相関イベントの表示
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Any Security Analyst |
アクティブな相関ポリシーに含まれる相関ルールがトリガーとして使用されると、システムが相関イベントを生成してデータベースにそれを記録します。
 (注) |
アクティブな相関ポリシーに含まれるコンプライアンス ホワイトリストがトリガーとして使用されると、システムがホワイトリスト イベントを生成します。 |
相関イベントのテーブルを表示し、検索対象の情報に応じてイベント ビューを操作できます。
マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。
相関イベントにアクセスしたときに表示されるページは、使用するワークフローによって異なります。相関イベントのテーブル ビューが含まれる定義済みワークフローを使用できます。また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。
手順
| ステップ 1 |
を選択します。 オプションで、カスタム ワークフローなど、別のワークフローを使用するには、ワークフローのタイトルの横の [(ワークフローの切り替え)((switch workflow))] をクリックします。
|
||
| ステップ 2 |
オプションで、時間枠の変更の説明に従って、時間範囲を調整します。 |
||
| ステップ 3 |
次のいずれかの操作を実行します。
|
相関イベントのフィールド
相関ルールがトリガーとして使用されると、システムは相関イベントを生成します。次の表では、表示および検索可能な相関イベント テーブルのフィールドについて説明します。
|
フィールド |
説明 |
|---|---|
|
説明 |
相関イベントについての説明。説明に示される情報は、ルールがどのようにトリガーとして使用されたかによって異なります。 たとえば、オペレーティング システム情報の更新イベントによってルールがトリガーとして使用された場合、新しいオペレーティング システムの名前と信頼度レベルが表示されます。 |
|
Device |
ポリシー違反をトリガーとして使用したイベントを生成したデバイスの名前。 |
|
ドメイン |
ポリシー違反をトリガーとして使用したモニタ対象トラフィックのデバイスのドメイン。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。 |
|
影響(Impact) |
侵入データ、ディスカバリ データ、および脆弱性情報の間の相関に基づいて相関イベントに割り当てられた影響レベル。 このフィールドを検索する場合、大文字と小文字を区別しない有効な値は、 |
|
入力インターフェイス(Ingress Interface)または出力インターフェイス(Egress Interface) |
ポリシー違反をトリガーとして使用した侵入イベントまたは接続イベントの入力または出力インターフェイス。 |
|
入力セキュリティ ゾーン(Ingress Security Zone)または出力セキュリティ ゾーン(Egress Security Zone) |
ポリシー違反をトリガーとして使用した侵入イベントまたは接続イベントの入力または出力セキュリティ ゾーン。 |
|
インライン結果(Inline Result) |
次のいずれかになります。
侵入イベントによってトリガーとして使用されたポリシー違反を検索するためにこのフィールドを使用する場合は、次のいずれかを入力します。
侵入ポリシーのドロップ動作やルール状態とは無関係に、パッシブ展開(インライン セットがタップ モードである場合を含む)ではシステムがパケットをドロップしないことに注意してください。 |
|
ポリシー |
違反が発生したポリシーの名前。 |
|
[プライオリティ(Priority)] |
相関イベントのプライオリティ。これは、トリガーとして使用されたルールのプライオリティまたは違反が発生した相関ポリシーのプライオリティによって決まります。このフィールドを検索するとき、プライオリティなしの場合は |
|
ルール(Rule) |
ポリシー違反をトリガーとして使用したルールの名前。 |
|
セキュリティ インテリジェンス カテゴリ(Security Intelligence Category) |
ブラックリスト化されたオブジェクトの名前。これは、ポリシー違反をトリガーとして使用したイベントでブラックリスト化された IP アドレスを示す(またはその IP アドレスを含む)オブジェクトです。 このフィールドを検索する場合は、ポリシー違反をトリガーとして使用した相関イベントに関連付けられたセキュリティ インテリジェンスのカテゴリを指定します。セキュリティ インテリジェンスのカテゴリとして、セキュリティ インテリジェンス オブジェクト、グローバル ブラックリスト、カスタム セキュリティ インテリジェンス リストまたはフィード、あるいはインテリジェンス フィードに含まれるいずれかのカテゴリを指定できます。 |
|
送信元の大陸(Source Continent)または宛先の大陸(Destination Continent) |
ポリシー違反をトリガーとして使用したイベントの送信元または宛先ホスト IP アドレスに関連付けられた大陸。 |
|
送信元国(Source Country)または宛先国(Destination Country) |
ポリシー違反をトリガーとして使用したイベントの送信元または宛先 IP アドレスに関連付けられた国。 |
|
送信元ホストの重大度(Source Host Criticality)または宛先ホストの重大度(Destination Host Criticality) |
相関イベントに関連する送信元または宛先ホストにユーザが割り当てたホスト重要度。 ディスカバリ イベント、ホスト入力イベント、または接続イベントに基づくルールによって生成された相関イベントにのみ、送信元ホスト重要度が含まれることに注意してください。 |
|
送信元 IP(Source IP)または宛先 IP(Destination IP) |
ポリシー違反をトリガーとして使用したイベントの送信元または宛先ホストの IP アドレス。 |
|
送信元ポート/ICMP タイプ(Source Port/ICMP Type)または宛先ポート/ICMP コード(Destination Port/ICMP Code) |
ポリシー違反をトリガーとして使用したイベントに関連付けられた、送信元トラフィックの送信元ポート/ICMP タイプまたは宛先トラフィックの宛先ポート/ICMP コード。 |
|
送信元ユーザ(Source User)または宛先ユーザ(Destination User) |
ポリシー違反をトリガーとして使用したイベントの送信元または宛先ホストにログインしたユーザの名前。 |
|
時刻(Time) |
相関イベントが生成された日時。このフィールドは検索できません。 |
|
メンバー数(Count) |
各行に表示された情報と一致するイベントの数。[カウント(Count)] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。このフィールドは検索できません |
)をクリックします。アクティブな侵害の兆候(IOC)タグのあるホストの場合は、IP アドレスの横に表示される侵害されたホストのアイコン(
)をクリックします。
)をクリックします。表示されるポップアップ ウィンドウで、[適用(Apply)]
フィードバック