この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
次のトピックでは、カスタム テーブルの使用方法について説明します。
システムがネットワークに関する情報を収集し、Management Center がその情報を一連のデータベーステーブルに保存します。結果として生成される情報を表示するためにワークフローを使用する場合、Management Center はそれらのテーブルのいずれかからデータを取り出します。たとえば、[カウント別のネットワーク アプリケーション(Network Applications by Count)] ワークフローの各ページのカラムは、[アプリケーション(Applications)] テーブルのフィールドから取得されます。
さまざまなテーブルのフィールドを結合することにより、ネットワークのアクティビティの分析が向上する場合、カスタム テーブルを作成できます。
定義済みのテーブルまたはカスタム テーブルのどちらについても、カスタム ワークフローを作成できます。
カスタム テーブルには、2 つまたは 3 つの定義済みテーブルのフィールドを含みます。システムは、いくつかのシステム定義のカスタムテーブルとともに配布されますが、特定のニーズに適合する情報のみを含む追加のカスタムテーブルを作成できます。
たとえば、システムは、侵入イベントとホストデータを相関するシステム定義のカスタムテーブルとともに配布されます。そのため、クリティカルシステムに影響を及ぼすイベントを検索でき、1 つのワークフローにその検索結果を表示できます。
マルチドメイン展開では、定義済みのカスタム テーブルは、グローバル ドメインに属し、下位ドメインで変更することはできません。
次の表では、システムと共に提供されるカスタム テーブルについて説明します。
|
テーブル |
説明 |
|---|---|
|
ホストとサーバー(Hosts with Servers) |
ホスト テーブルおよびサーバー テーブルのフィールドを含み、ネットワーク上で実行されている検出されたアプリケーションに関する情報やこれらのアプリケーションを実行するホストに関する基本的なオペレーティング システム情報を提供します。 |
カスタム テーブルを作成する場合、関連データのある定義済みのテーブルのフィールドを組み合わせことができます。次の表は、新しいカスタム テーブルを作成するために結合できる定義済みのテーブルをリストしています。2 つ以上の定義済みのカスタム テーブルのフィールドを組み合わせるカスタム テーブルを作成できます。
|
組み合わせ可能なカスタム テーブル |
以下のテーブルのフィールドと結合可能 |
|---|---|
|
アプリケーション |
|
|
相関イベント(Correlation Events) |
|
|
侵入イベント |
|
|
接続のサマリーデータ(Connection Summary Data) |
|
|
ホストの侵害の兆候(Host Indications of Compromise) |
|
|
ホスト属性(Host Attributes) |
|
|
アプリケーションの詳細(Application Details) |
|
|
検出イベント |
|
|
セキュリティ インテリジェンス イベント(Security Intelligence Events) |
|
|
ホスト(Hosts) |
|
|
サーバー |
|
|
許可(Allow) イベントの一覧表示 |
|
あるテーブルのフィールドが、別のテーブルの複数のフィールドにマップされる場合があります。
新しいカスタム テーブルを作成すると、テーブルのすべてのカラムを表示するデフォルトのワークフローが自動的に作成されます。定義済みのテーブルと同じように、ネットワーク分析で使用するデータをカスタム テーブルで検索することもできます。定義済みのテーブルを使用して可能であるように、カスタム テーブルに基づいてレポートを作成できます。
 ヒント |
新しいカスタム テーブルを作成する代わりに、別の Management Center からカスタム テーブルをエクスポートし、Management Center にインポートすることができます。 |
カスタムテーブルを作成するには、どの定義済みテーブルに、カスタムテーブルに組み込むフィールドが含まれているかを判断します。その後、組み込むフィールドを選択できます。さらに、必要に応じて、共通フィールドのフィールド マッピングを設定することもできます。
ヒント |
[ホスト(Hosts)] テーブルを含むデータでは、1 つの IP アドレスではなく、1 つのホストのすべての IP アドレスに関連したデータを表示できます。 |
例として、[相関イベント(Correlation Events)] テーブルと [ホスト(Hosts)] テーブルのフィールドを結合するカスタム テーブルについて考慮します。このカスタム テーブルを使用して、相関ポリシーの違反に関係するホストの詳細情報を取得できます。注意すべき点として、[相関イベント(Correlation Events)] テーブルの送信元 IP アドレスと宛先 IP アドレスのどちらと一致する [ホスト(Hosts)] テーブル データを表示するかを決定する必要があります。
このカスタム テーブルのイベントのテーブル ビューを表示する場合、相関イベントが 1 行に 1 つずつ表示されます。次の情報を含むようにカスタム テーブルを設定できます。
イベントが生成された日時
違反された相関ポリシーの名前
違反をトリガーとして使用した規則の名前
相関イベントに関係する送信元ホスト(開始ホスト)に関連付けられた IP アドレス
送信元ホストの NetBIOS 名
送信元ホストが実行しているオペレーティング システムおよびバージョン
送信元ホストのシビラティ(重大度)
ヒント |
宛先ホスト(応答ホスト)の同じ情報を表示する同様のカスタム テーブルを作成することもできます。 |
|
ステップ 1 |
を選択します。 |
||
|
ステップ 2 |
[カスタム テーブルの作成(Create Custom Table)] をクリックします。 |
||
|
ステップ 3 |
[名前(Name)] フィールドに、カスタム テーブルの名前を入力します。 例:Correlation Events with Host Information(Src IP)と入力します。
|
||
|
ステップ 4 |
[テーブル(Tables)] ドロップダウン リストから、[相関イベント(Correlation Events)] を選択します。 |
||
|
ステップ 5 |
[フィールド(Fields)] で [時間(Time)] を選択し、[追加(Add)] をクリックして、相関イベントが生成された日時を追加します。 |
||
|
ステップ 6 |
手順 5 を繰り返して、[ポリシー(Policy)] および [ルール(Rule)] フィールドを追加します。
|
||
|
ステップ 7 |
[テーブル(Tables)] ドロップダウンリストから [ホスト(Hosts)] を選択します。 |
||
|
ステップ 8 |
[IP アドレス(IP Address)]、[NetBIOS 名(NetBIOS Name)]、[OS 名(OS Name)]、[OS バージョン(OS Version)]、[ホストのシビラティ(重大度)(Host Criticality)] フィールドをカスタム テーブルに追加します。 |
||
|
ステップ 9 |
[相関イベント(Correlation Events)] の隣にある [共通フィールド(Common Fields)] で、[送信元 IP(Source IP)] を選択します。 相関イベントに関係する送信元ホスト(開始ホスト)用に手順 8 で選択したホスト情報を表示するように、カスタム テーブルが設定されます。
|
||
|
ステップ 10 |
[保存(Save)] をクリックします。 |
マルチドメイン展開では、現在のドメインで作成されたカスタム テーブルが表示されます。これは編集できます。先祖ドメインで作成されたカスタムテーブルも表示されますが、これは編集できません。下位のドメインのカスタムテーブルを表示および編集するには、そのドメインに切り替えます。
|
ステップ 1 |
を選択します。 |
||
|
ステップ 2 |
編集するテーブルの横にある[編集(Edit)] ( 代わりに [表示(View)]( |
||
|
ステップ 3 |
削除するフィールドの横にある[削除(Delete)](
|
||
|
ステップ 4 |
必要に応じて、その他の変更を実行します。 |
||
|
ステップ 5 |
[保存(Save)] をクリックします。 |
マルチドメイン導入では、現在のドメインで作成されたカスタム テーブルが表示されます。これは削除できます。先祖ドメインで作成されたカスタム テーブルも表示されますが、これは削除できません。下位のドメインのカスタム テーブルを削除するには、そのドメインに切り替えます。
|
ステップ 1 |
を選択します。 |
|
ステップ 2 |
削除するカスタムテーブルの隣にある[削除(Delete)]( コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。 |
カスタム テーブルを作成すると、そのデフォルトのワークフローがシステムによって自動的に作成されます。このワークフローの最初のページには、イベントのテーブル ビューが表示されます。カスタム テーブルに侵入イベントを含める場合、ワークフローの 2 番目のページはパケット ビューになります。それ以外の場合、ワークフローの 2 番目のページはホスト ページになります。カスタム テーブルに基づいて、独自のカスタム ワークフローを作成することもできます。
ヒント |
カスタム テーブルに基づいてカスタム ワークフローを作成する場合、それをそのテーブルのデフォルトのワークフローとして指定できます。 |
同じ手法を使用して、定義済みのテーブルに基づいたイベント ビューに使用するカスタム テーブルでイベントを表示できます。
マルチドメイン展開では、現在のドメインで作成されたカスタム テーブルが表示されます。これは編集できます。先祖ドメインで作成されたカスタムテーブルも表示されますが、これは編集できません。下位のドメインのカスタムテーブルを表示および編集するには、そのドメインに切り替えます。
|
ステップ 1 |
を選択します。 |
|
ステップ 2 |
表示するワークフローに関連するカスタムテーブルの隣にある [表示(View)]( |
マルチドメイン展開では、現在のドメインで作成されたカスタム テーブルが表示されます。これは編集できます。先祖ドメインで作成されたカスタムテーブルも表示されますが、これは編集できません。下位のドメインのカスタムテーブルを表示および編集するには、そのドメインに切り替えます。
|
ステップ 1 |
を選択します。 |
||
|
ステップ 2 |
検索するカスタムテーブルの隣にある[表示(View)](
|
||
|
ステップ 3 |
[検索(Search)] をクリックします。
|
||
|
ステップ 4 |
該当するフィールドに、検索条件を入力します。 複数のフィールドに条件を入力して検索すると、すべてのフィールドに対して指定された検索条件に一致するレコードのみが返されます。
|
||
|
ステップ 5 |
必要に応じて、検索を保存する場合は、[プライベート(Private)] チェックボックスをオンにして、プライベートとして検索を保存すると、その検索に本人のみがアクセスできるようになります。本人のみではなくすべてのユーザを対象にする場合は、このチェックボックスをオフのままにして検索を保存します。
|
||
|
ステップ 6 |
必要に応じて、後で再度使用する検索を保存できます。次の選択肢があります。
|
||
|
ステップ 7 |
[検索(Search)] をクリックして、検索を開始します。 検索結果は、現在の時間範囲によって制限されている、カスタム テーブルのデフォルトのワークフローに表示されます(該当する場合)。 |
|
機能 |
最小 Management Center |
最小 Threat Defense |
詳細 |
|---|---|---|---|
|
カスタムテーブルの接続イベントのサポートが削除されました |
6.6 |
任意(Any) |
接続イベントを含むカスタムテーブルを作成することはできなくなりました。 バージョン 6.6 にアップグレードした場合、接続イベントを持つ既存のテーブルは廃止としてリストされ、データは表示されず、エクスポートまたは編集することはできません。既存のレポート、カスタムワークフロー、およびダッシュボードには廃止されたテーブルが含まれる場合があり、それらを確認することができます。 変更された画面:[Analysis] > [Advanced] > [Custom Tables] と、カスタムテーブルを追加または編集するためのページ。 影響を受けるプラットフォーム:Management Center |
![[編集(edit)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/442001-443000/442546.jpg)
![[表示(View)] ボタン](/c/dam/en/us/td/i/400001-500000/450001-460000/452001-453000/452013.jpg)
)![[削除(Delete)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/447001-448000/447585.jpg)
)![[オブジェクト(Object)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/448001-449000/448046.jpg)
)
フィードバック