- [アクセスコントロールポリシー(Access Control Policy)](Syslog:ACPolicy)
-
接続をモニターしたアクセス コントロール ポリシー。
- [アクセス制御ルール(Access Control Rule)](Syslog:AccessControlRuleName)
-
接続を処理したアクセス コントロール ルールまたはデフォルト アクションと、その接続に一致した最大 8 つのモニター ルール。
接続が 1 つのモニター ルールに一致した場合、Firepower Management Center は接続を処理したルールの名前を表示し、その後にモニター ルール名を表示します。接続が複数のモニター ルールに一致した場合、一致するモニター ルールの数が表示されます(Default Action + 2 Monitor Rules など)。
接続に一致した最初の 8 つのモニター ルールのリストをポップアップ ウィンドウに表示するには、[N モニター ルール(NMonitor Rules)] をクリックします。
- [アクション(Action)](Syslog:AccessControlRuleAction)
-
接続をロギングした設定に関連付けられているアクション。
セキュリティ インテリジェンスによってモニタされている接続の場合、そのアクションは、接続によってトリガーされる最初のモニタ以外のアクセス コントロール ルールのアクションであるか、またはデフォルト アクションです。同様に、モニタ ルールに一致するトラフィックは常に後続のルールまたはデフォルト
アクションによって処理されるため、モニタ ルールによってロギングされた接続と関連付けられたアクションが [モニタ(Monitor)] になることはありません。ただし、モニタ ルールに一致する接続の相関ポリシー違反をトリガーする可能性があります。
アクション
|
説明
|
許可(Allow)
|
アクセス コントロールによって明示的に許可された、またはユーザがインタラクティブ ブロックをバイパスしたために許可された接続。
|
ブロック(Block)、リセットしてブロック(Block with reset)
|
次を含むブロックされた接続:
-
プレフィルタ ポリシーによってブロックされたトンネルおよびその他の接続
-
セキュリティ インテリジェンスによってブロックされた接続
-
SSL ポリシーによってブロックされた暗号化接続
-
侵入ポリシーによってエクスプロイトがブロックされた接続
-
ファイル ポリシーによってファイル(マルウェアを含む)がブロックされた接続。
システムが侵入またはファイルをブロックする接続では、アクセス コントロールの許可ルールを使用してディープ インスペクションを呼び出す場合にも、システムは Block を表示します。
|
高速パス(Fastpath)
|
プレフィルタ ポリシーによって高速パスが適用された暗号化されていないトンネルおよびその他の接続。
|
インタラクティブ ブロック(Interactive Block)、リセット付きインタラクティブ ブロック(Interactive Block with reset)
|
システムがインタラクティブ ブロック ルールを使用してユーザの HTTP 要求を最初にブロックしたときにログに記録された接続。システムにより表示される警告ページでユーザがクリックスルーすると、そのセッションでログに記録されるその後の接続に許可アクションが付きます。
|
信頼(Trust)
|
アクセス コントロールによって信頼された接続。デバイス モデルに応じて、システムは信頼された TCP 接続を別にログに記録します。
|
デフォルト アクション(Default Action)
|
アクセス コントロール ポリシーのデフォルト アクションによって処理される接続。
|
(空白/空)
|
ルールに一致するのに十分なパケットが渡される前に接続が閉じられました。
侵入防御などのアクセス制御以外の機能によって接続がログに記録される場合にのみ発生します。
|
- [アプリケーションプロトコル(Application Protocol)](syslog:ApplicationProtocol)
-
Firepower Management Center の Web インターフェイスでは、この値は概要とグラフを抑制します。
接続で検出された、ホスト間の通信を表すアプリケーション プロトコル。
- アプリケーション プロトコル カテゴリおよびタグ(Application Protocol Category and Tag)
-
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
- アプリケーションのリスク(Application Risk)
-
接続で検出されたアプリケーション トラフィックに関連するリスク:Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するリスクがあります。このフィールドでは、それらのうち最も高いものが表示されます。
- ビジネスとの関連性(Business Relevance)
-
接続で検出されたアプリケーション トラフィックに関連するビジネス関連性:Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するビジネスとの関連性があります。このフィールドでは、それらのうち最も低いもの(関連が最も低い)が表示されます。
- [クライアントとクライアントバージョン(Client and Client Version)](Syslog:Client、ClientVersion)
-
接続で検出されたクライアントのクライアント アプリケーションとバージョン。
接続に使用されている特定のクライアントをシステムが特定できなかった場合、このフィールドは汎用的な名称としてアプリケーション プロトコル名の後に「client」という語を付加して FTP client などと表示します。
- クライアント カテゴリおよびタグ(Client Category and Tag)
-
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
- Connection Counter(Syslog のみ)
-
ある接続と別の同時接続を区別するカウンタ。このフィールドは、それ自体には意味がありません。
[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを識別できます。
- Connection Instance ID(Syslog のみ)
-
接続イベントを処理した Snort インスタンス。このフィールドは、それ自体には意味がありません。
[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを識別できます。
- ConnectionDuration(Syslog のみ)
-
このフィールドは syslog フィールドとしてのみ存在します。Firepower Management Center の Web インターフェイスにはありません。(Web インターフェイスは、[最初のパケット(First Packet)] 列と [最後のパケット(Last Packet)] 列を使用してこの情報を伝送します。)
このフィールドは、接続の最後にロギングが発生した場合にのみ、値が備わっています。接続開始の syslog メッセージでは、このフィールドは出力されません。その時点では不明であるためです。
接続終了の syslog メッセージでは、このフィールどは最初のパケットと最後のパケットまでの秒数が表示されます。短時間の接続ではゼロになることがあります。たとえば、syslog のタイムスタンプが 12:34:56 で ConnectionDuration
が 5 の場合、最初のパケットは 12:34:51 に検出されました。
- 接続(Connections)
-
接続サマリーに含まれる接続数。長時間接続(複数回の接続サマリー間隔にまたがる接続)の場合、最初の接続サマリー間隔の分だけ増加します。[接続(Connections)] 条件を使用した検索で意味のある結果を表示するには、接続サマリー ページを持つカスタム ワークフローを使用する必要があります。
- カウント(Count)
-
各行に表示される情報に一致する接続数。[カウント(Count)] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。カスタム ワークフローを作成し、ドリルダウン ページに [カウント(Count)] カラムを追加しない場合、各接続は個別に表示され、パケット数とバイト数は合計されません。
- [宛先ポート/ICMPコード(Destination Port/ICMP Code)](Syslog:個別のフィールド - DstPort、ICMPCode)
-
Firepower Management Center のインターフェイスでは、これらの値は概要とグラフを抑制します。
セッション レスポンダが使用するポートまたは ICMP コード。
- DestinationSecurityGroup(Syslog のみ)
-
このフィールドには、 Destinationsecuritygrouptag(使用可能な場合)の数値に関連付けられているテキスト値が保持されます。グループ名をテキスト値として使用できない場合、このフィールドには、[DestinationSecurityGroupTag] フィールドと同じ整数値が含まれます。
- 宛先 SGT(Syslog:DestinationSecurityGroupTag)
-
接続に関係する宛先のセキュリティ グループ タグ(SGT)属性。
送信元 SGT 値は、から取得されます。SXP またはユーザーセッションのいずれかからの ISE のみです。
- [Detection Type]
-
このフィールドには、クライアントの検出元が表示されます。
- デバイス
-
Firepower Management Center の Web インターフェイスでは、この値は概要とグラフを抑制します。
接続を検出した管理対象デバイス。または、NetFlow データから生成された接続の場合は、データを処理した管理対象デバイス。
- DeviceUUID(Syslog のみ)
-
イベントを生成したデバイスの一意の識別子。
[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを識別できます。
- [DNSクエリ(DNS Query)](Syslog:DNSQuery)
-
ドメイン名を検索するために接続でネーム サーバーに送信された DNS クエリ。
- [DNSレコードタイプ(DNS Record Type)](Syslog:DNSRecordType)
-
接続で送信された DNS クエリを解決するために使用された DNS リソース レコードのタイプ。
- [DNS応答(DNS Response)](Syslog:DNSResponseType)
-
問い合わせ時に接続でネーム サーバーに返された DNS レスポンス。
- [DNSシンクホール名 (DNS Sinkhole Name)](Syslog:DNS_Sinkhole)
-
システムが接続をリダイレクトしたシンクホール サーバーの名前。
- DNS TTL(syslog:DNS_TTL)
-
DNS サーバーが DNS リソース レコードをキャッシュする秒数。
- ドメイン(Domain)
-
接続を検出した管理対象デバイスのドメイン。または、NetFlow データから生成された接続の場合は、データを処理した管理対象デバイスのドメイン。 このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。
- エンドポイント ロケーション(Endpoint Location)
-
ISE で指定された、ユーザーの認証に ISE を使用したネットワーク デバイスの IP アドレス。
- エンドポイントのプロファイル (Syslog:Endpoint Profile)
-
ISE で指定されたユーザーのエンドポイント デバイス タイプ。
- Event Priority(Syslog のみ)
-
接続イベントが優先度の高いイベントであるかどうか。高優先度(High
)イベントは、侵入、セキュリティ インテリジェンス、ファイル、またはマルウェアイベントに関連付けられた接続イベントです。他のすべてのイベントは低優先度(Low
)イベントです。
- ファイル (Syslog: FileCount)
-
1 つ以上のファイル イベントに関連付けられている接続で検出またはブロックされたファイル(マルウェア ファイルを含む)の数。
Firepower Management Center の Web インターフェイスでは、[ファイルの表示(View Files)] アイコン()はファイルのリストにリンクしています。アイコンの数字は、その接続で検出またはブロックされたファイル数(マルウェア ファイルを含む)を示します。
- [最初のパケットまたは最後のパケット(First Packet or Last Packet)](Syslog:ConnectionDuration フィールドを参照)
-
セッションの最初または最後のパケットが検出された日時。
- First Packet Time(Syslog のみ)
-
システムが最初のパケットを検出した時間。
[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを識別できます。
- HTTP Referrer (Syslog: HTTPReferer)
-
接続で検出された HTTP トラフィックの要求 URL のリファラを示す HTTP リファラ(他の URL へのリンクを提供した Web サイト、他の URL からリンクをインポートした Web サイトなど)。
- HTTP 応答コード (Syslog:HTTPResponse)
-
クライアントからの接続経由の HTTP 要求に応じて送信される HTTP ステータス コード。ステータスコードは、HTTP 要求の成功や失敗の理由を示します。
HTTP レスポンスコードの詳細については、RFC 2616(HTTP)の「セクション 10」を参照してください。
- [入力/出力インターフェイス(Ingress/Egress Interface)](Syslog:IngressInterface、EgressInterface)
-
接続に関連付けられた入力または出力のインターフェイス。展開に非対称のルーティング設定が含まれている場合は、入力と出力のインターフェイスが同じインライン ペアに属する場合があります。
- [入力/出力セキュリティゾーン(Ingress/Egress Security Zone)](Syslog:IngressZone、EgressZone)
-
接続に関連付けられた入力または出力のセキュリティ ゾーン。
再区分されたカプセル化接続では、元の入力セキュリティ ゾーンの代わりに、割り当てたトンネル ゾーンが入力フィールドに表示されます。出力フィールドは空白です。
- イニシエータ/Responder バイト (Syslog: InitiatorBytes、 ResponderBytes)
-
セッション イニシエータが送信したバイトまたはセッション レスポンダが受信したバイトの総数。
- イニシエータ/レスポンダ大陸(Initiator/Responder Continent)
-
ルーティング可能な IP が検出された場合の、セッション イニシエータまたはレスポンダの IP アドレスに関連付けられた大陸。
- イニシエータ/レスポンダ国(Initiator/Responder Country)
-
ルーティング可能な IP が検出された場合の、セッション イニシエータまたはレスポンダの IP アドレスに関連付けられた国。システムにより、国旗のアイコンと、国の ISO 3166-1 alpha-3 国番号が表示されます。国旗アイコンの上にポインタを移動すると、国の完全な名称が表示されます。
- [イニシエータ/レスポンダ IP(Initiator/Responder IP)](Syslog:SrcIP、DstIP)
-
Firepower Management Center のインターフェイスでは、これらの値は概要とグラフを抑制します。
セッション イニシエータまたはレスポンダの IP アドレス(および DNS 解決が有効化されている場合はホスト名)。
イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。
Firepower Management Center の Web インターフェイスでは、ホストアイコンは接続がブロックされる原因となった IP アドレスを示します。
プレフィルタポリシーによってブロックされるか、または高速パスが適用されたプレーンテキストのパススルートンネルでは、イニシエータとレスポンダの IP アドレスはトンネルエンドポイント(トンネルの両側のネットワークデバイスのルーテッドインターフェイス)を表します。
- [イニシエータ/レスポンダのパケット数(Initiator/Responder Packets)](Syslog:InitiatorPackets、ResponderPackets)
-
セッション イニシエータが送信したバイトまたはセッション レスポンダが受信したパケットの総数。
- [イニシエータユーザー(Initiator User)](Syslog:User)
-
Firepower Management Center の Web インターフェイスでは、この値は概要とグラフを制限します。
セッション イニシエータにログインしていたユーザー。このフィールドに [認証なし(No Authentication)] が入力されている場合、ユーザ トラフィックは次のようになります。
該当する場合、ユーザー名の前には <realm>\ が付いています。
イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。
- [侵入イベント(Intrusion Events)](syslog:IPSCount)
-
接続に関連付けられた侵入イベント(ある場合)の数。
Firepower Management Center の Web インターフェイスでは、[侵入イベントの表示(View Intrusion Events)] アイコン()はイベントのリストにリンクしています。
- IOC
-
マルウェア イベントが、接続に関与したホストに対する侵入の痕跡(IOC)をトリガーしたかどうか。
- [NetBIOSドメイン(NetBIOS Domain)](Syslog:NetBIOSDomain)
-
セッションで使用された NetBIOS ドメイン。
- NetFlow SNMP 入出力(NetFlow SNMP Input/Output)
-
NetFlow データから生成された接続の場合、接続トラフィックが NetFlow 対応デバイスに入ったか、NetFlow エクスポータから出た際のインターフェイスのインターフェイス インデックス。
- NetFlow 送信元/宛先の自律システム(NetFlow Source/Destination Autonomous System)
-
NetFlow データから生成された接続の場合、接続のトラフィックの送信元または宛先に対する、Border Gateway Protocol の自律システム番号。
- NetFlow 送信元/宛先のプレフィックス(NetFlow Source/Destination Prefix)
-
NetFlow データから生成された接続の場合、送信元または宛先の IP アドレスに、送信元と宛先のプレフィックス マスクが追加されたもの。
- NetFlow 送信元/宛先 TOS(NetFlow Source/Destination TOS)
-
NetFlow データから生成された接続の場合、接続トラフィックが NetFlow 対応デバイスに入ったか、NetFlow エクスポータから出たときの Type of Service(TOS)バイトの設定。
- [ネットワーク分析ポリシー(Network Analysis Policy)](Syslog:NAPPolicy)
-
イベントの生成に関連付けられているネットワーク分析ポリシー(NAP)(ある場合)。
- クライアントのオリジナル国(Original Client Country)
-
元のクライアントの IP アドレスが属する国。この値を取得するために、システムは元のクライアント IP アドレスを X-Forwarded-For(XFF)、True-Client-IP、またはカスタム定義の HTTP ヘッダーから抽出し、それを地理位置情報データベース(GeoDB)を使用して国にマップします。このフィールドに入力するには、元のクライアントに基づいてプロキシ
トラフィックを処理するアクセス コントロール ルールを有効にする必要があります。
- [元のクライアントのIP(Original Client IP)](Syslog:originalClientSrcIP)
-
X-Forwarded-For(XFF)、True-Client-IP、またはカスタム定義の HTTP ヘッダーからの、元のクライアント IP アドレス。このフィールドに入力するには、元のクライアントに基づいてプロキシ トラフィックを処理するアクセス
コントロール ルールを有効にする必要があります。
- プレフィルタ ポリシー (Syslog:Prefilter Policy)
-
接続を処理したプレフィルタ ポリシー。
- プロトコル (Syslog:Protocol)
-
Firepower Management Center の Web インターフェイスは、次のようになります。
接続に使用されるトランスポート プロトコルです。特定のプロトコルを検索するには、名前を使用するか、http://www.iana.org/assignments/protocol-numbers に記載されたプロトコルの番号を指定します。