- Cisco ASA with FirePOWER Services ローカル管理設定ガ イ ド 6.0
- シスコ ASA FirePOWER モジュールの概要
- 再利用可能なオブジェクトの管理
- デバイス設定の管理
- アクセス コントロール ポリシーの開始
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- アクセス コントロール ルール:レルムと ユーザ
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシー クイック スタート ガイド
- SSL ルール クイック スタート ガイド
- SSL ルールを使用したトラフィック復号の 調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの開始
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- シブ展開における前処理の調整
- 侵入ポリシーを使用する前に
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアと禁止されたファイルのブロッ キング
- パッシブ展開における前処理の調整
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ASA FirePOWER ダッシュボードの使用
- ASA FirePOWER レポートの使用
- タスクのスケジュール
- システム ポリシーの管理
- ASA FirePOWER モジュールの設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの 更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、お よび通信ポート
ASA FirePOWER レポートの使用
ネットワーク上のトラフィックを分析するため、さまざまな期間のレポートを表示できます。レポートは、ネットワーク トラフィックのさまざまな面の情報を集約します。ほとんどの場合、一般情報から特定の情報にドリルダウンできます。たとえば、すべてのユーザのレポートを表示し、次に特定のユーザの詳細を表示できます。
概要レポートと詳細レポートには、トップ ポリシーや Web カテゴリなど、複数のレポート コンポーネントがあります。これらのレポートには、表示しているレポートのそのタイプで最も発生頻度の高い項目が示されます。たとえば、特定のユーザの詳細レポートを表示している場合、トップ ポリシーにはそのユーザに最も関連付けられたポリシー ヒットが表示されます。
使用可能なレポートについて
使用可能なレポートには、ASA FirePOWER モジュールで使用可能なメイン レポートが含まれます。[ASA FirePOWER レポート(ASA FirePOWER Reporting)] メニューからこれらのレポートを表示できます。
一般に、名前や [詳細情報(View More)] リンクなど、多くの項目をクリックして、個々の項目またはモニタするカテゴリ全体に関する詳細な情報を取得できます。
このレポートには、ネットワークのトラフィックに関するサマリー情報が表示されます。この情報は、詳細な分析を必要とするエリアの識別、またはネットワークが一般的な予測の範囲内で動作していることの確認に使用します。
このレポートには、ネットワークの上位ユーザが表示されます。この情報は、ユーザの異常活動の識別に役立ちます。

ヒント ユーザ名は、ユーザの ID 情報がトラフィック フローに関連付けられている場合に限り使用できます。ユーザ ID が大多数のトラフィックのレポートで使用できるようにする場合は、アクセス コントロール ポリシーでアクティブ認証を使用する必要があります。
このレポートには、侵入イベントをトリガーしたトラフィックで検出された HTTP トラフィックの内容または要求された URL を表すアプリケーションが表示されます。モジュールが HTTP のアプリケーション プロトコルを検出し、特定の Web アプリケーションを検出できなかった場合、モジュールはここで一般的な Web ブラウジング指定を提供することに注意してください。
このレポートには、訪問する Web サイトのカテゴリに基づいて、ネットワークで使用されている Web サイトのカテゴリ(ギャンブル、広告、検索エンジン、ポータルなど)が表示されます。この情報は、ユーザが訪問する上位カテゴリを識別し、アクセス コントロール ポリシーによって望ましくないカテゴリが十分にブロックされているかどうかを判別するために使用します。
このレポートには、アクセス コントロール ポリシーがネットワークのトラフィックにどのように適用されたかが表示されます。この情報を使用すると、ポリシーの効果の評価に役立ちます。
このレポートには、イベントをトリガーしたパケットの入力セキュリティ ゾーンが表示されます。
このレポートには、イベントをトリガーとして使用したパケットの出力セキュリティ ゾーンが表示されます。
このレポートには、ネットワーク トラフィックの分析に基づいて、ネットワークで使用中のアプリケーション(Facebook など)が表示されます。この情報を使用すると、ネットワークで使用された上位アプリケーションの識別に役立ち、不要なアプリケーションの使用量を減らすために追加のアクセス コントロール ポリシーが必要かどうかを判断できます。
このレポートには、イベントをトリガーした送信元ホストが使用する送信元 IP アドレスが表示されます。
このレポートには、イベントをトリガーした受信ホストが使用する宛先 IP アドレスが表示されます。
レポートの基礎
ここでは、レポート使用の基本を説明します。続く各トピックは、いずれか 1 つの特定のレポートではなく、レポート全般に適用されます。
レポート データについて
レポート データはデバイスからすぐに収集されるため、レポートに反映されるデータとネットワーク活動の間に時差はほとんどありません。ただし、データを分析するときは次の点に注意してください。
- データは、ASA FirePOWER モジュールに適用されたアクセス コントロール ポリシーに一致するトラフィックについて収集されます。
- データは 5 分バケットで集約されるため、30 分グラフと 1 時間グラフではデータ ポイントは 5 分刻みで表示されます。1 時間の終了時に、5 分バケットが 1 時間バケットに集約され、さらにこれらが日バケットおよび週バケットに集約されます。5 分バケットは 7 日間保持され、1 時間バケットは 31 日間、日バケットは最大 365 日間保持されます。前にさかのぼるほど、データはさらに集約されます。古いデータを照会する場合、これらのデータ バケットが利用できる状態に合わせてクエリーを実行すると最良の結果が得られます。

(注) たとえば、5 分間よりも長い間デバイスが到達不能になったなどの理由により、データ ポイントが欠けている場合は、折れ線グラフが途切れます。
レポートのドリルダウン
レポートには、必要な情報にドリルダウンするための多くのリンクが含まれます。項目の上にマウスを置くと、どの項目でその詳細に進めるかがわかります。
たとえば、一般的なレポート項目において、[詳細情報(View More)] リンクをクリックすると、その項目のサマリー レポートに移動できます。
サマリー レポートの項目をクリックして、特定の項目の詳細レポートに移動することもできます。たとえば、アプリケーション サマリー レポートで Hypertext Transfer Protocol(HTTP)をクリックすると、HTTP のアプリケーション詳細レポートに進みます。
レポート時間範囲の変更
レポートを表示するときは、[時間範囲(Time Range)] リストを使用して、レポートに含める情報を定義する時間範囲を変更できます。時間範囲のリストは各レポートの上部に表示され、これを使用して最近 1 時間または 1 週間などの定義済みの時間範囲を選択したり、特定の開始時刻と終了時刻でカスタムの時間範囲を定義したりできます。選択した時間範囲は、選択を変更するまで、表示する他のすべてのレポートに引き継がれます。
レポートに表示されるデータの制御
概要レポートと詳細レポートには、トップ ポリシーや Web カテゴリなど、複数の下位レポートがあります。各レポート パネルにあるコントロールを使用すると、データのさまざまな側面を表示できます。次のコントロールを使用できます。
[トランザクション(Transactions)] または [データ使用量(Data Usage)]
これらのリンクをクリックすると、トランザクション数またはトランザクションのデータ量に基づいたグラフが表示されます。
[すべて(All)]、[拒否(Denied)]、[許可(Allowed)]
各レポートの右上にあるラベルのないドロップダウンリストに、これらのオプションがあります。これらを使用して、拒否接続のみ、許可接続のみ、あるいは拒否または許可にかかわらずすべての接続の表示に変更します。
表示する項目のレポートに移動するには、[詳細情報(View More)] リンクをクリックします。たとえば、[接続先(Destinations)] レポートの [Web カテゴリ(Web Categories)] グラフで [詳細情報(View More)] をクリックすると、[Web カテゴリ(Web Categories)] レポートに進みます。詳細レポートのレポートを表示している場合は、詳細を表示している項目の詳細な [Web カテゴリ(Web Categories)] レポートに移動します。
レポート カラムについて
通常、レポートにはグラフ形式で表示される情報の加えて、情報を提供する 1 つ以上のテーブルが含まれています。
- 多くのカラムの意味は、そのカラムを含むレポートによって変わります。たとえば、トランザクションのカラムには、レポートの基準になる項目タイプのトランザクション数が示されます。[値(Values)] または [割合(Percentages)] をクリックすることで、未処理の数値で行うか、項目に報告されたすべての未処理値の比率で行うか、値の切り替えを行うこともできます。
- カラム ヘッダーをクリックすると、カラムのソート順を変更できます。
次の表に、各種レポートで使用される標準のカラムの説明を示します。
|
|
---|---|