- AccessControlRuleAction
-
接続をロギングした設定に関連付けられているアクション。
セキュリティ インテリジェンスによってモニタされている接続の場合、そのアクションは、接続によってトリガーされる最初のモニタ以外のアクセス コントロール ルールのアクションであるか、またはデフォルト アクションです。同様に、モニタ ルールに一致するトラフィックは常に後続のルールまたはデフォルト
アクションによって処理されるため、モニタ ルールによってロギングされた接続と関連付けられたアクションが [モニタ(Monitor)] になることはありません。ただし、モニタ ルールに一致する接続の相関ポリシー違反をトリガーする可能性があります。
アクション
|
説明
|
許可(Allow)
|
アクセス コントロールによって明示的に許可された、またはユーザがインタラクティブ ブロックをバイパスしたために許可された接続。
|
ブロック(Block)、リセットしてブロック(Block with reset)
|
次を含むブロックされた接続:
-
プレフィルタ ポリシーによってブロックされたトンネルおよびその他の接続
-
セキュリティ インテリジェンスによってブラックリストに載せられた接続
-
SSL ポリシーによってブロックされた暗号化接続
-
侵入ポリシーによってエクスプロイトがブロックされた接続
-
ファイル ポリシーによってファイル(マルウェアを含む)がブロックされた接続。
システムが侵入またはファイルをブロックする接続では、アクセス コントロールの許可ルールを使用してディープ インスペクションを呼び出す場合にも、システムはブロックを表示します。
|
高速パス(Fastpath)
|
プレフィルタ ポリシーによって高速パスが適用された暗号化されていないトンネルおよびその他の接続。
|
インタラクティブ ブロック(Interactive Block)、リセット付きインタラクティブ ブロック(Interactive Block with reset)
|
システムがインタラクティブ ブロック ルールを使用してユーザの HTTP 要求を最初にブロックしたときにログに記録された接続。システムにより表示される警告ページでユーザがクリックスルーすると、そのセッションでログに記録されるその後の接続に許可アクションが付きます。
|
信頼(Trust)
|
アクセス コントロールによって信頼された接続。デバイス モデルに応じて、システムは信頼された TCP 接続を別にログに記録します。
|
デフォルト アクション(Default Action)
|
アクセス コントロール ポリシーのデフォルト アクションによって処理される接続。
|
- AccessControlRuleName
-
接続を処理したアクセス コントロール ルールまたはデフォルト アクションと、その接続に一致した最大 8 つのモニタ ルール。
接続が 1 つのモニタ ルールに一致した場合、Firepower Management Center は接続を処理したルールの名前を表示し、その後にモニタ ルール名を表示します。接続が複数のモニタ ルールに一致した場合、一致するモニタ ルールの数が表示されます(Default Action + 2 Monitor Rules など)。
- AccessControlRuleReason
-
接続がロギングされた 1 つまたは複数の原因(使用可能な場合)。
IP ブロック、DNS ブロック、および URL ブロックの理由による接続には、固有のイニシエータ レスポンダ ペアごとに 15 秒のしきい値があります。システムがこれらのいずれかの接続をブロックした後、イベントを生成した時点から 15 秒の間、この
2 つのホスト間で接続がブロックされたとしても、ポートやプロトコルの違いに関わらず、接続イベントを生成しません。
- ACPolicy
-
接続をモニタしたアクセス コントロール ポリシー。
- ApplicationProtocol
-
接続で検出された、ホスト間の通信を表すアプリケーション プロトコル。
- クライアント
-
接続で検出されたクライアント アプリケーション。
接続に使用されている特定のクライアントをシステムが特定できなかった場合、このフィールドは汎用的な名称としてアプリケーション プロトコル名の後に「client」という語を付加して FTP client などと表示します。
- ClientVersion
-
接続で検出されたクライアント アプリケーションのバージョン(使用可能な場合)。
- Connection Counter
-
このフィールドはリリース 6.4.0.4 で追加されました。
ある接続と別の同時接続を区別するカウンタ。このフィールドは、それ自体には意味がありません。
Sensor UUID、First Packet Time、Connection Instance ID、および Connection Counter フィールドの情報を総合すると、接続イベントを識別できます。
- Connection Instance ID
-
このフィールドはリリース 6.4.0.4 で追加されました。
接続イベントを処理した Snort インスタンス。このフィールドは、それ自体には意味がありません。
Sensor UUID、First Packet Time、Connection Instance ID、および Connection Counter フィールドの情報を総合すると、接続イベントを識別できます。
- ConnectionDuration
-
このフィールドはバージョン 6.3 で導入されました。
このフィールドは、接続の最後にロギングが発生した場合にのみ、値が備わっています。接続開始の syslog メッセージでは、このフィールドは出力されません。その時点では不明であるためです。
接続終了の syslog メッセージでは、このフィールどは最初のパケットと最後のパケットまでの秒数が表示されます。短時間の接続ではゼロになることがあります。たとえば、syslog のタイムスタンプは 12時 34分: 56 と、ConnectionDuration
は 5、し、最初のパケットが観察された 12時 34分: 51 にします。
- DestinationSecurityGroup
-
このフィールドはリリース 6.5 で導入されました。
接続に関係する宛先のセキュリティグループ。
このフィールドと [DestinationSecurityGroupTag] は、名前と値のペアです。対応する DestinationSecurityGroupTag フィールドが値を持つ場合でも、このフィールドは不明である可能性があります。
SourceSecurityGroup と SourceSecurityGroupTag のフィールド定義も参照してください。
- DestinationSecurityGroupTag
-
このフィールドはリリース 6.5 で導入されました。
接続に関係する宛先のセキュリティ グループ タグ(SGT)属性。SGT は、信頼ネットワーク内のトラフィック宛先の権限を指定します。
DestinationSecurityGroup とこのフィールドは、名前と値のペアです。対応する DestinationSecurityGroup フィールドの値が不明な場合でも、このフィールドは値を持つ可能性があります。
「SourceSecurityGroupTag」も参照してください。
- DNS_Sinkhole
-
システムが接続をリダイレクトしたシンクホール サーバの名前。
- DNS_TTL
-
DNS サーバが DNS リソース レコードをキャッシュする秒数。
- DNSQuery
-
ドメイン名を検索するために接続でネーム サーバに送信された DNS クエリ。
- DNSRecordType
-
接続で送信された DNS クエリを解決するために使用された DNS リソース レコードのタイプ。
- DNSResponseType
-
問い合わせ時に接続でネーム サーバに返された DNS レスポンス。
- DNSSICategory
- 「URLSICategory」を参照してください。
- DstIP
-
セッションレスポンダの IP アドレス(宛先 IP アドレス)(および DNS 解決が有効化されている場合はホスト名)。
プレフィルタ ポリシーによってブロックされるか、高速パスが適用されたプレーン テキストのパススルー トンネルでは、送信元と宛先の IP アドレスはトンネル エンドポイント(トンネルの両側のネットワーク デバイスのルーテッド インターフェイス)を表します。
- DstPort
-
セッション レスポンダが使用するポート。
- EgressInterface
-
接続に関連付けられた出力インターフェイス。展開に非対称のルーティング設定が含まれている場合は、入力と出力のインターフェイスが同じインライン ペアに属する場合があります。
- EgressVRF
-
このフィールドのサポートはバージョン 6.6 で追加されました。
仮想ルーティングおよびフォワーディングを使用するネットワークでは、トラフィックがネットワークから出るときに通過する仮想ルータの名前。
- EgressZone
-
接続に関連付けられた出力セキュリティ ゾーン。
再ゾーン化されたカプセル化接続の場合、出力フィールドは空白になります。
- Endpoint Profile
-
ISE で指定されたユーザのエンドポイント デバイス タイプ。
- Event Priority
-
このフィールドはリリース 6.5 で追加されました。
接続イベントが優先度の高いイベントであるかどうか。高優先度(High
)イベントは、侵入、セキュリティ インテリジェンス、ファイル、またはマルウェアイベントに関連付けられた接続イベントです。他のすべてのイベントは低優先度(Low
)イベントです。
- FileCount
-
1 つ以上のファイル イベントに関連付けられている接続で検出またはブロックされたファイル(マルウェア ファイルを含む)の数。
- First Packet Time
-
このフィールドはリリース 6.4.0.4 で追加されました。
システムが最初のパケットを検出した時間。
Sensor UUID、First Packet Time、Connection Instance ID、および Connection Counter フィールドの情報を総合すると、接続イベントを識別できます。
- HTTPReferer
-
接続で検出された HTTP トラフィックの要求 URL の参照元を示す HTTP 参照元(他の URL へのリンクを提供した Web サイト、他の URL からリンクをインポートした Web サイトなど)。
- HTTPResponse
-
クライアントからの接続経由の HTTP 要求に応じて送信される HTTP ステータス コード。
- ICMPCode
-
セッションレスポンダが使用する ICMP コード。
- ICMPType
-
セッションイニシエータが使用する ICMP タイプ。
- IngressInterface
-
接続に関連付けられた入力インターフェイス。展開に非対称のルーティング設定が含まれている場合は、入力と出力のインターフェイスが同じインライン ペアに属する場合があります。
- IngressZone
-
接続に関連付けられた入力セキュリティ ゾーン。
再区分されたカプセル化接続では、元の入力セキュリティ ゾーンの代わりに、割り当てたトンネル ゾーンが入力フィールドに表示されます。
- InitiatorBytes
-
セッション イニシエータが送信した合計バイト数。
- InitiatorPackets
-
セッション イニシエータが送信した合計パケット数。
- IPReputationSICategory
- 「URLSICategory」を参照してください。
- IPSCount
-
接続に関連付けられた侵入イベント(ある場合)の数。
- NAPPolicy
-
イベントの生成に関連付けられているネットワーク分析ポリシー(NAP)(ある場合)。
- NetBIOSDomain
-
セッションで使用された NetBIOS ドメイン。
- originalClientSrcIP
-
X-Forwarded-For(XFF)、True-Client-IP、またはカスタム定義の HTTP ヘッダーからの、元のクライアント IP アドレス。このフィールドに入力するには、元のクライアントに基づいてプロキシ トラフィックを処理するアクセス
コントロール ルールを有効にする必要があります。
- Prefilter Policy
-
接続を処理したプレフィルタ ポリシー。
- Protocol
-
接続に使用されるトランスポート プロトコルです。特定のプロトコルを検索するには、名前を使用するか、http://www.iana.org/assignments/protocol-numbers に記載されたプロトコルの番号を指定します。
- ReferencedHost
-
接続のプロトコルが HTTP または HTTPS の場合、このフィールドにはそれぞれのプロトコルが使用していたホスト名が表示されます。
- ResponderBytes
-
セッションレスポンダが受信した合計バイト数。
- ResponderPackets
-
セッションレスポンダが受信した合計パケット数。
- SecIntMatchingIP
-
どの IP アドレスが一致します。
有効な値:なし、宛先、または送信元。
- セキュリティ グループ(Security Group)
-
リリース 6.5 では、このフィールドが SourceSecurityGroupTag フィールドに置き換えられ、SourceSecurityGroup、DestinationSecurityGroupTag、および DestinationSecurityGroup の新しいフィールドが導入されました。
接続に関係するパケットのセキュリティ グループ タグ(SGT)属性。SGT は、信頼ネットワーク内での、トラフィックの送信元の権限を指定します。セキュリティ グループ アクセス(Cisco TrustSec と Cisco ISE の両方に共通の機能)は、パケットがネットワークに入るときに属性を適用します。
- Sensor UUID
-
このフィールドはリリース 6.4.0.4 で追加されました。
イベントを生成した Firepower デバイスの一意の識別子。
Sensor UUID、First Packet Time、Connection Instance ID、および Connection Counter フィールドの情報を総合すると、接続イベントを識別できます。
- SourceSecurityGroup
-
このフィールドはリリース 6.5 で追加されました。
接続に関係する送信元のセキュリティグループ。
このフィールドと [SourceSecurityGroupTag] は、名前と値のペアです。対応する SourceSecurityGroupTag フィールドが値を持つ場合でも、このフィールドは不明である可能性があります。タグは、インラインデバイス(送信元 SGT 名が指定されていない)または ISE(送信元を指定する)から取得できます。
[DestinationSecurityGroup] と [DestinationSecurityGroupTag] も参照してください。
- SourceSecurityGroupTag
-
リリース 6.5 では、Security Group フィールドがこのフィールドに置き換えられました。
接続に関係するパケットのセキュリティ グループ タグ(SGT)属性。SGT は、信頼ネットワーク内での、トラフィックの送信元の権限を指定します。セキュリティ グループ アクセス(Cisco TrustSec と Cisco ISE の両方に共通の機能)は、パケットがネットワークに入るときに属性を適用します。
「DestinationSecurityGroupTag」も参加してください。
- SrcIP
-
セッションイニシエータ の IP アドレス(送信元 IP アドレス)(および DNS 解決が有効化されている場合はホスト名)。
プレフィルタ ポリシーによってブロックされるか、高速パスが適用されたプレーン テキストのパススルー トンネルでは、送信元と宛先の IP アドレスはトンネル エンドポイント(トンネルの両側のネットワーク デバイスのルーテッド インターフェイス)を表します。
- SrcPort
-
セッション イニシエータが使用するポート。
- SSLActualAction
-
システムが SSL ポリシーの暗号化トラフィックに適用したアクション。
アクション
|
説明
|
[ブロック(Block)/リセットしてブロック(Block With Reset)]
|
ブロックされた暗号化接続を表します。
|
[復号(再署名)(Decrypt (Resign))]
|
再署名サーバ証明書を使用して復号された発信接続を表します。
|
[復号(キーの交換)(Decrypt (Replace Key))]
|
置き換えられた公開キーと自己署名サーバ証明書を使用して復号化された発信接続を表します。
|
[復号(既知のキー)(Decrypt (Known Key))]
|
既知の秘密キーを使用して復号化された着信接続を表します。
|
[デフォルトアクション(Default Action)]
|
接続がデフォルト アクションによって処理されたことを示します。
|
[復号しない(Do not Decrypt)]
|
システムが復号化しなかった接続を表します。
|
- SSLCertificate
-
トラフィックを暗号化するための公開キー証明書に保存される次の情報:
-
サブジェクト/発行元共通名(Subject/Issuer Common Name)
-
サブジェクト/発行元組織(Subject/Issuer Organization)
-
サブジェクト/発行元組織単位(Subject/Issuer Organization Unit)
-
有効期間(Not Valid Before/After)
-
シリアル番号(Serial Number)
-
証明書フィンガープリント(Certificate Fingerprint)
-
公開キー フィンガープリント(Public Key Fingerprint)
- SSLExpectedAction
-
有効な SSL ルールで指定された、暗号化トラフィックに適用されると予想されるアクション。
- SSLFlowStatus
-
システムが暗号化されたトラフィックの復号化に失敗した理由。
-
不明(Unknown)
-
不一致(No Match)
-
成功(Success)
-
キャッシュされていないセッション(Uncached Session)
-
不明な暗号スイート(Unknown Cipher Suite)
-
サポートされていない暗号スイート(Unsupported Cipher Suite)
-
サポートされていない SSL バージョン(Unsupported SSL Version)
-
使用された SSL 圧縮(SSL Compression Used)
-
パッシブ モードで復号化できないセッション(Session Undecryptable in Passive Mode)
-
ハンドシェイク エラー(Handshake Error)
-
復号エラー(Decryption Error)
-
保留中のサーバ名カテゴリの検索(Pending Server Name Category Lookup)
-
保留中の共通名カテゴリの検索(Pending Common Name Category Lookup)
-
内部エラー(Internal Error)
-
使用不可能なネットワーク パラメータ(Network Parameters Unavailable)
-
無効なサーバ証明書の処理(Invalid Server Certificate Handle)
-
使用不可能なサーバ証明書フィンガープリント(Server Certificate Fingerprint Unavailable)
-
サブジェクト DN をキャッシュできない(Cannot Cache Subject DN)
-
発行元 DN をキャッシュできない(Cannot Cache Issuer DN)
-
不明な SSL バージョン(Unknown SSL Version)
-
使用不可能な外部証明書リスト(External Certificate List Unavailable)
-
使用不可能な外部証明書フィンガープリント(External Certificate Fingerprint Unavailable)
-
無効な内部証明書リスト(Internal Certificate List Invalid)
-
使用不可能な内部証明書リスト(Internal Certificate List Unavailable)
-
使用不可能な内部証明書(Internal Certificate Unavailable)
-
使用不可能な内部証明書フィンガープリント(Internal Certificate Fingerprint Unavailable)
-
使用不可能なサーバ証明書の検証(Server Certificate Validation Unavailable)
-
サーバ証明書の検証エラー(Server Certificate Validation Failure)
-
無効なアクション(Invalid Action)
- SSLPolicy
-
接続を処理した SSL ポリシー。
- SSLRuleName
-
接続を処理した SSL ルールまたはデフォルト アクションと、その接続に一致した最初のモニタ ルール。接続がモニタ ルールに一致した場合、フィールドには接続を処理したルールの名前が表示され、その後にモニタ ルール名が表示されます。
- SSLServerCertStatus
-
これは、認証ステータスの SSL ルール条件が設定されている場合にのみ適用されます。暗号化されたトラフィックが SSL ルールに一致すると、このフィールドに次のサーバの証明書のステータス値の 1 つ以上が表示されます。
復号できないトラフィックが SSL ルールと一致する場合、このフィールドには [未チェック(Not Checked)] と表示されます。
- SSLServerName
-
クライアントが暗号化された接続を確立した相手側サーバのホスト名。
- SSLSessionID
-
TLS/SSL ハンドシェイク時にクライアントとサーバ間でネゴシエートされた 16 進数セッション ID。
- SSLTicketID
-
TLS/SSL ハンドシェイク時に送信されたセッション チケット情報の 16 進数のハッシュ値。
- SSLURLCategory
-
暗号化接続でアクセスされた URL の URL カテゴリ
システムが TLS/SSL アプリケーションを識別またはブロックする場合、要求された URL は暗号化トラフィック内にあるため、システムは、SSL 証明書に基づいてトラフィックを識別します。したがって TLS/SSL アプリケーションの場合、このフィールドは証明書に含まれる一般名を表示します。
- SSLVersion
-
接続の暗号化に使用された TLS/SSL プロトコル バージョン。
-
不明
-
SSLv2.0
-
SSLv3.0
-
TLSv1.0
-
TLSv1.1
-
TLSv1.2
- SSSLCipherSuite
-
接続を暗号化するのに使用される暗号スイートを表すマクロ値。暗号スイート値の指定については、www.iana.org/assignments/tls-parameters/tls-parameters.xhtml を参照してください。
- TCPFlags
-
NetFlow データから生成された接続において、接続で検出された TCP フラグ。
- Tunnel または Prefilter Rule
-
トンネル ルール、プレフィルタ ルール、または接続を処理したプレフィルタ ポリシーのデフォルト アクション。
- URL
-
セッション中にモニタ対象のホストによって要求された URL。
- URLCategory
-
セッション中にモニタ対象ホストによって要求された URL のカテゴリ(使用可能な場合)。
- URLReputation
-
セッション中にモニタ対象ホストによって要求された URL のレピュテーション(使用可能な場合)。
- URLSICategory、DNSSICategory、IPReputationSICategory
-
接続でブラックリストに登録された URL、ドメイン、または IP アドレスを表すか、もしくはそれを含む、ブラックリストに登録されたオブジェクトの名前。セキュリティ インテリジェンスのカテゴリは、ネットワーク オブジェクトまたはグループ、ブラックリスト、カスタム
セキュリティ インテリジェンスのリストまたはフィード、監視に関連する TID カテゴリ、またはインテリジェンス フィードのカテゴリのいずれかの名前にすることができます。
- User
-
セッション イニシエータにログインしていたユーザ。このフィールドに [認証なし(No Authentication)] が入力されている場合、ユーザ トラフィックは次のようになります。
リリース 6.5 以降: 該当する場合、ユーザ名の前には <realm>\ が付いています。
- UserAgent
-
接続で検出された HTTP トラフィックから取得したユーザ エージェント文字列アプリケーションの情報。
- VLAN_ID
-
このフィールドはバージョン 6.3 で Syslog を介して使用できるようになりました。
接続をトリガーしたパケットに関連付けられている最内部 VLAN ID。
- WebApplication
-
接続で検出された HTTP トラフィックの内容または要求された URL を表す Web アプリケーション。
Web アプリケーションがイベントの URL に一致しない場合、そのトラフィックは通常、参照先のトラフィックです(アドバタイズメントのトラフィックなど)。システムは、参照先のトラフィックを検出すると、参照元のアプリケーションを保存し(可能な場合)、そのアプリケーションを
Web アプリケーションとして表示します。
HTTP トラフィックに含まれる特定の Web アプリケーションをシステムが特定できなかった場合、このフィールドには [Web ブランジング(Web Browsing)] と表示されます。