カスタム テーブル

次のトピックでは、カスタム テーブルの使用方法について説明します。

カスタム テーブルの概要

Firepower システムがネットワークに関する情報を収集し、Firepower Management Center がその情報を一連のデータベース テーブルに保存します。結果として生成される情報を表示するためにワークフローを使用する場合、Firepower Management Center はそれらのテーブルのいずれかからデータを取り出します。たとえば、[カウント別のネットワーク アプリケーション(Network Applications by Count)] ワークフローの各ページのカラムは、[アプリケーション(Applications)] テーブルのフィールドから取得されます。

さまざまなテーブルのフィールドを結合することにより、ネットワークのアクティビティの分析が向上する場合、カスタム テーブルを作成できます。たとえば、定義済みの [Host Attributes] テーブルのホスト重大度情報と、定義済みの [Connection Data] テーブルのフィールドを結合してから、新しいコンテキストで接続データを検証できます。

定義済みのテーブルまたはカスタム テーブルのどちらについても、カスタム ワークフローを作成できます。

定義済みのカスタム テーブル

カスタム テーブルには、2 つまたは 3 つの定義済みテーブルのフィールドを含みます。Firepower System は、いくつかのシステム定義のカスタム テーブルと共に配布されますが、特定のニーズに適合する情報のみを含む追加のカスタム テーブルを作成できます。

たとえば、Firepower System は、侵入イベントとホスト データを相関するシステム定義のカスタム テーブルと共に配布されます。そのため、クリティカル システムに影響を及ぼすイベントを検索でき、1 つのワークフローにその検索結果を表示できます。

マルチドメイン展開では、定義済みのカスタム テーブルは、グローバル ドメインに属し、下位ドメインで変更することはできません。

次の表では、システムと共に提供されるカスタム テーブルについて説明します。

表 1. システム定義カスタム テーブル

テーブル

説明

ホストとサーバー(Hosts with Servers)

ホスト テーブルおよびサーバー テーブルのフィールドを含み、ネットワーク上で実行されている検出されたアプリケーションに関する情報やこれらのアプリケーションを実行するホストに関する基本的なオペレーティング システム情報を提供します。

侵入イベントと宛先重要度(Intrusion Events with Destination Criticality)

侵入イベント テーブルとホスト テーブルのフィールドを含み、侵入イベントに関する情報と各侵入イベントに含まれる宛先ホストのホスト重要度を提供します。

このテーブルを使用して、ホスト重要度の高い宛先ホストに関与する侵入イベントを検索できます。

侵入イベントと送信元重要度(Intrusion Events with Source Criticality)

侵入イベント テーブルとホスト テーブルのフィールドを含み、侵入イベントに関する情報と各侵入イベントに含まれる送信元ホストのホスト重要度を提供します。

このテーブルを使用して、ホスト重要度の高い送信元ホストに関与する侵入イベントを検索できます。

可能なテーブルの組み合わせ

カスタム テーブルを作成する場合、関連データのある定義済みのテーブルのフィールドを組み合わせことができます。次の表は、新しいカスタム テーブルを作成するために結合できる定義済みのテーブルをリストしています。2 つ以上の定義済みのカスタム テーブルのフィールドを組み合わせるカスタム テーブルを作成できます。

表 2. カスタム テーブルの組み合わせ

組み合わせ可能なカスタム テーブル

以下のテーブルのフィールドと結合可能

アプリケーション

  • 相関イベント(Correlation Events)

  • 侵入イベント(Intrusion Events)

  • 接続のサマリーデータ(Connection Summary Data)

  • ホスト属性(Host Attributes)

  • アプリケーションの詳細(Application Details)

  • 検出イベント(Discovery Events)

  • 接続イベント(Connection Events)

  • ホスト(Hosts)

  • サーバー

  • White イベントの一覧表示

相関イベント(Correlation Events)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

侵入イベント(Intrusion Events)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

  • サーバー

接続のサマリーデータ(Connection Summary Data)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

  • サーバー

ホストの侵害の兆候(Host Indications of Compromise)

  • アプリケーション

  • アプリケーションの詳細(Application Details)

  • キャプチャ ファイル(Captured Files)

  • 接続イベント(Connection Events)

  • 接続のサマリーデータ(Connection Summary Data)

  • 相関イベント(Correlation Events)

  • 検出イベント(Discovery Events)

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

  • 侵入イベント(Intrusion Events)

  • セキュリティ インテリジェンス イベント(Security Intelligence Events)

  • サーバー

  • White イベントの一覧表示

ホスト属性(Host Attributes)

  • アプリケーション

  • 相関イベント(Correlation Events)

  • 侵入イベント(Intrusion Events)

  • 接続のサマリーデータ(Connection Summary Data)

  • アプリケーションの詳細(Application Details)

  • 検出イベント(Discovery Events)

  • 接続イベント(Connection Events)

  • ホスト(Hosts)

  • サーバー

  • White イベントの一覧表示

アプリケーションの詳細(Application Details)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

検出イベント(Discovery Events)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

接続イベント(Connection Events)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

  • サーバー

セキュリティ インテリジェンス イベント(Security Intelligence Events)

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

  • サーバー

ホスト(Hosts)

  • アプリケーション

  • 相関イベント(Correlation Events)

  • 侵入イベント(Intrusion Events)

  • 接続のサマリーデータ(Connection Summary Data)

  • ホスト属性(Host Attributes)

  • アプリケーションの詳細(Application Details)

  • 検出イベント(Discovery Events)

  • 接続イベント(Connection Events)

  • サーバー

  • White イベントの一覧表示

サーバー

  • アプリケーション

  • 侵入イベント(Intrusion Events)

  • 接続のサマリーデータ(Connection Summary Data)

  • ホスト属性(Host Attributes)

  • 接続イベント(Connection Events)

  • ホスト(Hosts)

White イベントの一覧表示

  • アプリケーション

  • ホスト属性(Host Attributes)

  • ホスト(Hosts)

あるテーブルのフィールドが、別のテーブルの複数のフィールドにマップされる場合があります。たとえば、定義済みの [侵入イベントと送信先の致命度(Intrusion Events with Destination Criticality)] カスタム テーブルは、[侵入イベント(Intrusion Events)] テーブルと [ホスト(Hosts)] テーブルのフィールドを結合します。[侵入イベント(Intrusion Events)] テーブルの各イベントは、2 つの IP アドレス(送信元 IP アドレスと宛先 IP アドレス)と関連付けられています。しかし、[ホスト(Hosts)] テーブルの「イベント」はそれぞれ、単一のホスト IP アドレスを表します(ホストに複数の IP アドレスが存在する場合があります)。したがって、[侵入イベント(Intrusion Events)] テーブルと [ホスト(Hosts)] テーブルに基づいてカスタム テーブルを作成する場合は、[ホスト(Hosts)] テーブルから表示するデータが [侵入イベント(Intrusion Events)] テーブルのホストの送信元 IP アドレスまたはホストの宛先 IP アドレスのどちらに適用されるかを選択する必要があります。

新しいカスタム テーブルを作成すると、テーブルのすべてのカラムを表示するデフォルトのワークフローが自動的に作成されます。定義済みのテーブルと同じように、ネットワーク分析で使用するデータをカスタム テーブルで検索することもできます。定義済みのテーブルを使用して可能であるように、カスタム テーブルに基づいてレポートを作成できます。

ユーザー定義のカスタム テーブル


ヒント

新しいカスタム テーブルを作成する代わりに、別の Firepower Management Center からカスタム テーブルをエクスポートし、Firepower Management Center にインポートすることができます。

カスタム テーブルを作成するには、Firepower システムに付属しているどの定義済みテーブルに、カスタム テーブルに組み込むフィールドが含まれているかを判断します。その後、組み込むフィールドを選択できます。さらに、必要に応じて、共通フィールドのフィールド マッピングを設定することもできます。


ヒント

[ホスト(Hosts)] テーブルを含むデータでは、1 つの IP アドレスではなく、1 つのホストのすべての IP アドレスに関連したデータを表示できます。

例として、[相関イベント(Correlation Events)] テーブルと [ホスト(Hosts)] テーブルのフィールドを結合するカスタム テーブルについて考慮します。このカスタム テーブルを使用して、相関ポリシーの違反に関係するホストの詳細情報を取得できます。注意すべき点として、[相関イベント(Correlation Events)] テーブルの送信元 IP アドレスと宛先 IP アドレスのどちらと一致する [ホスト(Hosts)] テーブル データを表示するかを決定する必要があります。

このカスタム テーブルのイベントのテーブル ビューを表示する場合、相関イベントが 1 行に 1 つずつ表示されます。次の情報を含むようにカスタム テーブルを設定できます。

  • イベントが生成された日時

  • 違反された相関ポリシーの名前

  • 違反をトリガーとして使用した規則の名前

  • 相関イベントに関係する送信元ホスト(開始ホスト)に関連付けられた IP アドレス

  • 送信元ホストの NetBIOS 名

  • 送信元ホストが実行しているオペレーティング システムおよびバージョン

  • 送信元ホストの重大度


ヒント

宛先ホスト(応答ホスト)の同じ情報を表示する同様のカスタム テーブルを作成することもできます。

カスタム テーブルの作成

手順

ステップ 1

[分析(Analysis)] > [詳細(Advanced)] > [カスタムテーブル(Custom Tables)]を選択します。

ステップ 2

[カスタム テーブルの作成(Create Custom Table)] をクリックします。

ステップ 3

[名前(Name)] フィールドに、カスタム テーブルの名前を入力します。

例:

たとえば、Correlation Events with Host Information(Src IP)と入力します。
ステップ 4

[テーブル(Tables)] ドロップダウン リストから、[相関イベント(Correlation Events)] を選択します。

ステップ 5

[フィールド(Fields)] で [時間(Time)] を選択し、[追加(Add)] をクリックして、相関イベントが生成された日時を追加します。

ステップ 6

手順 5 を繰り返して、[ポリシー(Policy)] および [ルール(Rule)] フィールドを追加します。

ヒント 

Ctrl または Shift を押しながらクリックすることにより、複数のフィールドを選択できます。また、クリックしてドラッグすることで、隣接する複数の値を選択できます。ただし、テーブルに関連したイベントのテーブル ビューでフィールドが表示される順序を指定する場合は、フィールドを一度に 1 つずつ追加します。

ステップ 7

[テーブル(Tables)] ドロップダウンリストから [ホスト(Hosts)] を選択します。

ステップ 8

[IP アドレス(IP Address)]、[NetBIOS 名(NetBIOS Name)]、[OS 名(OS Name)]、[OS バージョン(OS Version)]、[ホストの重大度(Host Criticality)] フィールドをカスタム テーブルに追加します。

ステップ 9

[相関イベント(Correlation Events)] の隣にある [共通フィールド(Common Fields)] で、[送信元 IP(Source IP)] を選択します。

相関イベントに関係する送信元ホスト(開始ホスト)用に手順 8 で選択したホスト情報を表示するように、カスタム テーブルが設定されます。

ヒント 

相関イベントに関係する宛先ホスト(応答ホスト)に関する詳細なホスト情報を表示するカスタム テーブルを作成する場合も、この手順に従いますが、[送信元 IP(Source IP)] ではなく、[送信先 IP(Destination IP)] を選択します。

ステップ 10

[保存(Save)] をクリックします。

カスタム テーブルの変更

マルチドメイン展開では、現在のドメインで作成されたカスタム テーブルが表示されます。これは編集できます。先祖ドメインで作成されたカスタムテーブルも表示されますが、これは編集できません。下位のドメインのカスタムテーブルを表示および編集するには、そのドメインに切り替えます。

手順

ステップ 1

[分析(Analysis)] > [詳細(Advanced)] > [カスタムテーブル(Custom Tables)] を選択します。

ステップ 2

編集するテーブルの横にあるをクリックします。

代わりに 表示[表示(view)] ボタン が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

ステップ 3

削除するフィールドの横にあるをクリックして、テーブルからフィールドを削除することもできます。

(注)   

レポートで現在使用中のフィールドを削除すると、それらのフィールドを使用しているセクションをそれらのレポートから削除するか確認するプロンプトが表示されます。

ステップ 4

必要に応じて、その他の変更を実行します。

ステップ 5

[保存(Save)] をクリックします。

カスタム テーブルの削除

マルチドメイン導入では、現在のドメインで作成されたカスタム テーブルが表示されます。これは削除できます。先祖ドメインで作成されたカスタム テーブルも表示されますが、これは削除できません。下位のドメインのカスタム テーブルを削除するには、そのドメインに切り替えます。

手順

ステップ 1

[分析(Analysis)] > [詳細(Advanced)] > [カスタムテーブル(Custom Tables)]を選択します。

ステップ 2

削除するカスタムテーブルの隣にあるをクリックします。

コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

カスタム テーブルに基づくワークフローの表示

カスタム テーブルを作成すると、そのデフォルトのワークフローがシステムによって自動的に作成されます。このワークフローの最初のページには、イベントのテーブル ビューが表示されます。カスタム テーブルに侵入イベントを含める場合、ワークフローの 2 番目のページはパケット ビューになります。それ以外の場合、ワークフローの 2 番目のページはホスト ページになります。カスタム テーブルに基づいて、独自のカスタム ワークフローを作成することもできます。


ヒント

カスタム テーブルに基づいてカスタム ワークフローを作成する場合、それをそのテーブルのデフォルトのワークフローとして指定できます。

同じ手法を使用して、定義済みのテーブルに基づいたイベント ビューに使用するカスタム テーブルでイベントを表示できます。

マルチドメイン展開では、現在のドメインで作成されたカスタム テーブルが表示されます。これは編集できます。先祖ドメインで作成されたカスタムテーブルも表示されますが、これは編集できません。下位のドメインのカスタムテーブルを表示および編集するには、そのドメインに切り替えます。

手順

ステップ 1

[分析(Analysis)] > [詳細(Advanced)] > [カスタムテーブル(Custom Tables)]を選択します。

ステップ 2

表示するワークフローに関連するカスタムテーブルの隣にある 表示[表示(view)] ボタン をクリックします。

カスタム テーブルの検索

マルチドメイン展開では、現在のドメインで作成されたカスタム テーブルが表示されます。これは編集できます。先祖ドメインで作成されたカスタムテーブルも表示されますが、これは編集できません。下位のドメインのカスタムテーブルを表示および編集するには、そのドメインに切り替えます。

手順

ステップ 1

[分析(Analysis)] > [詳細(Advanced)] > [カスタムテーブル(Custom Tables)] を選択します。

ステップ 2

検索するカスタムテーブルの隣にある表示[表示(view)] ボタンをクリックします。

ヒント 

カスタム ワークフローなど、別のワークフローを使用するには、ワークフローのタイトルの横の [(ワークフローの切り替え)((switch workflow))] をクリックします。

ステップ 3

[検索(Search)] をクリックします。

ヒント 

別の種類のイベントやデータについてデータベースを検索する場合は、その種類をテーブル ドロップダウンリストから選択します。

ステップ 4

該当するフィールドに、検索条件を入力します。

複数のフィールドに条件を入力して検索すると、すべてのフィールドに対して指定された検索条件に一致するレコードのみが返されます。

ヒント 

検索基準としてオブジェクトを使用する場合は、検索フィールドの横にあるオブジェクト([オブジェクト(object)] アイコン [オブジェクト(object)] アイコン)をクリックします。

ステップ 5

必要に応じて、検索を保存する場合は、[プライベート(Private)] チェックボックスをオンにして、プライベートとして検索を保存すると、その検索に本人のみがアクセスできるようになります。本人のみではなくすべてのユーザを対象にする場合は、このチェックボックスをオフのままにして検索を保存します。

ヒント 

カスタム ユーザー ロールのデータの制限として検索を使用する場合は、必ずプライベート検索として保存する必要があります。

ステップ 6

必要に応じて、後で再度使用する検索を保存できます。次の選択肢があります。

  • [保存(Save)] をクリックして、検索条件を保存します。[プライベート(Private)] チェックボックスをオンにすると、その検索は本人のアカウントでのみ表示できるようになります。
  • 新しい検索を保存するか、以前保存した検索を変更して作成した検索に名前を割り当てるには、[新規に保存(Save As New)] をクリックします。[プライベート(Private)] チェックボックスをオンにすると、その検索は本人のアカウントでのみ保存および表示できるようになります。
ステップ 7

[検索(Search)] をクリックして、検索を開始します。

検索結果は、現在の時間範囲によって制限されている、カスタム テーブルのデフォルトのワークフローに表示されます(該当する場合)。