ワークフローを使用して表示および検索できるマルウェア イベントには、このセクションにリストするフィールドがあります。個別のイベントで利用可能な情報は、いつ、どのように生成されたかによって異なることに注意してください。
(注) |
ネットワーク向け AMP によってマルウェアとして識別されたファイルは、ファイル イベントとマルウェア イベントの両方を生成します。エンドポイント向け AMP によって生成されたマルウェア イベントには対応するファイル イベントはありません。また、ファイル イベントにはエンドポイント向け
AMP 関連のフィールドはありません。
|
syslog メッセージにはメッセージに初期値が入力され、たとえば、レトロスペクティブな判定などで FMC Web インターフェイスの同等なフィールドが更新されたとしても更新されません。
[アクション(Action)](syslog:FileAction)
ファイルを検出したファイル ポリシー ルールに関連したアクション、および関連するファイル アクション オプション。
AMP クラウド(AMP Cloud)
AMP for Endpoints イベントが発信された AMP クラウドの名前。
アプリケーション ファイル名(Application File Name)
AMP for Endpoints 検出が行われたときに、マルウェア ファイルにアクセスしていたクライアント アプリケーション。これらのアプリケーションはネットワーク検出またはアプリケーション制御とは関係ありません。
アプリケーション ファイル SHA256(Application File SHA256)
検出が行われたときに、AMP for Endpoints で検出された、または隔離されたファイルにアクセスした親ファイルの SHA-256 のハッシュ値。
[アプリケーション プロトコル(Application Protocol)](syslog:ApplicationProtocol)
管理対象デバイスがファイルを検出したトラフィックで使用されるアプリケーション プロトコル。
アプリケーション プロトコル カテゴリまたはタグ(Application Protocol Category or Tag)
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
アプリケーションのリスク(Application Risk)
接続で検出されたアプリケーション トラフィックに関連するリスク:Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するリスクがあります。このフィールドでは、それらのうち最も高いものが表示されます。
[アーカイブの深さ(Archive Depth)](syslog:ArchiveDepth)
アーカイブ ファイル内でファイルがネストされたレベル(存在する場合)。
[アーカイブ名(Archive Name)](syslog:ArchiveFileName)
マルウェア ファイルが含まれていたアーカイブ ファイル(ある場合)の名前。
アーカイブ ファイルの内容を表示するには、[分析(Analysis)] > [ファイル(Files)] にある、アーカイブ ファイルの一覧が表示されるいずれかのテーブルに移動し、アーカイブ ファイルのテーブルの行を右クリックしてコンテキスト メニューを開いてから、[アーカイブの内容の表示(View Archive
Contents)] をクリックします。
[SHA256 のアーカイブ(Archive SHA256)](syslog:ArchiveSHA256)
マルウェア ファイルを含むアーカイブ ファイル(ある場合)の SHA-256 ハッシュ値。
アーカイブ ファイルの内容を表示するには、[分析(Analysis)] > [ファイル(Files)] にある、アーカイブ ファイルの一覧が表示されるいずれかのテーブルに移動し、アーカイブ ファイルのテーブルの行を右クリックしてコンテキスト メニューを開いてから、[アーカイブの内容の表示(View
Archive Contents)] をクリックします。
ArchiveFileStatus(syslog のみ)
調査中のアーカイブのステータス。次のいずれかの値になります。
-
[保留中(Pending)]:アーカイブは調査中です
-
[取得済み(Extracted)]:調査が問題なく正常に実行されました
-
[失敗(Failed)]:システムのリソース不足のため調査に失敗しました。
-
[深度の超過(Depth Exceeded)]:調査は正常に実行されましたが、アーカイブがネストされた調査の深度を超過しました
-
[暗号化(Encrypted)]:部分的に正常に実行されましたが、アーカイブが暗号化されているか、暗号化されたアーカイブが含まれています
-
[調査できませんでした(Not Inspectable)]:部分的に正常に実行されましたが、ファイルは形式が不正であるか破損しています
ビジネスとの関連性(Business Relevance)
接続で検出されたアプリケーション トラフィックに関連するビジネス関連性:Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するビジネスとの関連性があります。このフィールドでは、それらのうち最も低いもの(関連が最も低い)が表示されます。
カテゴリ(Category)/ファイル タイプ カテゴリ(File Type Category)
ファイル タイプの一般的なカテゴリ(Office ドキュメント、アーカイブ、マルチメディア、実行可能ファイル、PDF ファイル、エンコード ファイル、グラフィック、システム ファイルなど)。
[クライアント(Client)](syslog:Client)
1 つのホストで実行され、ファイルを送信するためにサーバーに依存するクライアント アプリケーション。
クライアント カテゴリまたはタグ(Client Category or Tag)
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
Connection Counter (Syslog のみ)
ある接続と別の同時接続を区別するカウンタ。このフィールドは、それ自体には意味がありません。
[DeviceUUID]、[最初のパケット時間(First Packet Time)]、[接続インスタンスID(Connection Instance ID)]、および [接続数カウンタ(Connection Counter)] フィールドの情報を総合すると、特定のファイルまたはマルウェアイベントに関連付けられた接続イベントを一意に識別できます。
Connection Instance ID (Syslog のみ)
接続イベントを処理した Snort インスタンス。このフィールドは、それ自体には意味がありません。
[DeviceUUID]、[最初のパケット時間(First Packet Time)]、[接続インスタンスID(Connection Instance ID)]、および [接続数カウンタ(Connection Counter)] フィールドの情報を総合すると、特定のファイルまたはマルウェアイベントに関連付けられた接続イベントを一意に識別できます。
カウント(Count)
複数の同じ行を作成する制約を適用した後の、各行の情報に一致するイベントの数。
検出名(Detection Name)
検出されたマルウェアの名前。
ディテクタ(Detector)
マルウェアを識別した AMP for Endpoints ディテクタ(ClamAV、Spero、SHA など)。
デバイス
ファイルイベントおよび Firepower デバイスによって生成されたマルウェアイベントの場合は、ファイルを検出したデバイスの名前。
エンドポイント向け AMP によって生成されたマルウェア イベントと AMP クラウドによって生成されたレトロスペクティブ マルウェア イベントの場合は、Firepower Management Center の名前。
DeviceUUID (Syslog のみ)
イベントを生成したデバイスの一意の識別子。
[DeviceUUID]、[最初のパケット時間(First Packet Time)]、[接続インスタンスID(Connection Instance ID)]、および [接続数カウンタ(Connection Counter)] フィールドの情報を総合すると、特定のファイルまたはマルウェアイベントに関連付けられた接続イベントを一意に識別できます。
[後処理/ファイルの後処理(Disposition / File Disposition)](syslog:SHA_Disposition)
ファイルの性質:
- マルウェア
-
AMP クラウドでそのファイルがマルウェアとして分類された、ローカル マルウェア分析でマルウェアとして識別された、またはファイル ポリシーで定義されたマルウェアしきい値をファイルの脅威スコアが超えたことを示します。
- クリーン
-
AMP クラウドでそのファイルがクリーンとして分類されているか、ユーザがファイルをクリーン リストに追加したことを示します。クリーンのファイルがマルウェア テーブルに含められるのは、そのファイルがクリーンに変更された場合だけです。
- Unknown
-
システムが AMP クラウドに問い合わせましたが、ファイルの性質が割り当てられていませんでした。言い換えると、AMP クラウドがファイルを正しく分類していませんでした。
- Custom Detection
-
ユーザがカスタム検出リストにファイルを追加したことを示します。
- Unavailable
-
システムがAMPクラウドに問い合わせできなかったことを示します。この性質に関するイベントが、わずかながら存在する可能性があります。これは予期された動作です。
- [該当なし(N/A)]
-
[ファイル検出(Detect Files)] または [ファイル ブロック(Block Files)] ルールがファイルを処理し、Firepower Management Center が AMP クラウドに問い合わせなかったことを示します。
ファイルの後処理は、システムが AMP クラウドにクエリを実行したファイルについてのみ表示されます。
syslog フィールドには最初の後処理のみが反映されます。レトロスペクティブな判定を反映するようには更新されません。
ドメイン
ファイルイベントおよび Firepower デバイスによって生成されたマルウェアイベントの場合は、ファイルを検出したデバイスのドメイン。エンドポイント向け AMP によって生成されたマルウェア イベントおよび AMP クラウドによって生成される遡及的マルウェア
イベントの場合、イベントを報告した AMP クラウド接続に関連付けられたドメイン。
このフィールドは、マルチテナンシーのために Firepower Management Center を設定したことがある場合に表示されます。
DstIP(syslog のみ)
接続に応答したホストの IP アドレス。これは、FileDirection フィールドの値によってファイルの送信者または受信者の IP アドレスとなる場合があります。
FileDirection が Upload の場合、これはファイル受信者の IP アドレスです。
FileDirection が Download の場合、これはファイル送信者の IP アドレスです。
SrcIP も参照してください。
イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。
DstPort(syslog のみ)
DstIP で説明されている接続で使用されるポート。
イベント サブタイプ(Event Subtype)
マルウェア検出につながった AMP for Endpoints アクション([作成(Create)]、[実行(Execute)]、[移動(Move)]、[スキャン(Scan)] など)。
イベント タイプ(Event Type)
マルウェア イベントのサブタイプ。
[ファイル名(File Name)](syslog:FileName)
ファイルの名前。
ファイル パス(File Path)
AMP for Endpoints によって検出されたマルウェア ファイルのファイル パス(ファイル名を含まない)。
[ファイル ポリシー(File Policy)](syslog:FilePolicy)
ファイルを検出したファイル ポリシー。
[ファイル ストレージ/保存済み(File Storage / Stored)](syslog:FileStorageStatus)
イベントに関連付けられたファイルのストレージ ステータス:
- Stored
-
関連するファイルが現在保存されているすべてのイベントを返します。
- Stored in connection
-
関連するファイルが現在保存されているかどうかに関係なく、関連するファイルをシステムがキャプチャおよび保存したすべてのイベントを返します。
- Failed
-
関連するファイルをシステムが保存できなかったすべてのイベントを返します。
syslog フィールドには、初期のステータスのみが含まれています。これらのステータスは変更後のステータスを反映するようには更新されません。
ファイルのタイムスタンプ(File Timestamp)
AMP for Endpoints が検出したマルウェア ファイルが作成された日時。
FileDirection(syslog のみ)
接続中にファイルがダウンロードされたか、またはアップロードされたか。値は次のとおりです。
FileSandboxStatus(syslog のみ)
ファイルが動的分析のために送信されたかとその場合のステータスを示します。
First Packet Time (Syslog のみ)
システムが最初のパケットを検出した時間。
[DeviceUUID]、[最初のパケット時間(First Packet Time)]、[接続インスタンスID(Connection Instance ID)]、および [接続数カウンタ(Connection Counter)] フィールドの情報を総合すると、特定のファイルまたはマルウェアイベントに関連付けられた接続イベントを一意に識別できます。
FirstPacketSecond(syslog のみ)
ファイルのダウンロード フローまたはアップロード フローが開始された時刻。
イベントが発生した時刻がメッセージ ヘッダーのタイムスタンプにキャプチャされます。
HTTP 応答コード(HTTP Response Code)
ファイルの転送時にクライアントの HTTP 要求に応じて送信される HTTP ステータス コード。
IOC
マルウェア イベントが、接続に関与したホストに対する侵入の痕跡(IOC)をトリガーしたかどうか。AMP for Endpoints データが IOC ルールをトリガーした場合、タイプ AMP IOC で、完全なマルウェア イベントが生成されます。
メッセージ(Message)
マルウェア イベントに関連付けられる追加情報。ファイルイベントおよび Firepower デバイスによって生成されたマルウェアイベントでは、このフィールドは、後処理が変更された、つまり関連付けられたレトロスペクティブイベントがあるファイルに対してのみ入力されます。
Protocol(syslog のみ)
接続に使用されたプロトコル(TCP や UDP など)。
受信側の大陸(Receiving Continent)
ファイルを受信するホストの大陸。
受信側の国(Receiving Country)
ファイルを受信するホストの国。
受信側 IP(Receiving IP)
FMC の Web インターフェイスでは、次のようになります。
ファイルイベントおよび Firepower デバイスによって生成されたマルウェアイベントの場合は、ファイルを受信するホストの IP アドレス。
イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。
エンドポイント向け AMP によって生成されたマルウェアのイベントの場合、コネクタがイベントを報告したエンドポイントの IP アドレス。
syslog の同等のイベント(Firepower デバイスで生成されたイベントのみ)については、DstIP および SrcIP を参照してください。
受信側のポート(Receiving Port)
FMC の Web インターフェイスでは、次のようになります。
ファイルが検出されたトラフィックによって使用される宛先ポート。
Syslog と同等なものについては、DstIP および SrcIP と DstPort および SrcPort を参照してください。
[セキュリティ コンテキスト(Security Context)](syslog:Context)
トラフィックが通過した仮想ファイアウォール グループを識別するメタデータ。複数のコンテキスト モードで実行している 1 台以上の ASA FirePOWER デバイスを管理する場合、システムはこのフィールドのみを表示します。
送信側の大陸(Sending Continent)
ファイルを送信するホストの大陸。
送信側の国(Sending Country)
ファイルを送信するホストの国。
送信側のポート(Sending Port)
FMC の Web インターフェイスでは、次のようになります。
ファイルが検出されたトラフィックによって使用される送信元ポート。
同等な syslog については、DstIP および SrcIP と DstPort および SrcPort を参照してください。
[SHA256/ファイル SHA256/(SHA256/File SHA256)](syslog:FileSHA256)
ファイルの SHA-256 ハッシュ値。
SHA256 値を得るには、ファイルが次のいずれかによって処理されている必要があります。
-
[ファイルの保存(Store files)] が有効になっているファイル検出ファイル ルール。
-
[ファイルの保存(Store files)] が有効になっているファイル ブロック ファイル ルール。
-
マルウェア クラウド ルックアップ ファイル ルール
-
マルウェア ブロック ファイル ルール
-
AMP for Endpoints
また、この列には最後に検出されたファイル イベントおよびファイルの後処理を表し、ネットワーク ファイル トラジェクトリにリンクするネットワーク ファイル トラジェクトリ アイコンも表示されます。
[サイズ(KB)/ファイル サイズ(KB)(Size (KB) / File Size (KB))](syslog:FileSize)
FMC の Web インターフェイス:ファイルのサイズ(バイト単位)。
In syslog messages: The size of the file, in bytes.
ファイルが完全に受信される前にシステムがファイルのタイプを特定した場合は、ファイル サイズが計算されない場合があります。この状況では、このフィールドは空白です。
SperoDisposition(Syslog のみ)
SPERO 署名がファイル分析で使用されたかどうかを示します。有効な値:
-
ファイルで実行された Spero の検出
-
ファイルで実行されなかった Spero の検出
SrcIP(syslog のみ)
接続を開始したホストの IP アドレス。これは、FileDirection フィールドの値によってファイルの送信者または受信者の IP アドレスとなる場合があります。
FileDirection が Upload の場合、これはファイル送信者の IP アドレスです。
FileDirection が Download の場合、これはファイル受信者の IP アドレスです。
DstIP も参照してください。
イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。
SrcPort(syslog のみ)
SrcIP で説明されている接続で使用されるポート。
[SSL の実際のアクション(SSL Actual Action)](syslog:SSLActualAction)
システムが暗号化されたトラフィックに適用したアクション。
- Block または Block with reset
-
ブロックされた暗号化接続を表します。
- [復号(再署名)(Decrypt (Resign))]
-
再署名サーバ証明書を使用して復号された発信接続を表します。
- [復号(キーの交換)(Decrypt (Replace Key))]
-
置き換えられた公開キーと自己署名サーバ証明書を使用して復号化された発信接続を表します。
- [復号(既知のキー)(Decrypt (Known Key))]
-
既知の秘密キーを使用して復号化された着信接続を表します。
- [デフォルトアクション(Default Action)]
-
接続がデフォルト アクションによって処理されたことを示します。
- [復号しない(Do not Decrypt)]
-
システムが復号化しなかった接続を表します。
フィールド値は、検索ワークフロー ページの [SSL ステータス(SSL Status)] フィールドに表示されます。
[SSL 証明書情報(SSL Certificate Information)]
トラフィックを暗号化するための公開キー証明書に保存される次の情報:
-
サブジェクト/発行元共通名(Subject/Issuer Common Name)
-
サブジェクト/発行元組織(Subject/Issuer Organization)
-
サブジェクト/発行元組織単位(Subject/Issuer Organization Unit)
-
有効期間の開始/終了(Not Valid Before/After)
-
シリアル番号(Serial Number)、証明書フィンガープリント(Certificate Fingerprint)
-
公開キー フィンガープリント(Public Key Fingerprint)
syslog の場合は、SSLCertificate を参照してください。
[SSL 失敗の理由(SSL Failure Reason)](syslog:SSLFlowStatus)
システムが暗号化されたトラフィックの復号化に失敗した理由。
-
不明
-
不一致(No Match)
-
Success
-
キャッシュされていないセッション(Uncached Session)
-
不明な暗号スイート(Unknown Cipher Suite)
-
サポートされていない暗号スイート(Unsupported Cipher Suite)
-
サポートされていない SSL バージョン(Unsupported SSL Version)
-
使用された SSL 圧縮(SSL Compression Used)
-
パッシブ モードで復号化できないセッション(Session Undecryptable in Passive Mode)
-
ハンドシェイク エラー(Handshake Error)
-
復号エラー(Decryption Error)
-
保留中のサーバー名カテゴリの検索(Pending Server Name Category Lookup)
-
保留中の共通名カテゴリの検索(Pending Common Name Category Lookup)
-
内部エラー(Internal Error)
-
使用不可能なネットワーク パラメータ(Network Parameters Unavailable)
-
無効なサーバー証明書の処理(Invalid Server Certificate Handle)
-
使用不可能なサーバー証明書フィンガープリント(Server Certificate Fingerprint Unavailable)
-
サブジェクト DN をキャッシュできない(Cannot Cache Subject DN)
-
発行元 DN をキャッシュできない(Cannot Cache Issuer DN)
-
不明な SSL バージョン(Unknown SSL Version)
-
使用不可能な外部証明書リスト(External Certificate List Unavailable)
-
使用不可能な外部証明書フィンガープリント(External Certificate Fingerprint Unavailable)
-
無効な内部証明書リスト(Internal Certificate List Invalid)
-
使用不可能な内部証明書リスト(Internal Certificate List Unavailable)
-
使用不可能な内部証明書(Internal Certificate Unavailable)
-
使用不可能な内部証明書フィンガープリント(Internal Certificate Fingerprint Unavailable)
-
使用不可能なサーバー証明書の検証(Server Certificate Validation Unavailable)
-
サーバー証明書の検証エラー(Server Certificate Validation Failure)
-
無効なアクション(Invalid Action)
フィールド値は、検索ワークフロー ページの [SSL ステータス(SSL Status)] フィールドに表示されます。
SSL ステータス(SSL Status)
暗号化された接続を記録した、[SSL の実際の動作(SSL Actual Action)](SSL ルール、デフォルト アクション、または復号できないトラフィック アクション)に関連したアクション。[ロック(Lock)] アイコン()は、TLS/SSL 証明書の詳細にリンクしています。証明書を利用できない場合(たとえば、TLS/SSL ハンドシェイク エラーにより接続がブロックされる場合)、ロック アイコンはグレー表示になります。
システムが暗号化された接続の復号化に失敗した場合、実行された [SSL の実際のアクション(SSL Actual Action)](復号化できないトラフィック アクション)と [SSL 障害の理由(SSL Failure Reason)] が表示されます。たとえば、不明な暗号スイートによって暗号化されたトラフィックをシステムが検出し、それ以上のインスペクションをせずにこれを許可した場合、このフィールドには [復号しない(不明な暗号スイート)(Do Not Decrypt (Unknown
Cipher Suite))] が表示されます。
このフィールドを検索する場合は、[SSL の実際の動作(SSL Actual Action)] と [SSL 失敗理由(SSL Failure Reason)] の 1 つ以上の値を入力し、システムが処理した、または復号に失敗した暗号化トラフィックを表示します。
[SSL 件名/発行者の国(SSL Subject/Issuer Country)]
暗号化証明書に関連付けられた件名または発行元国の 2 文字の ISO 3166-1 alpha-2 国番号。
SSLCertificate(syslog のみ)
TLS/SSL サーバーの証明書のフィンガープリント。
[脅威の名前(Threat Name)](syslog:ThreatName)
検出されたマルウェアの名前。
[脅威スコア(Threat Score)](syslog:ThreatScore)
このファイルに関連付けられている最新の脅威スコア。これは、動的分析中に観察された悪意がある可能性がある動作に基づいた 0 ~ 100 の値です。
脅威スコア アイコンは、[動的分析要約(Dynamic Analysis Summary)] レポートにリンクされています。
Time
イベントが生成された日時。このフィールドは検索できません。
syslog メッセージでは、 FirstPacketSecond を参照してください。
[タイプ/ファイル タイプ(Type/File Type)](syslog:FileType)
ファイルのタイプ(HTML や MSEXE など)。
[URI/ファイル URI(URI/File URI)](syslog:URI)
ファイル トランザクションに関連付けられている接続の URI。たとえば、ユーザーがファイルをダウンロードした URL など。
[ユーザー(User)](syslog:User)
接続を開始した IP アドレスに関連付けられているユーザー名。この IP アドレスがネットワークの外部にある場合、関連付けられているユーザー名は通常不明です。
該当する場合、ユーザー名の前には <realm>\ が付いています。
ファイルイベントおよび Firepower デバイスによって生成されたマルウェアイベントの場合、このフィールドには、ID ポリシーまたは権限のあるログインによって決定されたユーザー名が表示されます。ID ポリシーがない場合、認証は必要ありませんと表示されます。
エンドポイント向け AMP によって生成されたマルウェア イベントの場合、エンドポイント向け AMP がユーザー名を判別します。これらのユーザーをユーザー検出または制御に関連付けることはできません。それらは [ユーザー(Users)] テーブルに含まれず、それらのユーザーの詳細を表示することもできません。
[Web アプリケーション(Web Application)](syslog:WebApplication)
接続で検出された HTTP トラフィックについて、内容を表すまたは URL を要求したアプリケーション。
Web アプリケーションのカテゴリまたはタグ(Web Application Category or Tag)
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。