[アクセス コントロール ポリシー(Access Control Policy)](syslog:ACPolicy)
イベントを生成した侵入ルール、プリプロセッサ ルール、またはデコーダ ルールが有効になっている侵入ポリシーに関連付けられているアクセス コントロール ポリシー。
アクセス コントロール ルール(Syslog:AccessControlRuleName)
イベントを生成した侵入ルールを呼び出したアクセス コントロール ルール。[デフォルト アクション(Default Action)] は、ルールが有効化されている侵入ポリシーが特定のアクセス コントロール ルールに関連付けられておらず、代わりに、アクセス コントロール ポリシーのデフォルト アクションとして設定されていることを示しています。
次の場合、このフィールドは空になります(または、syslog メッセージの場合は省略されます)。
-
関連ルール/デフォルトアクションなし:侵入インスペクションは、アクセス制御ルールにもデフォルトアクションにも関連付けられていません。たとえば、システムが適用するルールを決定する前に通過する必要があるパケットを処理するために指定された侵入ポリシーによってパケットが検査された場合が該当します。(このポリシーは、アクセス制御ポリシーの
[詳細(Advanced)] タブで指定されます。)
-
[関連付けられている接続イベントなし(No associated connection event)]:セッションに記録された接続イベントがデータベースから消去されている場合。たとえば、接続イベントに侵入イベントよりも高いターンオーバーがある場合などです。
[アプリケーション プロトコル(Application Protocol)](syslog:ApplicationProtocol)
(使用可能な場合)侵入イベントをトリガーとして使用したトラフィックで検出されたホスト間の通信を表す、アプリケーション プロトコル。
アプリケーション プロトコル カテゴリおよびタグ(Application Protocol Category and Tag)
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
アプリケーションのリスク(Application Risk)
侵入イベントをトリガーしたトラフィックで検出されたアプリケーションに関連付けられているリスク。[非常に高い(Very High)]、[高(High)]、[中(Medium)]、[低(Low)]、および [非常に低い(Very Low)]。接続で検出されるアプリケーションのタイプごとに関連するリスクがあります。このフィールドは、それらのうち最も高いリスクを表示します。
ビジネスとの関連性(Business Relevance)
侵入イベントをトリガーしたトラフィックで検出されたアプリケーションに関連付けられているビジネスとの関連性。[非常に高い(Very High)]、[高(High)]、[中(Medium)]、[低(Low)]、および [非常に低い(Very Low)]。接続で検出されるアプリケーションのタイプごとに関連するビジネスとの関連性があります。このフィールドは、それらのうち最も低い(関連性が最も低い)ものを表示します。
[分類(Classification)](syslog:Classification)
イベントを生成したルールが属する分類。
侵入イベント詳細で使用可能な分類値のリストを参照してください。
このフィールドを検索するときは、表示するイベントを生成したルールの分類番号を入力するか、分類名または説明のすべてまたは一部を入力します。また、番号、名前、または説明のコンマ区切りリストを入力することもできます。最後に、カスタム分類を追加した場合、その名前または説明のすべてまたは一部を使用して検索することもできます。
[クライアント(Client)](syslog:Client)
(使用可能な場合)侵入イベントをトリガーとして使用したトラフィックで検出されたモニター対象のホストで実行されているソフトウェアを表す、クライアント アプリケーション。
クライアント カテゴリおよびタグ(Client Category and Tag)
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
Connection Counter (Syslog のみ)
ある接続と別の同時接続を区別するカウンタ。このフィールドは、それ自体には意味がありません。
[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、特定の侵入イベントに関連付けられた接続イベントを識別できます。
Connection Instance ID (Syslog のみ)
接続イベントを処理した Snort インスタンス。このフィールドは、それ自体には意味がありません。
[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、特定の侵入イベントに関連付けられた接続イベントを識別できます。
カウント(Count)
各行に表示される情報と一致するイベントの数。[カウント(Count)] フィールドは、複数の同一行が生成される制限を適用した後でのみ表示されることに注意してください。このフィールドは検索できません。
CVE ID
このフィールドは検索フィールド専用です。
MITRE の Common Vulnerabilities and Exposures(CVE)データベース(https://cve.mitre.org/)の脆弱性に関連付けられた識別番号による検索。
送信先の大陸(Destination Continent)
侵入イベントに関連する受信ホストの大陸。
送信先の国(Destination Country)
侵入イベントに関連する受信ホストの国。
宛先ホスト重要度(Destination Host Criticality)
イベントが生成されたときの宛先ホスト重要度(対応するホストのホスト重要度属性の値)。
ホストの重要度が変更されても、このフィールドは更新されないことに注意してください。ただし、新しいイベントは新しい重要度の値になります。
[宛先ポート/ICMP コード(Destination Port / ICMP Code)](syslog:DstPort、ICMPCode)
トラフィックを受信するホストのポート番号。ICMP トラフィックの場合は、ポート番号がないため、このフィールドには ICMP コードが表示されます。
デバイス
アクセス コントロール ポリシーが展開された管理対象デバイス。
DeviceUUID (Syslog のみ)
イベントを生成した Firepower デバイスの一意の識別子。
[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、特定の侵入イベントに関連付けられた接続イベントを識別できます。
ドメイン(Domain)
侵入を検出したデバイスのドメイン。 このフィールドは、マルチテナンシーのために Management Center を設定したことがある場合に表示されます。
[出力インターフェイス(Egress Interface)](syslog:EgressInterface)
イベントをトリガーとして使用したパケットの出力インターフェイス。パッシブ インターフェイスの場合、このインターフェイスの列には入力されません。
[出力セキュリティ ゾーン(Egress Security Zone)]:(syslog:EgressZone)
イベントをトリガーとして使用したパケットの出力セキュリティ ゾーン。パッシブ展開環境では、このセキュリティ ゾーンのフィールドには入力されません。
[出力仮想ルータ(Egress Virtual Router)]
仮想ルーティングを使用するネットワークでは、トラフィックがネットワークから出るときに通過する仮想ルータの名前。
電子メールの添付ファイル(Email Attachments)
[MIME コンテンツ - 傾向(MIME Content-Disposition)] 見出しから取得された MIME 添付ファイル名。添付ファイルの名前を表示するには、SMTP プリプロセッサの [MIME 添付ファイル名のログ(Log MIME
Attachment Names)] オプションを有効にする必要があります。複数の添付ファイル名がサポートされます。
電子メールのヘッダー(Email Headers)
このフィールドは検索フィールド専用です。
電子メールのヘッダーから取得したデータ。
電子メールのヘッダーを SMTP トラフィックの侵入イベントと関連付けるには、SMTP プリプロセッサの [ヘッダーのログ(Log Headers)] オプションを有効にする必要があります。
メール受信者(Email Recipient)
SMTP RCPT TO コマンドから取得された電子メール受信者のアドレス。このフィールドの値を表示するには、SMTP プリプロセッサの [受信者アドレスのログ(Log To Addresses)] オプションを有効にする必要があります。複数の受信者アドレスがサポートされます。
メール送信者(Email Sender)
SMTP MAIL FROM コマンドから取得された電子メール送信者のアドレス。このフィールドの値を表示するには、SMTP プリプロセッサの [送信者アドレスのログ(Log From Address)] オプションを有効にする必要があります。複数の送信者アドレスがサポートされます。
First Packet Time (Syslog のみ)
システムが最初のパケットを検出した時間。
[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、特定の侵入イベントに関連付けられた接続イベントを識別できます。
ジェネレータ(Generator)
イベントを生成したコンポーネント。
次の侵入イベント フィールドに関する情報も参照してください。[GID]、[メッセージ(Message)]、および [Snort ID]
GID(syslog のみ)
ジェネレータ ID。イベントを生成したコンポーネントの ID。
次の侵入イベント フィールドに関する情報も参照してください。[ジェネレータ(Generator)]、[メッセージ(Message)]、および [Snort ID]
HTTP ホスト名(HTTP Hostname)
HTTP 要求のホスト見出しから取得されたホスト名(存在する場合)。要求パケットにホスト名が常に含まれているわけではないことに注意してください。
ホスト名を HTTP クライアント トラフィックの侵入イベントと関連付けるには、HTTP 検査プリプロセッサの [ホスト名のログ(Log Headers)] オプションを有効にする必要があります。
テーブル ビューで、この列には、取得されたホスト名の最初の 50 文字が表示されます。ホストの省略名の表示部分にポインタを合わせると、最大 256 バイトまでの完全な名前を表示することができます。また、最大 256 バイトまでの完全なホスト名をパケット
ビューに表示することもできます。
[HTTP 応答コード(HTTP Response Code)](syslog:HTTPResponse)
イベントをトリガーした接続を介してクライアントの HTTP 要求に応答して送信される HTTP ステータス コード。
HTTP URI
(存在する場合)侵入イベントをトリガーとして使用した HTTP 要求パケットに関連付けられた raw URI。要求パケットに URI が常に含まれているわけではないことに注意してください。
URI を HTTP クライアント トラフィックの侵入イベントと関連付けるには、HTTP 検査プリプロセッサの [URI のログ(Log URI)] オプションを有効にする必要があります。
HTTP 応答によってトリガーとして使用された侵入イベントの関連 HTTP URI を参照するには、[両方のポートでのストリーム再構成の実行(Perform Stream Reassembly on Both Ports)] オプションに HTTP サーバのポートを設定する必要があります。ただし、これにより、トラフィックのリアセンブル用のリソース要求が増加することに注意してください。
この列には、取得された URI の最初の 50 文字が表示されます。省略 URI の表示部分にポインタを合わせると、最大 2048 バイトまでの完全な URI を表示することができます。また、最大 2048 バイトまでの完全な URI をパケット
ビューに表示することもできます。
影響(Impact)
このフィールドの影響レベルは、侵入データ、ネットワーク検出データ、脆弱性情報との関係を示します。
このフィールドを検索するときは、影響アイコンの色または一部の文字列を指定しないでください。たとえば、blue、level 1、または 0 を使用しないでください。有効な大文字と小文字を区別しない値は次のとおりです。
-
Impact 0、Impact Level 0
-
Impact 1、Impact Level 1
-
Impact 2、Impact Level 2
-
Impact 3、Impact Level 3
-
Impact 4、Impact Level 4
NetFlow データからネットワークマップに追加されたホストに使用可能なオペレーティングシステムの情報はないので、システムは、それらのホストに作用する侵入イベントに対し脆弱な(インパクト レベル 1:赤)インパクトレベルを割り当てることができません。このような場合は、ホスト入力機能を使用して、ホストのオペレーティングシステム
ID を手動で設定します。
入力インターフェイス (Syslog:IngressInterface)
イベントをトリガーとして使用したパケットの入力インターフェイス。パッシブ インターフェイスの場合、このインターフェイスの列だけに入力されます。
[入力セキュリティ ゾーン(Ingress Security Zone)]:(syslog:IngressZone)
イベントをトリガーとして使用したパケットの入力セキュリティ ゾーンまたはトンネル ゾーン。パッシブ展開環境では、このセキュリティ ゾーン フィールドだけに入力されます。
[入力仮想ルータ(Ingress Virtual Router)]
仮想ルーティングを使用するネットワークでは、トラフィックがネットワークに入るときに通過する仮想ルータの名前。
[インライン結果(Inline Result)](syslog:InlineResult)
ワークフローとテーブル ビューでは、このフィールドには次のいずれかが表示されます。
表 1. ワークフロー ビュートテーブル ビューの [インライン結果(Inline Result)] フィールドの内容
|
アイコン
|
意味
|
 |
ルールをトリガーしたパケットをシステムがドロップしました。
|
 |
[インライン時にドロップ(Drop when Inline)] 侵入ポリシーオプション(インライン展開環境)を有効にした場合、またはシステムがプルーニングしている間に [ドロップしてイベントを生成する(Drop and Generate)] ルールがイベントを生成した場合、IPS がパケットをドロップしたことを示します。
|
 |
IPS はパケットを宛先に送信または配信した可能性がありますが、このパケットを含む接続は現在ブロックされています。
|
|
アイコンなし(空白)
|
トリガーされたルールは [ドロップしてイベントを生成する(Drop and Generate Events)] に設定されていませんでした
|
次の表に、インライン結果の考えられる理由の一覧を示します( 「would have dropped」および「partially dropped」 )。
|
インライン結果
|
理由
|
詳細な理由
|
|
would have dropped
|
パッシブモードまたはタップモードのインターフェイス
|
インラインのタップモードまたはパッシブモードでインターフェイスを構成しています。
|
|
「検出」検査モードの侵入ポリシー
|
侵入ポリシーの検査モードを検出に設定しています。
|
|
接続のタイムアウト
|
TCP/IP 接続がタイムアウトしたため、Snort 検査エンジンは検査を一時停止しました。
|
|
partially dropped
|
接続が終了しました(0x01)
|
新しいフローの作成中に、割り当てられたフローが許可されたフロー数を超える場合、Snort 検査エンジンは、最も使用頻度の低いフローをプルーニングします。
|
|
接続が終了しました(0x02)
|
Snort 検査エンジンを再読み込みすると、メモリが調整され、エンジンは最も使用頻度の低いフローをプルーニングします。
|
|
接続が終了しました(0x04)
|
Snort 検査エンジンが正常にシャットダウンすると、エンジンはすべてのアクティブなフローをパージします。
|
パッシブ展開では、侵入ポリシーのルールの状態やインライン ドロップ動作に関係なく、インライン インターフェイスがタップ モードの場合を含めて、システムはパケットをドロップしません。
このフィールドを検索するときは、次のいずれかを入力します。
-
dropped:インライン展開環境でパケットをドロップするかどうかを指定します。
-
would have dropped:インライン展開環境でパケットをドロップするように侵入ポリシーが設定されている場合に、パケットをドロップするかどうかを指定します。
-
partially dropped:パケットが宛先に送信または配信されるかどうかを指定します。ただし、このパケットを含む接続は現在ブロックされています。
侵入ポリシー (Syslog: IntrusionPolicy)
イベントを生成した侵入ルール、プリプロセッサ ルール、またはデコーダ ルールが有効にされた侵入ポリシー。アクセス コントロール ポリシーのデフォルト アクションとして侵入ポリシーを選択するか、アクセス コントロール ルールと侵入ポリシーを関連付けることができます。
IOC(syslog:NumIOC)
侵入イベントをトリガーとして使用したトラフィックが、接続に関係するホストに対する侵入の痕跡(IOC)もトリガーとして使用したかどうか。
このフィールドを検索するときは、triggered または n/a を指定します。
[メッセージ(Message)](syslog:メッセージ)
イベントを説明するテキスト。ルールベースの侵入イベントの場合、イベント メッセージはルールから取得されます。デコーダベースおよびプリプロセッサベースのイベントの場合は、イベント メッセージはハード コーディングされています。
ジェネレータおよび Snort ID(GID と SID)と SID バージョン(改訂)はカッコで囲んだコロン区切りの数字形式で各メッセージの末尾に付加されます(GID:SID:version)。例:(1:36330:2)。
MITRE
クリックしてモーダルを起動できる技術の数。これは、その階層内にある MITRE の戦術と技術の全リストを示します。
[MPLS ラベル(MPLS Label)](syslog:MPLS_Label)
侵入イベントをトリガーしたパケットと関連付けられているマルチプロトコル ラベル スイッチング ラベル。
[ネットワーク分析ポリシー(Network Analysis Policy)](syslog:NAPPolicy)
イベントの生成に関連付けられているネットワーク分析ポリシー(ある場合)。
このフィールドには、取得された URI の最初の 50 文字が表示されます。省略 URI の表示部分にポインタを合わせると、最大 2048 バイトまでの完全な URI を表示することができます。また、最大 2048 バイトまでの完全な URI
をパケット ビューに表示することもできます。
クライアントのオリジナル IP(Original Client IP)
X-Forwarded-For(XFF)、True-Client-IP、またはカスタム定義の HTTP ヘッダーから取得された、元のクライアント IP アドレス。
このフィールドの値を表示するには、ネットワーク解析ポリシーで HTTP プリプロセッサ [元のクライアント IP アドレスの抽出(Extract Original Client IP Address)] オプションを有効にする必要があります。オプションで、ネットワーク解析ポリシーの同じエリアで、最大 6 つのカスタム クライアント IP 見出しを指定し、システムが [クライアントのオリジナル IP(Original Client IP)] イベント
フィールドの値を選択する優先順位を設定します。
[優先度(Priority)](syslog:Priority)
Talos インテリジェンスグループ で指定されたイベントの優先度。優先度は、priority キーワードの値または classtype キーワードの値に対応します。その他の侵入イベントの場合、プライオリティはデコーダまたはプリプロセッサによって決定されます。有効な値は、[高(high)]、[中(medium)]、および [低(low)] です。
確認者(Reviewed By)
イベントを確認したユーザの名前。このフィールドを検索するときは、unreviewed と入力すると、まだ確認されていないイベントを検索できます。
Revision(syslog のみ)
イベントの生成に使用された署名のバージョン。
次の侵入イベント フィールドに関する情報も参照してください。[ジェネレータ(Generator)]、[GID]、[メッセージ(Message)]、[SID]、および [Snort ID]
ルールグループ
クリックしてモーダルを起動できる非 MITRE ルールグループの数。これは、ルールグループの全リストを示します。
[セキュリティ コンテキスト(Security Context)](syslog:Context)
トラフィックが通過した仮想ファイアウォール グループを識別するメタデータ。システムがこのフィールドにデータを設定するのは、マルチコンテキストモードの ASA FirePOWER だけです。
SID(syslog のみ)
イベントを生成したルールの署名 ID(Snort ID ともいう)
次の侵入イベント フィールドに関する情報も参照してください。[ジェネレータ(Generator)]、[GID]、[メッセージ(Message)]、[改訂(Revision)]、および [Snort ID]
Snort ID
このフィールドは検索フィールド専用です。
(syslog フィールドについては、SID を参照してください。)
検索を実行する場合:イベントを生成したルールの([Snort ID]SID)を指定するか、オプションで、ルールの複合ジェネレータ ID(GID)および SID を指定します。ここで、GID および SID はコロン(:)で区切られ、GID:SID の形式になります。次の表の任意の値を指定できます。
表 2. [Snort ID] 検索値
|
値
|
例
|
|
単一の SID
|
10000
|
|
SID の範囲
|
10000-11000
|
|
SID より大きい
|
>10000
|
|
SID 以上
|
>=10000
|
|
SID 未満
|
<10000
|
|
SID 以下
|
<=10000
|
|
SID のカンマ区切りリスト
|
10000,11000,12000
|
|
単一の GID:SID の組み合わせ
|
1:10000
|
|
GID:SID の組み合わせのカンマ区切りリスト
|
1:10000,1:11000,1:12000
|
|
SID および GID:SID の組み合わせのカンマ区切りリスト
|
10000,1:11000,12000
|
表示しているイベントの SID が [メッセージ(Message)] 列に表示されます。詳細については、この項の [メッセージ(Message)] フィールドについての説明を参照してください。
ソースの大陸(Source Continent)
侵入イベントに関連する送信ホストのある大陸。
ソースの国(Source Country)
侵入イベントに関連する送信ホストのある国。
送信元ホスト重要度(Source Host Criticality)
イベントが生成されたときの送信元ホスト重要度(対応するホストのホスト重要度属性の値)。
ホストの重要度が変更されても、このフィールドは更新されないことに注意してください。ただし、新しいイベントは新しい重要度の値になります。
[送信元ポート/ICMP タイプ(Source Port/ICMP Type)](syslog:SrcPort、ICMPType)
送信元ホストのポート番号。ICMP トラフィックの場合は、ポート番号がないため、このフィールドには ICMP タイプが表示されます。
[送信元ユーザー(Source User)](syslog:User)
接続を開始したホストの IP アドレスに関連付けられたユーザー名。エクスプロイトの送信元ホストである場合とそうでない場合があります。このユーザー値は、通常、ネットワーク上のユーザーだけに知らされます。
該当する場合、ユーザー名の前には <realm>\ が付いています。
SSL Actual Action (Syslog: SSLActualAction)
Secure Firewall Management Center の Web インターフェイスでは、このフィールドは検索フィールド専用です。
システムが暗号化されたトラフィックに適用したアクション。
- ブロック/リセット付きブロック(Block/Block with reset)
-
ブロックされた暗号化接続を表します。
- [復号(再署名)(Decrypt (Resign))]
-
再署名サーバ証明書を使用して復号された発信接続を表します。
- [復号(キーの交換)(Decrypt (Replace Key))]
-
置き換えられた公開キーと自己署名サーバ証明書を使用して復号化された発信接続を表します。
- [復号(既知のキー)(Decrypt (Known Key))]
-
既知の秘密キーを使用して復号化された着信接続を表します。
- [デフォルトアクション(Default Action)]
-
接続がデフォルト アクションによって処理されたことを示します。
- [復号しない(Do not Decrypt)]
-
システムが復号化しなかった接続を表します。
フィールド値は、検索ワークフロー ページの [SSL ステータス(SSL Status)] フィールドに表示されます。
[SSL 証明書情報(SSL Certificate Information)]
このフィールドは検索フィールド専用です。
トラフィックを暗号化するための公開キー証明書に保存される次の情報:
-
サブジェクト/発行元共通名(Subject/Issuer Common Name)
-
サブジェクト/発行元組織(Subject/Issuer Organization)
-
サブジェクト/発行元組織単位(Subject/Issuer Organization Unit)
-
有効期間の開始/終了(Not Valid Before/After)
-
シリアル番号(Serial Number)
-
証明書フィンガープリント(Certificate Fingerprint)
-
公開キー フィンガープリント(Public Key Fingerprint)
SSL 失敗理由(SSL Failure Reason)
このフィールドは検索フィールド専用です。
システムが暗号化されたトラフィックの復号化に失敗した理由。
-
不明
-
不一致(No Match)
-
Success
-
キャッシュされていないセッション(Uncached Session)
-
不明な暗号スイート(Unknown Cipher Suite)
-
サポートされていない暗号スイート(Unsupported Cipher Suite)
-
サポートされていない SSL バージョン(Unsupported SSL Version)
-
使用された SSL 圧縮(SSL Compression Used)
-
パッシブ モードで復号化できないセッション(Session Undecryptable in Passive Mode)
-
ハンドシェイク エラー(Handshake Error)
-
復号エラー(Decryption Error)
-
保留中のサーバー名カテゴリの検索(Pending Server Name Category Lookup)
-
保留中の共通名カテゴリの検索(Pending Common Name Category Lookup)
-
内部エラー(Internal Error)
-
使用不可能なネットワーク パラメータ(Network Parameters Unavailable)
-
無効なサーバー証明書の処理(Invalid Server Certificate Handle)
-
使用不可能なサーバー証明書フィンガープリント(Server Certificate Fingerprint Unavailable)
-
サブジェクト DN をキャッシュできない(Cannot Cache Subject DN)
-
発行元 DN をキャッシュできない(Cannot Cache Issuer DN)
-
不明な SSL バージョン(Unknown SSL Version)
-
使用不可能な外部証明書リスト(External Certificate List Unavailable)
-
使用不可能な外部証明書フィンガープリント(External Certificate Fingerprint Unavailable)
-
無効な内部証明書リスト(Internal Certificate List Invalid)
-
使用不可能な内部証明書リスト(Internal Certificate List Unavailable)
-
使用不可能な内部証明書(Internal Certificate Unavailable)
-
使用不可能な内部証明書フィンガープリント(Internal Certificate Fingerprint Unavailable)
-
使用不可能なサーバー証明書の検証(Server Certificate Validation Unavailable)
-
サーバー証明書の検証エラー(Server Certificate Validation Failure)
-
無効なアクション(Invalid Action)
フィールド値は、検索ワークフロー ページの [SSL ステータス(SSL Status)] フィールドに表示されます。
SSL ステータス(SSL Status)
暗号化された接続を記録した、[SSLの実際の動作(SSL Actual Action)](復号ルール、デフォルトアクション、または復号できないトラフィックアクション)に関連したアクション。
システムが暗号化された接続の復号化に失敗した場合、実行された [SSL の実際のアクション(SSL Actual Action)](復号化できないトラフィック アクション)と [SSL 障害の理由(SSL Failure Reason)] が表示されます。たとえば、不明な暗号スイートによって暗号化されたトラフィックをシステムが検出し、それ以上のインスペクションをせずにこれを許可した場合、このフィールドには [復号しない(不明な暗号スイート)(Do Not Decrypt (Unknown
Cipher Suite))] が表示されます。
証明書の詳細を表示するには [ロック(Lock)] アイコン()をクリックします。
このフィールドを検索するときは、[SSL の実際のアクション(SSL Actual Action)] および [SSL 障害の理由(SSL Failure Reason)] の値を 1 つ以上を入力して、システムが処理した暗号化されたトラフィック、または復号化に失敗したトラフィックを表示します。
[SSL サブジェクト/発行元国(SSL Subject/Issuer Country)]
このフィールドは検索フィールド専用です。
暗号化証明書に関連付けられている件名または発行者の国に関する 2 文字の ISO 3166-1 アルファ 2 国コード。
時刻(Time)
イベントの日付と時刻。このフィールドは検索できません。
[VLAN ID](syslog:VLAN_ID)
侵入イベントをトリガーとして使用したパケットと関連付けられた最内部 VLAN ID。
[Web アプリケーション(Web Application)](syslog:WebApplication)
侵入イベントをトリガーとして使用したトラフィックで検出された HTTP トラフィックの内容または要求された URL を表す、Web アプリケーション。
システムが HTTP のアプリケーション プロトコルを検出し、特定の Web アプリケーションを検出できなかった場合、システムは代わりに一般的な Web ブラウジング指定を提供します。
Web アプリケーション カテゴリおよびタグ(Web Application Category and Tag)
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示す基準。
![[不明(Unknown)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/448001-449000/448100.jpg)
)![[脆弱(Vulnerable)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/448001-449000/448101.jpg)
)![[潜在的に脆弱(Potentially Vulnerable)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/448001-449000/448102.jpg)
)![[現在脆弱性のない(Currently Not Vulnerable)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/448001-449000/448103.jpg)
)![[不明なターゲット(Unknown Target)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/448001-449000/448104.jpg)
)![[閉じる(Close)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/447001-448000/447373.jpg)
)
フィードバック