクティブな接続の数
– 1 秒あたりの新規接続の割合
– 検出される攻撃の割合
– センサーでアクティブとなっているシグニチャ
– センサーに作成されたカスタム シグニチャ
• [CPU Usage]:センサーの CPU 使用量を示します。
• メモリ使用率:
– [System]:設定およびイベントの保存に使用されているメモリの量。
システム メモリはトラフィック検査には使用されません。システム メモリには、設定されている仮想センサーの数は影響しますが、トラフィック レートや攻撃レートの変化は影響しません。システム メモリは、センサーを設定しているとき以外は安定を保ちます。
– [Analysis Engine]:SensorApp の一部である分析エンジンに割り当てられ、使用されているメモリの固定量。ここには、分析エンジンが現在使用しているメモリの量が表示されます。
• ディスク使用量:
– [Boot]:OS ブート イメージとリカバリ イメージが含まれています。このパーティションは、センサーにシステム イメージをインストールするときに使用されます。
– [Application Data]:設定データと IP ログ ファイルが含まれています。
各使用率の詳細を表示するには、[i] アイコンをクリックします。
[CPU, Memory, & Load] ガジェットの表示の変更
[CPU, Memory, & Load] ガジェットのタイトルや表示する情報を取得するセンサーを変更するには、次の手順を実行します。
ステップ 1
ガジェットの右上にある [Tool]
アイコンをクリックします。
ステップ 2 [Configure Settings] ウィンドウで次の値を変更できます。
• ガジェットのタイトル
• デバイス
ステップ 3 変更を保存するには、[Apply] をクリックします。変更を破棄する場合は、[Cancel] をクリックします。
[RSS Feed] ガジェット
デフォルトでは、Cisco.com 上の Cisco Security Advisors サイトから直接 [RSS Feed] ガジェットに情報が取り込まれます。設定した RSS フィード チャネルを [RSS Feed] ガジェットに表示することもできます。モニタする RSS フィードごとにガジェットを作成できます。
[RSS Feed] ガジェットの表示の変更
[RSS Feed] ガジェットに RSS フィードを表示する方法を変更するには、次の手順を実行します。
ステップ 1
右上の [Tool]
アイコンをクリックします。
ステップ 2 [Configure Settings] ウィンドウで次の値を変更できます。
• ガジェットのタイトル
• フィード チャネル URL
ステップ 3 [Apply] をクリックします。
詳細情報
RSS フィードのカスタマイズについては、「RSS フィードの設定」を参照してください。
[Top Attackers] ガジェット
[Top Attackers] ガジェットには、指定した時間内における上位攻撃者の IP アドレスごとのイベント数が表示されます。グラフは制限時間に従って変更されます。また、さまざまな条件でフィルタ処理を行うことにより、必要な情報だけを表示できます。さらに、各 IP アドレスについて DNS 名前解決を使用することもできます。
[Top Attackers] ガジェットの表示の変更
[Top Attackers] ガジェットに上位攻撃者の統計情報を表示する方法を変更するには、次の手順を実行します。
ステップ 1
右上の [Tool]
アイコンをクリックします。
ステップ 2 [Configure Settings] ウィンドウで次の値を変更できます。
• ガジェットのタイトル
• 表示フォーム(円グラフ、棒グラフ、または表)
• 一度に統計情報に表示する上位攻撃者数(10、20、または 30)
• 統計情報を収集する間隔(過去 1 時間、過去 8 時間、過去 1 日)
• このガジェットに関連するフィルター
ステップ 3 各 IP アドレスについて DNS 名前解決を使用する場合は、[Resolve addresses] チェックボックスをオンにします。
ステップ 4 [Apply] をクリックします。
詳細情報
フィルタの設定手順については、「フィルタの設定」を参照してください。
[Top Victims] ガジェット
[Top Victims] ガジェットには、指定した時間内における上位攻撃対象の IP アドレスごとのイベント数が表示されます。グラフは制限時間に従って変更されます。また、さまざまな条件でフィルタ処理を行うことにより、必要な情報だけを表示できます。さらに、各 IP アドレスについて DNS 名前解決を使用することもできます。
[Top Victims] ガジェットの表示の変更
[Top Victims] ガジェットに上位攻撃対象の統計情報を表示する方法を変更するには、次の手順を実行します。
ステップ 1
右上の [Tool]
アイコンをクリックします。
ステップ 2 [Configure Settings] ウィンドウで次の値を変更できます。
• ガジェットのタイトル
• 表示フォーム(円グラフ、棒グラフ、または表)
• 一度に統計情報に表示する上位攻撃対象者数(10、20、または 30)
• 統計情報を収集する間隔(過去 1 時間、過去 8 時間、過去 1 日)
• このガジェットに関連するフィルター
ステップ 3 各 IP アドレスについて DNS 名前解決を使用する場合は、[Resolve addresses] チェックボックスをオンにします。
ステップ 4 [Apply] をクリックします。
詳細情報
フィルタの設定手順については、「フィルタの設定」を参照してください。
[Top Signatures] ガジェット
[Top Signatures] ガジェットには、指定した時間内における上位シグニチャが表示されます。グラフは制限時間に従って変更されます。また、さまざまな条件でフィルタ処理を行うことにより、必要な情報だけを表示できます。
[Top Signatures] ガジェットの表示の変更
[Top Signatures] ガジェットに上位シグニチャの統計情報を表示する方法を変更するには、次の手順を実行します。
ステップ 1
右上の [Tool]
アイコンをクリックします。
ステップ 2 [Configure Settings] ウィンドウで次の値を変更できます。
• ガジェットのタイトル
• 表示フォーム(円グラフ、棒グラフ、または表)
• 一度に統計情報に表示する上位シグニチャ数(10、20、または 30)
• 統計情報を収集する間隔(過去 1 時間、過去 8 時間、過去 1 日)
• このガジェットに関連するフィルター
ステップ 3 [Apply] をクリックします。
詳細情報
フィルタの設定手順については、「フィルタの設定」を参照してください。
[Attacks Over Time] ガジェット
[Attacks Over Time] ガジェットには、指定した時間内の攻撃数が表示されます。グラフは制限時間に従って変更されます。また、さまざまな条件でフィルタ処理を行うことにより、必要な情報だけを表示できます。
[Attacks Over Time] ガジェットの表示の変更
[Attacks Over Time] ガジェットに一定時間内の攻撃の統計情報を表示する方法を変更するには、次の手順を実行します。
ステップ 1
右上の [Tool]
アイコンをクリックします。
ステップ 2 [Configure Settings] ウィンドウで次の値を変更できます。
• ガジェットのタイトル
• 統計情報を収集する間隔(過去 1 時間、過去 8 時間、過去 1 日)
• このガジェットに関連するフィルター
ステップ 3 [Apply] をクリックします。
詳細情報
フィルタの設定手順については、「フィルタの設定」を参照してください。
個々の上位攻撃者および上位攻撃対象の IP アドレスに対する 1 つのイベントを調べる
上位攻撃者または上位攻撃対象の特定の IP アドレスに対する 1 つのイベントを調べるには、次の手順を実行します。
ステップ 1
[Home] > [Dashboards] > [Dashboardose]
を選択し、個々の攻撃者または攻撃対象の IP アドレスを扱うダッシュボードのタブをクリックします。
ステップ 2 [Events for] ドロップダウン リストから攻撃者または攻撃対象の IP アドレス(例: Attacker 51.66.166.10 )を選択します。データベースからデータが取得され、表示されます。このウィンドウでは、攻撃者または攻撃対象の設定を表示して変更を加えたり、イベントの詳細を表示したりできます。
ステップ 3 1 つのイベントを調べるには、リストでイベントを選択し、ツールバーの [Event] をクリックします。[Event] ドロップダウン リストから、次の情報を表示できます(これらの情報は、ウィンドウの下部にタブ形式で表示される [Event Details] セクションにも表示されます)。
• [Summary]:そのイベントに関する情報の要約が表示されます。
• [Explanation]:そのイベントに関連付けられたシグニチャの説明および関連シグニチャ情報が表示されます。
• [Related Threats]:関連する脅威と MySDN 内の詳細情報へのリンクが表示されます。
• [Trigger Packet]:イベントをトリガーしたパケットに関する情報が表示されます。
• [Context Data]:パケット コンテキスト情報が表示されます。
• [Actions Taken]:展開されたイベント アクションのリストが表示されます。
• [Notes]:イベントに名称(New、Assigned、Acknowledged、Closed、または Deleted)を割り当てることにより、イベントに対してアクションを実行できます。[Notes] フィールドに注釈を入力し、[Save Note] をクリックして保存します。
ステップ 4 このイベントの詳細を印刷するには、[Show All Details] をクリックして、イベントの詳細をプリンタ対応のウィンドウに表示します。
ステップ 5 選択したイベントから属性を追加するには、[Filter] ドロップダウン メニューから [Add to Filter] > [Attacker IP/Victim IP/Signature ID] を選択します。ウィンドウの上部に [Filter] タブが表示されます。
ステップ 6 このイベントからフィルタを作成するには、[Filter] ドロップダウン メニューから [Create a Filter] を選択します。
ステップ 7 このイベントに関連付けられたシグニチャを編集するには、[Edit Signature] をクリックします。[Configuration] > sensor_name > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] が表示され、シグニチャを編集できます。
ステップ 8 このイベントからイベント アクション規則フィルタを作成するには、[Create Rule] をクリックします。[Configuration] > sensor_name > [Policies] > [IPS Policies] > [Add Event Action Filter] へ移動し、イベント アクション規則フィルタを追加できます。
ステップ 9 攻撃者を阻止するには、[Stop Attacker] ドロップダウン メニューから次のオプションのいずれかを選択します。
• [Using Inline Deny]:このオプションを選択すると、[Configuration] > sensor_name > [Sensor Monitoring] > [Time-Based Actions] > [Denied Attackers] > [Add Denied Attacker] へ移動します。
• [Using Block on another device]:このオプションを選択すると、[Configuration] > sensor_name > [Sensor Monitoring] > [Time-Based Actions] > [Host Blocks] > [Add Host Block] へ移動します。
ステップ 10 このイベントに関係する IP アドレスに対して ping、traceroute、DNS、および whois を実行するには、これらのコマンドを [Tools] ドロップダウン メニューから選択します。
ping を使用すると、基本的なネットワーク接続を診断できます。ping により、センサーが応答するかどうかを簡単に確認できます。traceroute を使用すると、IP パケットが宛先に到達するまでのルートを表示できます。whois を使用すると、ドメイン名または IP アドレスの所有者を確認できます。DNS ルックアップを使用すると、電話帳を調べるように、ホスト名を IP アドレスに変換できます。
ステップ 11 イベントを保存、削除、またはコピーするには、[Other] ドロップダウン リストから実行するアクションを選択します。
ステップ 12 ビューに加えた変更を保存するには、[Apply] をクリックします。変更を破棄する場合は、[Reset] をクリックします。
詳細情報
• フィルタ規則を追加する手順については、「フィルタの設定」を参照してください。
• イベント アクション規則フィルタを追加する手順については、「イベント アクション フィルタの設定」を参照してください。
• 拒否攻撃者を追加する手順については、「拒否攻撃者の設定とモニタリング」を参照してください。
• ホスト ブロックを追加する手順については、「ホスト ブロックの設定」を参照してください。
• ツールの使用の詳細については、「デバイスでのツールの使用」を参照してください。
上位シグニチャに対する 1 つのイベントを調べる
特定のシグニチャ ID に対する 1 つのイベントを調べるには、次の手順を実行します。
ステップ 1
[Home] >
[Dashboards] > [Dashboard] を選択し、特定のシグニチャについて特定のイベントを使用するセンサーのタブをクリックします。
ステップ 2 [Events for] ドロップダウン リストからシグニチャ ID(例: SigID 3142 )を選択します。データベースからデータが取得され、表示されます。このウィンドウでは、設定を表示して変更を加えたり、イベントの詳細を表示したりできます。
ステップ 3 1 つのイベントを調べるには、リストでイベントを選択し、[Event] をクリックします。[Event] ドロップダウン リストから、次の情報を表示できます(これらの情報はウィンドウ下部の [Event Details] セクションに表示され、同じメニュー項目がタブ形式で表示されます)。
• [Summary]:そのイベントに関する情報の要約が表示されます。
• [Explanation]:そのイベントに関連付けられたシグニチャの説明および関連シグニチャ情報が表示されます。
• [Related Threats]:関連する脅威と MySDN 内の詳細情報へのリンクが表示されます。
• [Trigger Packet]:イベントをトリガーしたパケットに関する情報が表示されます。
• [Context Data]:パケット コンテキスト情報が表示されます。
• [Actions Taken]:展開されたイベント アクションのリストが表示されます。
• [Notes]:イベントに名称(New、Assigned、Acknowledged、Closed、または Deleted)を割り当てることにより、イベントに対してアクションを実行できます。[Notes] フィールドに注釈を入力し、[Save Note] をクリックして保存します。
ステップ 4 このイベントの詳細を印刷するには、[Show All Details] をクリックして、イベントの詳細をプリンタ対応のウィンドウに表示します。
ステップ 5 このイベントをフィルタに追加するには、[Filter] ドロップダウン メニューから [Add to Filter] > [Attacker IP/Victim IP/Signature ID] を選択します。ウィンドウの上部に [Filter] タブが表示されます。
ステップ 6 このイベントからフィルタを作成するには、[Filter] ドロップダウン メニューから [Create a Filter] を選択します。
ステップ 7 このイベントに関連付けられたシグニチャを編集するには、[Edit Signature] をクリックします。[Configuration] > sensor_name > [Policies] > [Signature Definitions] > [sig0] > [Active Signatures] へ移動し、シグニチャを編集できます。
ステップ 8 このイベントからイベント アクション規則フィルタを作成するには、[Create Rule] をクリックします。[Configuration] > sensor_name > [Policies] > [IPS Policies] > [Add Event Action Filter] へ移動し、イベント アクション規則フィルタを追加できます。
ステップ 9 攻撃者を阻止するには、[Stop Attacker] ドロップダウン メニューから次のオプションのいずれかを選択します。
• [Using Inline Deny]:このオプションを選択すると、[Configuration] > sensor_name > [Sensor Monitoring] > [Time-Based Actions] > [Denied Attackers] > [Add Denied Attacker] へ移動します。
• [Using Block on another device]:このオプションを選択すると、[Configuration] > sensor_name > [Sensor Monitoring] > [Time-Based Actions] > [Host Blocks] > [Add Host Block] へ移動します。
ステップ 10 このイベントに関係する IP アドレスに対して ping、traceroute、DNS、および whois を実行するには、これらのコマンドを [Tools] ドロップダウン メニューから選択します。
ping を使用すると、基本的なネットワーク接続を診断できます。ping により、センサーが応答するかどうかを簡単に確認できます。traceroute を使用すると、IP パケットが宛先に到達するまでのルートを表示できます。whois を使用すると、ドメイン名または IP アドレスの所有者を確認できます。DNS ルックアップを使用すると、電話帳を調べるように、ホスト名を IP アドレスに変換できます。
ステップ 11 イベントを保存、削除、またはコピーするには、[Other] ドロップダウン リストから実行するアクションを選択します。
詳細情報
• フィルタ規則を追加する手順については、「フィルタの設定」を参照してください。
• イベント アクション規則フィルタを追加する手順については、「イベント アクション フィルタの設定」を参照してください。
• 拒否攻撃者を追加する手順については、「拒否攻撃者の設定とモニタリング」を参照してください。
• ホスト ブロックを追加する手順については、「ホスト ブロックの設定」を参照してください。
• ツールの使用の詳細については、「デバイスでのツールの使用」を参照してください。
フィルタの設定
(注) [Filter] タブと [Add Filter] ダイアログボックスのフィールドで IPv6 アドレスおよび IPv4 アドレスがサポートされるようになりました。
フィルタを設定するには、次の手順を実行します。
ステップ 1
[Home] > [Dashboards]
を選択し、フィルタ規則を設定するダッシュボードのタブをクリックします。
ステップ 2 フィルタを適用するガジェット(例:[Top Attackers] ガジェット)を選択します。
フィルタ規則は、[Top Attackers]、[Top Victims]、および [Top Signatures] の各ガジェットに適用できます。
ステップ 3 [Events for] ドロップダウン メニューから、フィルタを追加する IP アドレスまたはシグニチャ ID を選択します。
ステップ 4 フィルタを適用するイベントを選択します。
ヒント リストで複数の項目を選択するには、Ctrl キーを押します。
ステップ 5 [View Settings] > [Filter] をクリックします。
ステップ 6 [Filter Name] ドロップダウン メニューから、このフィルタのフィルタ名を選択するか、[Note] アイコンをクリックしてから [Add] をクリックし、新しいファイルを追加します。
a. [Filter Name] フィールドに、このフィルタの名前を入力します。
b. [Attacker IP] フィールドに攻撃者の IP アドレスを入力するか、[Note] アイコンをクリックして一意の IP アドレスまたは IP アドレスの範囲を追加し、[OK] をクリックします。
c. [Victim IP] フィールドに攻撃対象の IP アドレスを入力するか、[Note] アイコンをクリックして一意の IP アドレスまたは IP アドレスの範囲を追加し、[OK] をクリックします。
d. [Signature Name/ID] フィールドにシグニチャ名またはシグニチャ ID を入力するか、[Note] アイコンをクリックし、シグニチャ タイプを選択して、[OK] をクリックします。
e. [Victim Port] フィールドに攻撃対象ポートを入力するか、[Note] アイコンをクリックして必要な条件を満たす攻撃対象ポートを入力し、[OK] をクリックします。
f. このフィルタの重大度を選択します。
g. [Risk Rating] フィールドに、このフィルタのリスク レーティングを入力するか、[Note] アイコンをクリックして必要な条件を満たすリスク レーティングを入力し、[OK] をクリックします。
h. [Reputation] フィールドに、このフィルタのレピュテーション スコアを入力するか、[Note] アイコンをクリックして必要な条件を満たすレピュテーションを入力し、[OK] をクリックします。
i. [Threat Rating] フィールドに、このフィルタの脅威レーティングを入力するか、[Note] アイコンをクリックして必要な条件を満たす脅威レーティングを入力し、[OK] をクリックします。
j. [Actions Taken] フィールドに、このフィルタをトリガーするアクションを入力するか、[Note] アイコンをクリックして、このフィルタをトリガーするアクションのチェックボックスをオンにし、[OK] をクリックします。
k. [Sensor Name(s)] フィールドに、このフィルタの影響を受けるセンサーの名前を入力するか、[Note] アイコンをクリックして、このフィルタを適用するセンサーのチェックボックスをオンにし、[OK] をクリックします。
l. [Virtual Sensor] フィールドに、このフィルタを適用する仮想センサーを入力します。
m. [Status] ドロップダウン メニューから、フィルタ処理を行うステータスを選択します。
n. [Victim Locality] フィールドに、フィルタ処理の対象とする作成済みのイベント アクション規則変数の名前を入力します。
ステップ 7 グループを設定するには、[Group By] タブをクリックします。
a. [Group events based on the following criteria] チェックボックスをオンにし、ドロップダウン メニューからカテゴリを選択することにより、イベントをグループ化するための階層を構築します。
b. [Grouping Preferences] で、[Single Level]、[Show Group Columns]、[Show Count Columns] の各チェックボックスをオンにできます。[Show Group Columns] チェックボックスをオンにした場合は、カウント カラムのみを表示できます。
ステップ 8 色規則を追加するには、[Color Rules] タブをクリックしてから [Add] をクリックします。
a. [Filter Name] フィールドに、この色規則フィルタの名前を入力します。
b. [Enable] チェックボックスをオンにします。
(注) [Enable] チェックボックスをオンにしなければ、色規則フィルタは有効になりません。
c. [Packet Parameters] では、この色規則フィルタを適用する IP アドレス、シグニチャ名、攻撃対象ポートを入力します。
d. [Rating and Action Parameters] では、この色規則フィルタを適用する重大度、リスク レーティング、脅威レーティング、およびアクションを入力します。
e. [Other Parameters] では、この色規則フィルタを適用するセンサー名、仮想センサー名、ステータス、攻撃対象の所在地を入力します。
f. [Color Parameters] では、この色規則フィルタの前景色、背景色、およびフォント タイプを選択し、[OK] をクリックします。
ヒント これらのフィールドに入力する値の正しい形式を確認するために、[Note] アイコンをクリックしてください。
ステップ 9 フィールドとその順序を編集するには、[Fields] タブをクリックし、[Add >>]、[<< Remove]、[Move Up]、および [Move Down] をクリックして、表示するフィールドを選択し、希望する順序どおりにフィールドを並べ替えます。
ステップ 10 [General] タブをクリックし、[View Description] フィールドをクリックして、ビューの説明を入力します。
ステップ 11 [Save As] をクリックして新しいビューを作成し、[Name] フィールドにビューの名前を入力します。設定が新しいビューにコピーされます。
ステップ 12 [Save] をクリックして、ビューに加えた変更を保存します。フィルタが [Filter Name] ドロップダウン メニューに表示されます。
ステップ 13 ビューに加えた変更を保存するには、[Apply] をクリックします。変更を破棄する場合は、[Reset] をクリックします。
[Add Filter] および [Edit Filter] ダイアログボックスのフィールド定義
[Add Filter] および [Edit Filter] ダイアログボックスには次のフィールドがあります。
• [Filter Name]:このフィルタの名前を入力するか、デフォルトのフィルタ名から選択できます。
• [Attacker IP]:このフィルタに含める攻撃者の IP アドレス。有効な値は、 ip_address および ip_address_range です(例:10.0.0.1、!10.0.0.1、!10.1.1.1)。
(注) 感嘆符(!)は「除外する」ことを意味します。
• [Victim IP]:このフィルタに含める攻撃対象の IP アドレス。有効な値は、 ip_address および ip_address_range です(例:10.0.0.1、!10.0.0.1、!10.1.1.1)。
• [Signature Name/ID]:このフィルタに含めるシグニチャの名前/ID。有効な値は、 signature_name 、 signature_id 、 signature_id/subsig_id 、または signature_id_range です。次に例を示します。
– no_checkpoint
– no_checkpoint, 3320
– no_checkpoint, 3320/1
– [3300-400 Victim Port]:このフィルタに含める攻撃対象ポート。
有効な値は、 number または number_range です(例:>=80、70-100、<90、!100)。
• [Severity]:このフィルタに含める重大度。
• [Risk Rating]:このフィルタに含めるリスク レーティング。有効な値は、 number または number_range です(例:>=80、70-100、<90、!100)。
• [Reputation]:このフィルタに含めるレピュテーション スコア。有効値の範囲は、-10.0 ~ 10.0 です。
• [Threat Rating]:このフィルタに含める脅威レーティング。有効な値は、 number または number_range です(例:>=80、70-100、<90、!100)。
• [Action(s) Taken]:フィルタがアラート内で検索するアクションを選択できます。アクションは文字列であり、選択することもできれば、自由形式で入力することも可能です。
• [Sensor Name(s)]:このフィルタに含めるセンサーを指定できます。
• [Virtual Sensor]:このフィルタに含める仮想センサーを指定できます。
• [Status]:このフィルタにステータス(All、New、Assigned、Closed、Detected、Acknowledged)を割り当てることができます。[Status] フィールドは、特定のイベントの分析結果を後で使用するために保存しておく場合などに役立ちます。注釈を追加し、ステータスを [Acknowledged] に変更することにより、ステータスでフィルタ処理を実行し、承認されたケースをすべて表示して、追加の分析を行うことができます。
• [Victim Locality]:フィルタ処理を行う参加/アドレス アラート内のアラート属性。この属性は、イベント アクション規則変数に定義されます。
• [Color Parameters]:イベントの色規則を設定できます(次のオプションは [Color Rules] タブでフィルタを追加する場合にのみ表示されます)。
– [Foreground]:イベントの前景色が表示され、使用する色を選択できます。
– [Background]:イベントの背景色が表示され、使用する色を選択できます。
– [Font Type]:イベントのフォント タイプとして、太字、イタリック、またはその両方を選択できます。
– [Preview Text]:イベントがビューにどのように表示されるかを確認できます。