統合イベント

次のトピックでは、統合イベントの使用方法について説明します。

統合イベントについて

統合イベントは、複数タイプのファイアウォールイベント(接続、侵入、ファイル、マルウェア、および一部のセキュリティ関連の接続イベント)の単一画面ビューを提供します。相互に関連付けられているイベントはテーブル内で一緒にスタックされ、セキュリティイベントに関する統合ビューと詳細なコンテキストが提供されます。[統合イベント(Unified Events)] テーブルに侵入イベントがある場合、その侵入イベントをクリックすると、関連付けられている接続イベントが強調表示されます。その後、複数のイベントビューアを切り替えることなく、接続イベントを侵入イベントと相関させて、ネットワークの問題をよりよく理解し、トラブルシューティングすることができます。

[統合イベント(Unified Events)] テーブルは、高度なカスタマイズが可能です。カスタムフィルタを作成して適用することにより、イベントビューアに表示される情報を微調整できます。統合イベントには、特定のニーズに頻繁に使用するカスタムフィルタを保存し、保存したフィルタをすばやくロードするオプションもあります。また、列を追加または削除したり、列をピン留めしたり、列をドラッグして並べ替えたりすることで、イベントビューアテーブルを調整できます。Also, you can make a tailored event viewer table by adding or removing columns, pin columns, or drag and re-order the columns.

[統合イベント(Unified Events)] テーブルの [ライブビュー(Live View)] オプションを使用すると、ファイアウォールイベントをリアルタイムで表示し、ネットワーク上のアクティビティをモニターすることができます。たとえば、ファイアウォール管理者の場合、ポリシーの変更後にイベントの更新をリアルタイムで表示すると、ポリシーの変更がネットワークに正しく適用されていることを確認するために役立ちます。

統合イベントの要件と前提条件

モデルのサポート

任意

サポートされるドメイン

任意

ユーザの役割

  • 管理者

  • セキュリティ アナリスト(Security Analyst)

統合イベントの使用

複数のイベントビューアを切り替えることなく、さまざまなタイプのファイアウォールイベントを 1 つのテーブルで表示および操作できます。

次のことを行うには、このビューを使用します。

  • 異なるタイプのイベント間の関係を統合ビューで表示する。

  • ポリシー変更の影響をリアルタイムで確認する。

始める前に

このタスクを実行するには、管理者 または セキュリティ アナリスト(Security Analyst) 権限が必要です。

手順

ステップ 1

[分析(Analysis)] > [統合イベント(Unified Events)]を選択します。

ステップ 2

時間範囲(固定またはスライド)を選択します。詳細については、統合イベントでの時間範囲の設定を参照してください。

ステップ 3

Secure Network Analytics アプライアンスにリモートでイベントを保存していて、データソースを変更する正当な理由がある場合は、データソースを選択します。「Cisco Secure Network Analytics アプライアンスに保存されている接続イベントを使用した Cisco Secure Firewall Management Center での作業」で重要な情報を参照してください。

ステップ 4

統合イベント テーブルが最初に表示するファイアウォールイベントの膨大なリストをフィルタ処理して、ネットワーク内のイベントのより詳細な状況を把握できます。詳細については、統合イベントのフィルタを参照してください。

ステップ 5

その他のオプションの選択:

目的

操作手順

列のカスタマイズ

  • 列の追加または削除:

    列ピッカー([列ピッカー(column picker)] アイコン)をクリックして、列を選択します。一部のフィールドの値は、イベントタイプによって異なります。各フィールドの横に表示される以下のアイコンは、対応するイベントタイプを示します。

    • 接続イベント(connection_event_icon

    • セキュリティ関連の接続イベント [セキュリティ関連の接続イベント(security-related connection event)] アイコン

    • 侵入イベント(intrusion_event_icon

    • ファイルイベント(file_event_icon

    • マルウェアイベント(malware_event_icon

    • トラブルシュートイベント(Troubleshoot_event_icon

    列セットフィルタ処理オプションの横にあるイベントアイコンをクリックして、選択したイベントタイプに従ってイベントフィールドのリストをフィルタ処理します。

    (注)  

     

    多くの列を含めると、パフォーマンスが低下する可能性があります。イベント行を展開してイベントの詳細を表示すると、非表示の列のデータを表示できます。

  • 列の順序変更:

    列の見出しをドラッグアンドドロップします。

  • 列がスクロールしないようにするための、テーブルの左側または右側での列の固定(静止):

    列をテーブルの左まで右側までドラッグします。

    または、列の見出しを固定エリアにドラッグアンドドロップします。

    列の固定を解除するには、列を固定エリアの外にドラッグします。

  • 列のサイズを変更します。

  • 列をデフォルトの設定に戻します。

  • 列セットを保存して、カスタマイズしたビューを後ですばやくリロードします。詳細については、列の設定の保存 トピックを参照してください。

データは常に時間順に並べ替えられ、最新のイベントが上に表示されます。

イベントタイプによる迅速なフィルタ処理

左上にあるイベント タイプ フィルタ ボタンを使用すると、イベントタイプフィルタをすばやく適用できます。各イベントタイプボタンには、選択した時間範囲にあるイベントの数が表示されます。イベントタイプボタンをクリックして、そのイベントタイプを含めるか除外するかを選択します。

図 1. イベント タイプ フィルタ ボタン

(注)  

 

[トラブルシューティング(Troubleshooting)] タブの下に、[イベントのトラブル シューティング(Troubleshoot Event)] Troubleshoot_event_iconボタンが表示されます。トラブルシュートイベントを表示するには、Threat Defense デバイスのプラットフォーム設定ポリシーですべてのトラブルシューティング syslog のロギングを有効にする必要があります。詳細については、「Secure Firewall Management Center でのトラブルシューティング Syslog の表示」を参照してください。

関連イベントの特定

行をクリックして、このイベントに関連する他のイベントを強調表示します。

必要に応じて、イベントをフィルタして、十分に少ないイベントのセットを表示します。

(注)  

 

接続のイニシエータは、マルウェアファイルの送信者と同じである必要はありません。[送信元または宛先IP(Source or Destination IP)] フィルタを使用して統合イベント テーブルをフィルタ処理することにより、接続イベントに関連付けられているファイルまたはマルウェアイベントを検索します。

イベントの詳細の表示

行の左端にある [>] (展開)アイコンをクリックします。イベントの詳細には、表示するデータがないフィールドは含まれません。

ヒント

 

または、イベント行をダブルクリックして、[イベントの詳細(Event Details)] ペインを表示します。[イベントの詳細(Event Details)] ペインが開いている場合は、テーブル内の任意のイベント行をクリックして、そのイベントの詳細をロードします。

パケットトレーサを使用したイベントのトラブルシューティング

  1. パケットトレースを実行する行の横にある省略記号アイコン(その他アイコン)をクリックします。

  2. [パケットトレーサで開く(Open in Packet Tracer)] を選択して、イベントの送信元アドレスと宛先アドレス、およびプロトコル特性に基づいてパケットトレーサツールでパケットをシミュレーションします。シミュレーションしたパケットをトレースし、トレース結果を使用してセキュリティイベントのトラブルシューティングを行います。パケットトレーサツールの使用方法の詳細については、パケット トレーサの使用を参照してください。

リアルタイムでのイベントの表示

[ライブ表示(Go Live)] をクリックします。詳細については、統合イベントでのライブイベントの表示を参照してください。

イベントのストリームが速すぎる場合は、フィルタ基準を入力します。

外部リソースへの相互起動

テーブルセルの省略記号 その他アイコン をクリックすると、そのセル値に使用可能なオプションが表示されます(存在する場合)。

詳細については、Web ベースのリソースを使用したイベントの調査を参照してください。

複数の統合イベント ウィンドウを開く

  • 複数のブラウザのタブまたはウィンドウを使用して、統合イベント テーブルのさまざまなビューを表示できます。

  • 新しいタブまたはウィンドウには、最後に変更されたタブ/ウィンドウの特性があります。

  • 開いているタブ/ウィンドウをテンプレートにするには、それに対して小さな変更を加えます。

  • システムは、複数のタブのクエリを順番に処理します。

  • ビューによっては(複雑なクエリや、着信イベントレートが高い場合のライブビューモードでの表示など)、4 つより多くのタブが同時に開かれていると、パフォーマンスが低下する場合があります。

検索の保存

カスタム検索をお気に入りとして保存し、後ですばやくロードできます。詳細については、統合イベントでの検索の保存を参照してください。

クエリ結果のブックマークまたは共有

ブラウザウィンドウで URL をブックマークするか、コピーして貼り付けます。

  • スライド時間範囲が使用されている場合、URL では後で異なるイベントが取得されます。

  • 列の可視性、サイズ、順序、およびリアルタイムストリーミング設定は、URL にキャプチャされません。

統合イベントでの時間範囲の設定

特定期間のファイアウォールイベントを表示するには、統合イベントで時間範囲を設定します。時間範囲を変更すると、統合イベント テーブルが自動的に更新され、変更が反映されます。

選択した時間範囲は、イベントビューアの他のテーブルには適用されません。たとえば、接続イベントを表示するときに選択した時間範囲は統合イベント テーブルには適用されず、その逆も同様です。


重要

時間枠が接続イベントの保持期間を超える場合は、[分析(Analysis)] > [接続(Connections)] > [セキュリティ関連の接続イベント(Security-Related Connection Events)] のテーブルでセキュリティ関連の接続イベントを探します。

手順

ステップ 1

[分析(Analysis)] > [統合イベント(Unified Events)] を選択します。

デフォルトでは、統合イベント テーブルには、過去 1 時間のイベントが表示されます。

ステップ 2

現在の時間範囲をクリックします。

ステップ 3

次のいずれかを選択します。

  • 固定時間範囲のイベントを表示する場合は、[固定時間範囲(Fixed Time Range)] をクリックし、[開始時刻(Start time)] と [終了時刻(End time)] を選択します。

    ヒント

     

    [終了時刻(End time)] を現在の時刻に素早く設定するには、[現在(Now)] をクリックします。

  • 指定された長さのスライドするデフォルト時間枠を設定する場合は、[スライド時間枠(Sliding Time Range)] をクリックします。

    アプライアンスは、特定の開始時刻(たとえば 1 時間前)から現在までに生成されたすべてのイベントを表示します。イベントビューを更新すると時間枠がスライドして、常に最後の 1 時間内のイベントが表示されます。

ステップ 4

[適用(Apply)] をクリックします。

統合イベントでのライブイベントの表示

イベント ビューアを手動で更新しなくてもファイアウォール イベントがリアルタイムで表示されるように統合イベントを設定します。[ライブビュー(Live View)] モードでは、ネットワークでセキュリティイベントが発生すると、イベントログがリアルタイムで表示されるため、問題のトラブルシューティングに役立ちます。

手順

ステップ 1

[分析(Analysis)] > [統合イベント(Unified Events)] を選択します。

デフォルトでは、統合イベント テーブルには、過去 1 時間のイベントが表示されます。

ステップ 2

ライブイベント更新を表示するには、[ライブに移行(Go Live)] をクリックします。

新しいイベントは、イベントテーブルの一番上に表示されます。時間範囲セクションには、統合イベント テーブルのライブ期間を通知するタイマーが表示されます。

(注)  

 

Go Live 機能を使用する場合、次の制限が UDP トラフィックに適用されます。

  • デフォルトでは、Firewall Management CenterGo Live 機能は、最後の 30 秒間からのトラフィックデータを考慮します。これは、UDP 接続を処理して統合イベントにまとめるために必要な 120 秒よりも短いものです。これにより、UDP トラフィックのイベント ロギングが不完全になる可能性があります。

  • 可視性を高めるには、UDP トラフィックの接続の開始時にロギングを設定します。

次のタスク

ライブビューモードを終了するには、[ライブ(Live)] をクリックします。

統合イベントのフィルタ

統合イベント テーブルには、最初に過去 1 時間の複数タイプのファイアウォールイベントが表示されます。統合イベントのデフォルトビューをフィルタ処理して、ネットワーク上のアクティビティのより詳細な状況を把握することができます。フィルタは、排他フィルタ条件と包含フィルタ条件をサポートしています。

フィルタを使用すると、重要な情報にすばやくアクセスできます。たとえば、ファイアウォール管理者は、特定のアプリケーションへのアクセスを一部のユーザーに許可または拒否する場合、ファイアウォールログをスキャンするようにユーザー検索条件を設定できます。イベントビューアに、検索条件に一致するイベントログが表示されます。

手順

ステップ 1

[分析(Analysis)] > [統合イベント(Unified Events)] を選択します。

ステップ 2

フィルタ条件を入力します。

  • フィルタ条件を手動で入力するには、検索テキストフィールドに正確な条件を入力するか、ドロップダウンリストから条件を選択します。その後、フィルタ条件の値を指定します。値を入力する際、可能な場合は常に、ドロップダウンリストに候補が表示されます。

  • テーブル内のイベントのセル内のドットをクリックし、その値をフィルタ基準に含めるか除外するオプションを選択します。

    ヒント

     

    • 包含フィルタ条件をすばやく追加するには、Ctrl キーを押しながらクリック(Windows)するか Command キーを押しながらクリック(Mac)します。

    • 排他フィルタ条件をすばやく追加するには、Alt キーを押しながらクリック(Windows)するか Option キーを押しながらクリック(Mac)します。

  • フィルタ基準を絞り込みます。ワイルドカードと検索の動作に関する重要な情報については、イベントの検索を参照してください。

  • 値フィールドの値の前に、演算子(<、>、! など)を含めます。たとえば、[アクション(Action)] フィールドに !Allow と入力して、Allow 以外のアクションを持つすべてのイベントを検索します。

ステップ 3

検索を実行します。

ヒント

 

Ctrl キーを押しながら Enter キーを押す(Windows)か Command キーを押しながら Enter キーを押す(Mac)ことで、検索を開始できます。

統合イベント テーブルのイベントは、表示されたすべての列が同じ値を保持している場合は、集約されません。フィルタ基準に一致するすべてのイベントが個別に表示されます。

次のタスク

カスタムフィルタを保存するには、 統合イベントでの検索の保存 のトピックを参照してください。

統合イベントでの検索の保存

カスタム検索をお気に入りとして保存し、後ですばやくロードできます。このオプションは、 [トラブルシューティング(Troubleshooting)] テーブルでは使用できないことに注意してください。

手順

ステップ 1

[分析(Analysis)] > [統合イベント(Unified Events)] を選択します。

ステップ 2

[イベント(Events)] タブをクリックします。

ステップ 3

統合イベントのフィルタトピックの説明に従って、検索条件を確立します。

ステップ 4

検索ボックスの [お気に入りの検索(Favorite Searches)](お気に入りの検索アイコン アイコンをクリックします。

ステップ 5

次のいずれかを実行します。

  • 新しい検索を保存するには、検索名を指定し、[新規として保存(Save as new)] をクリックします。

  • 保存済みの検索を上書きするには、上書きする保存済み検索で [編集(Edit)] をクリックし、[上書き(Overwrite)] をクリックします。

次のタスク

保存されている検索を読み込むには、統合イベントでの保存済み検索のロード のトピックを参照してください。

統合イベントでの保存済み検索のロード

始める前に

統合イベントでの検索の保存 のトピックの説明に従って、保存済みの検索を確立します。

手順

ステップ 1

[分析(Analysis)] > [統合イベント(Unified Events)]を選択します。

ステップ 2

検索ボックスの [お気に入りの検索(Favorite Searches)](お気に入りの検索アイコン アイコンをクリックします。

ステップ 3

ロードする保存済み検索をクリックします。

列の設定の保存

カスタム列セットをお気に入りとして保存して、後でロードしたり、カスタムテーブルをすばやく切り替えたりすることができます。このオプションは、 [トラブルシューティング(Troubleshooting)] テーブルでは使用できないことに注意してください。

手順

ステップ 1

[分析(Analysis)] > [統合イベント(Unified Events)] を選択します。

ステップ 2

列ピッカーアイコン([列ピッカー(column picker)] アイコン)をクリックし、保存する列のセットを選択します。

ステップ 3

[お気に入りの列セット(Favorite column sets)]([お気に入りの列セット(Favorite column sets)]アイコンをクリックします。

ステップ 4

次のいずれかを実行します。

  • 新しい列セットを保存するには、列セット名を指定し、[新規として保存(Save as new)] をクリックします。

  • お気に入りの列セットを上書きするには、上書きする列セットで [編集(Edit)][編集(edit)] アイコン をクリックし、[上書き(Overwrite)] をクリックします。

次のタスク

保存されている列セットをロードするには、保存されている列セットの読み込み トピックを参照してください。

保存されている列セットの読み込み

始める前に

列の設定の保存 トピックの説明に従って、お気に入りの列設定を保存します。

手順

ステップ 1

[分析(Analysis)] > [統合イベント(Unified Events)]を選択します。

ステップ 2

列ピッカーアイコン([列ピッカー(column picker)] アイコン)をクリックします。

ステップ 3

[お気に入りの列セット(Favorite column sets)]([お気に入りの列セット(Favorite column sets)]をクリックします。

ステップ 4

ロードする列セットをクリックします。

統合イベントでの Threat Defense デバイスからのトラブルシューティング Syslog の表示

すべてのトラブルシューティング Syslog を Firewall Management Center にロギングするように Threat Defense デバイスを設定し、それらを [統合イベント(Unified Events)] テーブルにトラブルシューティング イベントとして表示することができます。このオプションにより、デバイス Syslog をリアルタイムで表示し、同じテーブル内の他のイベントタイプでそれらをフィルタ処理および分析して、Firewall Threat Defense デバイスのトラブルシューティングを行うことができます。

詳細については、「Secure Firewall Management Center でのトラブルシューティング Syslog の表示」を参照してください。

始める前に

必ず、Threat Defense プラットフォーム設定で [Cisco Secure Firewall Management Centerへのロギング(Logging to Secure Firewall Management Center)][Cisco Security Cloud Control のファイアウォール へのロギング(Logging to)] オプションを設定することにより、管理対象 Firewall Threat Defense デバイスによるすべてのログの Firewall Management Center へのロギングを有効にしてください。詳細については、Cisco Secure Firewall Management Center デバイス構成ガイドの「Enable Logging and Configure Basic Settingsを参照してください。

手順

ステップ 1

[分析(Analysis)] > [統合イベント(Unified Events)] をクリックします。

ステップ 2

[トラブルシューティング(Troubleshooting)] タブをクリックします。

ステップ 3

デフォルトでは、トラブルシューティング イベントは [統合イベント(Unified Events)] テーブルで選択されていません。左上にある [トラブルシューティング イベント(Troubleshoot Events)] Troubleshoot_event_iconボタンをクリックして、トラブルシューティング イベントを表示します。

図 2. イベント タイプ フィルタ ボタン
イベント タイプ フィルタ ボタンの画面キャプチャ
図 3. イベント タイプ フィルタ ボタン
イベント タイプ フィルタ ボタンの画面キャプチャ

ステップ 4

トラブルシューティング イベント テーブルでは、次の操作を実行できます。

  • トラブルシューティング イベントを対応する接続イベントとともに表示および分析して、トラブルシューティングのための追加のインサイトを取得します。

  • [ライブに移行(Go Live)] をクリックして、トラブルシューティング イベントをリアルタイムで表示します。これにより、デバイスログを最近のデバイス設定変更と関連付けることができます。

統合イベントのカラムの説明

一部のフィールドの値は、イベントタイプによって異なります。デフォルトフィールドのフィールド対応は次のとおりです。

統合イベントのフィールド名

接続イベントまたはセキュリティ インテリジェンス イベントのフィールド名

侵入イベントのフィールド名

ファイルイベントのフィールド名

マルウェアイベントのフィールド名

時刻(Time)

最初のパケット(First Packet)

次の(注)を参照してください。

時刻(Time)

時刻(Time)

時刻(Time)

イベント タイプ

--

--

--

--

アクション(Action)

アクション

インライン結果

アクション

アクション

理由

理由

理由

(非該当)

(非該当)

ソース IP(Source IP)

[イニシエータ IP(Initiator IP)]

ソース IP(Source IP)

送信側 IP(Sending IP)

送信側 IP(Sending IP)

宛先 IP(Destination IP)

レスポンダ IP(Responder IP)

宛先 IP(Destination IP)

受信側 IP(Receiving IP)

受信側 IP(Receiving IP)

送信元ポート/ICMP タイプ(Source Port/ICMP Type)

送信元ポート(Source Port)

送信元ポート(Source Port)

送信側のポート(Sending Port)

送信側のポート(Sending Port)

送信先ポート/ICMP タイプ(Destination Port/ ICMP Type)

宛先ポート

宛先ポート

受信側のポート(Receiving Port)

受信側のポート(Receiving Port)

[Webアプリケーション(Web Application)]

Web アプリケーション

Web アプリケーション

Web アプリケーション

Web アプリケーション

Rule

アクセス コントロール ルール(Access Control Rule)

アクセス コントロール ルール(Access Control Rule)

(非該当)

(非該当)

ポリシー

アクセス コントロール ポリシー(Access Control Policy)

侵入ポリシー(Intrusion Policy)

ファイルポリシー

ファイルポリシー(File Policy)

Device

デバイス

デバイス

デバイス

デバイス

列ピッカー()アイコンをクリックして、すべてのイベントフィールドとその対応関係を表示します。

フィールドの説明については、次のトピックを参照してください。

イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。


(注)  

接続の開始時にロギングを有効にしていない場合でも、システムはこの値を持ち、統合イベントの時間フィールドとして使用します。接続の開始時と終了時に接続イベントがログに記録されたかどうかを判断するには、イベントの行を展開して詳細を表示します。接続の両端がログに記録されている場合は、[最後のパケット(Last Packet)] フィールドが表示されます。

統合イベントの履歴

機能

最小 Firewall Management Center

最小 Firewall Threat Defense

詳細

[統合イベント(Unified Events)] テーブルで診断 syslog メッセージを表示します。

7.6.0

任意(Any)

[統合イベント(Unified Events)] ページの [トラブルシュートイベント(Troubleshoot Events)] と呼ばれる新しいイベントタイプとしてデバイスの syslog を表示できるようになりました。[統合イベント(Unified Events)] テーブルを使用すると、トラブルシューティング イベントをリアルタイムで表示し、同じイベントテーブル内の他のイベントタイプと関連付けることができます。これにより、Threat Defense デバイス設定のトラブルシューティングに役立つ、より詳細なインサイトを得ることができます。

新規/変更された画面:[分析(Analysis)] > [統合イベント(Unified Events)] > [トラブルシューティング(Troubleshooting)]

[統合イベント(Unified Events)] テーブルにイベントタイプフィルタを簡単に適用します。

7.6.0

任意(Any)

イベント タイプ フィルタ ボタンが導入されました。これにより、[統合イベント(Unified Events)] テーブルに [イベントタイプ(Event Type)] フィルタをすばやく適用できます。さらに、各ボタンには、選択した期間に対応するイベントの数が表示されます。

新規/変更された画面:[分析(Analysis)] > [統合イベント(Unified Events)]

統合イベントのパケットトレーサ

7.4.1

7.2.6

いずれか

[統合イベント(Unified Events)] ページからパケットトレーサを開いて、セキュリティイベントをトラブルシューティングできるようになりました。

パケットトレースを実行するイベントの横にある [>][省略記号(Ellipsis)][省略記号(Ellipsis)] アイコン)([展開(Expand)])アイコンをクリックし、[パケットトレーサで開く(Open in Packet Tracer)] リンクをクリックします。

バージョンの制限:バージョン 7.3.x または 7.4.0 ではサポートされていません。

統合イベントの改善

7.4

いずれか

お気に入りの列セットの保存と検索機能の改善。

お気に入りの検索を保存する

7.3

任意(Any)

列セットと検索をお気に入りとして保存し、後ですばやく起動できます。

統合イベントテーブル

7.0

任意(Any)

接続(セキュリティ インテリジェンスを含む)、侵入、ファイル、マルウェアの複数のイベントタイプを 1 つのテーブルで表示および操作します。

新規/変更された画面: [分析(Analysis)] > [統合イベント(Unified Events)]の新しいページ。

サポートされているプラットフォーム: Firewall Management Center