相関イベントとコンプライアンス イベント

次のトピックでは、相関イベントとコンプライアンス イベントを表示する方法について説明します。

相関イベントの表示

アクティブな相関ポリシーに含まれる相関ルールがトリガーとして使用されると、システムが相関イベントを生成してデータベースにそれを記録します。


(注)  

アクティブな相関ポリシーに含まれるコンプライアンスallowリストがトリガーとして使用されると、システムがallowリストイベントを生成します。

相関イベントのテーブルを表示し、検索対象の情報に応じてイベント ビューを操作できます。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

相関イベントにアクセスしたときに表示されるページは、使用するワークフローによって異なります。相関イベントのテーブル ビューが含まれる定義済みワークフローを使用できます。また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。

始める前に

このタスクを実行するには、管理者またはセキュリティ アナリスト(Security Analyst)ユーザーである必要があります。

手順

ステップ 1

[分析(Analysis)] > [相関(Correlation)] > [相関イベント(Correlation Events)]を選択します。

オプションで、カスタム ワークフローなど、別のワークフローを使用するには、ワークフローのタイトルの横の [(ワークフローの切り替え)((switch workflow))] をクリックします。

ヒント

 

相関イベントのテーブル ビューが含まれないカスタム ワークフローを使用している場合は、[(ワークフローの切り替え)((switch workflow))] をクリックし、[相関イベント(Correlation Events)] を選択します。

ステップ 2

オプションで、時間枠の変更の説明に従って、時間範囲を調整します。

ステップ 3

次のいずれかの操作を実行します。

  • 表示されるカラムの詳細については、相関イベントのフィールドを参照してください。

  • IP アドレスのホストプロファイルを表示するには、IP アドレスの横に表示されるホストプロファイルをクリックします。

  • ユーザー ID 情報を表示するには、[ユーザーID(User Identity)] の隣に表示される [ユーザー(User)] アイコン、または IOC に関連付けられているユーザーの場合は [レッドユーザー(Red User)] をクリックします

  • 現在のワークフロー ページ内でイベントをソートしたり制限したり、または移動するには、ワークフローの使用を参照してください。

  • 現在の制約を維持しながら現在のワークフローのページ間で移動するには、ワークフロー ページの左上にある該当するページ リンクをクリックします。

  • 特定の値に制限して、ワークフロー内の次のページにドリルダウンするには、ドリルダウン ページの使用を参照してください。

  • 一部またはすべての相関イベントを削除するには、削除するイベントの横にあるチェックボックスをオンにして [削除(Delete)] をクリックするか、[すべて削除(Delete All)] をクリックして現在の制約されているビューにあるすべてのイベントを削除することを確認します。

  • 他のイベント ビューに移動して関連イベントを表示するには、ワークフロー間のナビゲーションを参照してください。

  • システムの外部にある利用可能なソース内のデータを表示するには、イベント値を右クリックします。表示されるオプションはデータ タイプによって異なり、パブリック ソースが含まれます。他のソースは設定したリソースによって異なります。詳細については、Web ベースのリソースを使用したイベントの調査を参照してください。

  • イベントに関するインテリジェンスを収集するには、テーブルでイベントの値を右クリックして、シスコまたはサードパーティのインテリジェンス ソースを選択します。たとえば、不審な IP アドレスに関する詳細情報を Cisco Talos から入手できます。表示されるオプションは、データタイプやシステムに設定されている統合によって異なります。詳細については、Web ベースのリソースを使用したイベントの調査を参照してください。

相関イベントのフィールド

相関ルールがトリガーとして使用されると、システムは相関イベントを生成します。次の表では、表示および検索可能な相関イベント テーブルのフィールドについて説明します。

表 1. 相関イベントのフィールド

フィールド

説明

説明

相関イベントについての説明。説明に示される情報は、ルールがどのようにトリガーとして使用されたかによって異なります。

たとえば、オペレーティング システム情報の更新イベントによってルールがトリガーとして使用された場合、新しいオペレーティング システムの名前と信頼度レベルが表示されます。

Device

ポリシー違反をトリガーとして使用したイベントを生成したデバイスの名前。

ドメイン(Domain)

ポリシー違反をトリガーとして使用したモニター対象トラフィックのデバイスのドメイン。 このフィールドは、マルチテナンシーのために Management Center を設定したことがある場合に表示されます。

影響(Impact)

侵入データ、ディスカバリ データ、および脆弱性情報の間の相関に基づいて相関イベントに割り当てられた影響レベル。

このフィールドを検索する場合、大文字と小文字を区別しない有効な値は、Impact 0Impact Level 0Impact 1Impact Level 1Impact 2Impact Level 2Impact 3Impact Level 3Impact 4、および Impact Level 4 です。影響アイコンの色または部分文字列は使用しないでください(たとえば、bluelevel 1、または 0 を使用しないでください)。

入力インターフェイス(Ingress Interface)または出力インターフェイス(Egress Interface)

ポリシー違反をトリガーとして使用した侵入イベントまたは接続イベントの入力または出力インターフェイス。

入力セキュリティ ゾーン(Ingress Security Zone)または出力セキュリティ ゾーン(Egress Security Zone)

ポリシー違反をトリガーとして使用した侵入イベントまたは接続イベントの入力または出力セキュリティ ゾーン。

インライン結果

次のいずれかになります。

  • 黒の下矢印:侵入ルールをトリガーとして使用したパケットがシステムによってドロップされたことを示します

  • グレーの下矢印:侵入ポリシー オプション [インライン時にドロップ(Drop when Inline)] を有効にした場合、インライン型、スイッチ型、またはルーティング型展開でパケットがシステムによってドロップされたと想定されることを示します

  • 空白:トリガーとして使用された侵入ルールが [ドロップしてイベントを生成する(Drop and Generate Events)] に設定されていなかったことを示します

侵入イベントによってトリガーとして使用されたポリシー違反を検索するためにこのフィールドを使用する場合は、次のいずれかを入力します。

  • dropped は、インライン型、スイッチ型、またはルーティング型展開でパケットがドロップされたかどうかを示します。

  • would have dropped は仮定を表します。インライン型、スイッチ型、またはルーティング型展開でパケットをドロップするよう侵入ポリシーが設定されていると仮定した場合、パケットがドロップされるかどうかを示します。

侵入ポリシーのドロップ動作やルール状態とは無関係に、パッシブ展開(インライン セットがタップ モードである場合を含む)ではシステムがパケットをドロップしないことに注意してください。

ポリシー

違反が発生したポリシーの名前。

[プライオリティ(Priority)]

相関イベントのプライオリティ。これは、トリガーとして使用されたルールのプライオリティまたは違反が発生した相関ポリシーのプライオリティによって決まります。このフィールドを検索するとき、プライオリティなしの場合は none を入力します。

ルール(Rule)

ポリシー違反をトリガーとして使用したルールの名前。

セキュリティ インテリジェンス カテゴリ(Security Intelligence Category)

ポリシー違反をトリガーしたイベントでブロックされた IP アドレスを表すか、またはそれを含むオブジェクトの名前。

このフィールドを検索する場合は、ポリシー違反をトリガーとして使用した相関イベントに関連付けられたセキュリティ インテリジェンスのカテゴリを指定します。セキュリティ インテリジェンスのカテゴリとして、セキュリティ インテリジェンス オブジェクト、グローバルブロックリスト、カスタム セキュリティ インテリジェンス リストまたはフィード、あるいはインテリジェンス フィードに含まれるいずれかのカテゴリを指定できます。

送信元の大陸(Source Continent)または宛先の大陸(Destination Continent)

ポリシー違反をトリガーとして使用したイベントの送信元または宛先ホスト IP アドレスに関連付けられた大陸。

送信元の国(Source Country)または宛先の国(Destination Country)

ポリシー違反をトリガーとして使用したイベントの送信元または宛先 IP アドレスに関連付けられた国。

送信元ホストのシビラティ(重大度)(Source Host Criticality)または宛先ホストのシビラティ(重大度)(Destination Host Criticality)

相関イベントに関連する送信元または宛先ホストにユーザが割り当てたホスト重要度。NoneLowMedium、または High のいずれかです。

ディスカバリ イベント、ホスト入力イベント、または接続イベントに基づくルールによって生成された相関イベントにのみ、送信元ホスト重要度が含まれることに注意してください。

送信元 IP(Source IP)または宛先 IP(Destination IP)

ポリシー違反をトリガーとして使用したイベントの送信元または宛先ホストの IP アドレス。

送信元ポート/ICMP タイプ(Source Port/ICMP Type)または宛先ポート/ICMP コード(Destination Port/ICMP Code)

ポリシー違反をトリガーとして使用したイベントに関連付けられた、送信元トラフィックの送信元ポート/ICMP タイプまたは宛先トラフィックの宛先ポート/ICMP コード。

送信元ユーザ(Source User)または宛先ユーザ(Destination User)

ポリシー違反をトリガーとして使用したイベントの送信元または宛先ホストにログインしたユーザの名前。

時刻(Time)

相関イベントが生成された日時。このフィールドは検索できません。

カウント(Count)

各行に表示される情報と一致するイベントの数。[カウント(Count)] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。このフィールドは検索できません

コンプライアンス許可(Allow)リストワークフローの使用

Management Center は、ネットワークで生成されるallowリストのイベントおよび違反の分析で使用できるワークフローセットを提供します。ワークフローはネットワーク マップやダッシュボードとともに、ネットワーク資産のコンプライアンスに関する主要な情報源になります。

システムは、allowリストのイベントと違反のために事前定義されたワークフローを提供します。ユーザはカスタム ワークフローを作成することもできます。コンプライアンスallowリストワークフローを使用すると、多くの一般的なアクションを実行できます。

始める前に

このタスクを実行するには、管理者セキュリティ アナリスト(Security Analyst)、または検出管理者(Discovery Admin)ユーザーである必要があります。

手順

ステップ 1

[分析(Analysis)] > [相関(Correlation)] メニューを使用してallowリストワークフローにアクセスします。

ステップ 2

次の選択肢があります。

  • ワークフローの切り替え:カスタム ワークフローなどの別のワークフローを使用するには、[(ワークフローの切り替え)((switch workflow))] をクリックします。

  • 時間範囲:時間範囲を調整(イベントが表示されない場合に役立ちます)する方法については、時間枠の変更を参照してください。

  • ホストプロファイル:IP アドレスのホストプロファイルを表示するには、ホストプロファイル()をクリックします。アクティブな侵害の兆候(IOC)タグのあるホストの場合は、IP アドレスの横に表示される侵害されたホストをクリックします。

  • ユーザ プロファイル(イベントのみ):ユーザー ID 情報を表示するには、[ユーザーID(User Identity)] の隣に表示される [ユーザー(User)] アイコン、または IOC に関連付けられているユーザーの場合は [レッドユーザー(Red User)] をクリックします

  • 制約:表示される列を制約するには、非表示にする列の見出しにある[閉じる(Close)]([閉じる(Close)] アイコンをクリックします。表示されるポップアップ ウィンドウで、[適用(Apply)] をクリックします。

    ヒント

     

    他のカラムを表示または非表示にするには、[適用(Apply)] をクリックする前に、該当するチェック ボックスをオンまたはオフにします。無効になったカラムをビューに再び追加するには、検索制約を展開し、[無効にされたカラム(Disabled Columns)] の下のカラム名をクリックします。

  • ドリル ダウン:ドリルダウン ページの使用を参照してください。

  • ソート:ワークフローでデータをソートするには、カラムのタイトルをクリックします。ソート順を逆にするには、カラムのタイトルをもう一度クリックします。

  • このページに移動する:ワークフロー ページのトラバーサル ツールを参照してください。

  • ページ間で移動する:現在の制約を維持しながら現在のワークフローのページ間で移動するには、ワークフロー ページの左上にある該当するページ リンクをクリックします。

  • イベント ビュー間で移動する:関連するイベントを表示するためその他のイベント ビューに移動するには、[ジャンプ(Jump to)] をクリックし、ドロップダウン リストからイベント ビューを選択します。

  • イベントの削除(イベントのみ):現在の制約されているビューにある一部またはすべての項目を削除するには、削除する項目の横にあるチェックボックスをオンにし、[削除(Delete)] または [すべて削除(Delete All)] をクリックします。

許可(Allow)リストイベントの表示

最初の評価が行われた後、監視対象ホストがアクティブなallowリストに準拠しなくなると、システムはallowリストイベントを生成します。リストイベントは、相関イベントの特殊な形態で、Management Center 相関イベントデータベースに記録されます。

Management Center を使用して、コンプライアンスallowリストイベントのテーブルを表示できます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

allowリストイベントにアクセスしたときに表示されるページは、使用しているワークフローによって異なります。イベントのテーブル ビューで終わる事前定義されたワークフローを使用できます。また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。

始める前に

このタスクを実行するには、管理者セキュリティ アナリスト(Security Analyst)、または検出管理者(Discovery Admin)ユーザーである必要があります。

手順

ステップ 1

[分析(Analysis)] > [相関(Correlation)] > 許可リスト(Allow List)[イベント(Events)]を選択します。

ステップ 2

次の選択肢があります。

許可(Allow)リストイベントのフィールド

ワークフローを使用して表示および検索できる許可(Allow)リストイベントには、次のフィールドがあります。

デバイス

allowリスト違反を検出した管理対象デバイスの名前。

説明

allowリスト違反の説明。次に例を示します。

Client “AOL Instant Messenger” is not allowed.

アプリケーション プロトコルに関係する違反には、アプリケーション プロトコルの名前とバージョンだけでなく、使用されているポートとプロトコル(TCP または UDP)も示されます。禁止を特定のオペレーティング システムに限定する場合は、説明にオペレーティング システム名が含まれます。次に例を示します。

Server "ssh / 22 TCP (OpenSSH 3.6.1p2)" is not allowed on Operating System “Linux Linux 2.4 or 2.6”.

ドメイン(Domain)

allowリストに準拠しなくなったホストのドメイン。 このフィールドは、マルチテナンシーのために Management Center を設定したことがある場合に表示されます。

ホストの重要度(Host Criticality)

allowリストに準拠していないホストに対してユーザーが割り当てた重要度([なし(None)]、[低(Low)]、[中(Medium)]、または [高(High)])。

IP アドレス

allowリストに準拠しなくなったホストの IP アドレス。

ポリシー

違反した相関ポリシー、つまりallowリストを含む相関ポリシーの名前。

[ポート(Port)]

アプリケーションプロトコルallowリスト違反(非準拠アプリケーションプロトコルの結果として発生した違反)をトリガーした検出イベントに関連付けられているポート(存在する場合)。他のタイプのallowリスト違反の場合、このフィールドは空白です。

プライオリティ

ポリシーまたはポリシー違反をトリガーしたallowリストに指定されている優先順位。これは、相関ポリシー内のallowリストの優先順位または相関ポリシー自体の優先順位によって決まります。allowリストの優先順位は、そのポリシーの優先順位より優先されることに注意してください。このフィールドを検索するとき、プライオリティなしの場合は none を入力します。

Time

allowリストイベントが生成された日時。このフィールドは検索できません。

ユーザー(User)

allowリストに準拠しなくなったホストにログインしている既知のユーザーのアイデンティティ。

許可(Allow)リスト

allowリストの名前。

カウント(Count)

各行に表示される情報と一致するイベントの数。[カウント(Count)] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。このフィールドは検索できません。

許可(Allow)リスト違反の表示

システムは、ネットワークの現在のallowリスト違反のレコードを保持します。違反はそれぞれ、ホストのいずれかで実行することが禁止されている事柄を表します。ホストが準拠するようになると、システムは、修正された違反をデータベースから削除します。

Management Center を使用して、アクティブなすべてのallowリストに対するallowリスト違反のテーブルを表示できます。ここでユーザは、検索する情報に応じてイベント ビューを操作することができます。

allowリスト違反にアクセスしたときに表示されるページは、使用しているワークフローによって異なります。事前定義されたワークフローはホスト ビューで終了しますが、このホスト ビューには、制約を満たすすべてのホストに対して 1 つずつホスト プロファイルが含まれています。また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

手順

ステップ 1

[分析(Analysis)] > [相関(Correlation)] > [違反(Violations)]許可リスト(Allow List)を選択します。

ステップ 2

次の選択肢があります。

許可(Allow)リスト違反のフィールド

ワークフローを使用して表示および検索できる許可(Allow)リスト違反には、次のフィールドがあります。

ドメイン

非準拠ホストが存在するドメイン。 このフィールドは、マルチテナンシーのために Management Center を設定したことがある場合に表示されます。

情報

allowリスト違反に関連付けられたすべての利用可能なベンダー、製品、またはバージョン情報。allowリストに違反するプロトコルの場合、このフィールドには、違反の原因がネットワークプロトコルとトランスポートプロトコルのどちらであるのかも示されます。

[IPアドレス(IP Address)]

非準拠ホストの IP アドレス。

[ポート(Port)]

アプリケーション プロトコルallowリスト違反(非準拠アプリケーション プロトコルの結果として発生した違反)をトリガーしたイベントに関連付けられているポート(存在する場合)。他のタイプのallowリスト違反の場合、このフィールドは空白です。

プロトコル

アプリケーション プロトコルallowリスト違反(非準拠アプリケーション プロトコルの結果として発生した違反)をトリガーしたイベントに関連付けられているプロトコル(存在する場合)。他のタイプのallowリスト違反の場合、このフィールドは空白です。

時刻(Time)

allowリスト違反が検出された日時。

タイプ

allowリスト違反のタイプ、つまり、非準拠の結果として違反が発生したかどうか。

  • オペレーティング システム(os)(このフィールドを検索する場合は、os または operating system と入力してください)。

  • アプリケーション プロトコル(サーバ)

  • クライアント

  • プロトコル

  • Web アプリケーション(web)(このフィールドを検索する場合は、web application と入力してください)。

許可(Allow)リスト

違反されたallowリストの名前。

カウント(Count)

各行に表示される情報と一致するイベントの数。[カウント(Count)] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。このフィールドは検索できません。

修復ステータス イベント

修復がトリガーされると、システムは修復ステータス イベントをデータベースに記録します。これらのイベントは、[修復ステータス(Remediation Status)] ページで確認できます。修復ステータス イベントを検索、表示、削除できます。

修復ステータス イベントの表示

修復ステータス イベントにアクセスするときに表示されるページは、使用するワークフローにより異なります。修復のテーブル ビューを含む定義済みワークフローを使用できます。テーブル ビューには、各修復ステータス イベントの行が含まれます。また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

始める前に

このタスクを実行するには、管理者 ユーザーである必要があります。

手順

ステップ 1

[分析(Analysis)] > [相関(Correlation)] > [ステータス(Status)]を選択します。

ステップ 2

オプションで、時間枠の変更の説明に従って、時間範囲を調整します。

ステップ 3

オプションで、カスタム ワークフローなど、別のワークフローを使用するには、ワークフローのタイトルの横の [(ワークフローの切り替え)((switch workflow))] をクリックします。

ヒント

 

修復のテーブル ビューが含まれないカスタム ワークフローを使用する場合、ワークフローのタイトルの横の [(ワークフローの切り替え)((switch workflow))] メニューをクリックし、[修復ステータス(Remediation Status)] を選択します。

ステップ 4

次の選択肢があります。

  • 表示されるカラムの詳細については、修復ステータスのテーブル フィールドを参照してください。

  • イベントをソートしたり、制約したりするには、ワークフローの使用を参照してください。

  • 相関イベント ビューに移動し関連するイベントを確認するには、[相関イベント(Correlation Events)] をクリックします。

  • 現在のページにすぐに戻れるようにページをブックマークするには、[このページをブックマーク(Bookmark This Page)] をクリックします。ブックマークの管理ページに移動するには、[ブックマークの表示(View Bookmarks)] をクリックします。

  • テーブル ビューのデータに基づいてレポートを生成するには、イベント ビューからのレポート テンプレートの作成 で説明されているように、[レポート デザイナ(Report Designer)] をクリックします。

  • ワークフローの次のページにドリルダウンするには、ドリルダウン ページの使用を参照してください。

  • システムから修復ステータス イベントを削除するには、削除するイベントの横にあるチェックボックスをオンにして [削除(Delete)] をクリックするか、[すべて削除(Delete All)] をクリックして現在の制約されているビューにあるすべてのイベントを削除することを確認します。

  • 修復ステータス イベントを検索するには、[検索(Search)] をクリックします。

修復ステータスのテーブル フィールド

次の表に、表示および検索できる修復のステート テーブルのフィールドを示します。

表 2. 修復ステータス フィールド

フィールド

説明

ドメイン

監視対象のトラフィックがポリシー違反をトリガーとして使用し、次に修復をトリガーとして使用するデバイスのドメイン。 このフィールドは、マルチテナンシーのために Management Center を設定したことがある場合に表示されます。

ポリシー

違反し、修復をトリガーとして使用した相関ポリシーの名前。

修復名

起動された修復の名前。

結果メッセージ

修復が起動したときに発生した事象を示すメッセージ。ステータス メッセージには以下が含まれます。

  • Successful completion of remediation

  • Error in the input provided to the remediation module

  • Error in the remediation module configuration

  • Error logging into the remote device or server

  • Unable to gain required privileges on remote device or server

  • Timeout logging into remote device or server

  • Timeout executing remote commands or servers

  • The remote device or server was unreachable

  • The remediation was attempted but failed

  • Failed to execute remediation program

  • Unknown/unexpected error

カスタム修復モジュールがインストールされている場合、カスタム モジュールによって実装される追加のステータス メッセージが表示される場合があります。

ルール(Rule)

修復をトリガーとして使用したルールの名前。

時刻(Time)

Management Centerが修復を起動した日付と時刻。

カウント(Count)

各行に表示される情報と一致するイベントの数。[カウント(Count)] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。このフィールドは検索できません。

修復ステータス イベント テーブルの使用

イベント ビューのレイアウトを変更したり、ビュー内のイベントをフィールド値で制限したりできます。

カラムを無効にすると、そのカラムは(後で元に戻さない限り)そのセッションの期間中は無効になります。最初のカラムを無効にすると、[カウント(Count)] カラムが追加されます。

テーブル ビューの行内の値をクリックすると、テーブル ビューが制約されます(次のページにはドリルダウンされません)。


ヒント

テーブル ビューでは、必ずページ名に「Table View」が含まれます。

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

始める前に

このタスクを実行するには、管理者 ユーザーである必要があります。

手順

ステップ 1

[分析(Analysis)] > [相関(Correlation)] > [ステータス(Status)]を選択します。

ヒント

 

修復のテーブル ビューが含まれないカスタム ワークフローを使用する場合、ワークフローのタイトルの横の [(ワークフローの切り替え)((switch workflow))] メニューをクリックし、[修復ステータス(Remediation Status)] を選択します。

ステップ 2

次の選択肢があります。