- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
イベントの検索
シスコのアプライアンスは、データベース テーブルにイベントとして保存される情報を生成します。イベントには、アプライアンスがイベントを生成する原因となったアクティビティを示すいくつかのフィールドが含まれます。
FireSIGHT システムに備わっている定義済みの検索設定をサンプルとして使用すると、ネットワークに関する重要な情報にすばやくアクセスできます。ネットワーク環境に合わせて定義済み検索設定のフィールドを変更し、検索設定を保存して、あとで再利用することができます。また、独自の検索条件を使用することもできます。
検索の種類に応じて、使用できる検索条件は異なりますが、メカニズムは同じです。検索の実行方法と、検索フィールドで使用する正しい構文の詳細については、以下の項を参照してください。
検索設定の実行と保存
任意のイベント タイプに関する検索設定を作成し、保存することができます。検索設定を作成するときには、その検索設定の名前を付け、それを自分だけで使用するか、それともアプライアンスの全ユーザが使用できるようにするかを指定します。カスタム ユーザ ロールのデータの制限として検索を使用する場合は、 必ず プライベート検索として保存する必要があります。
(注
) カスタム テーブルを検索する場合には、少し異なる手順に従います(カスタム テーブルの検索を参照)。
検索の実行
いくつかのイベント タイプに関しては、FireSIGHT システムに備わっている定義済みの検索設定をサンプルとして使用すると、ネットワークについての重要な情報にすばやくアクセスできます。ネットワーク環境に合わせて定義済み検索設定のフィールドを変更し、検索設定を保存して、あとで再利用することができます。また、独自の検索条件を使用することもできます。
アクセス: Admin/Any Security Analyst
手順 1 [分析(Analysis)] > [検索(Search)] を選択します。
手順 2 テーブルのドロップダウン リストから、検索するイベント タイプまたはデータを選択します。
– 値を 1 つのみ含むことができるフィールドの場合、検索条件に一致するのは、指定したフィールドに引用符内の文字列と同じ文字列が含まれるレコードです。たとえば、 A, B, "C, D, E" を検索すると、指定したフィールドに「 A 」または「 B 」または「 C, D, E 」を含むレコードが一致します。これにより、使用できる値にカンマを含むフィールドでの一致が可能です。
– 同時に複数の値を含むことができるフィールドの場合、引用符で囲んだカンマ区切りリスト内のすべての値が指定したフィールドに含まれるレコードが検索条件に一致します。
– 同時に複数の値を含むことができるフィールドについては、引用符で囲んだカンマ区切りリストだけでなく、単一の値も検索条件に使用することができます。たとえば、 A, B, "C, D, E" をこれらの文字の 1 つまたは複数を含むことができるフィールドで検索すると、指定したフィールドに A または B 、または C 、 D 、 E のすべてを含むレコードが一致します。
- 検索により、すべてのフィールドに対して指定した検索条件と一致するレコードのみが返されます。
- 多くのフィールドでは、ワイルドカードとして 1 つ以上のアスタリスク(
*)を受け入れます。 - フィールドでその情報を利用できないイベントを示すには、そのフィールドで
n/aを指定します。フィールドに情報が入力されているイベントを示すには!n/aを使用します。 - 検索条件としてオブジェクトを使用するには、検索フィールドの横に表示されるオブジェクトの追加アイコン(
)をクリックします。
手順 4 使用可能な検索条件の詳細については、次の項を参照してください。
- 監査レコードの検索
- アプリケーションの検索
- アプリケーションの詳細の検索
- キャプチャ ファイルの検索
- コンプライアンス ホワイト リスト イベントの検索
- 接続およびセキュリティ インテリジェンスのデータの検索
- 相関イベントの検索
- ディスカバリ イベントの検索
- ファイル イベントの検索
- ヘルス イベントの検索
- ホスト属性の検索
- ホストの検索
- 侵入イベントの検索
- マルウェア イベントの検索
- [ルール アップデートのインポート ログ(Rule Update Import Log)] の検索
- 修復ステータス イベントの検索
- スキャン結果の検索
- サーバの検索
- サードパーティの脆弱性の検索
- ユーザの検索
- ユーザ アクティビティの検索
- 脆弱性の検索
- ホワイト リスト違反の検索
手順 5 必要に応じて検索を保存する場合は、[プライベート(Private)] チェックボックスをオンにしてプライベートとして検索を保存すると、本人だけがアクセスできるようになります。本人のみではなくすべてのユーザを対象にする場合は、このチェックボックスをオフのままにして検索を保存します。
ヒント カスタム ユーザ ロールのデータの制限として検索を使用する場合は、必ずプライベート検索として保存する必要があります。
手順 6 必要に応じて、後で再度使用する検索を保存できます。次の選択肢があります。
新しい検索の場合、ダイアログボックスに検索の名前を要求するプロンプトが表示されます。一意の検索名を入力して [保存(Save)] をクリックします。保存済みの既存の検索で新しい条件を保存する場合、プロンプトは表示されません。検索が保存され([プライベート(Private)] を選択した場合は本人のアカウントでのみ閲覧可能)、後で実行できます。
ダイアログボックスに検索の名前を要求するプロンプトが表示されます。一意の検索名を入力して [保存(Save)] をクリックします。検索が保存され([プライベート(Private)] を選択した場合は本人のアカウントでのみ閲覧可能)、後で実行できます。
手順 7 検索を開始するには、[検索(Search)] ボタンをクリックします。
検索結果は、検索されるテーブルのデフォルト ワークフローで表示され、該当する場合には時間で制約されます。カスタム ワークフローなど、別のワークフローを使用するには、ワークフローのタイトルの横の [ワークフロー切り替え(switch workflow)] をクリックします。別のデフォルト ワークフローの指定方法については、イベント ビュー設定の設定を参照してください。スキャン結果には別のワークフローを使用 できない ことに注意してください。
保存済み検索設定のロード
以前に検索設定を保存した場合、それをロードし、必要に応じて修正して、検索を開始することができます。
アクセス: Admin/Any Security Analyst
手順 2 [カスタム検索(Custom Searches)] リストまたは [定義済み検索(Predefined Searches)] リストから、ロードする検索を選択します。
保存済み検索設定の削除
保存済みの検索設定がある場合、[検索(Search)] ページからそれらを削除できます。
アクセス: Admin/Any Security Analyst
手順 2 [カスタム検索(Custom Searches)] リストから削除する検索を選択して、検索名の横に表示される削除アイコン(
)をクリックします。
検索でのワイルドカードと記号の使用
検索ページの多くのテキスト フィールドでは、文字列内の文字に一致させるためのアスタリスク(*)を使用できます。たとえば net* と指定すると、 network 、 netware 、 netscape などに一致します。
英数字以外の文字(アスタリスク文字を含む)を検索するには、検索文字列を引用符で囲みます。たとえば、次の文字列を検索するには、
ワイルドカードを使用できるテキスト フィールドで、部分的な文字列に一致させるには、ワイルドカードを使用する 必要 があることに注意してください。たとえば、ページ ビューを含む(つまりメッセージが「ページ ビュー(Page View)」である)すべての監査レコードを監査ログ内で検索する場合、「 Page 」を検索しても結果は返されません。代わりに、「 Page* 」と指定してください。
検索でのオブジェクトとアプリケーション フィルタの使用
FireSIGHT システムでは、ネットワーク構成の一部として使用可能な名前付きオブジェクト、オブジェクト グループ、およびアプリケーション フィルタを作成できます。検索を実行または保存するときには、検索条件としてこれらのオブジェクト、グループ、およびフィルタを使用できます。
検索を実行するときに、オブジェクト、オブジェクト グループ、およびアプリケーション フィルタは ${object_name} という形式で表示されます。たとえば、オブジェクト名 ten_ten_network であるネットワーク オブジェクトは、検索では ${ten_ten_network} と表されます。
検索基準としてオブジェクトを使用できる検索フィールドの横にはオブジェクト追加アイコン(
)が表示され、これをクリックすることができます。
検索での時間制約の指定
時間による検索制約を指定するには、いくつかの形式を使用できます。一致させる時間を入力し、オプションで、その時間の前後に一致させるために「より小さい」( < )または「より大きい」( > )演算子を入力できます。
時間値を持つ検索条件フィールドで使用可能な形式を、次の表に示します。
|
|
|
|---|---|
時間値の前に、以下のいずれか 1 つの演算子/キーワードを指定できます。
|
|
|
|
|---|---|---|
検索での IP アドレスの指定
検索で IP アドレスを指定するときには、個別の IP アドレス、複数アドレスのカンマ区切りリスト、アドレス ブロック、またはハイフン(-)で区切った IP アドレス範囲を入力することができます。また、否定を使用することもできます。
IPv6 をサポートする検索(侵入イベント、接続データ、相関イベントの検索など)では、IPv4 アドレス、IPv6 アドレス、および CIDR/プレフィックス長アドレス ブロックを任意に組み合わせて入力できます。
CIDR またはプレフィックス長の表記を使用して IP アドレスのブロックを指定する場合、FireSIGHT システム は、マスクまたはプレフィックス長で指定されたネットワーク IP アドレスの部分 のみ を使用します。たとえば、 10.1.2.3/8 と入力した場合、FireSIGHT システム では 10.0.0.0/8 が使用されます。
次の表に、IP アドレスを入力する適切な方法を例示します。IP アドレスをネットワーク オブジェクトによって表すことができるため、IP アドレス検索フィールドの横にあるネットワーク オブジェクト追加アイコン( )をクリックして、ネットワーク オブジェクトを IP アドレス検索基準として使用することもできます。詳細については、検索でのオブジェクトとアプリケーション フィルタの使用を参照してください。
|
|
|
|
|---|---|---|
| これは、サブネット マスク 255.255.255.0 である 192.168.1.0 ネットワーク内の任意の IP を指定します(つまり 192.168.1.0 から 192.168.1.255 まで)。詳細については、IP アドレスの表記規則を参照してください。 |
||
検索でのデバイスの指定
管理対象デバイスを制約として使用して検索を作成する場合、[デバイス(Device)] 検索条件フィールドに次のいずれかを指定できます。
システムでグループ、クラスタ、またはスタックの一致が検出されると、検索を実行するために、そのグループ名、クラスタ名、またはスタック名が適切なメンバー デバイス名に置き換えられます。デバイス フィールドのデバイス グループ、クラスタ、またはスタックを使用する検索を保存すると、デバイス フィールドで指定した名前がシステムによって保存され、検索が実行されるたびにデバイス名の置換が再度実行されます。
検索でのポートの指定
FireSIGHT システムでは、ポート番号を表す特定の構文を検索で指定できます。次の入力が可能です。
- 単一のポート番号
- 複数のポート番号を含むカンマ区切りリスト
- 2 つのポート番号をハイフンで区切ることにより、ポート番号の範囲を表す
- 1 つのポート番号の後に、スラッシュで区切られたプロトコル省略形(侵入イベントを検索する場合のみ)
- 1 つのポート番号またはポート番号範囲の前に 1 つの感嘆符(指定されたポートの否定を表す)
(注) ポート番号や範囲を指定するときには、スペースを使用しないでください。
次の表に、検索制約としてポートを入力する適切な方法を例示します。
|
|
|
|---|---|
実行時間が長いクエリの停止
システム管理者は、シェル ベースのクエリ管理ツールを使用して、実行時間の長いクエリを検出および停止することができます。
(注) Web インターフェイス内の検索ページを終了しても、クエリは停止しません。長い時間をかけて結果を返すクエリは、クエリ実行中にシステム全体のパフォーマンスに影響を与えます。
クエリ管理ツールでは指定した分数よりも実行時間が長いクエリを検索し、それらのクエリを停止することができます。ユーザがクエリを停止すると、このツールにより監査ログと syslog にイベントが記録されます。
防御センター でのシェル アクセスを持つローカル作成されたユーザだけが、 admin ユーザであることに注意してください。シェル アクセスを与える外部認証オブジェクトを使用する場合、シェル アクセス フィルタに一致するユーザもまたシェルにログインできます。
[--kill-all minutes]
指定された時間(分単位)を超えるすべてのクエリをリストします。基準(By)
指定された時間(分単位)より長くかかっているすべてのクエリを強制終了します。
シェル アクセスを、システム管理者のみに制限する必要があります。
アクセス: admin またはシェル アクセスが付与されたユーザ
手順 2 前述の構文を使用して、 sudo で query_manager を実行します。
フィードバック