アクセス コントロール ポリシー

侵入イベントを生成した侵入ポリシーを使用するアクセス コントロール ポリシーを 1 つ以上選択します。

アクセス コントロール ルール名

侵入イベントを生成した侵入ポリシーを使用するアクセス コントロール ルールの名前の全体またはその一部を入力します。

アプリケーション プロトコル

侵入イベントに関連付けられたアプリケーション プロトコルを 1 つ以上選択します。

アプリケーション プロトコル カテゴリ

アプリケーション プロトコルのカテゴリを 1 つ以上選択します。

分類

分類を 1 つ以上を選択します。

クライアント

侵入イベントに関連付けられたクライアントを 1 つ以上選択します。

クライアント カテゴリ

クライアントのカテゴリを 1 つ以上選択します。

接続先（国）または送信元（国）

侵入イベントの送信元または宛先 IP アドレスに関連付けられた国を 1 つ以上選択します。

宛先 IP、送信元 IP、送信元 IP と宛先 IP の両方、または、送信元 IP か宛先 IP のいずれか

単一の IP アドレスまたはアドレス ブロックを入力します。

宛先ポート/ICMP コードまたは送信元ポート/ICMP タイプ

送信元トラフィックのポート番号または ICMP タイプ、または宛先トラフィックのポート番号または ICMP コードを入力します。

デバイス

イベントを生成した可能性があるデバイスを 1 つ以上選択します。

ドメイン

1 つ以上のドメインを選択してください。マルチドメイン展開環境では、先祖ドメインによる制約条件がそのドメインの子孫によって報告されるデータにも適用されます。 このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

出力インターフェイスまたは入力インターフェイス

インターフェイスを 1 つ以上選択します。

出力セキュリティ ゾーンまたは入力セキュリティ ゾーン

1 つ以上のセキュリティ ゾーンまたはトンネルゾーンを選択します。

ジェネレータ ID

プリプロセッサを 1 つ以上選択します。

影響フラグ

侵入イベントに割り当てられた影響レベルを選択します。

NetFlow データからネットワークマップに追加されたホストに使用可能なオペレーティングシステムの情報はないので、システムは、それらのホストに作用する侵入イベントに対し脆弱な（インパクト レベル 1：赤）インパクトレベルを割り当てることができません。このような場合は、ホスト入力機能を使用して、ホストのオペレーティングシステム ID を手動で設定します。

インライン結果

システムは、侵入ポリシーの結果としてパケットを [ドロップした（dropped）] か [ドロップしたと想定（would have dropped）] したのかを選択します。

システムは、インライン展開、スイッチド展開、またはルーテッド展開のパケットをドロップできます。侵入ポリシーのドロップ動作や侵入ルール状態とは無関係に、パッシブ展開（インライン セットがタップ モードである場合を含む）ではシステムがパケットをドロップしません。

侵入ポリシー

侵入イベントを生成した侵入ポリシーを 1 つ以上選択します。

IOC タグ

侵入イベントの結果として侵害の兆候タグが設定されているかどうかを選択します。

プライオリティ

ルールの優先順位を選択します。

ルール ベースの侵入イベントの場合、優先順位は priority キーワードまたは classtype キーワードのいずれかの値に対応します。その他の侵入イベントの場合、プライオリティはデコーダまたはプリプロセッサによって決定されます。

プロトコル

http://www.iana.org/assignments/protocol-numbers にリストされているトランスポート プロトコルの名前または番号を入力します。

ルール メッセージ

ルール メッセージの全体またはその一部を入力します。

ルール SID

単一の [Snort ID]（SID）またはカンマ区切りの複数の SID を入力します。

演算子として [に含まれる（is in）] または [に含まれない（is not in）] を選択する場合、複数選択ポップアップ ウィンドウを使用することはできません。SID のカンマ区切りリストを入力する必要があります。

ルール タイプ

ルールをローカルにするかどうかを指定します。

ローカル ルールには、カスタマイズされた標準テキスト侵入ルール、ユーザが変更した標準テキスト ルール、見出し情報を変更してルールを保存するときに作成される共有オブジェクト ルールの新規インスタンスが含まれます。

実際の SSL アクション

システムが暗号化された接続をどのように処理したかを示す SSL ルール アクションを選択します。

SSL 証明書のフィンガープリント

トラフィックの暗号化に使用された証明書のフィンガープリントを入力するか、フィンガープリントに関連付けられたサブジェクトの共通名を選択します。

SSL 証明書のサブジェクトの共通名（CN）

セッションの暗号化に使用された証明書のサブジェクトの共通名のすべてまたはその一部を入力します。

SSL 証明書のサブジェクトの国（C）

セッションの暗号化に使用された証明書のサブジェクトの国番号を 1 つ以上選択します。

SSL 証明書のサブジェクトの組織（O）

セッションの暗号化に使用された証明書のサブジェクトの組織名のすべてまたはその一部を入力します。

SSL 証明書のサブジェクトの部門（OU）

セッションの暗号化に使用された証明書のサブジェクトの部門名のすべてまたはその一部を入力します。

SSL フローのステータス

システムによるトラフィック復号化試行の結果に基づくステータスを 1 つ以上選択します。

[ユーザ名（Username）]

侵入イベントで送信元ホストにログインしたユーザを示すユーザ名を入力します。

VLAN ID（Admin. VLAN ID）

侵入イベントをトリガーとして使用したパケットに関連付けられた最も内側の VLAN ID を入力します。

Web アプリケーション

侵入イベントに関連付けられた Web アプリケーションを 1 つ以上選択します。

Web アプリケーションのカテゴリ

Web アプリケーションのカテゴリを 1 つ以上選択します。

アプリケーション プロトコル

マルウェア イベントに関連付けられたアプリケーション プロトコルを 1 つ以上選択します。

アプリケーション プロトコル カテゴリ

アプリケーション プロトコルのカテゴリを 1 つ以上選択します。

クライアント

マルウェア イベントに関連付けられたクライアントを 1 つ以上選択します。

クライアント カテゴリ

クライアントのカテゴリを 1 つ以上選択します。

接続先（国）または送信元（国）

マルウェア イベントの送信元または宛先 IP アドレスに関連付けられた国を 1 つ以上選択します。

宛先 IP、ホスト IP、または送信元 IP

単一の IP アドレスまたはアドレス ブロックを入力します。

送信先ポート/ICMP コード

宛先トラフィックのポート番号または ICMP コードを入力します。

傾向

[マルウェア（Malware）] または [カスタム検出（Custom Detection）]、あるいはその両方を選択します。

ドメイン

1 つ以上のドメインを選択してください。マルチドメイン展開環境では、先祖ドメインによる制約条件がそのドメインの子孫によって報告されるデータにも適用されます。 このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

イベント タイプ（Event Type）

エンドポイント向け AMP により検出されたマルウェア イベントと関連付けられた 1 つ以上のイベント タイプを選択します。

ファイル名

ファイルの名前を入力します。

ファイル タイプ

ファイル タイプを選択します。

ファイル タイプ カテゴリ

ファイル タイプ カテゴリを 1 つ以上選択します。

IOC タグ

マルウェア イベントの結果として侵害の兆候タグが設定 [される（is）] か、設定 [されない（is not）] かを選択します。

SHA-256

ファイルの SHA-256 ハッシュ値を入力するか貼り付けます。

実際の SSL アクション

システムが暗号化された接続をどのように処理したかを示す SSL ルール アクションを選択します。

SSL 証明書のフィンガープリント

トラフィックの暗号化に使用された証明書のフィンガープリントを入力するか、フィンガープリントに関連付けられたサブジェクトの共通名を選択します。

SSL 証明書のサブジェクトの共通名（CN）

セッションの暗号化に使用された証明書のサブジェクトの共通名のすべてまたはその一部を入力します。

SSL 証明書のサブジェクトの国（C）

セッションの暗号化に使用された証明書のサブジェクトの国番号を 1 つ以上選択します。

SSL 証明書のサブジェクトの組織（O）

セッションの暗号化に使用された証明書のサブジェクトの組織名のすべてまたはその一部を入力します。

SSL 証明書のサブジェクトの部門（OU）

セッションの暗号化に使用された証明書のサブジェクトの部門名のすべてまたはその一部を入力します。

SSL フローのステータス

システムによるトラフィック復号化試行の結果に基づくステータスを 1 つ以上選択します。

送信元ポート/ICMP タイプ

送信元トラフィックのポート番号または ICMP タイプを入力します。

Web アプリケーション

マルウェア イベントに関連付けられた Web アプリケーションを 1 つ以上選択します。

Web アプリケーションのカテゴリ

Web アプリケーションのカテゴリを 1 つ以上選択します。

クライアントが変更された

クライアント更新

クライアントがタイムアウトになった

クライアント タイムアウト

ホスト IP アドレスが再使用されている

DHCP：IP アドレスの再割り当て

ホスト制限に達したためホストが削除された

ホスト削除：ホスト制限に到達

ホストがネットワーク デバイスとして識別されている

ネットワーク デバイスへのホスト タイプの変更

ホストがタイムアウトになった

ホスト タイムアウト

ホストの IP アドレスが変更された

DHCP：IP アドレスの変更

NETBIOS 名の変更が検出された

NETBIOS 名の変更

新しいクライアントが検出された

新しいクライアント

新しい IP ホストが検出された

新しいホスト

新しい MAC アドレスが検出された

ホストの追加 MAC の検出

新しい MAC ホストが検出された

新しいホスト

新しいネットワーク プロトコルが検出された

新しいネットワーク プロトコル

新しいトランスポート プロトコルが検出された

新しいトランスポート プロトコル

TCP ポートが閉じた

TCP ポート クローズ

TCP ポートがタイムアウトした

TCP ポート タイムアウト

UDP ポートが閉じた

UDP ポート クローズ

UDP ポートがタイムアウトした

UDP ポート タイムアウト

VLAN タグが更新された

VLAN タグ情報の更新

IOC が設定された

侵害の兆候

オープン TCP ポートが検出された

新しい TCP ポート

オープン UDP ポートが検出された

新しい UDP ポート

ホストの OS 情報が変更された

新しい OS

ホストの OS またはサーバー ID でコンフリクトが発生した

アイデンティティ競合

ホストの OS またはサーバー ID がタイムアウトした

アイデンティティ タイムアウト

任意のタイプのイベントがある

任意のイベント タイプ

MAC アドレスに関する新しい情報がある

MAC 情報の変更

TCP サーバーに関する新しい情報がある

TCP サーバ情報の更新

UDP サーバーに関する新しい情報がある

UDP サーバ情報の更新

アプリケーション プロトコル

アプリケーション プロトコルを 1 つ以上選択します。

アプリケーション プロトコル カテゴリ

アプリケーション プロトコルのカテゴリを 1 つ以上選択します。

アプリケーション ポート

アプリケーション プロトコルのポート番号を入力します。

クライアント

クライアントを 1 つ以上選択します。

クライアント カテゴリ

クライアントのカテゴリを 1 つ以上選択します。

クライアント バージョン

クライアントのバージョン番号を入力します。

デバイス

ディスカバリ イベントを生成した可能性があるデバイスを 1 つ以上選択します。

ドメイン

1 つ以上のドメインを選択してください。マルチドメイン展開環境では、先祖ドメインによる制約条件がそのドメインの子孫によって報告されるデータにも適用されます。 このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

ハードウェア

モバイル デバイスのハードウェア モデルを入力します。たとえば、すべての Apple iPhone に一致させるには iPhone と入力します。

ホスト タイプ

ホスト タイプを 1 つ以上選択します。ホスト、またはいずれかのタイプのネットワーク デバイスを選択できます。

IP アドレスまたは新しい IP アドレス

単一の IP アドレスまたはアドレス ブロックを入力します。

ジェイルブロークン

イベントのホストがジェイルブレイクされたモバイル デバイスであることを示すには [はいい（Yes）] を、そうでない場合は [いいえ（No）] を選択します。

MAC アドレス

ホストの MAC アドレス全体またはその一部を入力します。

たとえば、特定のハードウェア製造元のデバイスの MAC アドレスが 0A:12:34 で始まることがわかっている場合、演算子として [開始（begins with）] を選択し、値として 0A:12:34 を入力できます。

MAC タイプ

MAC アドレスが [ARP/DHCP で検出（ARP/DHCP Detected）] されたかどうかを選択します。

つまり、MAC アドレスがホストに属していることをシステムがポジティブに識別したのか（[ARP/DHCP で検出（is ARP/DHCP Detected）]）、または、管理対象デバイスとホストの間にルータがあるなどの理由で、その MAC アドレスを持つ多数のホストをシステムが認識しているのか（[ARP/DHCP で検出されない（is not ARP/DHCP Detected）]）を選択します。

MAC ベンダー

ディスカバリ イベントをトリガーとして使用したネットワーク トラフィックで使われている NIC の MAC ハードウェア ベンダーの名前全体またはその一部を入力します。

Mobile

イベントのホストがモバイル デバイスであることを示すには [はい（Yes）] を、そうでない場合は [いいえ（No）] を選択します。

NETBIOS 名

ホストの NetBIOS 名を入力します。

ネットワーク プロトコル

http://www.iana.org/assignments/ethernet-numbers にリストされているネットワーク プロトコル番号を入力します。

OS 名

オペレーティング システムの名前を 1 つ以上選択します。

OS ベンダー

オペレーティング システムのベンダーを 1 つ以上選択します。

OS バージョン

オペレーティング システムのバージョンを 1 つ以上選択します。

プロトコルまたは
トランスポート プロトコル

http://www.iana.org/assignments/protocol-numbers にリストされているトランスポート プロトコルの名前または番号を入力します。

ソース（Source）

ホスト入力データのソースを選択します（オペレーティング システムとサーバのアイデンティティ変更およびタイムアウトの場合）。

ソース タイプ

ホスト入力データのソースのタイプを選択します（オペレーティング システムとサーバのアイデンティティ変更およびタイムアウトの場合）。

VLAN ID（Admin. VLAN ID）

イベントに関連しているホストの VLAN ID を入力します。

Web アプリケーション

Web アプリケーションを選択します。

デバイス

ユーザ アクティビティを検出した可能性のあるデバイスを 1 つ以上選択します。

ドメイン

1 つ以上のドメインを選択してください。マルチドメイン展開環境では、先祖ドメインによる制約条件がそのドメインの子孫によって報告されるデータにも適用されます。 このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

IP アドレス

単一の IP アドレスまたはアドレス ブロックを入力します。

ユーザ名（Username）

ユーザー名を入力します。

クライアントが追加された

クライアントの追加（Add Client）

クライアントが削除された

クライアントの削除（Delete Client）

ホストが追加された

ホストの追加（Add Host）

プロトコルが追加された

プロトコルの追加（Add Protocol）

プロトコルが削除された

プロトコルの削除（Delete Protocol）

スキャン結果が追加された

スキャン結果の追加（Add Scan Result）

サーバー定義が設定された

サーバー定義の設定（Set Server Definition）

サーバーが追加された

ポートの追加（Add Port）

サーバーが削除された

ポートの削除（Delete Port）

脆弱性が無効とマークされた

脆弱性を無効に設定（Vulnerability Set Invalid）

脆弱性が有効とマークされた

脆弱性を有効に設定（Vulnerability Set Valid）

アドレスが削除された

ホスト/ネットワークの削除（Delete Host/Network）

属性値が削除された

ホスト属性値の削除（Host Attribute Delete Value）

属性値が設定された

ホスト属性値の設定（Host Attribute Set Value）

OS 定義が設定された

オペレーティング システム定義の設定（Set Operating System Definition）

ホストの重要度が設定された

ホスト重要度の設定（Set Host Criticality）

ドメイン

1 つ以上のドメインを選択してください。マルチドメイン展開環境では、先祖ドメインによる制約条件がそのドメインの子孫によって報告されるデータにも適用されます。 このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

[IPアドレス（IP Address）]

単一の IP アドレスまたはアドレス ブロックを入力します。

ソース（Source）

ホスト入力データのソースを選択します。

ソース タイプ（Source Type）

ホスト入力データのソースのタイプを選択します。

アクセス コントロール ポリシー

接続をログに記録したアクセス コントロール ポリシーを 1 つ以上選択します。

アクセス コントロール ルールのアクション

接続をログに記録したアクセス コントロール ルールに関連付けられたアクションを 1 つ以上選択します。

あとで接続を処理するルールまたはデフォルト アクションとは無関係に、ネットワーク トラフィックがいずれかのモニタ ルールの条件に一致した場合に相関イベントをトリガーとして使用するには、[モニタ（Monitor）] を選択します。

アクセス コントロール ルール

接続をログに記録したアクセス コントロール ルールの名前のすべてまたは一部を入力します。

あとで接続を処理したルールまたはデフォルト アクションとは無関係に、接続と一致した条件を持つモニタ ルールの名前を入力できます。

アプリケーション プロトコル

接続に関連付けられたアプリケーション プロトコルを 1 つ以上選択します。

アプリケーション プロトコル カテゴリ

アプリケーション プロトコルのカテゴリを 1 つ以上選択します。

クライアント

クライアントを 1 つ以上選択します。

クライアント カテゴリ

クライアントのカテゴリを 1 つ以上選択します。

クライアント バージョン

クライアントのバージョン番号を入力します。

接続時間

接続イベントの時間（秒数）を入力します。

接続タイプ

接続情報がどのように取得されたかに基づいて、相関ルールをトリガーするかどうかを指定します。

• エクスポートされた NetFlow データから生成された接続イベントに、[生成元（is）] および [Netflow] を選択します。

• Firepower システムの管理対象デバイスによって検出された接続イベントに、[生成元でない（is not）] および [Netflow] を選択します。

接続先（国）または送信元（国）

接続イベントの送信元または宛先 IP アドレスに関連付けられた国を 1 つ以上選択します。

デバイス

接続を検出したデバイスを 1 つ以上選択します。または（エクスポートされた NetFlow レコードからの接続データの場合）接続を処理したデバイスを 1 つ以上選択します。

ドメイン

1 つ以上のドメインを選択してください。マルチドメイン展開環境では、先祖ドメインによる制約条件がそのドメインの子孫によって報告されるデータにも適用されます。 このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

出力インターフェイスまたは入力インターフェイス

インターフェイスを 1 つ以上選択します。

出力セキュリティ ゾーンまたは入力セキュリティ ゾーン

1 つ以上のセキュリティ ゾーンまたはトンネルゾーンを選択します。

イニシエータ バイト数、レスポンダ バイト数、または合計バイト数

次のいずれかを入力します。

• 送信されたバイト数（[イニシエータ バイト数（Initiator Bytes）]）。

• 受信されたバイト数（[レスポンダ バイト数（Responder Bytes）]）。

• 送受信されたバイト数（[合計バイト数（Total Bytes）]）。

イニシエータ IP、レスポンダ IP、イニシエータ IP およびレスポンダ IP の両方、あるいはイニシエータ IP またはレスポンダ IP のいずれか

単一の IP アドレスまたはアドレス ブロックを指定します。

イニシエータ パケット数、レスポンダ パケット数、または合計パケット数

次のいずれかを入力します。

• 送信されたパケット数（[イニシエータ パケット（Initiator Packets）]）。

• 受信されたパケット数（[レスポンダ パケット数（Responder Packets）]）。

• 送受信されたパケット数（[合計パケット数（Total Packets）]）

イニシエータ ポート/ICMP タイプまたはレスポンダ ポート/ICMP コード

イニシエータ トラフィックのポート番号または ICMP タイプ、あるいはレスポンダ トラフィックのポート番号または ICMP コードを入力します。

IOC タグ

接続イベントにより侵害の兆候タグが設定 [される（is）] または設定 [されない（is not）] かどうかを指定します。

NetBIOS 名

接続におけるモニタ対象ホストの NetBIOS 名を入力します。

NetFlow デバイス

相関ルールをトリガーするために使用する NetFlow エクスポータの IP アドレスを選択します。ネットワーク検出ポリシーに NetFlow エクスポータを追加していない場合、[NetFlow デバイス（NetFlow Device）] ドロップダウン リストは空白になります。

プレフィルタ ポリシー

接続を処理したプレフィルタ ポリシーを 1 つ以上選択します。

理由（Reason）

接続イベントに関連付けられた理由を 1 つ以上選択します。

セキュリティ インテリジェンス カテゴリ（Security Intelligence Category）

接続イベントに関連付けられたセキュリティ インテリジェンスのカテゴリを 1 つ以上選択します。

接続終了イベントの条件としてセキュリティ インテリジェンス カテゴリを使用するには、アクセス コントロール ポリシーでカテゴリを [ブロック（Block）] ではなく [モニタ（Monitor）] に設定します。

実際の SSL アクション

システムが暗号化された接続をどのように処理したかを示す SSL ルール アクションを指定します。

SSL 証明書のフィンガープリント

トラフィックの暗号化に使用された証明書のフィンガープリントを入力するか、フィンガープリントに関連付けられたサブジェクトの共通名を選択します。

SSL 証明書ステータス（SSL Certificate Status）

セッションの暗号化に使用された証明書に関連付けられたステータスを 1 つ以上選択します。

SSL 証明書のサブジェクトの共通名（CN）

セッションの暗号化に使用された証明書のサブジェクトの共通名のすべてまたはその一部を入力します。

SSL 証明書のサブジェクトの国（C）

セッションの暗号化に使用された証明書のサブジェクトの国番号を 1 つ以上選択します。

SSL 証明書のサブジェクトの組織（O）

セッションの暗号化に使用された証明書のサブジェクトの組織名のすべてまたはその一部を入力します。

SSL 証明書のサブジェクトの部門（OU）

セッションの暗号化に使用された証明書のサブジェクトの部門名のすべてまたはその一部を入力します。

SSL 暗号スイート（SSL Cipher Suite）

セッションの暗号化に使用された暗号スイートを 1 つ以上選択します。

SSL 暗号化セッション（SSL Encrypted Session）

[正常に復号（Successfully Decrypted）] を選択します。

SSL フローのステータス

システムによるトラフィック復号化試行の結果に基づくステータスを 1 つ以上選択します。

SSL ポリシー

暗号化された接続をログに記録した SSL ポリシーを 1 つ以上選択します。

SSL ルール名

暗号化された接続をログに記録した SSL ルールの名前のすべてまたは一部を入力します。

SSL サーバ名

クライアントが暗号化された接続を確立したサーバの名前のすべてまたは一部を入力します。

SSL URL カテゴリ

暗号化された接続でアクセスされた URL のカテゴリを 1 つ以上選択します。

SSL バージョン

セッションの暗号化に使用された SSL または TLS バージョンを 1 つ以上選択します。

TCP フラグ

相関ルールをトリガーとして使用するために接続イベントに含まれていなければならない TCP フラグを選択します。NetFlow レコードから生成された接続データにのみ TCP フラグが含まれます。

トランスポート プロトコル

接続で使用されたトランスポート プロトコル：TCP または UDP を入力します。

トンネル/プレフィルタ ルール

接続を処理したトンネルまたはプレフィルタ ルールの名前のすべてまたは一部を入力します。

URL

接続でアクセスされた URL 全体またはその一部を入力します。

URL カテゴリ

接続でアクセスされた URL のカテゴリを 1 つ以上選択します。

URLレピュテーション

接続でアクセスされた URL のレピュテーション値を 1 つ以上選択します。

ユーザ名（Username）

接続でいずれかのホストにログインしたユーザのユーザ名を入力します。

Web アプリケーション

接続に関連付けられた Web アプリケーションを 1 つ以上選択します。

Web アプリケーションのカテゴリ

Web アプリケーションのカテゴリを 1 つ以上選択します。

接続数

検出された接続の合計数

または

平均より上または下の標準偏差の数（検出された接続数がこれを超えるとルールがトリガーとして使用されます）

接続

standard deviation(s)：標準偏差の数

合計バイト数、イニシエータ バイト数、またはレスポンダ バイト数

次のいずれかになります。

• 送信された合計バイト数（[合計バイト数（Total Bytes）]）

• 送信されたバイト数（[イニシエータ バイト数（Initiator Bytes）]）

• 受信されたバイト数（[レスポンダ バイト数（Responder Bytes）]）

または

平均より上または下の標準偏差の数（上の条件のいずれかはルールがトリガーとして使用される必要があります）

bytes

standard deviation(s)：標準偏差の数

合計パケット数、イニシエータ パケット数、またはレスポンダ パケット数

次のいずれかになります。

• 送信された合計パケット数（[合計パケット数（Total Packets）]）

• 送信されたパケット数（[イニシエータ パケット（Initiator Packets）]）

• 受信されたパケット数（[レスポンダ パケット数（Responder Packets）]）

または

平均より上または下の標準偏差の数（上の条件のいずれかはルールがトリガーとして使用される必要があります）

packets

standard deviation(s)：標準偏差の数

一意のイニシエータ

セッションを開始した個別のホストの数

または

平均より上または下の標準偏差の数（検出された一意のイニシエータ数はルールがトリガーとして使用される必要があります）

initiators：イニシエータ数

standard deviation(s)：標準偏差の数

一意のレスポンダ

セッションに応答した個別のホストの数

または

平均より上または下の標準偏差の数（検出された一意のレスポンダ数はルールがトリガーとして使用される必要があります）

responders：レスポンダ数

standard deviation(s)：標準偏差の数

[アプリケーション プロトコル（Application Protocol）] > [アプリケーション プロトコル（Application Protocol）]

アプリケーション プロトコルを選択します。

[アプリケーション プロトコル（Application Protocol）] > [アプリケーション ポート（Application Port）]

アプリケーション プロトコルのポート番号を入力します。

[アプリケーション プロトコル（Application Protocol）] > [プロトコル（Protocol）]

プロトコルを選択します。

[アプリケーション プロトコル カテゴリ（Application Protocol Category）]

カテゴリを選択します。

[クライアント（Client）] > [クライアント（Client）]

クライアントを選択します。

[クライアント（Client）] > [クライアント バージョン（Client Version）]

クライアント バージョンを入力します。

[クライアント カテゴリ（Client Category）]

カテゴリを選択します。

ドメイン

1 つ以上のドメインを選択してください。マルチドメイン展開環境では、先祖ドメインによる制約条件がそのドメインの子孫によって報告されるデータにも適用されます。このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

ハードウェア

モバイル デバイスのハードウェア モデルを入力します。たとえば、すべての Apple iPhone に一致させるには iPhone と入力します。

[ホストの重要度（Host Criticality）]

ホストの重要度を選択します。

ホスト タイプ

ホスト タイプを 1 つ以上選択します。通常のホスト、またはいずれかのタイプのネットワーク デバイスを選択できます。

[IOC タグ（IOC Tag）]

侵害の兆候タグを 1 つ以上選択します。

ジェイルブロークン

イベントのホストがジェイルブレイクされたモバイル デバイスであることを示すには [はいい（Yes）] を、そうでない場合は [いいえ（No）] を選択します。

[MAC アドレス（MAC Address）] > [MAC アドレス（MAC Address）]

ホストの MAC アドレス全体またはその一部を入力します。

[MAC アドレス（MAC Address）] > [MAC タイプ（MAC Type）]

MAC タイプが ARP/DHCP で検出されるかどうかを選択します。

• システムは MAC アドレスがホストに属していることをポジティブに識別した（[ARP/DHCP で検出（is ARP/DHCP Detected）]）

• たとえば、デバイスとホスト間にはルータがあるため、システムはその MAC アドレスを持つ多くのホストを認識している（[ARP/DHCP で検出されない（is not ARP/DHCP Detected）]）

• MAC タイプが無関係（[どれでもない（is any）]）

[MAC ベンダー（MAC Vendor）]

ホストが使用するハードウェアの MAC ベンダー全体またはその一部を入力します。

Mobile

イベントのホストがモバイル デバイスであることを示すには [はい（Yes）] を、そうでない場合は [いいえ（No）] を選択します。

[NetBIOS 名（NetBIOS Name）]

ホストの NetBIOS 名を入力します。

ネットワーク プロトコル

http://www.iana.org/assignments/ethernet-numbers にリストされているネットワーク プロトコル番号を入力します。

[オペレーティング システム（Operating System）] > [OS ベンダー（OS Vendor）]

オペレーティング システムのベンダー名を 1 つ以上選択します。

[オペレーティング システム（Operating System）] > [OS 名（OS Name）]

オペレーティング システムの名前を 1 つ以上選択します。

[オペレーティング システム（Operating System）] > [OS バージョン（OS Version）]

オペレーティング システムのバージョンを 1 つ以上選択します。

[トランスポート プロトコル（Transport Protocol）]

http://www.iana.org/assignments/protocol-numbers にリストされているトランスポート プロトコルの名前または番号を入力します。

VLAN ID（Admin. VLAN ID）

ホストの VLAN ID 番号を入力します。

Web アプリケーション

Web アプリケーションを選択します。

[Web アプリケーションのカテゴリ（Web Application Category）]

カテゴリを選択します。

使用可能な任意のホスト属性（デフォルト コンプライアンス white リスト ホスト属性を含む）

ホスト属性タイプに応じて適切な値を入力または選択します。

認証プロトコル（Authentication Protocol）

ユーザを検出するために使用される認証プロトコル（またはユーザ タイプ）プロトコルを選択します。

部署名（Department）

部署を入力します。

ドメイン（Domain）

1 つ以上のドメインを選択してください。マルチドメイン展開環境では、先祖ドメインによる制約条件がそのドメインの子孫によって報告されるデータにも適用されます。 このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。

E メール

電子メール アドレスを入力します。

名

名を入力します。

姓

姓を入力します。

電話

電話番号を入力します。

ユーザ名（Username）

ユーザー名を入力します。