イベントには次の情報を含めることができます。イベントの詳細を表示したときに、この情報を確認できます。最も興味のある情報を表示するためにイベント ビューア テーブルに列を追加することもできます。
使用可能なフィールドの完全なリストを以下に示します。すべてのフィールドがすべてのイベント タイプに適用されるわけではありません。個別のイベントで入手可能な情報は、システムで接続が記録された方法、理由、時期によって異なる可能性があることに注意してください。
- アクション(Action)
-
接続イベントまたはセキュリティ インテリジェンス イベントの場合、接続をロギングしたアクセス制御ルールまたはデフォルト アクションに関連付けられたアクション。
- 許可
-
明示的に許可された接続。
- 信頼
-
信頼された接続。信頼ルールによって検出された TCP 接続の最初のパケットだけが接続終了イベントを生成します。システムは、最後のセッション パケットの 1 時間後にイベントを生成します。
- [ブロック(Block)]
-
ブロックされた接続。[ブロック(Block)] 動作は、次の条件下で、アクセス許可ルールに関連付けることができます。
-
侵入ポリシーによってエクスプロイトがブロックされた接続。
-
ファイル ポリシーによってファイルがブロックされた接続。
-
セキュリティ インテリジェンスによってブロックされた接続。
-
SSL ポリシーによってブロックされた接続。
- デフォルトアクション
-
接続がデフォルト アクションによって処理されました。
ファイル イベントまたはマルウェア イベントの場合は、ファイルが一致したルールのルール アクションに関連付けられたファイル ルール アクションと、すべての関連するファイル ルール アクションのオプション。
- 許可された接続(Allowed Connection)
-
システムがイベントのトラフィック フローを許可したかどうか。
- アプリケーション(Application)
-
接続で検出されたアプリケーション。
- アプリケーションのビジネスとの関連性(Application Business Relevance)
-
接続で検出されたアプリケーション トラフィックに関連するビジネス関連性:Very High、High、Medium、Low、または Very Low。接続で検出されたアプリケーションのタイプごとに、関連するビジネスとの関連性があります。このフィールドでは、それらのうち最も低いもの(関連が最も低い)が表示されます。
- アプリケーション カテゴリ、アプリケーション タグ(Application Categories、Application Tag)
-
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
- アプリケーションのリスク(Application Risk)
-
接続中で検出されたアプリケーション トラフィックに関連付けられたリスク:Very High、High、Medium、Low、Very Low。接続で検出されたアプリケーションのタイプごとに、関連するリスクがあります。このフィールドでは、それらのうち最も高いものが表示されます。
- ブロック タイプ(Block Type)
-
イベントでトラフィック フローが一致したアクセス制御ルールで指定されたブロックのタイプ:block または interactive block。
- クライアント アプリケーション、クライアント バージョン(Client Application、Client Version)
- 接続で検出されたクライアントのクライアント アプリケーションとバージョン。
- クライアントのビジネスとの関連性(Client Business Relevance)
-
接続で検出されたクライアント トラフィックに関連付けられたビジネスとの関連性:Very High、High、Medium、Low、Very Low。接続で検出されたクライアントのタイプごとに、ビジネスとの関連性が関連付けられます。このフィールドには、それらのうちの最も低いもの(関連性が最も薄いもの)が表示されます。
- クライアント カテゴリ、クライアント タグ(Client Category、Client Tag)
-
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
- クライアント リスク(Client Risk)
-
接続で検出されたクライアント トラフィックに関連付けられたリスク:Very High、High、Medium、Low、Very Low。接続で検出されたクライアントのタイプごとに、リスクが関連付けられます。このフィールドには、それらのうちの最も高いものが表示されます。
- 接続(Connection)
-
内部的に生成された、トラフィック フローの一意の ID。
- 接続ブロックタイプ インジケータ(Connection Blocktype Indicator)
-
イベントでトラフィック フローが一致したアクセス制御ルールで指定されたブロックのタイプ:block または interactive block。
- 接続のバイト数(Connection Bytes)
-
接続の合計バイト数。
- 接続時間(Connection Time)
-
接続の開始時刻。
- 接続タイムスタンプ(Connection Timestamp)
-
接続が検出された時刻。
- 拒否された接続(Denied Connection)
-
システムがイベントのトラフィック フローを拒否したかどうか。
- 宛先国または大陸(Destination Country and Continent)
-
受信ホストの国と大陸。
- 宛先 IP
-
侵入、ファイル、またはマルウェア イベントで受信側ホストによって使用された IP アドレス。
- 宛先ポート/ICMP コード、宛先ポート、宛先 Icode(Destination Port/ICMP Code; Destination Port; Destination Icode)
-
セッション レスポンダによって使用されたポートまたは ICMP コード。
- 宛先セキュリティグループタグ、宛先セキュリティグループタグ名
-
宛先に関連付けられている TrustSec セキュリティグループタグの番号と名前(存在する場合)。
- 方向(Direction)
-
ファイルの伝送方向。
- 判定結果(Disposition)
-
ファイルの評価:
- [マルウェア(Malware)]
-
Secure Malware Analytics Cloudでそのファイルがマルウェアとして分類されていること、またはファイルの脅威スコアが、ファイルポリシーで定義されたマルウェアしきい値を超えていることを示します。ローカルマルウェア分析では、ファイルをマルウェアとしてマークすることもできます。
- [クリーン(Clean)]
-
Secure Malware Analytics Cloudでそのファイルがクリーンとして分類されているか、ユーザーがファイルをクリーンリストに追加したことを示します。
- 不明
-
システムが Secure Malware Analytics Cloudに問い合わせましたが、ファイルの性質が割り当てられていませんでした。言い換えると、Secure Malware Analytics Cloudがファイルを正しく分類していませんでした。
- カスタム検出
-
ユーザがカスタム検出リストにファイルを追加したことを示します。
- 応対不可
-
システムが Secure Malware Analytics Cloudに問い合わせることができなかったことを示します。この評価を持つイベントのパーセンテージが低く表示される場合があります。これは、想定された動作です。
- [該当なし(N/A)]
-
ファイル検出ルールまたはファイルブロックルールでファイルが処理され、システムが Secure Malware Analytics Cloudに問い合わせなかったことを示します。
- [出力インターフェイス、出力セキュリティ ゾーン(gress Interface, Egress Security Zone)]
-
接続がデバイスから出たインターフェイスとゾーン。
- [出力仮想ルータ(Egress Virtual Router)]
-
宛先インターフェイスが属する仮想ルータ(存在する場合)の名前。
- イベント、イベント タイプ(Event、Event Type)
-
イベントのタイプ。
- イベント秒、イベント マイクロ秒(Event Seconds、Event Microseconds)
-
イベントが検出された、秒単位およびミリ秒単位の時間。
- ファイル カテゴリ(File Category)
-
ファイル タイプの一般的なカテゴリ:Office Documents、Archive、Multimedia、Executables、PDF files、Encoded、Graphics、System Files など。
- ファイル イベント タイムスタンプ(File Event Timestamp)
-
ファイルまたはマルウェア ファイルが作成された日時。
- ファイル名(File Name)
-
ファイルの名前です。
- ファイル ルール アクション(File Rule Action)
-
ファイルを検出したファイル ポリシー ルールに関連付けられたアクション、すべての関連するファイル ルール アクションのオプション。
- [ファイルSHA-256(File SHA-256)]
-
ファイルの SHA-256 ハッシュ値。
- ファイル サイズ(KB)(File Size (KB))
-
キロバイト単位のファイルのサイズ。ファイル サイズは、システムが受信を完了する前にファイルをブロックした場合に空白になる可能性があります。
- ファイル タイプ(File Type)
-
ファイルのタイプ(HTML や MSEXE など)。
- ファイル/マルウェア ポリシー(File/Malware Policy)
-
イベントの生成に関連付けられたファイル ポリシー。
- ファイルログ ブロックタイプ インジケータ(Filelog Blocktype Indicator)
-
イベントでトラフィック フローが一致したファイル ルールで指定されたブロックのタイプ:block または interactive block。
- ファイアウォール ポリシー ルール。ファイアウォール ルール(Firewall Policy Rule、Firewall Rule)
-
接続を処理したアクセス制御ルールまたはデフォルト アクション。
- 最初のパケット(First Packet)
-
セッションの最初のパケットが検出された日時。
- HTTP Referrer
-
接続で検出された HTTP トラフィックの要求された URL の参照元を表す HTTP 参照元(別の URL へのリンクを提供した Web サイトや別の URL からのリンクをインポートした Web サイトなど)。
- HTTP レスポンス(HTTP Response)
-
接続で、クライアントの HTTP 要求に応答して送信された HTTP ステータス コード。
- IDS 分類(IDS Classification)
-
イベントを生成したルールが属している分類。
- 入力インターフェイス、入力セキュリティ ゾーン(Ingress Interface、Ingress Security Zone)
-
接続がデバイスに入ったインターフェイスとゾーン。
- [入力仮想ルータ(Ingress Virtual Router)]
-
送信元インターフェイスが属する仮想ルータ(存在する場合)の名前。
- イニシエータ バイト、イニシエータ パケット(Initiator Bytes、Initiator Packets)
-
セッション イニシエータから送信されたバイトまたはパケットの総数。
- イニシエータの国と大陸(Initiator Country and Continent)
-
セッションを開始したホストの国と大陸。イニシエータ IP アドレスがルーティング可能な場合にのみ使用できます。
- イニシエータ IP(Initiator IP)
-
接続またはセキュリティ インテリジェンス イベントでセッションを開始したホスト IP アドレス(および DNS 解決が有効になっている場合のホスト名)。
- インライン結果(Inline Result)
-
システムがインライン モードで動作している場合に、侵入イベントをトリガーしたパケットをドロップしたまたはドロップするはずだったかどうか。空白は、トリガーされたルールが Drop and Generate Events に設定されていなかったことを示します。
- 侵入ポリシー(Intrusion Policy)
-
イベントを生成したルールが有効になっていた侵入ポリシー。
- IPS ブロックタイプ インジケータ(IPS Blocktype Indicator)
-
イベントでトラフィック フローが一致した侵入ルールのアクション。
- 最後のパケット(Last Packet)
-
セッションの最後のパケットが検出された日時。
- MPLS ラベル(MPLS Label)
-
この侵入イベントをトリガーしたパケットに関連付けられたマルチプロトコル ラベル スイッチング ラベル。
- マルウェア ブロックタイプ インジケータ(Malware Blocktype Indicator)
-
イベントでトラフィック フローが一致したファイル ルールで指定されたブロックのタイプ:block または interactive block。
- メッセージ(Message)
-
侵入イベントの場合は、イベントの説明テキスト。マルウェアまたはファイル イベントの場合は、マルウェア イベントに関連付けられた追加情報。
- NAT宛先IP
-
ネットワークアドレス変換(NAT)の対象となるパケットの場合は、変換後の宛先 IP アドレス。
- NAT宛先ポート
-
ネットワークアドレス変換(NAT)の対象となるパケットの場合は、変換後の宛先ポート。
- NAT送信元IP
-
ネットワークアドレス変換(NAT)の対象となるパケットの場合は、変換後の送信元 IP アドレス。
- NAT送信元ポート
-
ネットワークアドレス変換(NAT)の対象となるパケットの場合は、変換後の送信元ポート。
- NetBIOS ドメイン(NetBIOS Domain)
-
セッションで使用された NetBIOS ドメイン。
- 元のクライアントの国と大陸(Original Client Country and Continent)
-
セッションを開始した元のクライアント ホストの国と大陸。元の IP アドレスがルーティング可能な場合にのみ使用できます。
- 元のクライアント IP(Original Client IP)
-
HTTP 接続を開始したクライアントの元の IP アドレス。このアドレスは、X-Forwarded-For(XFF)ヘッダー フィールド、True-Client-IP HTTP ヘッダー フィールド、またはそれらの等価物から抽出されます。
- ポリシー、ポリシー リビジョン(Policy、Policy Revision)
-
イベントに関連付けられたアクセス(ファイアウォール)ルールを含む、アクセス コントロール ポリシーとそのリビジョン。
- 優先度(Priority)
-
Cisco Talos Intelligence Group(Talos):[高(high)]、 [中(medium)]、または [低(low)] によって決まるイベントの優先度。
- プロトコル(Protocol)
-
接続に使用されたトランスポート プロトコル。
- 理由(Reason)
-
次の表に説明する状況で、接続がロギングされた理由。これ以外の場合、このフィールドは空です。
理由
|
説明
|
[DNS ブロック(DNS Block)]
|
システムは検査を行わず、ドメイン名とセキュリティ インテリジェンス データに基づいて接続を拒否しました。DNS ブロックの理由は、DNS ルール アクションに応じて、Block、Domain not found、または Sinkhole のアクションとペア化されます。
|
DNS モニタ
|
システムが、ドメイン名とセキュリティ インテリジェンス データに基づいて接続を拒否するはずが、接続を拒否するのではなくモニタするように設定されていました。
|
エレファントフロー
|
接続は、エレファントフローと見なすのに十分な大きさです。このフローは、システム全体のパフォーマンスに影響を与えるのに十分な大きさです。デフォルトでは、エレファントフローとは 1GB/10 秒を超えるフローです。system support elephant-flow-detection コマンドを使用して、デバイス CLI でエレファントフローを識別するためのバイトしきい値と時間しきい値を調整できます。
|
ファイル ブロック
|
接続に、システムが送信を阻止するファイルまたはマルウェア ファイルが含まれていました。ファイル ブロックの理由は、必ず、Block のアクションとペア化されます。
|
ファイル カスタム検出
|
接続に、システムが送信を阻止するカスタム検出リストにあるファイルが含まれていました。
|
ファイル モニタ
|
システムが、接続に特定のタイプのファイルを検出しました。
|
ファイル再開許可
|
ファイル伝送が、元はファイル ブロック ルールまたはマルウェア ファイル ブロック ルールによってブロックされました。ファイルを許可する新しいアクセス コントロール ポリシーが展開された後、HTTP セッションが自動的に再開しました。
|
[ファイル復帰ブロック(File Resume Block)]
|
ファイル伝送が、元はファイル検出ルールまたはマルウェア クラウド ルックアップ ファイル ルールによって許可されました。ファイルをブロックする新しいアクセス コントロール ポリシーが展開された後、HTTP セッションが自動的に停止しました。
|
[侵入ブロック(Intrusion Block)]
|
システムが、接続で検出しエクスプロイト(侵入ポリシー違反)をブロックしたまたはブロックするはずでした。侵入ブロックの理由は、ブロックされたエクスプロイトの場合は Block のアクションと、ブロックされるはずだったエクスプロイトの場合は Allow
のアクションとペア化されます。
|
侵入モニタ
|
システムが、接続でエクスプロイト(侵入ポリシー違反)を検出しましたがブロックしませんでした。これは、トリガーされた侵入ルールの状態が Generate Events に設定されている場合に発生します。
|
IP ブロック
|
システムが検査する前に、IP アドレスとセキュリティ インテリジェンス データに基づいて接続を拒否しました。IP ブロックの理由は、必ず、Block のアクションとペア化されます。
|
保留中のルールの照合(Pending Rule Match)
|
これは、どのルールがマッチしているかをシステムが判断できるようになる前に接続が終了した場合に発生します。これらの短期間の接続(DNS ルックアップなど)は、通常、ファイアウォールを介して許可されます。特に、アクセス制御ポリシーの初めの部分にアプリケーションベースのルールがある場合、システムは少数のパケットを検査して、ルールがマッチしているか判断します。
|
SSL ブロック(SSL Block)
|
システムが、暗号化された接続を SSL インスペクション設定に基づいてブロックしました。[SSL ブロック(SSL Block)] の理由は必ず [ブロック(Block)] のアクションと対として組み合わされます。
|
[URLブロック(URL Block)]
|
システムが検査する前に、URL とセキュリティ インテリジェンス データに基づいて接続を拒否しました。URL ブロックの理由は、必ず、Block のアクションとペア化されます。
|
- 受信時間(Receive Times)
-
イベントが生成された日時。
- 参照ホスト(Referenced Host)
-
接続のプロトコルが HTTP または HTTPS の場合は、このフィールドにそれぞれのプロトコルで使用されていたホスト名が表示されます。
- レスポンダ バイト、レスポンダ パケット(Responder Bytes、Responder Packets)
-
セッション レスポンダから送信されたバイトまたはパケットの総数。
- レスポンダの国と大陸(Responder Country and Continent)
-
セッションに応答したホストの国と大陸。レスポンダ IP アドレスがルーティング可能な場合にのみ使用できます。
- レスポンダ IP(Responder IP)
-
接続またはセキュリティ インテリジェンス イベントのセッションレスポンダのホスト IP アドレス(および DNS 解決が有効になっている場合のホスト名)。
- SI カテゴリ ID(セキュリティ インテリジェンス カテゴリ)
-
ネットワーク名や URL オブジェクト名、フィードカテゴリの名前など、ブロック項目が含まれるオブジェクトの名前。
- 署名(Signature)
-
ファイル/マルウェア イベントの署名 ID。
- [ソースの国または大陸(Source Country and Continent)]
-
送信ホストの国と大陸。送信元 IP アドレスがルーティング可能な場合にのみ使用できます。
- 送信元 IP(Source IP)
-
侵入、ファイル、マルウェア イベントで送信側ホストによって使用された IP アドレス。
- 送信元ポート/ICMP タイプ、送信元ポート、送信元ポート Itype(Source Port/ICMP Type、Source Port、Source Port Itype)
-
セッション イニシエータによって使用されたポートまたは ICMP タイプ。
- 送信元セキュリティグループタグ、送信元セキュリティグループタグの名前
-
送信元に関連付けられている TrustSec セキュリティグループタグの番号と名前(存在する場合)。
- 実際のSSLアクション(SSL Actual Action)
-
システムによって接続に適用される実際のアクション。これは期待される動作とは異なることがあります。たとえば、接続が復号化を適用するルールと一致しても、いくつかの理由で復号化できないことがあります。
アクション
|
説明
|
ブロック/リセット付きブロック(Block/Block with reset)
|
ブロックされた暗号化接続を表します。
|
復号(再署名)
|
再署名サーバ証明書を使用して復号された発信接続を表します。
|
復号(キーの交換)
|
置換された公開キーによる自己署名サーバ証明書を使用して復号された発信接続を表します。
|
復号(既知のキー)
|
既知の秘密キーを使用して復号された着信接続を表します。
|
デフォルトアクション
|
接続がデフォルト アクションによって処理されたことを示します。
|
復号しない
|
システムが復号化しなかった接続を表します。
|
- SSL 証明書のフィンガープリント(SSL Certificate Fingerprint)
-
証明書の認証に使用する SHA ハッシュ値。
- SSL 証明書ステータス(SSL Certificate Status)
-
これは、証明書ステータス SSL ルールの条件を設定した場合にのみ適用されます。暗号化されたトラフィックが SSL ルールと一致する場合、次のサーバ証明書のステータス値の 1 つ以上がこのフィールドに表示されます。
-
自己署名
-
有効
-
署名が無効です
-
発行者が無効です
-
期限切れ
-
不明
-
まだ有効ではありません
-
破棄
復号できないトラフィックが SSL ルールと一致する場合、[チェックしていない(Not Checked)] がこのフィールドに表示されます。
- SSLサイファスイート(SSL Cipher Suite)
-
接続に使用された暗号スイート。
- 予期されたSSLアクション(SSL Expected Action)
-
接続が一致した SSL ルールで指定されたアクション。
- [SSLフローフラグ(SSL Flow Flags)]
-
暗号化された接続の最初の 10 デバッグ レベル フラグ。
- SSL フローメッセージ(SSL Flow Messages)
-
HELLO_REQUEST や CLIENT_HELLO など、SSL ハンドシェイク中にクライアントとサーバ間で交換された SSL/TLS メッセージ。TLS 接続で交換されたメッセージの詳細については、http://tools.ietf.org/html/rfc5246 を参照してください。
- SSL ポリシー(SSL Policy)
-
接続に適用された SSL 復号ポリシーの名前。
- SSL ルール(SSL Rule)
-
接続に適用された SSL 復号ルールの名前。
- SSL セッション ID(SSL Session ID)
-
SSL ハンドシェイク中にクライアントとサーバ間でネゴシエートされた 16 進数のセッション ID。
- SSL チケット ID(SSL Ticket ID)
-
SSL ハンドシェイク中に送信されたセッション チケット情報の 16 進数のハッシュ値。
- SSL URL カテゴリ(SSL URL Category)
-
SSL 復号処理中に決定された宛先 Web サーバの URL カテゴリ。
- SSL バージョン(SSL Version)
-
接続に使用された SSL/TLS バージョン。
- TCP フラグ(TCP Flags)
-
接続で検出された TCP フラグ。
- 合計パケット数(Total Packets)
-
接続で送信されたパケットの総数:イニシエータ パケット + レスポンダ パケット。
- URL、URL カテゴリ、URL レピュテーション、URL レピュテーション スコア(URL、URL Category、URL Reputation、URL Reputation Score)
-
セッション中にモニタ対象ホストによって要求された URL と、それに関連付けられたカテゴリ、レピュテーション、レピュテーション スコア(使用可能な場合)。
DNSルックアップ要求フィルタリングの場合、カテゴリとレピュテーションは[DNSクエリ]フィールドに表示されるFQDN用です。Web要求ではなくDNS要求に対してカテゴリ/レピュテーションルックアップが実行されるため、URLフィールドは空白になります。
システムが SSL アプリケーションを識別またはブロックした場合は、要求された URL が暗号化トラフィック内に存在するため、システムは SSL 証明書に基づいてトラフィックを識別します。したがって、SSL アプリケーションの場合は、URL が証明書に含まれている共通名を示します。
- ユーザ(user)
-
イニシエータ IP アドレスに関連付けられたユーザ。
- VLAN
-
イベントをトリガーしたパケットに関連付けられた一番内側の VLAN ID。
- Web アプリケーションのビジネスとの関連性(Web App Business Relevance)
-
接続で検出された Web アプリケーション トラフィックに関連付けられたビジネスとの関連性:Very High、High、Medium、Low、Very Low。接続で検出された Web アプリケーションのタイプごとに、ビジネスとの関連性が関連付けられます。このフィールドには、それらのうちの最も低いもの(関連性が最も薄いもの)が表示されます。
- Web アプリケーション カテゴリ、Web アプリケーション タグ(Web App Categories、Web App Tag)
-
Web アプリケーションの機能を理解するのに役立つ、Web アプリケーションの特性を示す基準。
- Web アプリケーション リスク(Web App Risk)
-
接続で検出された Web アプリケーション トラフィックに関連付けられたリスク:Very High、High、Medium、Low、Very Low。接続で検出された Web アプリケーションのタイプごとに、リスクが関連付けられます。このフィールドには、それらのうちの最も高いものが表示されます。
- Web アプリケーション(Web Application)
-
接続で検出された HTTP トラフィックの内容または要求された URL を表す Web アプリケーション。
Web アプリケーションがイベントの URL と一致しなかった場合は、そのトラフィックがアドバタイズメント トラフィックなどの参照先のトラフィックの可能性があります。システムが参照先のトラフィックを検出すると、参照元のアプリケーション(使用可能な場合)を保存し、そのアプリケーションを
Web アプリケーションとしてリストします。