中央集中型電子メール セキュリティ レポーティングの使用

この章は、次の項で構成されています。

中央集中型の電子メール レポーティングの概要

Cisco コンテンツ セキュリティ管理アプライアンスは、電子メールのトラフィック パターンおよびセキュリティ リスクをモニタできるように、個別または複数の Email Security Appliances からの集計情報を示します。リアルタイムでレポートを実行して、特定の期間のシステム アクティビティをインタラクティブに表示することも、レポートをスケジュール設定して、定期的に実行することもできます。また、レポーティング機能を使用して、raw データをファイルにエクスポートすることもできます。

この機能により、E メール セキュリティ アプライアンスの [モニタ(Monitor)] メニューの下にリストされるレポートが集約されます。

中央集中型電子メール レポーティング機能は、概要レポートを生成してネットワークで起きていることを把握できるだけでなく、特定のドメイン、ユーザ、またはカテゴリのトラフィックの詳細を、ドリルダウンして確認できます。

中央集中型トラッキング機能は、複数の Email Security Appliances を通過する電子メール メッセージの追跡を可能にします。


(注)  
E メール セキュリティ アプライアンスでデータが保存されるのは、ローカル レポーティングが使用される場合だけです。中央集中型レポーティングを E メール セキュリティ アプライアンスに対してイネーブルにした場合、E メール セキュリティ アプライアンスでは、システム キャパシティおよびシステム ステータス以外のレポーティング データは保持されません。中央集中型電子メール レポーティングがイネーブルでない場合、生成されるレポートはシステム ステータスとシステム キャパシティだけです。

中央集中型レポーティングへの移行中および移行後のレポート データのアベイラビリティの詳細については、お使いの E メール セキュリティ アプライアンスのマニュアルまたはオンライン ヘルプの「Centralized Reporting Mode」の項を参照してください

中央集中型の電子メール レポーティングの設定

中央集中型電子メール レポーティングを設定するには、次の手順を順序どおりに実行します。


(注)  
レポーティングとトラッキングを常に同時にイネーブルにせず、レポーティングとトラッキングが適切に機能しない場合、または、レポーティングとトラッキングが各 E メール セキュリティ アプライアンスで常に同時に集中管理またはローカル保存されない場合、レポートからドリルダウンしたときのメッセージ トラッキングの結果は、予想した結果には一致しません。これは、各機能(レポーティング、トラッキング)のデータが、その機能が有効になっている間にのみキャプチャされるためです。

セキュリティ管理アプライアンスでの中央集中型電子メール レポーティングの有効化

始める前に

  • 中央集中型レポーティングを有効にする前に、すべての E メール セキュリティ アプライアンスが設定され、想定どおりに動作している必要があります。
  • 中央集中型電子メール レポーティングをイネーブルにする前に、十分なディスク領域がサービスに割り当てられていることを確認します。ディスク領域の管理

手順

ステップ 1

セキュリティ管理アプライアンスで、[管理アプライアンス(Management Appliance)] > [集約管理サービス(Centralized Services)] > [メール(Email)] > [集約管理レポート(Centralized Reporting)] を選択します。

ステップ 2

[有効化(Enable)] をクリックします。

ステップ 3

システム セットアップ ウィザードを実行してから初めて中央集中型電子メール レポーティングをイネーブルにする場合は、エンドユーザ ライセンス契約書を確認し、[承認(Accept)] をクリックします。

ステップ 4

変更を送信し、保存します。

(注)   
アプライアンスで電子メール レポーティングがイネーブルになっていて、この処理にディスク領域が割り当てられていない場合、ディスク領域が割り当てられるまで、中央集中型電子メール レポーティングが機能しません。電子メール レポーティングおよびトラッキングに設定するクォータが、現在使用しているディスク領域よりも大きい場合、レポーティングおよびトラッキングのデータは失われません。詳細については、ディスク領域の管理セクションを参照してください。

管理対象の各 Email Security Appliance への中央集中型電子メール レポーティング サービスの追加

他の中央集中型管理機能を設定する際、すでにアプライアンスを追加したかどうかによって、ここでの手順は異なります。

手順

ステップ 1

[管理アプライアンス(Management Appliance)] > [集約管理サービス(Centralized Services)] > [セキュリティアプライアンス(Security Appliances)] を選択します。

ステップ 2

このページのリストに、すでに E メール セキュリティ アプライアンスを追加している場合は、次の手順を実行します。

  1. E メール セキュリティ アプライアンスの名前をクリックします。

  2. [集約管理レポート(Centralized Reporting)] サービスを選択します。

ステップ 3

E メール セキュリティ アプライアンスをまだ追加していない場合は、次の手順を実行します。

  1. [メール アプライアンスの追加(Add Email Appliance)] をクリックします。

  2. [アプライアンス名(Appliance Name)] および [IPアドレス(IP Address)] テキスト フィールドに、セキュリティ管理アプライアンスの管理インターフェイスのアプライアンス名と IP アドレスを入力します。

    (注)   
    [IPアドレス(IP Address)] フィールドに DNS 名を入力した場合でも、[送信(Submit)] をクリックすると、IP アドレスに変換されます。

  3. [集約管理レポート(Centralized Reporting)] サービスがすでに選択されています。

  4. [接続の確立(Establish Connection)] をクリックします。

  5. 管理対象となるアプライアンスの管理者アカウントのユーザ名とパスワードを入力し、[接続の確立(Establish Connection)] をクリックします。

    (注)   
    ログイン資格情報を入力すると、セキュリティ管理アプライアンスからリモート アプライアンスへのファイル転送のための公開 SSH キーが渡されます。ログイン資格情報は Security Management Appliance に保存されません。

  6. 「Success」 メッセージがページのテーブルの上に表示されるまで待機します。

  7. [テスト接続(Test Connection)] をクリックします。

  8. テーブルの上のテスト結果を確認します。
ステップ 4

[送信(Submit)] をクリックします。

ステップ 5

中央集中型レポーティングを有効にする各 E メール セキュリティ アプライアンスに対してこの手順を繰り返します。
ステップ 6

変更を保存します。

電子メール レポーティング グループの作成

セキュリティ管理アプライアンスからのレポート データを表示するための、E メール セキュリティ アプライアンスのグループを作成できます。

グループには 1 つ以上のアプライアンスを含めることができ、アプライアンスは複数のグループに所属できます。

始める前に

各アプライアンスで中央集中型レポーティングがイネーブルになっていることを確認します。「管理対象の各 Email Security Appliance への中央集中型電子メール レポーティング サービスの追加」を参照してください。

手順

ステップ 1

[管理アプライアンス(Management Appliance)] > [集約管理サービス(Centralized Services)] > [集約管理レポート(Centralized Reporting)] を選択します。

ステップ 2

[グループの追加(Add Group)] をクリックします。

ステップ 3

グループの一意の名前を入力します。

E メール セキュリティ アプライアンスのリストには、セキュリティ管理アプライアンスに追加した E メール セキュリティ アプライアンスが表示されます。グループに追加するアプライアンスを選択します。

追加できるグループの最大数は、接続可能な電子メール アプライアンスの最大数以下です。

(注)   
E メール セキュリティ アプライアンスをセキュリティ管理アプライアンスに追加したものの、それがリストに表示されない場合は、セキュリティ管理アプライアンスが E メール セキュリティ アプライアンスからレポーティング データを収集するように、その E メール セキュリティ アプライアンスの設定を編集します。
ステップ 4

[追加(Add)] をクリックして、[グループメンバー(Group Members)] リストにアプライアンスを追加します。

ステップ 5

変更を送信し、保存します。

E メール セキュリティ アプライアンスでの中央集中型の電子メール レポーティングの有効化

管理対象の各 E メール セキュリティ アプライアンスで、中央集中型電子メール レポーティングを有効にする必要があります。

手順については、お使いの E メール セキュリティ アプライアンスのマニュアルまたはオンライン ヘルプで、「Configuring an Email Security Appliance to Use Centralized Reporting」のセクションを参照してください。

電子メール レポート データの操作

検索およびインタラクティブ電子メール レポート ページ

インタラクティブ電子メール レポート ページの多くでは、ページの下部に [検索対象:(Search For:)] ドロップダウン メニューがあります。

ドロップダウン メニューから、次のような数種類の条件で検索できます。

  • IP アドレス
  • ドメイン
  • ネットワーク オーナー
  • 内部ユーザ
  • 宛先ドメイン
  • 内部送信者のドメイン
  • 内部送信者の IP アドレス
  • 着信 TLS ドメイン
  • 発信 TLS ドメイン

  • SHA-256

多くの検索では、検索テキストに完全に一致させるか、入力したテキストで始まる項目を検索するか(たとえば、「ex」で始まる項目を検索する場合、「example.com」が一致します)を選択します。

IPv4 検索では、入力したテキストが最大で 4 IP オクテット(ドット付き 10 進表記)の先頭部として常に解釈されます。たとえば、「17.*」は 17.0.0.0 ~ 17.255.255.255 の範囲で検索されるので、17.0.0.1 は一致しますが、172.0.0.1 は一致しません。完全一致検索の場合は、4 つすべてのオクテットを入力します。IP アドレス検索は、クラスレス ドメイン間ルーティング(CIDR)形式(17.16.0.0/12)もサポートします。

IPv6 検索の場合、次の例の形式を使用して、アドレスを入力できます。

  • 2001:db8:2004:4202::0-2001:db8:2004:4202::ff
  • 2001:db8:2004:4202::
  • 2001:db8:2004:4202::23
  • 2001:db8:2004:4202::/64

[メール レポート(Email Reporting)] ページの概要


(注)  
このリストは、E メール セキュリティ アプライアンス用 AsyncOS のサポートされている最新リリースで利用できるレポートを示します。E メール セキュリティ アプライアンスで、これ以前のリリースの AsyncOS を実行している場合、これらのすべてのレポートは利用できません。
表 1. [メールレポート(Email Reporting)] タブのオプション

[メールレポート(Email Reporting)] メニュー

アクション

[電子メール レポーティングの概要(Email Reporting Overview)] ページ

[概要(Overview)] ページには、お使いの E メール セキュリティ アプライアンスでのアクティビティの概要が表示されます。これには、着信および発信メッセージに関するグラフやサマリー テーブルが含まれます。

詳細については、[電子メール レポーティングの概要(Email Reporting Overview)] ページを参照してください。

[受信メール(Incoming Mail)] ページ

[受信メール(Incoming Mail)] ページには、管理対象の E メール セキュリティ アプライアンスに接続されているすべてのリモート ホストのリアルタイム情報に関するインタラクティブなレポートが表示されます。システムに電子メールを送信している IP アドレス、ドメイン、およびネットワーク オーナー(組織)の情報を収集できます。

詳細については、[受信メール(Incoming Mail)] ページを参照してください。

[送信者グループ(Sender Groups)] レポート ページ

[送信者グループ(Sender Groups)] レポート ページには、送信者グループ別およびメール フロー ポリシー アクション別に接続の要約が表示され、SMTP 接続およびメール フロー ポリシーのトレンドを確認できます。

詳細については、送信者グループ レポート ページを参照してください。

[送信先(Outgoing Destinations)] ページ

[送信先(Outgoing Destinations)] ページには、組織がメールを送信する宛先ドメインについての情報が表示されます。ページの上部には、発信脅威メッセージごとの上位の宛先、および発信クリーン メッセージ別の上位の宛先を示すグラフが表示されます。ページの下部には、総受信者数別にソートされた(デフォルト設定)列を示す表が表示されます。

詳細については、[送信先(Outgoing Destinations)] ページを参照してください。

[送信メッセージ送信者(Outgoing Senders)] ページ

[送信メッセージ送信者(Outgoing Senders)] ページには、ネットワーク内の IP アドレスおよびドメインから送信された電子メールの数と種類についての情報が表示されます。

詳細については、[送信メッセージ送信者(Outgoing Senders)] ページを参照してください。

[内部ユーザ(Internal Users)] ページ

[内部ユーザ(Internal Users)] には、電子メール アドレスごとに内部ユーザによって送受信された電子メールについての情報が表示されます。 1 人のユーザが複数の電子メール アドレスを持っている場合があります。レポートでは、電子メール アドレスがまとめられません。

詳細については、[内部ユーザ(Internal Users)] ページを参照してください。

DLP インシデント

[DLPインシデントサマリー(DLP Incident Summary)] ページには、送信メールで発生した Data Loss Prevention(DLP)ポリシー違反インシデントに関する情報が示されます。

詳細については、DLP インシデントを参照してください。

メッセージ フィルタ

[メッセージフィルタ(Message Filters)] ページには、送受信メッセージのメッセージ フィルタの上位一致(最も多くのメッセージに一致したメッセージ フィルタ)に関する情報が表示されます。

より詳しい情報については、次を参照してください。 メッセージ フィルタ

地理的分散

[地理的分散(Geo Distribution)] ページには、次の情報が表示されます。

  • 発信国別の受信メール接続数の上位(グラフィカルな形式)。

  • 発信国別の受信メール接続の合計数(表形式)。

詳細については、地理的分散を参照してください。

大容量のメール(High Volume Mail)

[大容量のメール(High Volume Mail)] ページでは、1 人の送信者から送られていたり、件名が同じであったりする、特定の 1 時間の間に送られた多数のメッセージに関係する攻撃が特定されます。

詳細については、大容量のメール(High Volume Mail)を参照してください。

[コンテンツ フィルタ(Content Filters)] ページ

[コンテンツフィルタ(Content Filters)] ページには、送受信コンテンツ フィルタの上位一致(最も多くのメッセージに一致したコンテンツ フィルタ)に関する情報が表示されます。このページでは、データが棒グラフとリストの形式でも表示されます。[コンテンツフィルタ(Content Filters)] ページを使用すると、コンテンツ フィルタごとまたはユーザごとに企業ポリシーを確認できます。

詳細については、を参照してください。

DMARC 検証

[DMARC検証(DMARC Verification)] ページには、Domain-based Message Authentication, Reporting and Conformance(DMARC)検証に失敗した上位送信者のドメイン、および各ドメインからの受信メッセージに対して実行されたアクションの要約が表示されます。

詳細については、DMARC 検証を参照してください。

マクロ検出

[マクロ検出(Macro Detection)] レポート ページには、コンテンツ フィルタまたはメッセージ フィルタによって最も多く検出された、マクロが有効化された受信/発信添付ファイルがファイル タイプごとに表示されます。

より詳しい情報については、 マクロ検出

[ウイルス タイプ(Virus Types)] ページ

[ウイルスタイプ(Virus Types)] ページでは、ネットワークで送受信されたウイルスの概要が示されます。[ウイルス タイプ(Virus Types)] ページには、E メール セキュリティ アプライアンスで動作するウイルス スキャン エンジンによって検出され、セキュリティ管理アプライアンスに表示されるウイルスが表示されます。このレポートを使用して、特定のウイルスに対して処置を行います。

詳細については、[ウイルス タイプ(Virus Types)] ページを参照してください。

[URL フィルタリング(URL Filtering)] ページ

メッセージ内で最も頻繁に使用される URL カテゴリ、スパム メッセージ内の最も一般的な URL、メッセージに表示される悪意のある URL およびニュートラル URL の数を確認するには、このページを使用します。

詳細については、[URL フィルタリング(URL Filtering)] ページを参照してください。

[Web インタラクション トラッキング(Web Interaction Tracking)] ページ

ポリシーまたはアウトブレイク フィルタによって書き換えられた URL をクリックしたエンドユーザと、各ユーザ クリックに関連付けられたアクションを識別します。

詳細については、[Webインタラクショントラッキング(Web Interaction Tracking)] ページを参照してください。

[偽装メールの検出(Forged Email Detection)] ページ

[偽装メールの検出(Forged Email Detection)] ページには、次のレポートが含まれています。

  • 偽装メールの検出数の上位。 受信したメッセージの偽装された From: ヘッダーと一致する、コンテンツ辞書の上位 10 人のユーザを表示します。
  • 偽装メールの検出:詳細。受信したメッセージの偽装された From: ヘッダーと一致する、コンテンツ辞書のすべてのユーザの一覧と、指定したユーザの、一致したメッセージ数を表示します。

[偽装メールの検出(Forged Email Detection)] ページを参照してください。

[高度なマルウェア防御(ファイル レピュテーションとファイル分析)(Advanced Malware Protection (File Reputation and File Analysis))] レポート ページ

ファイル レピュテーションおよび分析データは 3 つのレポーティング ページに表示されます。

詳細については、[高度なマルウェア防御(ファイル レピュテーションとファイル分析)(Advanced Malware Protection (File Reputation and File Analysis))] レポート ページを参照してください。

メールボックスの自動修復

メールボックスの修復結果の詳細を表示するには、このページを使用します。

参照先: メールボックスの自動修復

[TLS 接続(TLS Connections)] ページ

[TLS接続(TLS Connections)] ページには、メールの送受信に使用される TLS 接続の全体的な使用状況が表示されます。このレポートでは、TLS 接続を使用してメールを送信する各ドメインの詳細についても示されます。

詳細については、[TLS 接続(TLS Connections)] ページを参照してください。

[受信 SMTP 認証(Inbound SMTP Authentication)] ページ

[受信SMTP認証(Inbound SMTP Authentication)] ページには、クライアント証明書の使用情報、および Email Security Appliance とユーザのメール クライアント間で SMTP セッションを認証するための SMTP AUTH コマンドが表示されます。

詳細については、[受信 SMTP 認証(Inbound SMTP Authentication)] ページを参照してください。

[アウトブレイク フィルタ(Outbreak Filters)] ページ

[アウトブレイクフィルタ(Outbreak Filters)] ページには、ウイルス感染フィルタによって隔離された最近のアウトブレイクやメッセージに関する情報が示されます。このページを使用して、ウイルス攻撃に対する防御をモニタします。

詳細については、[アウトブレイク フィルタ(Outbreak Filters)] ページを参照してください。

[レート制限(Rate Limits)] ページ

[レート制限(Rate Limits)] ページには、送信者あたりのメッセージ受信者数に対して設定したしきい値を超える電子メール送信者(MAIL-FROM アドレスに基づく)が表示されます。

詳細については、[レート制限(Rate Limits)] ページを参照してください。

[システム容量(System Capacity)] ページ

レポーティング データをセキュリティ管理アプライアンスに送信する、全体的なワークロードを表示できます。

詳細については、[システム容量(System Capacity)] ページを参照してください。

[有効なレポートデータ(Reporting Data Availability)] ページ

各アプライアンスのセキュリティ管理アプライアンス上のレポーティング データの影響を把握できます。詳細については、[有効なレポートデータ(Reporting Data Availability)] ページを参照してください。

メール レポートのスケジュール設定

指定した時間範囲のレポートのスケジュールを設定できます。詳細については、メール レポートのスケジュール設定を参照してください。

[アーカイブ メール レポート(Archived Email Reports)] の表示と管理

アーカイブ済みのレポートを表示および管理できます。詳細については、[アーカイブ メール レポート(Archived Email Reports)] の表示と管理を参照してください。

また、オンデマンド レポートを生成することもできます。オンデマンドでの電子メール レポートの生成を参照してください。

電子メール レポーティング ページのテーブルの列の説明

表 2. 電子メール レポーティング ページのテーブルの列の説明

列名

[受信メールの詳細(Incoming Mail Details)]

[拒否された接続(Connections Rejected)]

HAT ポリシーによってブロックされたすべての接続。アプライアンスに重い負荷がかけられている場合、拒否された接続の正確な数を送信者別に維持できません。その代わりに、拒否された接続の数は、各時間間隔で最も顕著だった送信者についてのみ維持されます。

[承認された接続(Connections Accepted)]

受け入れられたすべての接続。

試行回数の合計(Total Attempted)

すべての受け入れられた接続試行と、拒否された接続試行。

[受信者スロットルによる停止(Stopped by Recipient Throttling)]

これは、レピュテーション フィルタリングによる阻止の 1 要素です。HAT 制限のいずれか(1 時間当たりの最大受信者数、メッセージ別の最大受信者数、接続別の最大メッセージ数)を超えたため阻止された受信者メッセージの数を表します。この値と、拒否されたか、TCP 拒否の接続に関連する受信メッセージの予測値とが合計されて、[レピュテーションフィルタによる停止(Stopped by Reputation Filtering)] が算出されます。

レピュテーションフィルタによる停止(Stopped by Reputation Filtering)

[レピュテーションフィルタによる停止(Stopped by Reputation Filtering)] の値は、次の複数の要素に基づいて算出されます。

  • この送信者からの「数が絞り込まれた」メッセージの数
  • 拒否された、または TCP 拒否の接続数(部分的に集計されます)
  • 接続ごとのメッセージ数に対する控えめな乗数

アプライアンスに重い負荷がかけられている場合、拒否された接続の正確な数を送信者別に維持できません。その代わりに、拒否された接続の数は、各時間間隔で最も顕著だった送信者についてのみ維持されます。この場合、表示される値は「下限」、つまり少なくともこの数のメッセージが阻止されたと解釈できます。

(注)   
[概要(Overview)] ページの [レピュテーションフィルタによる停止(Stopped by Reputation Filtering)] の総数は、すべての拒否された接続の完全な集計値に常に基づいています。送信者別の接続数だけは、負荷が原因で限定的なものになります。

無効な受信者の場合に停止(Stopped as Invalid Recipients)

従来の LDAP 拒否によって拒否されたすべての電子メール受信者数にすべての RAT 拒否数を加えた値。

スパム検出(Spam Detected)

検出されたすべてのスパム。

ウイルス検出(Virus Detected)

検出されたすべてのウイルス。

[コンテンツフィルタによる阻止(Stopped by Content Filter)]

コンテンツ フィルタによって阻止されたメッセージの総数。

[合計脅威件数(Total Threat)]

脅威メッセージ(評価により阻止されたもの、無効な受信者、スパム、およびウイルスとして阻止されたもの)の総数

Marketing

不要なマーケティング メッセージとして検出されたメッセージの数。

[クリーン(Clean)]

すべてのクリーン メッセージ。

グレイメール機能が有効になっていないアプライアンスで処理されるメッセージは、クリーンとして集計されます。

ユーザメールフローの詳細([内部ユーザ(Internal Users)] ページ)

[受信スパム検出(Incoming Spam Detected)]

検出されたすべての着信スパム。

[受信ウイルス検出(Incoming Virus Detected)]

検出された着信ウイルス。

[受信コンテンツフィルタの一致数(Incoming Content Filter Matches)]

検出された着信コンテンツ フィルタの一致。

[コンテンツフィルタによる受信停止(Incoming Stopped by Content Filter)]

設定されていたコンテンツ フィルタのために阻止された着信メッセージ。

[正常な受信(Incoming Clean)]

すべての着信クリーン メッセージ。

[送信スパム検出(Outgoing Spam Detected)]

検出された発信スパム。

[送信ウイルス検出(Outgoing Virus Detected)]

検出された発信ウイルス。

[送信コンテンツフィルタの一致数(Outgoing Content Filter Matches)]

検出された発信コンテンツ フィルタの一致。

[コンテンツフィルタによる送信停止(Outgoing Stopped by Content Filter)]

設定されていたコンテンツ フィルタのため阻止された発信メッセージ。

[正常な送信(Outgoing Clean)]

すべての発信クリーン メッセージ。

受信および送信TLS接続([TLS接続(TLS Connections)] ページ)

[必要なTLS:失敗(Required TLS: Failed)]

失敗した、必要なすべての TLS 接続。

[必要なTLS:成功(Required TLS: Successful)]

成功した、必要なすべての TLS 接続。

[優先するTLS:失敗(Preferred TLS: Failed)]

失敗した、優先するすべての TLS 接続。

[優先するTLS:成功(Preferred TLS: Successful]

成功した、優先するすべての TLS 接続。

[総接続数(Total Connections)]

TLS 接続の合計数。

[合計メッセージ数(Total Messages)]

TLS メッセージの総数。

アウトブレイク フィルタ

[アウトブレイク名(Outbreak Name)]

アウトブレイクの名前。

[アウトブレイクID(Outbreak ID)]

アウトブレイク ID。

[最初にグローバルで確認した日時(First Seen Globally)]

ウイルスが最初にグローバルに発見された時刻。

[保護時間(Protection Time)]

ウイルスから保護されていた時間。

[隔離されたメッセージ(Quarantined Messages)]

隔離に関するメッセージ。

[電子メール レポーティングの概要(Email Reporting Overview)] ページ

セキュリティ管理アプライアンスの [メール(Email)] > [レポート(Reporting)] > [概要(Overview)] ページには、お使いの E メール セキュリティ アプライアンスからの電子メール メッセージ アクティビティの概要が表示されます。[概要(Overview)] ページには、グラフや、着信および発信メッセージの要約テーブルが表示されます。

概要レベルの [概要(Overview)] ページに、送受信メールのグラフと送受信メールのサマリーが表示されます。

メール トレンド グラフは、メール フローを視覚的に表したものです。このページのメール トレンド グラフを使用して、アプライアンスを行き来するすべてのメールの流れをモニタできます。


(注)  
[ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)] レポートおよび [エグゼクティブサマリー(Executive Summary)] レポートは、[電子メール レポーティングの概要(Email Reporting Overview)] ページに基づきます。詳細については、\[ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)\] レポートおよび次を参照してください。 [エグゼクティブサマリー(Executive Summary)] レポート
表 3. [メール(Email)] > [レポート(Reporting)] > [概要(Overview)] ページの詳細

セクション

説明

[時間範囲(Time Range)]

表示する時間範囲を選択するためのオプションを伴うドロップダウン リスト。詳細については、レポートの時間範囲の選択を参照してください。

[次のデータを参照(View Data for)]

[概要(Overview)] のデータを表示する E メール セキュリティ アプライアンスを選択するか、[全Eメールアプライアンス(All Email Appliances)] を選択します。

アプライアンスまたはレポーティング グループのレポート データの表示も参照してください。

着信メール メッセージのカウント方法

受信メッセージの数は、メッセージごとの受信者数に応じて異なります。たとえば、example.com から 3 人の受信者に送信された着信メッセージは、その送信者からの 3 通のメッセージとしてカウントされます。

送信者レピュテーション フィルタリングによってブロックされたメッセージは、実際にはワーク キューに入らないので、アプライアンスは、受信メッセージの受信者のリストにアクセスできません。この場合、乗数を使用して受信者の数が予測されます。この乗数は既存の顧客データの大規模なサンプリング調査に基づいています。

アプライアンスによる電子メール メッセージの分類方法

メッセージは電子メール パイプラインを通過するので、複数のカテゴリに該当する場合があります。たとえば、メッセージにスパム陽性またはウイルス陽性というマークを付けることができます。コンテンツ フィルタに一致させることもできます。各種フィルタとスキャン アクティビティの優先順位は、メッセージ処理の結果に大きく影響します。

上記の例では、各種判定は次の優先ルールに従います。
  • スパム陽性
  • ウイルス陽性
  • コンテンツ フィルタとの一致

これらのルールに従って、メッセージがスパム陽性とマークされた場合、アンチスパム設定がスパム陽性のメッセージをドロップするように設定されていれば、このメッセージがドロップされてスパム カウンタが増分します。

さらに、スパム陽性のメッセージを引き続き電子メール パイプラインで処理するようにアンチスパム設定が設定されている場合、以降のコンテンツ フィルタがこのメッセージをドロップ、バウンス、または隔離しても、スパム カウンタは増分します。メッセージがスパム陽性またはウイルス陽性ではない場合、コンテンツ フィルタ カウントが増分するだけです。

また、メッセージがアウトブレイク フィルタによって隔離された場合、隔離からリリースされてワーク キューで再度処理されるまで集計されません。

メッセージ処理の優先順位の詳細については、お使いの E メール セキュリティ アプライアンスのオンライン ヘルプまたはユーザ ガイドで、電子メール パイプラインに関する章を参照してください。

[概要(Overview)] ページでの電子メール メッセージの分類

[概要(Overview)] レポート ページの [受信メールサマリー(Incoming Mail Summary)] でレポートされるメッセージは、次のように分類されています。

表 4. [概要(Overview)] ページの電子メールのカテゴリ

カテゴリ(Category)

説明

レピュテーションフィルタによる停止(Stopped by Reputation Filtering)

HAT ポリシーによってブロックされたすべての接続数に、固定乗数(着信メール メッセージのカウント方法を参照)を掛けたものに、受信者のスロットリングによってブロックされたすべての受信者数を加えた値。

[レピュテーションフィルタによる停止(Stopped by Reputation Filtering)] の値は、次の複数の要素に基づいて算出されます。

  • この送信者からの「数が絞り込まれた」メッセージの数
  • 拒否された、または TCP 拒否の接続数(部分的に集計されます)
  • 接続ごとのメッセージ数に対する控えめな乗数

アプライアンスに重い負荷がかけられている場合、拒否された接続の正確な数を送信者別に維持できません。その代わりに、拒否された接続の数は、各時間間隔で最も顕著だった送信者についてのみ維持されます。この場合、表示される値は「下限」、つまり少なくともこの数のメッセージが阻止されたと解釈できます。

[概要(Overview)] ページの [レピュテーションフィルタによる停止(Stopped by Reputation Filtering)] の総数は、すべての拒否された接続の完全な集計値に常に基づいています。送信者別の接続数だけは、負荷が原因で限定的なものになります。

無効な受信者数

従来の LDAP 拒否によって拒否されたすべての電子メール受信者数にすべての RAT 拒否数を加えた値。

検出されたスパム メッセージ数

スパム対策スキャン エンジンで陽性、または疑いありとして検出されたメッセージの総数。さらに、スパムとウイルスの両方で陽性と検出されたメッセージの総数。

検出されたウイルス メッセージ数

ウイルス陽性だがスパムではないと検出されたメッセージの総数および割合。

次のメッセージは、[ウイルス検出(Virus Detected)] カテゴリに集計されます。

  • ウイルス スキャン結果が [修復(Repaired)] または [感染している(Infectious)] であるメッセージ
  • 暗号化されたメッセージを、ウイルスを含むメッセージとして集計するオプションが選択されている場合に、ウイルス スキャン結果が [暗号化(Encrypted)] であるメッセージ
  • スキャンできないメッセージに対するアクションが [「配信」なし(NOT "Deliver")] の場合に、ウイルス スキャン結果が [スキャン不可(Unscannable)] であるメッセージ
  • 代替メール ホストまたは代替受信者へ送信するオプションが選択されている場合に、ウイルス スキャン結果が [スキャン不可(Unscannable)] または [暗号化(Encrypted)] であるメッセージ
  • アウトブレイク隔離から手動またはタイムアウトにより削除されたメッセージ

[高度なマルウェア防御で検出(Detected by Advanced Malware Protection)]

メッセージ添付ファイルは、レピュテーション フィルタリングによって悪意のある添付ファイルとして検出されました。この値には、ファイル分析により悪意があると検出された判定のアップデートまたはファイルは含まれません。

[悪意のあるURLを含むメッセージ(Messages with Malicious URLs)]

メッセージに含まれる 1 つ以上の URL が、URL フィルタリングにより悪意のある URL として検出されました。

[コンテンツフィルタによる阻止(Stopped by Content Filter)]

コンテンツ フィルタによって阻止されたメッセージの総数。

アクセス権限でメッセージ トラッキング データを表示できる場合、このレポートのコンテンツ フィルタ違反に対するメッセージ トラッキングの詳細を表示するには、表の青い番号のリンクをクリックします。

[DMARCによる停止(Stopped by DMARC)]

DMARC 検証に失敗したメッセージの総数。

S/Mime 検証/復号化の失敗

S/MIME 検証または復号化、あるいはその両方に失敗したメッセージの総数。

マーケティングメッセージ(Marketing Messages)

Amazon.com など、認識されているプロフェッショナル マーケティング グループからのアドバタイジング メッセージの総数。

このページのこのリスト項目は、システムにマーケティング データが存在している場合にだけ表示されます。

この数には、グレイメール機能が有効になっている E メール セキュリティ アプライアンスと、スパム対策設定でマーケティング電子メール スキャニングが有効になっているアプライアンスの両方によって識別されたマーケティング メッセージが含まれています。

[ソーシャルネットワーキングメッセージ(Social Networking Messages)]

ソーシャル ネットワーク、出会い/結婚 Web サイト、フォーラムなどからの通知メッセージの総数。たとえば、LinkedIn フォーラム、CNET フォーラムなどがあります。この情報は、グレイメール機能によって判別されます。

[バルクメッセージ(Bulk Messages)]

テクノロジー メディア企業の TechTarget など、認識されていないマーケティング グループによって送信されたアドバタイジング メッセージの総数。

この情報は、グレイメール機能によって判別されます。

グレーメール メッセージ

この数には、グレイメール機能によって検出されたマーケティング メッセージと、ソーシャル ネットワーク メッセージおよびバルク メッセージが含まれます。これらの総数がマーケティング メッセージ値に含まれる場合でも、グレイメール機能が有効になっていないアプライアンスで識別されたマーケティング メッセージは含まれません。

メッセージ トラッキングを使用して、そのカテゴリに所属するメッセージのリストを表示するには、任意のグレイメール カテゴリに対応する番号をクリックします。

グレイメールのレポートも参照してください。

S/MIME 検証/復号化の成功

正常に検証、復号化されたか、S/MIME を使用して復号化および検証されたメッセージの総数。

承認されたクリーン メッセージ数

このカテゴリは、受け入れられ、ウイルスでもスパムでもないと見なされたメールです。

受信者単位のスキャン アクション(個々のメール ポリシーで処理される分裂したメッセージなど)を考慮したときに受信されたクリーン メッセージを最も正確に表したものです。

ただし、ウイルス陽性またはスパム陽性としてマークされたにもかかわらず配信されたメッセージは集計されないので、実際のメッセージの配信数と、このクリーン メッセージの数は異なる可能性があります。

メッセージがメッセージ フィルタと一致し、フィルタによってドロップされたり、バウンスされたりしていない場合は、クリーンなメッセージとして扱われます。メッセージ フィルタによってドロップされたか、バウンスされたメッセージは、総数に含まれません。

グレイメール機能が有効になっていないアプライアンスで処理されるメッセージは、クリーンとして集計されます。

[試行されたメッセージの合計数(Total Attempted Messages)]

この数には、スパム、マーケティング メッセージ(グレイメール機能またはスパム対策機能の電子メール スキャン機能によって検出)、ソーシャル ネットワーキング メッセージ、バルク メール、およびクリーン メッセージが含まれます。

(注)  
スキャンできないメッセージまたは暗号化されたメッセージを配信するようにアンチウイルス設定を行った場合、これらのメッセージは、ウイルス陽性としてではなく、クリーン メッセージとして集計されます。そうでない場合は、ウイルス陽性メッセージにカウントされます。さらに、メッセージがメッセージ フィルタと一致し、フィルタによってドロップされたり、バウンスされたりしていない場合、クリーンなメッセージとして扱われます。メッセージ フィルタによってドロップされたか、バウンスされたメッセージは、総数に含まれません。

[受信メール(Incoming Mail)] ページ

セキュリティ管理アプライアンスの [受信メール(Incoming Mail)] > [レポート(Reporting)] > [受信メール(Incoming Mail)] ページには、管理対象のセキュリティ管理アプライアンスに接続されているすべてのリモート ホストのリアルタイム情報のインタラクティブなレポートが表示されます。システムに電子メールを送信している IP アドレス、ドメイン、およびネットワーク オーナー(組織)の情報を収集できます。また、メール送信者の IP アドレス、ドメイン、組織については、送信者プロファイル検索を実行することもできます。

[受信メールの詳細(Incoming Mail Details)] インタラクティブ テーブルには、特定の IP アドレス、ドメイン、またはネットワーク オーナー(組織)についての詳細情報が表示されます。いずれかの IP アドレス、ドメイン、またはネットワーク オーナーの [送信者プロファイル(Sender Profile)] ページにアクセスするには、[受信メール(Incoming Mail)] ページの上部、または他の [送信者プロファイル(Sender Profile)] ページにある対応するリンクをクリックします。

[受信メール(Incoming Mail)] ページでは、次の操作を実行できます。

  • セキュリティ管理アプライアンスにメールを送信した送信者の IP アドレス、ドメイン、またはネットワーク オーナー(組織)に関する検索を実行する。検索およびインタラクティブ電子メール レポート ページを参照してください。
  • 送信者グループ レポートを表示して、特定の送信者グループおよびメール フロー ポリシー アクションに従って接続をモニタする。詳細については、送信者グループ レポート ページを参照してください。
  • 電子メールをアプライアンスに送信した送信者の詳細な統計情報を表示する。統計情報には、セキュリティ サービス(送信者レピュテーション フィルタリング、アンチスパム、アンチウイルスなど)によってブロックされたメッセージの数が含まれます。
  • アンチスパムまたはアンチウイルス セキュリティサービスによって測定される、大量のスパムまたはウイルス電子メールを送信した送信者別にソートする。
  • SenderBase レピュテーション サービスを使用して特定の IP アドレス、ドメイン、および組織の間の関係を分析し、送信者に関する情報を取得する。
  • 送信者の SenderBase レピュテーション スコア(SBRS)、ドメインが直近に一致した送信者グループなど、送信者に関する詳細を SenderBase レピュテーション サービスから取得する。送信者を送信者グループに追加する。
  • アンチスパムまたはアンチウイルス セキュリティ サービスによって測定される、大量のスパムまたはウイルス電子メールを送信した特定の送信者についての詳細情報を取得する。

[受信メール(Incoming Mail)] ページ内のビュー

[受信メール(Incoming Mail)] ページには、次の 3 つのビューがあります。

  • IP アドレス
  • ドメイン
  • ネットワーク オーナー

これらのビューでは、システムに接続されたリモート ホストのスナップショットが、選択したビューのコンテキストで提供されます。

さらに、[受信メール(Incoming Mail)] ページの [受信メールの詳細(Incoming Mail Details)] セクションでは、送信者の IP アドレス、ドメイン名、またはネットワーク オーナー情報をクリックすると、特定の送信者プロファイル情報を取得できます。[送信者プロファイル(Sender Profile)] の情報の詳細については、[送信者プロファイル(Sender Profile)] ページを参照してください。


(注)  
ネットワーク オーナーは、ドメインを含むエンティティです。ドメインは、IP アドレスを含むエンティティです。

選択したビューに応じて、[受信メールの詳細(Incoming Mail Details)] インタラクティブ テーブルに、E メール セキュリティ アプライアンスで設定されたすべてのパブリック リスナーに電子メールを送信した上位 IP アドレス、ドメイン、またはネットワーク オーナーが表示されます。アプライアンスに入ったすべてのメールのフローをモニタできます。

IP アドレス、ドメイン、またはネットワーク オーナーをクリックすると、[送信者プロファイル(Sender Profile)] ページの送信者の詳細にアクセスできます。[送信者プロファイル(Sender Profile)] ページは特定の IP アドレス、ドメインまたはネットワーク オーナーに固有の [受信メール(Incoming Mail)] ページです。

送信者グループ別のメール フロー情報にアクセスするには、[受信メール(Incoming Mail)] ページの下部にある [送信者グループレポート(Sender Groups Report)] リンクをクリックします。[送信者プロファイル(Sender Profile)] ページを参照してください。

場合によっては、いくつかのレポート ページに、トップレベルのページからアクセスできる独自のサブレポートが複数含まれることがあります。たとえば、セキュリティ管理アプライアンスの [受信メール(Incoming Mail)] レポート ページでは、個々の IP アドレス、ドメイン、およびネットワーク オーナーの情報を表示できます。これらは [受信メール(Incoming Mail)] レポート ページからアクセスできるサブページです。

トップレベル ページ(この場合には[受信メール(Incoming Mail)] レポート ページ)の右上にある [印刷可能なPDF(Printable PDF)] リンクをクリックすると、これらの各サブレポート ページの結果を、1 つの統合レポートに生成できます。[メール レポート(Email Reporting)] ページの概要の重要な情報を参照してください。

[メール(Email)] > [レポート(Reporting)] > [受信メール(Incoming Mail)] ページには次のビューがあります。[IP アドレス(IP Addresses)]、[ドメイン(Domains)]、または [ネットワーク所有者(Network Owners)]

[受信メールの詳細(Incoming Mail Details)] インタラクティブ テーブルに含まれるデータの説明については、[受信メールの詳細(Incoming Mail Details)] テーブルを参照してください。

[受信メール(Incoming Mail)] ページから、PDF を生成したり、raw データを CSV ファイルにエクスポートしたりすることもできます。ファイルを印刷またはエクスポートする方法の詳細については、[メール レポート(Email Reporting)] ページの概要を参照してください。


(注)  
[受信メール(Incoming Mail)] レポート ページのスケジュール設定されたレポートを生成できます。メール レポートのスケジュール設定
[ドメイン情報がありません(No Domain Information)] リンク

セキュリティ管理アプライアンスに接続したものの、ダブル DNS ルックアップで検証できなかったドメインは、専用ドメイン [ドメイン情報がありません(No Domain Information)] に自動的に分類されます。これらの種類の検証外ホストを管理する方法は、送信者の検証によって制御できます。送信者の検証の詳細については、ご使用の E メール セキュリティ アプライアンスのマニュアルまたはオンライン ヘルプを参照してください。

[表示された項目(Items Displayed)] メニューを使用して、リストに表示する送信者の数を選択できます。

メール トレンド グラフにおける時間範囲

メールのグラフは、さまざまなきめ細かさを選択して表示できます。同じデータの日、週、月、および年のビューを選択できます。データはリアルタイムでモニタリングされているので、情報は定期的に更新され、データベースで集計されます。

時間範囲の詳細については、レポートの時間範囲の選択を参照してください。

[受信メールの詳細(Incoming Mail Details)] テーブル

[受信メール(Incoming Mail)] ページの下部にあるインタラクティブな [受信メールの詳細(Incoming Mail Details)] テーブルには、E メール セキュリティ アプライアンス上のパブリック リスナーに接続された上位送信者が表示されます。このテーブルには、選択したビューに基づいて、ドメイン、IP アドレス、またはネットワーク オーナーが表示されます。データをソートするには、列見出しをクリックします。

ダブル DNS ルックアップを実行することで、システムはリモート ホストの IP アドレスの正当性を確保および検証します。ダブル DNS ルックアップおよび送信者検証の詳細については、E メール セキュリティ アプライアンスのマニュアルまたはオンライン ヘルプを参照してください。

[受信メールの詳細(Incoming Mail Details)] テーブルの最初の列、または [脅威メッセージの送信者上位(Top Senders by Total Threat Messages)] に表示される送信者、つまりネットワーク オーナー、IP アドレスまたはドメインについては、[送信者(Sender)] または [ドメイン情報がありません(No Domain Information)] リンクをクリックすると、送信者の詳細情報が表示されます。結果は、[送信者プロファイル(Sender Profile)] ページに表示され、SenderBase レピュテーション サービスからのリアルタイム情報が含まれます。送信者プロファイル ページからは、特定の IP アドレスまたはネットワーク オーナーに関する詳細を表示できます。詳細については、[送信者プロファイル(Sender Profile)] ページを参照してください。

[受信メール(Incoming Mail)] ページの下部にある [送信者グループレポート(Sender Groups Report)] をクリックして、[送信者グループ(Sender Groups)] レポートを表示することもできます。[送信者グループ(Sender Groups)] レポート ページの詳細については、送信者グループ レポート ページを参照してください。

アクセス権限でメッセージ トラッキング データを表示できる場合、このレポートのコンテンツ フィルタ違反に対するメッセージ トラッキングの詳細を表示するには、表の青い番号のリンクをクリックします。

[送信者プロファイル(Sender Profile)] ページ

[受信メール(Incoming Mail)] ページで [受信メールの詳細(Incoming Mail Details)] インタラクティブ テーブルの送信者をクリックすると、[送信者プロファイル(Sender Profile)] ページが表示されます。ここには、特定の IP アドレス、ドメイン、またはネットワーク オーナー(組織)の詳細情報が表示されます。[受信メール(Incoming Mail)] ページまたは他の [送信者プロファイル(Sender Profile)] ページにある対応するリンクをクリックすると、IP アドレス、ドメイン、またはネットワーク オーナーの [送信者プロファイル(Sender Profile)] ページにアクセスできます。

ネットワーク オーナーは、ドメインを含むエンティティです。ドメインは、IP アドレスを含むエンティティです。

IP アドレス、ドメインおよびネットワーク オーナーに関して表示される送信者プロファイル ページは、多少異なります。それぞれのページには、特定の送信者からの着信メールに関するグラフおよびサマリー テーブルが含まれます。グラフの下の表に、送信者に関連付けられたドメインまたは IP アドレスが表示されます。(個々の IP アドレスの [送信者プロファイル(Sender Profile)] ページには、詳細なリストが含まれません)。[送信者プロファイル(Sender Profile)] ページには、送信者の現在の SenderBase、送信者グループ、およびネットワーク情報を含む情報セクションも表示されます。

  • ネットワーク オーナー プロファイル ページには、ネットワーク オーナー、およびこのネットワーク オーナーに関連するドメインや IP アドレスに関する情報が含まれます。
  • ドメイン プロファイル ページには、このドメインおよびこのドメインに関連する IP アドレスに関する情報が含まれます。
  • IP アドレス プロファイル ページには、IP アドレスのみに関する情報が含まれます。

各 [送信者プロファイル(Sender Profile)] ページには、ページの下部の現在の情報テーブルに次のデータが含まれます。

  • SenderBase レピュテーション サービスからのグローバル情報。たとえば、次の情報です。
    • IP アドレス、ドメイン名、またはネットワーク オーナー
    • ネットワーク オーナーのカテゴリ(ネットワーク オーナーのみ)
    • CIDR 範囲(IP アドレスのみ)
    • IP アドレス、ドメイン、またはネットワーク オーナーの日単位マグニチュードおよび月単位マグニチュード
    • この送信者から最初のメッセージを受信してからの日数
    • 最後の送信者グループと DNS が検証されたかどうか(IP アドレス送信者プロファイル ページのみ)

    日単位マグニチュードは、直近 24 時間にドメインが送信したメッセージの数の基準です。地震の測定に使用されるリヒター スケールと同様に、SenderBase マグニチュードは、10 を基数とする対数目盛を使用して算出されるメッセージの量の基準です。目盛の最大理論値は 10 に設定されます。これは、世界の電子メール メッセージの量に相当します。対数目盛を使用した場合、1 ポイントのマグニチュードの増加は、実際の量の 10 倍の増加に相当します。

    月単位マグニチュードは、直近 30 日間に送信された電子メールの量に基づいて割合が算出される点を除いて、日単位マグニチュードと同じ方法を使用して算出されます。
    • 平均マグニチュード(IP アドレスのみ)
    • 総累積量/30 日の量(IP アドレス プロファイル ページのみ)
    • Bonded Sender ステータス(IP アドレス プロファイル ページのみ)
    • SenderBase 評価スコア(IP アドレス プロファイル ページのみ)
    • 最初のメッセージからの日数(ネットワーク オーナーとドメイン プロファイル ページのみ)
    • このネットワーク オーナーに関連するドメインの数(ネットワーク オーナー プロファイル ページおよびドメイン プロファイル ページのみ)
    • このネットワーク オーナーの IP アドレスの数(ネットワーク オーナー プロファイル ページおよびドメイン プロファイル ページのみ)
    • 電子メールの送信に使用された IP アドレスの数(ネットワーク オーナー ページのみ)

    SenderBase 評価サービスによって提供されるすべての情報を示すページを表示するには、[SenderBaseからの詳細情報(More from SenderBase)] をクリックします。

  • このネットワーク オーナーによって管理されるドメインおよび IP アドレスに関する詳細は、ネットワーク オーナー プロファイル ページに表示されます。ドメイン内の IP アドレスに関する詳細は、ドメイン ページに表示されます。

ドメイン プロファイルのページから、特定の IP アドレスをクリックして特定の情報を表示することも、組織プロファイルのページを表示することもできます。

送信者グループ レポート ページ

[送信者グループ(Sender Groups)] レポート ページには、送信者グループ別およびメール フロー ポリシー アクション別に接続の要約が表示され、SMTP 接続およびメール フロー ポリシーのトレンドを確認できます。[送信者グループによるメールフロー(Mail Flow by Sender Group)] リストには、各送信者グループの割合および接続数が示されます。[メールフローポリシーアクションによる接続(Connections by Mail Flow Policy Action)] グラフは、各メール フローポリシー アクションの接続の割合を示します。このページには、Host Access Table(HAT; ホスト アクセス テーブル)ポリシーの有効性の概要が示されます。HAT に関する詳細については、お使いの E メール セキュリティ アプライアンスのマニュアルまたはオンライン ヘルプを参照してください。

[送信者グループ(Sender Groups)] レポート ページを表示するには、[メール(Email)] > [レポート(Reporting)] > [送信者グループ(Sender Groups)] を選択します。

[送信者グループ(Sender Group)] レポート ページから、PDF を生成したり、raw データを CSV ファイルにエクスポートしたりすることもできます。ファイルを印刷またはエクスポートする方法の詳細については、[メール レポート(Email Reporting)] ページの概要を参照してください。


(注)  
[送信者グループ(Sender Group)] レポート ページのスケジュール設定されたレポートを生成できます。メール レポートのスケジュール設定

[送信先(Outgoing Destinations)] ページ

[メール(Email)] > [レポート(Reporting)] > [送信先(Outgoing Destinations)] ページには、組織がメールを送信する宛先のドメインについての情報が表示されます。

[送信先(Outgoing Destinations)] ページを使用して、次の情報を入手できます。

  • E メール セキュリティ アプライアンスが送信するメールの宛先のドメイン
  • 各ドメインに送信されるメールの量
  • クリーン、スパム陽性、ウイルス陽性、マルウェア、またはコンテンツ フィルタによる阻止のメールの割合。
  • 配信されたメッセージおよび宛先サーバによってハードバウンスされたメッセージの数。

次のリストでは、[送信先(Outgoing Destinations)] ページのさまざまなセクションについて説明します。

表 5. [メール(Email)] > [レポート(Reporting)] > [送信先(Outgoing Destinations)] ページの詳細

セクション

説明

[時間範囲(Time Range)](ドロップダウン リスト)

1 ~ 90 日間またはカスタム日数範囲を指定できるドロップダウン リスト。時間範囲の詳細と実際のニーズに合わせたカスタマイズについては、レポートの時間範囲の選択を参照してください。

[脅威総数別の上位宛先(Top Destination by Total Threat)]

組織によって送信された発信脅威メッセージ(スパム、アンチウイルスなど)の上位の宛先ドメイン。コンテンツ フィルタをトリガーしたスパム陽性またはウイルス陽性の脅威メッセージを含む、脅威メッセージの総数。

[正常なメッセージの上位宛先(Top Destination by Clean Messages)]

組織によって送信されたクリーンな発信脅威メッセージの上位の宛先ドメイン。

[送信先の詳細(Outgoing Destination Details)]

組織によって送信されたすべての発信メッセージの宛先ドメインに関する、総受信者数別にソートされたすべての詳細情報。詳細情報には検出されたスパム、ウイルス、クリーンメッセージなどが含まれます。

アクセス権限でメッセージ トラッキング データを表示できる場合、このレポートのコンテンツ フィルタ違反に対するメッセージ トラッキングの詳細を表示するには、表の青い番号のリンクをクリックします。

[送信先(Outgoing Destinations)] ページから、PDF を生成したり、raw データを CSV ファイルにエクスポートしたりすることもできます。ファイルを印刷またはエクスポートする方法の詳細については、[メール レポート(Email Reporting)] ページの概要を参照してください。


(注)  
[送信先(Outgoing Destinations)] ページのスケジュール設定されたレポートを生成できます。メール レポートのスケジュール設定

[送信メッセージ送信者(Outgoing Senders)] ページ

[メール(Email)] > [レポート(Reporting)] > [送信メッセージ送信者(Outgoing Senders)] ページには、ネットワーク内の IP アドレスおよびドメインから送信された電子メールの数と種類についての情報が表示されます。

[送信メッセージ送信者(Outgoing Senders)] ページを使用して、次の情報を入手できます。

  • 最も多くのウイルスに感染したまたはスパムあるいはマルウェアと判断された電子メールを送信している IP アドレス
  • 最も頻繁にコンテンツ フィルタをトリガーした IP アドレス
  • 最も多くのメールを送信するドメイン
  • 配信が試行された場所で処理された受信者の総数。

[送信メッセージ送信者(Outgoing Sender)] ページを表示するには、次の手順を実行します。

[送信メッセージ送信者(Outgoing Senders)] の結果は次の 2 種類のビューで表示できます。

  • [ドメイン(Domain)]:このビューでは、各ドメインから送信された電子メールの量を表示できます。
  • [IPアドレス(IP Address)]:このビューでは、最も多くのウイルス メッセージを送信したか、または最も多くのコンテンツ フィルタをトリガーした IP アドレスを表示できます。

次のリストでは、[送信先(Outgoing Destinations)] ページの両方のビューのさまざまなセクションについて説明します。

表 6. [メール(Email)] > [レポート(Reporting)] > [送信メッセージ送信者(Outgoing Sender)] ページの詳細

セクション

説明

[時間範囲(Time Range)](ドロップダウン リスト)

1 ~ 90 日間またはカスタム日数範囲を指定できるドロップダウン リスト。時間範囲の詳細と実際のニーズに合わせたカスタマイズについては、レポートの時間範囲の選択を参照してください。

[脅威メッセージ総数の上位送信者(Top Senders by Total Threat Messages)]

組織内の発信脅威メッセージ(スパム、アンチウイルスなど)の上位送信者(IP アドレス別またはドメイン別)。

[正常なメッセージの上位送信者(Top Sender by Clean Messages)]

組織内で送信されたクリーンな発信メッセージの上位送信者(IP アドレス別またはドメイン別)。

[送信者の詳細(Sender Details)]

組織内によって送信されたすべての発信メッセージの送信者のすべての詳細情報(IP アドレス別またはドメイン別)。詳細情報には検出されたスパム、ウイルス、クリーンメッセージなどが含まれます。

アクセス権限でメッセージ トラッキング データを表示できる場合、このレポートの DLP およびコンテンツ フィルタ違反に対するメッセージ トラッキングの詳細を表示するには、表の青い番号のリンクをクリックします。

(注)  
このページには、メッセージ配信に関する情報は表示されません。特定のドメインからのバウンスされたメッセージの数などの配信情報を追跡するには、適切な E メール セキュリティ アプライアンスにログインし、[モニタ(Monitor)]> [送信処理ステータス(Delivery Status)] を選択します。

[送信メッセージ送信者(Outgoing Senders)] ページから、PDF を生成したり、raw データを CSV ファイルにエクスポートしたりすることもできます。ファイルを印刷またはエクスポートする方法の詳細については、[メール レポート(Email Reporting)] ページの概要を参照してください。


(注)  
[送信メッセージ送信者(Outgoing Senders)] レポート ページのスケジュール設定されたレポートを生成できます。メール レポートのスケジュール設定

[内部ユーザ(Internal Users)] ページ

[メール(Email)] > [レポート(Reporting)] > [内部ユーザ(Internal Users)] ページには、電子メール アドレスごとに内部ユーザによって送受信された電子メールについての情報が表示されます。 1 人のユーザが複数の電子メール アドレスを持っている場合があります。レポートでは、電子メール アドレスがまとめられません。

[内部ユーザ(Internal Users)] インタラクティブ レポート ページを使用すると、次のような情報を取得できます。

  • 最も多くの外部メールを送信したユーザ
  • 最も多くのクリーン電子メールを受信したユーザ
  • 最も多くのグレイメール メッセージを受信したユーザ
  • 最も多くのスパムを受信したユーザ
  • コンテンツ フィルタをトリガーしたユーザとそのコンテンツ フィルタの種類
  • 電子メールをコンテンツ フィルタで捕捉されたユーザ
表 7. [メール(Email)] > [レポート(Reporting)] > [内部ユーザ(Internal Users)] ページの詳細

セクション

説明

[時間範囲(Time Range)](ドロップダウン リスト)

1 ~ 90 日間またはカスタム日数範囲を指定できるドロップダウン リスト。時間範囲の詳細と実際のニーズに合わせたカスタマイズについては、レポートの時間範囲の選択を参照してください。

[正常な受信メッセージ数の上位ユーザ(Top Users by Clean Incoming Messages)]

組織内で送信されたクリーンな着信メッセージの上位ユーザ(IP アドレス別またはドメイン別)。

[正常な送信メッセージ数の上位ユーザ(Top Users by Clean Outgoing Messages)]

組織内で送信されたクリーンな発信メッセージの上位ユーザ(IP アドレス別またはドメイン別)。

[ユーザメールフローの詳細(User Mail Flow Details)]

[ユーザメールフローの詳細(User Mail Flow Details)] インタラクティブ セクションでは、電子メール アドレスごとに送受信メールが分類されます。列ヘッダーをクリックすることにより、表示をソートできます。

ユーザの詳細を参照するには、[内部ユーザ(Internal User)] 列でユーザ名をクリックします。詳細については、[内部ユーザの詳細(Internal User Details)] ページを参照してください。

アクセス権限でメッセージ トラッキング データを表示できる場合、このレポートのコンテンツ フィルタ違反に対するメッセージ トラッキングの詳細を表示するには、表の青い番号のリンクをクリックします。

[内部ユーザ(Internal Users)] ページから、PDF を生成したり、raw データを CSV ファイルにエクスポートしたりすることもできます。ファイルを印刷またはエクスポートする方法の詳細については、[メール レポート(Email Reporting)] ページの概要を参照してください。


(注)  
[内部ユーザ(Internal Users)] ページのスケジュール設定されたレポートを生成できます。メール レポートのスケジュール設定

[内部ユーザの詳細(Internal User Details)] ページ

[内部ユーザの詳細(Internal User Details)] ページでは、各カテゴリ([スパム検出(Spam Detected)]、[ウイルス検出(Virus Detected)]、[高度なマルウェア防御で検出(Detected By Advanced Malware Protection)]、[コンテンツフィルタによる停止(Stopped By Content Filter)] など)のメッセージ数を示す受信および送信メッセージの内訳など、ユーザに関する詳細情報が示されます。送受信コンテンツ フィルタの一致も示されます。

着信内部ユーザとは、Rcpt To: アドレスに基づいてシステムで電子メールを受信する対象ユーザのことです。発信内部ユーザは Mail From: アドレスに基づいており、内部ネットワーク内の送信者が送信している電子メールの種類を追跡する場合に役立ちます。

コンテンツ フィルタの詳細情報を対応するコンテンツ フィルタ情報ページに表示するには、そのコンテンツ フィルタ名をクリックします(を参照)。この方法を使用すると、特定のコンテンツ フィルタに一致したメールを送受信したすべてのユーザのリストも表示できます。


(注)  
送信メールの中には(バウンスなど)、送信者が null になっているものがあります。これらの送信者は、送信「不明」として集計されます。

特定の内部ユーザの検索

[内部ユーザ(Internal Users)] ページおよび[内部ユーザの詳細(Internal User Details)] ページの下部にある検索フォームで、特定の内部ユーザ(電子メール アドレス)を検索できます。検索テキストに完全に一致させるか、入力したテキストで始まる項目を検索するか(たとえば、「ex」で始まる項目を検索する場合、「example@example.com」が一致します)を選択します。

DLP インシデント

[メール(Email)] > [レポート(Reporting)] > [DLP インシデント(DLP Incidents)]([DLP インシデント サマリー(DLP Incident Summary)])ページには、送信メールで発生した、データ漏洩防止(DLP)ポリシーに違反するインシデントの情報が示されます。E メール セキュリティ アプライアンスでは、[送信メール ポリシー(Outgoing Mail Policies)] テーブルで有効にした DLP 電子メール ポリシーを使用して、ユーザが送信した機密データを検出します。DLP ポリシーに違反する送信メッセージが発生するたびに、インシデントとして報告されます。

[DLPインシデントサマリー(DLP Incident Summary)] レポートを使用すると、次のような情報を取得できます。

  • ユーザが送信した機密データの種類
  • これらの DLP インシデントの重大度
  • これらのメッセージのうち、配信されたメッセージの数
  • これらのメッセージのうち、ドロップされたメッセージの数
  • これらのメッセージの送信者

[DLPインシデントサマリー(DLP Incident Summary)] ページには次の 2 つのメイン セクションがあります。

  • 重大度([低(Low)]、[中(Medium)]、[高(High)]、[重大(Critical)])別の上位 DLP インシデントおよびポリシーの一致数を集約する DLP インシデントのトレンド グラフ
  • [DLPインシデントの詳細(DLP Incident Details)] リスト
表 8. [メール(Email)] > [レポート(Reporting)] > [DLP インシデント サマリー(DLP Incident Summary)] ページの詳細

セクション

説明

[時間範囲(Time Range)](ドロップダウン リスト)

1 ~ 90 日間またはカスタム日数範囲を指定できるドロップダウン リスト。時間範囲の詳細と実際のニーズに合わせたカスタマイズについては、レポートの時間範囲の選択を参照してください。

[重大度別上位インシデント(Top Incidents by Severity)]

重大度別の上位 DLP インシデント。

[インシデントサマリー(Incident Summary)]

各電子メール アプライアンスの送信メール ポリシーで現在有効になっている DLP ポリシーは、[DLPインシデントサマリー(DLP Incident Summary)] ページの下部にある [DLPインシデントの詳細(DLP Incident Details)] インタラクティブ テーブルに表示されます。詳細情報を表示するには、DLP ポリシーの名前をクリックします。

[上位DLPポリシー一致数(Top DLP Policy Matches)]

一致している上位 DLP ポリシー。

[DLPインシデントの詳細(DLP Incident Details)]

[DLPインシデントの詳細(DLP Incident Details)] テーブルには、ポリシーごとの DLP インシデントの数に加えて、重大度レベル別の内訳、メッセージのいずれかがクリアに配信されたか、暗号化されて配信されたか、ドロップされたかが示されます。

[DLPインシデントの詳細(DLP Incidents Details)] テーブルの詳細については、[DLPインシデントの詳細(DLP Incidents Details)] テーブルを参照してください。

ポリシーによって検出された DLP インシデントに関する詳細情報を表示するには、DLP ポリシーの名前をクリックします。この方法を使用すると、ポリシーによって検出された、機密データを含むメールを送信したユーザのリストを取得できます。

[DLPインシデントの詳細(DLP Incidents Details)] テーブル

[DLPインシデントの詳細(DLP Incident Details)] テーブルは、ポリシーごとの DLP インシデントの数に加えて、重大度レベル別の内訳、メッセージのいずれかがクリアに配信されたか、暗号化されて配信されたか、ドロップされたかが表示されるインタラクティブ テーブルです。データをソートするには、列見出しをクリックします。

このテーブルに表示される DLP ポリシーの詳細情報を検索するには、DLP ポリシー名をクリックして、その DLP ポリシーのページを表示します。詳細については、[DLP ポリシー詳細(DLP Policy Detail)] ページを参照してください。

アクセス権限でメッセージ トラッキング データを表示できる場合、このレポートに記載されるメッセージに対するメッセージ トラッキングの詳細を表示するには、表の青い番号のリンクをクリックします。

[DLP ポリシー詳細(DLP Policy Detail)] ページ

[DLPインシデントの詳細(DLP Incident Details)] テーブルで DLP ポリシーの名前をクリックした場合、その結果として表示される [DLPポリシー詳細(DLP Policy Detail)] ページにそのポリシーに関する DLP インシデント データが表示されます。このページには、重大度に基づいた DLP インシデントのグラフが表示されます。

このページには、DLP ポリシーに違反したメッセージを送信した各内部ユーザを表示する、ページ下部にある [送信者別インシデント(Incidents by Sender)] テーブルも含まれます。このテーブルには、このポリシーに関するユーザごとの DLP インシデントの総数に加えて、重大度レベル別の内訳、メッセージのいずれかがクリアに配信されたか、暗号化されて配信されたか、ドロップされたかが示されます。[送信者別インシデント(Incidents by Sender)] テーブルを使用すると、組織の機密データをネットワーク外のユーザに送信した可能性のあるユーザを特定できます。

インシデント詳細ページの送信者名をクリックすると [内部ユーザ(Internal Users)] ページが開きます。詳細については、[内部ユーザ(Internal Users)] ページを参照してください。

メッセージ フィルタ

[メッセージフィルタ(Message Filters)] ページには、送受信メッセージのメッセージ フィルタの上位一致(最も多くのメッセージに一致したメッセージ フィルタ)に関する情報が表示されます。

地理的分散

[地理的分散(Geo Distribution)] レポート ページを使用して次の項目を表示できます。

  • 発信国別の受信メール接続数の上位(グラフィカルな形式)。

  • 発信国別の受信メール接続の合計数(表形式)。

国情報を表示しない受信メール接続の上位と合計数の例を次に示します。

  • プライベート IP アドレスに属する送信者 IP アドレス

  • 送信者の IP アドレスは、有効な SBRS を取得していません。

大容量のメール(High Volume Mail)

このページのレポートは、次の目的で使用します。

  • 1 人の送信者から送られていたり、件名が同じであったり、1 時間の間に送られたりした、多数のメッセージが関係する攻撃を特定します。
  • このような攻撃が独自のドメイン内で発生しないように上位ドメインをモニタします。この状況が生じると、組織の 1 つ以上のアカウントが侵害される可能性があります。
  • フィルタを適宜調整できるように、誤検出を特定します。

このページのレポートには、ヘッダー反復ルールを使用し、そのルールで設定されたメッセージ数のしきい値を超えるメッセージ フィルタからのデータのみが表示されます。他のルールと組み合わせた場合、ヘッダー反復ルールの評価は最後になります。また、先行する条件によってメッセージの処理が決定されると評価は行われません。同様に、レート制限で検出されたメッセージはヘッダー反復メッセージ フィルタに達しません。したがって、別の状況では大容量のメールと見なされるメッセージが、これらのレポートに含まれない場合があります。特定のメッセージをホワイトリストに追加するようにフィルタを設定している場合は、それらのメッセージもレポートから除外されます。

メッセージ フィルタおよびヘッダー反復ルールの詳細については、お使いの E メール セキュリティ アプライアンスのオンライン ヘルプまたはユーザ ガイドを参照してください。

関連項目

[コンテンツ フィルタ(Content Filters)] ページ

[コンテンツフィルタ(Content Filters)] レポート ページには、送受信コンテンツ フィルタの上位一致(最も多くのメッセージに一致したコンテンツ フィルタ)に関する情報が表示されます。このページでは、データが棒グラフとリストの形式でも表示されます。[コンテンツ フィルタ(Content Filters)] レポート ページを使用して、次のタイプの質問に答えることができます。

  • 受信メールまたは送信メールによってトリガーされた回数の最も多いコンテンツ フィルタ。

  • 特定のコンテンツ フィルタをトリガーしたメールを送受信した上位ユーザ。

[コンテンツ フィルタ(Content Filters)] レポート ページを表示するには、[レポート(Reports)] ドロップダウンの [フィルタ レポート(Filter Reports)] セクションから [コンテンツ フィルタ(Content Filters)] を選択します。

[コンテンツ フィルタ(Content Filters)] レポート ページを使用すると、次を表示できます。

  • グラフィカル形式での、上位の着信および発信コンテンツ フィルタの一致。

  • 表形式での、上位の着信および発信コンテンツ フィルタの一致。

[コンテンツ フィルタ(Content Filters)] レポート ページから、raw データを CSV ファイルにエクスポートできます。ファイルを印刷またはエクスポートする方法の詳細については、レポーティング データおよびトラッキング データの印刷およびエクスポートを参照してください。


(注)  

注:[コンテンツフィルタ(Content Filter)] ページのスケジュール設定されたレポートを生成できます。メール レポートのスケジュール設定

[コンテンツフィルタの詳細(Content Filter Details)] ページ

[コンテンツフィルタの詳細(Content Filter Detail)] ページには、このフィルタの経時的な一致および内部ユーザ別の一致が表示されます。

[内部ユーザ別の一致(Matches by Internal User)] セクションで、内部ユーザ(電子メール アドレス)の詳細ページを表示するユーザ名をクリックします。詳細については、[内部ユーザの詳細(Internal User Details)] ページを参照してください。

アクセス権限でメッセージ トラッキング データを表示できる場合、このレポートに記載されるメッセージに対するメッセージ トラッキングの詳細を表示するには、表の青い番号のリンクをクリックします。

DMARC 検証

[DMARC検証(DMARC Verification)] ページには、Domain-based Message Authentication, Reporting and Conformance(DMARC)検証に失敗した上位送信者のドメイン、および各ドメインからの受信メッセージに対して実行されたアクションの要約が表示されます。このレポートを使用して DMARC 設定を最適化し、次のような情報を取得できます。

  • DMARC 検証に失敗したメッセージを最も多く送信したドメイン
  • 各ドメインで、DMARC 検証に失敗したメッセージに対して実行されたアクション

DMARC 検証の詳細については、お使いの E メール セキュリティ アプライアンスのオンライン ヘルプまたはユーザ ガイドで「Email Authentication」の章を参照してください。

マクロ検出

[マクロ検出(Macro Detection)] レポート ページを使用して、次の項目を表示できます。

  • ファイル タイプ別のマクロが有効になった受信添付ファイル数の上位(グラフ形式および表形式)。

  • ファイル タイプ別のマクロが有効になった送信添付ファイル数の上位(グラフ形式および表形式)。

マクロが有効になった添付ファイルの数をクリックすると、[メッセージ トラッキング(Message Tracking)] に関連メッセージを表示できます。


(注)  
レポート生成中に次の処理が発生します。

  • アーカイブ ファイル内に 1 つ以上のマクロが検出されると、アーカイブ ファイル タイプが 1 増えます。アーカイブ ファイル内のマクロが有効になった添付ファイルの数はカウントされません。

  • 埋め込みファイル内に 1 つ以上のマクロが検出されると、親ファイル タイプが 1 増えます。埋め込みファイル内のマクロが有効になった添付ファイルの数はカウントされません。

[ウイルス タイプ(Virus Types)] ページ

[メール(Email)] > [レポート(Reporting)] > [ウイルスタイプ(Virus Types)] ページでは、ネットワークで送受信されたウイルスの概要が示されます。[ウイルス タイプ(Virus Types)] ページには、E メール セキュリティ アプライアンスで動作するウイルス スキャン エンジンによって検出され、セキュリティ管理アプライアンスに表示されるウイルスが表示されます。このレポートを使用して、特定のウイルスに対して処置を行います。たとえば、PDF ファイルに組み込まれることが判明しているウイルスを大量に受信している場合、PDF が添付されているメッセージを隔離するフィルタ アクションを作成することが推奨されます。


(注)  
ウイルス感染フィルタでは、ユーザが介入することなく、これらの種類のウイルスに感染したメッセージを隔離することができます。

複数のウイルス スキャン エンジンを実行している場合、[ウイルスタイプ(Virus Types)] ページには、イネーブルになっているすべてのウイルス スキャン エンジンの結果が含まれます。ページに表示されるウイルスの名前は、ウイルス スキャン エンジンによって判定された名前です。複数のスキャン エンジンが 1 つのウイルスを検出した場合、同じウイルスに対して複数のエントリが存在する可能性があります。

表 9. [メール(Email)] > [レポート(Reporting)] > [ウイルスタイプ(Virus Types)] ページの詳細

セクション

説明

[時間範囲(Time Range)](ドロップダウン リスト)

1 ~ 90 日間またはカスタム日数範囲を指定できるドロップダウン リスト。時間範囲の詳細と実際のニーズに合わせたカスタマイズについては、レポートの時間範囲の選択を参照してください。

[検出した受信ウイルスタイプの上位(Top Incoming Virus Types Detected)]

このセクションでは、ネットワークに送信されたウイルスのチャート ビューが表示されます。

[検出した送信ウイルスタイプの上位(Top Outgoing Virus Types Detected)]

このセクションでは、ネットワークから送信されたウイルスのチャート ビューが表示されます。

[ウイルスタイプ詳細(Virus Types Detail)]

各ウイルス タイプの詳細が表示されるインタラクティブ テーブル。

(注)  
ウイルスに感染したメッセージをネットワークに送信したホストを表示するには、[受信メール(Incoming Mail)] ページに移動し、同じ報告期間を指定して、ウイルス陽性別にソートします。同様に、ネットワーク内でウイルス陽性の電子メールを送信した IP アドレスを表示するには、[送信メッセージ送信者(Outgoing Senders)] ページを表示し、ウイルス陽性メッセージ別にソートします。

[ウイルスタイプ(Virus Types)] ページから、PDF を生成したり、raw データを CSV ファイルにエクスポートしたりすることもできます。ファイルを印刷またはエクスポートする方法の詳細については、[メール レポート(Email Reporting)] ページの概要を参照してください。


(注)  
[ウイルスタイプ(Virus Types)] ページのスケジュール設定されたレポートを生成できます。メール レポートのスケジュール設定

[URL フィルタリング(URL Filtering)] ページ

  • URL フィルタリング レポート モジュールは、URL フィルタリングが有効の場合にのみ入力されます。
  • URL フィルタリング レポートは、送受信メッセージに対して使用できます。
  • URL フィルタリング エンジンによって(アンチスパム/アウトブレイク フィルタ スキャンの一部として、またはメッセージ/コンテンツ フィルタを使用して)スキャンされるメッセージのみが、これらのモジュールに含まれます。ただし、必ずしもすべての結果が URL フィルタリング機能のみに起因するわけではできません。
  • [上位URLカテゴリ(Top URL Categories)] モジュールには、コンテンツ フィルタまたはメッセージ フィルタに一致するかどうかにかかわらず、スキャンされたメッセージで検出されたすべてのカテゴリが含まれます。
  • 各メッセージを関連付けることができるレピュテーション レベルは 1 つのみです。メッセージに複数の URL がある場合、メッセージ内の URL の最も低いレピュテーションが統計情報に反映されます。
  • [セキュリティサービス(Security Services)] > [URLフィルタリング(URL Filtering)] で設定したグローバル ホワイトリストの URL は、レポートに含まれません。

    個別のフィルタで使用されるホワイトリストの URL はレポートに含まれます。

  • 悪意のある URL とは、アウトブレイク フィルタによってレピュテーションが低いと判定された URL です。ニュートラル URL とは、アウトブレイク フィルタによってクリック時の保護が必要であると判定された URL ですしたがって、ニュートラル URL は Cisco Web セキュリティ プロキシにリダイレクトするために書き換えられています。
  • URL カテゴリ ベースのフィルタの結果はコンテンツおよびメッセージ フィルタ レポートに反映されます。
  • Cisco Web セキュリティ プロキシによるクリック時の URL 評価の結果は、レポートに反映されません。

[Webインタラクショントラッキング(Web Interaction Tracking)] ページ

  • Web インタラクション トラッキング レポート モジュールは、Web インタラクション トラッキング機能が管理対象の E メール セキュリティ アプライアンスで有効になっている場合にのみ入力されます。
  • Web インタラクション トラッキング レポートは、送受信メッセージに対して使用できます。
  • エンドユーザがクリックした、書き換えられた URL(ポリシーまたはアウトブレイク フィルタによって)のみが、これらのモジュールに含まれます。
  • [Webインタラクショントラッキング(Web Interaction Tracking)] ページには、次のレポートが含まれます。
    エンドユーザがクリックした、書き換えられた悪意のある上位URL(Top Rewritten Malicious URLs clicked by End Users)。次の情報を含む詳細レポートを表示するには、URL をクリックします。
    • 書き換えられた悪意のある URL をクリックしたエンドユーザのリスト。
    • URL がクリックされた日付と時刻。
    • URL がポリシーまたはアウトブレイク フィルタによって書き換えられたかどうか。
    • 書き換えられた URL がクリックされた場合に実行されたアクション(許可、ブロック、または不明)。URL がアウトブレイク フィルタによって書き換えられており、最終的な判定が使用できない場合、ステータスは不明として表示されます。

      (注)  

      制限があるため、アウトブレイクによって書き換えられたすべての URL のステータスが不明として表示されます。

    書き換えられた悪意のあるURLをクリックした上位エンドユーザ(Top End Users who clicked on Rewritten Malicious URLs)

    Web インタラクション トラッキングの詳細。次の情報が含まれています。
    • 書き換えられたすべての URL のリスト(悪意のあるものとないもの)。詳細レポートを表示するには、URL をクリックします。
    • 書き換えられた URL がクリックされた場合に実行されたアクション(許可、ブロック、または不明)。

      エンドユーザが URL をクリックしたときにその URL の判定(クリーンまたは悪意のある)が不明である場合、ステータスは不明として表示されます。これは、ユーザのクリック時に、URL がさらに調査されていたか、Web サーバがダウンしていたか、到達不可能であったためである可能性があります。

    • 書き換えられた URL をエンドユーザがクリックした回数。クリックされた URL を含むすべてのメッセージのリストを表示するには、番号をクリックします。
  • 次の点に注意してください。
    • 悪意のある URL を書き換えた後に、メッセージを送信して別のユーザ(管理者など)に通知するようにコンテンツまたはメッセージ フィルタを設定している場合、通知されたユーザがその書き換えられた URL をクリックすると、元の受信者の Web インタラクション トラッキング データが増分します。
    • 書き換えられた URL を含む隔離されたメッセージのコピーを、Web インターフェイスを使用して元の受信者以外のユーザ(管理者など)に送信する場合、その他のユーザがその書き換えられた URL をクリックすると、元の受信者の Web インタラクション トラッキング データが増分します。

[偽装メールの検出(Forged Email Detection)] ページ

  • [偽装メールの検出(Forged Email Detection)] ページには、次のレポートが含まれています。
    • 偽装メールの検出数の上位。 受信したメッセージの偽装された From: ヘッダーと一致する、コンテンツ辞書の上位 10 人のユーザを表示します。
    • 偽装電子メール検出詳細(Forged Email Detection Details)。受信したメッセージの偽装された From: ヘッダーと一致する、コンテンツ辞書のすべてのユーザの一覧と、指定したユーザの、一致したメッセージ数を表示します。
  • [偽装メールの検出(Forged Email Detection)] レポートは、[偽装メールの検出(Forged Email Detection)] コンテンツ フィルタまたは forged-email-detection メッセージ フィルタを使用している場合にのみ自動入力されます。

[高度なマルウェア防御(ファイル レピュテーションとファイル分析)(Advanced Malware Protection (File Reputation and File Analysis))] レポート ページ

ファイル分析レポートの詳細の要件

(クラウド ファイル分析)管理アプライアンスがファイル分析サーバに到達できることを確認する

ファイル分析レポートの詳細を取得するには、アプライアンスがポート 443 経由でファイル分析サーバに接続できる必要があります。詳細については、次を参照してください。 ファイアウォール情報

Cisco コンテンツ セキュリティ管理アプライアンスがインターネットに直接接続していない場合は、このトラフィック用にプロキシ サーバを設定します(アップグレードとアップデートの設定(Upgrade and Update Settings)を参照)。プロキシを使用してアップグレードおよびサービス アップデートを入手するようにアプライアンスを設定済みの場合は、既存の設定が使用されます。

HTTPS プロキシを使用する場合は、そのプロキシでトラフィックを復号化しません。パススルー機能を使用してファイル分析サーバと通信するようにしてください。プロキシ サーバはファイル分析サーバからの証明書を信頼する必要がありますが、ファイル分析サーバに自身の証明書を提供する必要はありません。

(クラウド ファイル分析)詳細なファイル分析結果が表示されるように管理アプライアンスを設定する

組織のすべてのコンテンツ セキュリティ アプライアンスで、組織内の Cisco E メール セキュリティ アプライアンスまたは Cisco Web セキュリティ アプライアンスから分析用に送信されるファイルに関するクラウド内の詳細な結果が表示されるようにするには、すべてのアプライアンスを同じアプライアンス グループに結合する必要があります。

手順
ステップ 1

[管理アプライアンス(Management Appliance)] > [集約管理サービス(Centralized Services)] > [セキュリティアプライアンス(Security Appliances)] を選択します。

ステップ 2

[ファイル分析(File Analysis)] セクションにスクロールします。
ステップ 3

管理対象アプライアンスが別のファイル分析クラウド サーバを指している場合は、結果の詳細の表示元となるサーバを選択します。

結果の詳細は、その他のクラウド サーバによって処理されたファイルでは使用できません。
ステップ 4

分析グループ ID を入力します。

  • 不正なグループ ID を入力したか、または他の何らかの理由でグループ ID を変更する必要がある場合は、Cisco TAC に問い合わせる必要があります。

  • この変更はすぐに反映されます。コミットする必要はありません。

  • この値に CCOID を使用することを推奨します。

  • この値は大文字と小文字が区別されます。

  • この値は、分析用にアップロードしたファイルのデータを共有するすべてのアプライアンスで同じである必要があります。

  • アプライアンスは 1 つのグループだけに属することができます。

  • いつでもグループにマシンを追加できますが、追加できるのは一度のみです。
ステップ 5

[今すぐグループ化(Group Now)] をクリックします。

ステップ 6

このアプライアンスとデータを共有する各 E メール セキュリティ アプライアンスで、同じグループを設定します。
次のタスク

関連項目

クラウドで詳細なファイル分析結果が表示されるファイル

(オンプレミスのファイル分析)ファイル分析アカウントをアクティブ化する

オンプレミス(プライベート クラウド)の Cisco AMP Threat Grid Appliance を導入した場合、Threat Grid Appliance で使用可能なレポート詳細を表示するために、Cisco コンテンツ セキュリティ管理アプライアンスのファイル分析アカウントをアクティブ化する必要があります。通常、これは 1 回のみ必要です。

始める前に

重大レベルでシステム アラートを受信していることを確認します。

手順
ステップ 1

Threat Grid Appliance からファイル分析レポート詳細に最初にアクセスしようとするときに、数分待ってから、リンクを含むアラートを受信します。

このアラートを受信しなかった場合は、[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [アラート(Alerts)] に移動し、[上位アラートを表示(View Top Alerts)] をクリックします。

ステップ 2

アラート メッセージ内のリンクをクリックします。
ステップ 3

管理アプライアンスのアカウントをアクティブ化します。

SHA-256 ハッシュによるファイルの識別

ファイル名は簡単に変更できるため、アプライアンスはセキュア ハッシュ アルゴリズム(SHA-256)を使用して、各ファイルの ID を生成します。アプライアンスが名前の異なる同じファイルを処理する場合、すべてのインスタンスが同じ SHA-256 として認識されます。複数のアプライアンスが同じファイルを処理する場合、ファイルのすべてのインスタンスには同じ SHA-256 ID があります。

ほとんどのレポートでは、ファイルがその SHA-256 値(短縮形式)別に表示されます。

ファイル レピュテーションとファイル分析レポートのページ

レポート

説明

[高度なマルウェア防御(Advanced Malware Protection)]

ファイル レピュテーション サービスによって特定されたファイル ベースの脅威を示します。

判定が変更されたファイルについては、[AMP判定のアップデート(AMP Verdict Updates)] レポートを参照してください。これらの判定は、[高度なマルウェア防御(Advanced Malware Protection)] レポートに反映されません。

圧縮ファイルまたはアーカイブ済みファイルから悪意のあるファイルが抽出された場合、圧縮ファイルまたはアーカイブ済みファイルの SHA 値のみが [高度なマルウェア防御(Advanced Malware Protection)] レポートに含まれます。

(注)   
AsyncOS 9.6.5 以降、高度なマルウェア防御レポートが、追加フィールド、グラフなどを表示するように強化されました。アップグレード後に表示されるレポートには、アップグレード前のレポートのデータは含まれません。AsyncOS 9.6.5 アップグレード前の高度なマルウェア防御レポートを表示するには、ページの下部にあるハイパーリンクをクリックします。

[カテゴリ別受信マルウェアファイル(Incoming Malware Files by Category)] セクションは、[カスタム検出(Custom Detection)] に分類される、エンドポイント コンソールの AMP から受信したブラックリスト ファイル SHA の割合を示しています。

AMP for Endpoints コンソールから取得されるブラックリストに追加されたファイル SHA の脅威名は、レポートの [着信マルウェア脅威ファイル(Incoming Malware Threat Files)] セクションで [シンプル カスタム検出(Simple Custom Detection)] として表示されます。

レポートの [詳細の表示(More Details)] セクション内のリンクをクリックすると、エンドポイント コンソールの AMP のブラックリスト ファイル SHA のファイル トラジェクトリの詳細を表示することができます

[リスク低(Low Risk)] 判定の詳細をレポートの [AMPにより渡された受信ファイル(Incoming Files Handed by AMP)] セクションに表示できます。

[高度なマルウェア防御(Advanced Malware Protection)] におけるファイル分析

分析用に送信された各ファイルの時間と判定(または中間判定)を表示します。SMA アプライアンスは 30 分ごとに WSA で分析結果をチェックします。

1000 を超えるファイル分析結果を表示するには、データを .csv ファイルとしてエクスポートします。

オンプレミスの Cisco AMP Threat Grid Appliance での導入の場合:AMP Threat Grid Appliance でホワイトリストに登録されているファイルは、「クリーン」として表示されます。ホワイトリストについては、AMP Threat Grid のマニュアルまたはオンライン ヘルプを参照してください。

ドリル ダウンすると、各ファイルの脅威の特性を含む詳細な分析結果が表示されます。

SHA に関するその他の情報を検索するか、またはファイル分析詳細ページの下部のリンクをクリックして、ファイルを分析したサーバに関する追加の詳細を表示することもできます。

ファイルを分析したサーバに関する詳細を表示するには、ファイル分析レポートの詳細の要件を参照してください。

圧縮ファイルまたはアーカイブ済みファイルから抽出したファイルが分析用に送信されると、抽出されたファイルの SHA 値のみが [ファイル分析(File Analysis)] レポートに含まれます。

(注)   
AsyncOS 9.6.5 以降、ファイル分析レポートが、追加フィールド、グラフなどを表示するように強化されました。アップグレード後に表示されるレポートには、アップグレード前のレポートのデータは含まれません。AsyncOS 9.6.5 アップグレード前のファイル分析レポートを表示するには、ページの下部にあるハイパーリンクをクリックします。

高度なマルウェア防御判定の更新(Advanced Malware Protection Verdict Updates)

高度なマルウェア防御は対象を絞ったゼロデイ脅威に焦点を当てるため、集約データでより詳細な情報が提供されると、脅威の判定が変わる可能性があります。

[AMP判定のアップデート(AMP Verdict Updates)] レポートには、このアプライアンスで処理され、メッセージ受信後に判定が変わったファイルが表示されます。この状況の詳細については、お使いの E メール セキュリティ アプライアンスのマニュアルを参照してください。

1000 を超える判定アップデートを表示するには、データを .csv ファイルとしてエクスポートします。

1 つの SHA-256 に対して判定が複数回変わった場合は、判定履歴ではなく最新の判定のみがこのレポートに表示されます。

使用可能な最大時間範囲内(レポートに選択された時間範囲に関係なく)に特定の SHA-256 の影響を受けるすべてのメッセージを表示するには、SHA-256 リンクをクリックします。

その他のレポートでのファイル レピュテーション フィルタ データの表示

該当する場合は、ファイル レピュテーションおよびファイル分析のデータを他のレポートでも使用できます。レポートによっては、[高度なマルウェア防御で検出(Detected by Advanced Malware Protection)] 列がデフォルトで非表示になっている場合があります。追加列を表示するには、テーブル下部の [列(Columns)] リンクをクリックします。

クラウドで詳細なファイル分析結果が表示されるファイル

パブリック クラウドのファイル分析を導入した場合は、ファイル分析のためにアプライアンス グループに追加された、任意の管理対象アプライアンスからアップロードされたすべてのファイルの詳細な結果を表示できます。

グループに管理アプライアンスを追加した場合は、[管理アプライアンス(Management Appliance)] > [集約管理サービス(Centralized Services)] > [セキュリティアプライアンス(Security Appliances)] ページにあるボタンをクリックして、グループの管理対象アプライアンスのリストを表示できます。

分析グループのアプライアンスはファイル分析クライアント ID で識別されます。特定のアプライアンスのこの ID を判別するには、次の場所を参照してください。

アプライアンス

ファイル分析クライアント ID の場所

E メール セキュリティ アプライアンス

[セキュリティ サービス(Security Services)] > [ファイル レピュテーションと分析(File Reputation and Analysis)] ページの [ファイル分析の詳細設定(Advanced Settings for File Analysis)] セクション

Web セキュリティ アプライアンス

[セキュリティ サービス(Security Services)] > [マルウェア対策とレピュテーション(Anti-Malware and Reputation)] ページの [ファイル分析の詳細設定(Advanced Settings for File Analysis)] セクション

Cisco コンテンツ セキュリティ管理アプライアンス

[管理アプライアンス(Management Appliance)] > [集約管理サービス(Centralized Services)] > [セキュリティアプライアンス(Security Appliances)] ページの下部

関連項目

メールボックスの自動修復

[メールボックス自動修復(Mailbox Auto Remediation)] レポート ページを使用してメールボックスの修復結果の詳細を表示できます。このレポートを使用して次の詳細を表示します。

  • 受信者のメールボックス修復の成功または失敗を示す一覧
  • メッセージに対してとられる修復のアクション
  • SHA-256 ハッシュに関連付けられているファイル名

[修復が失敗した受信者(Recipients for whom remediation was unsuccessful)] フィールドは、次のシナリオで更新されます。

  • 受信者が有効な Office 365 ユーザではない、または受信者がアプライアンスで構成されている Office 365 ドメイン アカウントに属していない。
  • 添付ファイルを含むメッセージをメールボックスで使用できない。たとえば、エンド ユーザがメッセージを削除した。
  • アプライアンスが設定済みの修復のアクションを実行しようとしたときにアプライアンスと Office 365 サービス間の接続に問題があった。

メッセージ トラッキングに関連メッセージを表示するには、SHA-256 ハッシュをクリックします。

[TLS 接続(TLS Connections)] ページ

[メール(Email)] > [レポート(Reporting)] > [TLS 接続(TLS Connections)] ページには、メールの送受信に使用される TLS 接続の全体的な使用状況が表示されます。このレポートでは、TLS 接続を使用してメールを送信する各ドメインの詳細についても示されます。

[TLS接続(TLS Connections)] ページを使用すると、次の情報を測定できます。

  • 送受信接続による、全体的な TLS の使用割合。
  • TLS 接続に成功したパートナー。
  • TLS 接続に成功しなかったパートナー。
  • TLS 認証に問題のあるパートナー。
  • パートナーが TLS を使用したメールの全体的な割合。
表 10. [メール(Email)] > [レポート(Reporting)] > [TLS 接続(TLS Connections)] ページの詳細

セクション

説明

[時間範囲(Time Range)](ドロップダウン リスト)

1 ~ 90 日間またはカスタム日数範囲を指定できるドロップダウン リスト。時間範囲の詳細と実際のニーズに合わせたカスタマイズについては、レポートの時間範囲の選択を参照してください。

[受信TLS接続数グラフ(Incoming TLS Connections Graph)]

グラフには、選択したタイム フレームに応じて、直近の 1 時間、1 日、または 1 週間における、受信 TLS の暗号化された接続および暗号化されない接続のビューが表示されます。

[受信TLS接続数サマリー(Incoming TLS Connections Summary)]

この表には、着信メッセージの総量、暗号化された/暗号化されないメッセージの量、成功/失敗した受信 TLS 暗号化メッセージの量が表示されます。

[受信TLSメッセージサマリー(Incoming TLS Message Summary)]

この表には、着信メッセージの総量の概要が表示されます。

[受信TLS接続数詳細(Incoming TLS Connections Details]

表には、暗号化されたメッセージを送受信するドメインの詳細が表示されます。各ドメインについて、接続の総数、送信されたメッセージ、および成功/失敗した TLS 接続の数を表示できます。各ドメインについて、成功/失敗した接続の割合を表示することもできます。

[送信TLS接続数グラフ(Outgoing TLS Connections Graph)]

グラフには、選択したタイム フレームに応じて、直近の 1 時間、1 日、または 1 週間における、送信 TLS の暗号化された接続および暗号化されない接続のビューが表示されます。

[送信TLS接続数サマリー(Outgoing TLS Connections Summary)]

この表には、発信メッセージの総量、暗号化された/暗号化されないメッセージの量、成功/失敗した送信 TLS 暗号化メッセージの量が表示されます。

[送信TLSメッセージサマリー(Outgoing TLS Message Summary)]

この表には、発信メッセージの総量が表示されます。

[送信TLS接続数詳細(Outgoing TLS Connections Details)]

表には、暗号化されたメッセージを送受信するドメインの詳細が表示されます。各ドメインについて、接続の総数、送信されたメッセージ、成功/失敗した TLS 接続の数、および最後の TLS ステータスを表示できます。各ドメインについて、成功/失敗した接続の割合を表示することもできます。

[受信 SMTP 認証(Inbound SMTP Authentication)] ページ

[受信SMTP認証(Inbound SMTP Authentication)] ページには、クライアント証明書の使用情報、および Email Security Appliance とユーザのメール クライアント間で SMTP セッションを認証するための SMTP AUTH コマンドが表示されます。アプライアンスは、証明書または SMTP AUTH コマンドを受け入れると、メール クライアントへの TLS 接続を確立します。クライアントはこの接続を使用してメッセージを送信します。アプライアンスは、これらの試行をユーザ単位で追跡できないため、レポートには、ドメイン名とドメイン IP アドレスに基づいて SMTP 認証の詳細が表示されます。

次の情報を確認するには、このレポートを使用します。

  • SMTP 認証を使用している着信接続の総数
  • クライアント証明書を使用している接続の数
  • SMTP AUTH を使用している接続の数
  • SMTP 認証を使用しようとして、接続が失敗したドメイン
  • SMTP 認証が失敗した一方で、フォールバックを正常に使用している接続の数

[受信SMTP認証(Inbound SMTP Authentication)] ページには、受信した接続のグラフ、SMTP 認証接続を試行したメール受信者のグラフ、および接続の認証試行の詳細を含むテーブルが表示されます。

[受信した接続(Received Connections)] グラフでは、指定した時間範囲において SMTP 認証を使用して接続を認証しようとしたメール クライアントの着信接続が示されます。このグラフには、アプライアンスが受信した接続の総数、SMTP 認証を使用して認証を試行しなかった接続の数、クライアント証明書を使用して認証が失敗および成功した接続の数、SMTP AUTH コマンドを使用して認証が失敗および成功した接続の数が表示されます。

[受信した受信者(Received Recipients)] グラフには、SMTP 認証を使用して、メッセージを送信するために Email Security Appliances への接続を認証しようとしたメール クライアントを所有する受信者の数が表示されます。このグラフでは、接続が認証された受信者の数、および接続が認証されなかった受信者の数も示されます。

[SMTP認証の詳細(SMTP Authentication details)] テーブルには、メッセージを送信するために Email Security Appliance への接続を認証しようとしたユーザを含むドメインの詳細が表示されます。ドメインごとに、クライアント証明書を使用した接続試行(成功または失敗)の数、SMTP AUTH コマンドを使用した接続試行(成功または失敗)の数、およびクライアント証明書接続試行が失敗した後、SMTP AUTH にフェールバックした接続の数を表示できます。ページ上部のリンクを使用して、ドメイン名またはドメイン IP アドレス別にこの情報を表示できます。

[レート制限(Rate Limits)] ページ

エンベロープ送信者ごとのレート制限を使用すると、メール送信者アドレスに基づいて、個々の送信者からの時間間隔ごとの電子メール メッセージ受信者数を制限できます。[レート制限(Rate Limits)] レポートには、この制限を最も上回った送信者が表示されます。

このレポートは、以下を特定する場合に役立ちます。

  • 大量のスパムを送信するために使用される可能性のある信用できないユーザ アカウント
  • 通知、アラート、自動報告などに電子メールを使用する組織内の制御不能アプリケーション
  • 内部請求やリソース管理のために、組織内で電子メールを過剰に送信している送信元
  • スパムとは見なされないが、大量の着信電子メール トラフィックを送信している送信元

内部送信者に関する統計情報を含む他のレポート([内部ユーザ(Internal Users)]、[送信メッセージ送信者(Outgoing Senders)] など)では、送信されたメッセージの数のみ計測されます。これらのレポートでは、少数のメッセージを多数の受信者に送信した送信者は識別されません。

[上位攻撃者(インシデント別)(Top Offenders by Incident)] チャートには、設定済み制限よりも多くの受信者にメッセージを最も頻繁に送信しようとしたエンベロープ送信者が表示されます。各試行が 1 インシデントに相当します。このチャートでは、すべてのリスナーからのインシデント数が集計されます。

[上位攻撃者(拒否した受信者数)(Top Offenders by Rejected Recipients)] チャートには、設定済みの制限を上回る、最も多くの受信者にメッセージを送信したエンベロープ送信者が表示されます。このチャートでは、すべてのリスナーからの受信者数が集計されます。

[エンベロープ送信者のレート制限(Rate Limit for Envelope Senders)] 設定を含む [レート制限(Rate Limiting)] 設定は、E メール セキュリティ アプライアンスの [メール ポリシー(Mail Policies)] > [メール フロー ポリシー(Mail Flow Policies)] で設定します。レート制限の詳細については、ご使用の E メール セキュリティ アプライアンスのマニュアルまたはオンライン ヘルプを参照してください。

関連項目

[アウトブレイク フィルタ(Outbreak Filters)] ページ

[メール(Email)] > [レポート(Reporting)] > [アウトブレイクフィルタ(Outbreak Filters)] ページには、最近の発生状況やウイルス感染フィルタによって隔離されたメッセージに関する情報が表示されます。このページを使用して、対象を絞ったウイルス、詐欺、およびフィッシング攻撃に対する防御をモニタできます。

[アウトブレイクフィルタ(Outbreak Filters)] ページを使用して、次の情報を入手できます。

  • ウイルス感染フィルタ ルールによって隔離されたメッセージの数と使用されたルール。
  • ウイルスの発生に対する、ウイルス感染機能のリード タイム。
  • グローバル ウイルス感染発生と比較したローカル ウイルスの発生状況。
  • メッセージがアウトブレイク隔離にとどまる期間
  • 最も頻繁に表示される悪意のある可能性がある URL

[タイプ別脅威(Threats By Type)] セクションには、アプライアンスによって受信された脅威メッセージのさまざまなタイプが示されます。[脅威サマリー(Threat Summary)] セクションには、[ウイルス(Virus)]、[フィッシュ(Phish)]、および [詐欺(Scam)] によるメッセージの内訳が示されます。

[過去1年間のアウトブレイクサマリー(Past Year Outbreak Summary)] には、この 1 年間にわたるグローバル発生およびローカル発生が表示されるので、ローカル ネットワークのトレンドとグローバルなトレンドを比較できます。グローバル発生リストは、すべての発生(ウイルスとウイルス以外の両方)の上位集合です。これに対して、ローカル発生は、お使いのアプライアンスに影響を与えたウイルス発生に限定されています。ローカル感染発生データには、ウイルス以外の脅威は含まれません。グローバル感染発生データは、アウトブレイク隔離で現在設定されているしきい値を超えた、Threat Operations Center によって検出されたすべての発生を表します。ローカル感染発生データは、アウトブレイク隔離で現在設定されているしきい値を超えた、このアプライアンスで検出されたすべてのウイルス感染を表します。[ローカル保護の合計時間(Total Local Protection Time)] は、Threat Operations Center による各ウイルス発生の検出と、主要ベンダーによるアンチウイルス シグニチャの解放との時間差に常に基づいています。必ずしもすべてのグローバル発生が、お使いのアプライアンスに影響を与えるわけではありません。「--」値は、保護時間が存在しないか、アンチウイルス ベンダーからシグニチャ時間を入手できないことを示します(一部のベンダーは、シグニチャ時間を報告しません)。これは、保護時間がゼロであることを示すのではなく、保護時間の算出に必要な情報を入手できないことを示します。

[隔離されたメッセージ(Quarantined Messages)] セクションでは、感染フィルタの隔離状況の概要が示されます。これは、感染フィルタが捕捉した潜在的な脅威メッセージの数を把握するのに役立つ尺度です。隔離されたメッセージは、解放時に集計されます。通常、メッセージはアンチウイルスおよびアンチスパム ルールが使用可能になる前に隔離されます。メッセージが解放されると、アンチウイルスおよびアンチスパム ソフトウェアによってスキャンされ、陽性か、クリーンかを判定されます。感染トラッキングの動的性質により、メッセージが隔離領域内にあるときでも、メッセージの隔離ルール(および関連付けられる発生)が変更される場合があります。(隔離領域に入った時点ではなく)解放時にメッセージを集計することにより、件数の変動による混乱を防ぎます。

[脅威の詳細(Threat Details)] リストには、脅威のカテゴリ(ウイルス、詐欺、またはフィッシング)、脅威の名前、脅威の説明、識別されたメッセージの数などの、特定の発生に関する情報が表示されます。ウイルス発生の場合は [過去1年間のウイルスアウトブレイク(Past Year Virus Outbreaks)] に、発生の名前と ID、ウイルス発生が初めてグローバルに検出された日時、Outbreak フィルタによって提供される保護時間、および検疫されたメッセージの数が含まれます。グローバル発生またはローカル発生のどちらを表示するかを選択できます。

[最初にグローバルで確認した日時(First Seen Globally)] の時間は、世界最大の電子メールおよび Web トラフィック モニタリング ネットワークである SenderBase のデータに基づいて、Threat Operations Center によって決定されます。[保護時間(Protection Time)] は、Threat Operations Center による各脅威の検出と、主要ベンダーによるアンチウイルス シグニチャの公開との時間差に基づいています。

「--」値は、保護時間が存在しないか、アンチウイルス ベンダーからシグニチャ時間を入手できないことを示します(一部のベンダーは、シグニチャ時間を報告しません)。保護時間がゼロであることを示しているわけではありません。むしろ、保護時間の算出に必要な情報を入手できないことを意味します。

このページの他のモジュールには次の情報が表示されます。

  • 選択した期間にアウトブレイク フィルタによって処理された受信メッセージの数。

ウイルス以外の脅威には、外部 Web サイトへのリンクを使用したフィッシング電子メール、詐欺、およびマルウェア配布が含まれます。

  • アウトブレイク フィルタで検出された脅威の重大度。

レベル 5 の脅威が範囲または影響において重大であるのに対し、レベル 1 は脅威のリスクが低いことを示します。脅威レベルの説明については、お使いの E メール セキュリティ アプライアンスのオンライン ヘルプまたはユーザ ガイドを参照してください。

  • メッセージがアウトブレイク隔離にとどまっていた時間。

この期間は、潜在的な脅威の安全性の判定に必要なデータを収集するためにかかる時間によって決まります。通常、ウイルス脅威を含むメッセージはアンチウイルス プログラムの更新を待機する必要があるため、ウイルス以外の脅威を含む場合よりも隔離に長くとどまります。各メール ポリシーで指定した最大保持期間も反映されます。

  • サイトのクリック時評価(受信者がメッセージ内の悪意のある可能性があるリンクをクリックした場合)用に、メッセージ受信者を Cisco Web セキュリティ プロキシにリダイレクトするために最も頻繁に書き換えられた URL。

いずれかの URL が悪意のある URL と見なされると、そのメッセージ内のすべての URL が書き換えられるため、このリストには悪質でない URL が含まれる場合があります。


(注)  
[アウトブレイクフィルタ(Outbreak Filters)] レポート ページにテーブルが正しく表示されるためには、アプライアンスが、[セキュリティサービス(Security Services)] > [サービスのアップデート(Service Updates)]で指定した Cisco アップデート サーバと通信できる必要があります。[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [アップデート設定(Update Settings)]

詳細については、「Outbreak Filters」の章を参照してください。

グレイメールのレポート

グレイメールの統計情報は、次のレポートに反映されます。

レポート

含まれるグレイメール データ

[概要(Overview)] ページ > [受信メールサマリー(Incoming Mail Summary)]

グレイメール カテゴリ(マーケティング、ソーシャル、およびバルク)ごとの受信グレイメール メッセージの数と、グレイメール メッセージの総数。

[受信メール(Incoming Mail)] ページ > [グレイメールメッセージの送信者上位(Top Senders by Graymail Messages)]

グレイメールの上位送信者。

[受信メール(Incoming Mail)] ページ > [受信メールの詳細(Incoming Mail Details)]

グレイメール カテゴリ(マーケティング、ソーシャル、およびバルク)ごとの受信グレイメール メッセージの数と、すべての IP アドレス、ドメイン名、またはネットワーク オーナーのグレイメール メッセージの総数。

[受信メール(Incoming Mail)] ページ > [受信メールの詳細(Incoming Mail Details)] > [送信者プロファイル(Sender Profile)](ドリル ダウン ビュー)

グレイメール カテゴリ(マーケティング、ソーシャル、およびバルク)ごとの受信グレイメール メッセージの数と、指定された IP アドレス、ドメイン名、またはネットワーク オーナーのグレイメール メッセージの総数。

[内部ユーザ(Internal Users)] ページ > [グレイメールの上位ユーザ(Top Users by Graymail)]

グレイメールを受信する上位エンドユーザ。

[内部ユーザ(Internal Users)] ページ > [ユーザメールフローの詳細(User Mail Flow Details)]

グレイメール カテゴリ(マーケティング、ソーシャル、およびバルク)ごとの受信グレイメール メッセージの数と、すべてのユーザのグレイメール メッセージの総数。

[内部ユーザ(Internal Users)] ページ > [ユーザメールフローの詳細(User Mail Flow Details)] > [内部ユーザ(Internal User)](ドリル ダウン ビュー)

グレイメール カテゴリ(マーケティング、ソーシャル、およびバルク)ごとの受信グレイメール メッセージの数と、指定されたユーザのグレイメール メッセージの総数。

AsyncOS 9.5 へのアップグレード後のマーケティング メッセージのレポート

AsyncOS 9.5 へのアップグレード後:

  • マーケティング メッセージの数は、アップグレードの前後に検出されたマーケティング メッセージの合計です。
  • グレイメール メッセージの総数には、アップグレードの前に検出されたマーケティング メッセージの数は含まれません。
  • 試行されたメッセージの総数には、アップグレードの前に検出されたマーケティング メッセージの数も含まれます。
  • 管理対象の E メール セキュリティ アプライアンスでグレイメール機能が有効になっていない場合、マーケティング メッセージはクリーン メッセージとしてカウントされます。

[システム容量(System Capacity)] ページ

[メール(Email)] > [レポート(Reporting)] > [システム容量(System Capacity)] ページでは、作業キュー内のメッセージ数、着信および発信メッセージ(量、サイズ、件数)、全体的な CPU 使用率、機能別の CPU 使用率、メモリ ページ スワップ情報などシステム負荷の詳細が示されます。

[システム容量(System Capacity)] ページを使用すると、次の情報を確認できます。

  • E メール セキュリティ アプライアンスが推奨されるキャパシティをいつ超えたかを特定します。これによって、設定の最適化や追加アプライアンスがいつ必要になったかがわかります。
  • キャパシティの問題が今後発生する可能性を示すシステム挙動の過去のトレンド。
  • トラブルシューティングのために、システムが最もリソースを使用している部分を識別します。

E メール セキュリティ アプライアンスをモニタして、キャパシティがメッセージ量に適したものになっているかを確認します。量は、時間の経過に伴って必ず増加しますが、適切にモニタリングしていれば、追加キャパシティまたは設定変更を予防的に適用できます。システム キャパシティをモニタする最も効果的な方法は、全体的な量、作業キュー内のメッセージ、およびリソース節約モードのインシデントを追跡することです。

  • 量:「正常」なメッセージ量と環境内での「通常」のスパイクを把握することが重要です。経時的にこのデータを追跡して、量の増加を測定します。[受信メール(Incoming Mail)] ページおよび [送信メール(Outgoing Mail)] ページを使用すると、経時的に量を追跡できます。詳細については、[システム容量(System Capacity)]:[受信メール(Incoming Mail)]および[システム容量(System Capacity)]:[送信メール(Outgoing Mail)]を参照してください。
  • ワーク キュー:ワーク キューは、スパム攻撃の吸収とフィルタリングを行い、非スパム メッセージの異常な増加を処理する、「緩衝装置」として設計されています。ただし、作業キューは負荷のかかっているシステムを示す指標でもあります。長く、頻繁な作業キューのバックアップは、キャパシティの問題を示している可能性があります。[システム容量(System Capacity)]:[ワークキュー(Workqueue)] ページを使用すると、作業キュー内のアクティビティを追跡できます。詳細については、[システム容量(System Capacity)]:[ワークキュー(Workqueue)]を参照してください。
  • リソース節約モード:アプライアンスがオーバーロードになると、リソース節約モード(RCM)になり、CRITICAL システム アラートが送信されます。このモードは、デバイスを保護し、未処理分のメッセージを処理できるように設計されています。お使いのアプライアンスは、頻繁に RCM になるのではなく、メール量が非常に多い場合または異常に増加した場合にのみ RCM になる必要があります。頻繁な RCM アラートは、システムがオーバーロードになりつつあることを示している可能性があります。リソース節約アクティビティを参照してください。

[システム容量(System Capacity)] ページに表示されるデータの解釈方法

[システム容量(System Capacity)] ページにデータを表示する時間範囲を選択する場合、次のことに留意することが重要です。

  • Day レポート:Day レポートでは、時間テーブルを照会し、24 時間の間に 1 時間ごとにアプライアンスが受信したクエリの正確な数を表示します。この情報は時間テーブルから収集されます。これは正確な数値です。
  • Month レポート:Month レポートでは、30 日間または 31 日間(その月の日数に応じる)の日テーブルを照会し、30 日間または 31 日間の正確なクエリ数を表示します。これも正確な数値です。

[システム容量(System Capacity)] ページの [最大(Maximum)] 値インジケータは、指定された期間内の最大値を示します。[平均(Average)] 値は指定された期間内のすべての値の平均です。集計期間は、レポートに対して選択された間隔に応じて異なります。たとえば、月単位のチャートの場合は、日付ごとの [平均(Average)] 値と [最大(Maximum)] 値を表示することができます。

特定のグラフの [詳細の表示(View Details)] リンクをクリックすると、個々の E メール セキュリティ アプライアンスのデータおよびセキュリティ管理アプライアンスに接続されたアプライアンスのデータ全体が表示されます。

[システム容量(System Capacity)]:[ワークキュー(Workqueue)]

[ワークキュー(Workqueue)] ページには、ワーク キュー内でメッセージが費やした平均時間(スパム隔離またはポリシー、ウイルス、およびアウトブレイク隔離で費やした時間は除く)が表示されます。1 時間から 1 月までの時間範囲を表示できます。平均は、メール配信を遅延させた短期間のイベントおよびシステム上の負荷の長期トレンドの両方を識別するのに役立ちます。


(注)  
隔離からワーク キューにメッセージが解放される場合、「ワーク キュー内の平均時間」メトリックではこの時間が無視されます。これにより、重複集計と検疫で費やされた延長時間による統計の歪みを回避できます。

このレポートでは、指定期間の作業キュー内のメッセージの量および同期間の作業キュー内の最大メッセージ数も示されます。ワーク キューの最大メッセージのグラフ表示でも、ワーク キューのしきい値レベルが示されます。

[ワークキュー(Workqueue)] グラフにおける不定期のスパイクは、正常であり、発生する可能性があります。ワーク キュー内のメッセージが長期間、設定済みしきい値よりも大きい場合は、キャパシティの問題を示している可能性があります。このシナリオでは、しきい値レベルを調整することを検討するか、またはシステム設定を確認します。

ワーク キューのしきい値レベルを変更するには、E メール セキュリティ アプライアンスのシステムの状態グラフの参照のしきい値の調整を参照してください。


ヒント

[ワークキュー(Workqueue)] ページを確認するときは、作業キュー バックアップの頻度を測定し、10,000 メッセージを超える作業キュー バックアップに注意することが推奨されます。

[システム容量(System Capacity)]:[受信メール(Incoming Mail)]

[システム容量(System Capacity)]:[受信メール(Incoming Mail)] ページには、着信接続、着信メッセージの総数、平均メッセージ サイズ、着信メッセージの総サイズが示されます。日、週、月、または年の結果を表示することもできます。ご自身の環境における通常のメッセージ量とスパイクのトレンドを理解しておくことが重要です。[システム容量(System Capacity)]:[受信メール(Incoming Mail)] ページを使用すると、経時的にメール量の増加を追跡し、システム キャパシティの計画を立てることができます。着信メール データと送信者プロファイル データを比較して、特定のドメインからネットワークに送信される電子メール メッセージの量のトレンドを表示することも推奨されます。


(注)  
着信接続数の増加は、必ずしもシステム負荷に影響を与えるわけではありません。

[システム容量(System Capacity)]:[送信メール(Outgoing Mail)]

[システム容量(System Capacity)]:[送信メール(Outgoing Mail)] ページには、発信接続、発信メッセージの総数、平均メッセージ サイズ、発信メッセージの総サイズが示されます。日、週、月、または年の結果を表示することもできます。ご自身の環境における通常のメッセージ量とスパイクのトレンドを理解しておくことが重要です。[システム容量(System Capacity)]:[送信メール(Outgoing Mail)] ページを使用すると、経時的にメール量の増加を追跡し、システム キャパシティの計画を立てることができます。発信メール データと送信先データを比較して、特定のドメインまたは IP アドレスから送信される電子メール メッセージの量のトレンドを表示することも推奨されます。

[システム容量(System Capacity)]:[システムの負荷(System Load)]

システムの負荷レポートに、次が表示されます。

全体のCPU使用率(Overall CPU Usage)

Email Security Appliances は、アイドル状態の CPU リソースを使用してメッセージ スループットを向上させるように最適化されています。CPU 使用率が高くても、必ずしもシステム キャパシティの問題を示すわけではありません。CPU 使用率が高く、かつ高ボリュームのメモリ ページ スワッピングが発生する場合、キャパシティの問題の可能性があります。


(注)  
このグラフには、目視基準である CPU 使用率のしきい値も示されます。この線の位置を調整するには、E メール セキュリティ アプライアンスのシステムの状態グラフの参照のしきい値の調整を参照してください。キャパシティの問題に対応するために実行できるアクションを提案するアラートを送信するように、E メール セキュリティ アプライアンスを設定できます。

このページでは、メール処理、スパムおよびウイルス エンジン、レポート、および隔離などさまざまな機能によって使用される CPU の量を表示するグラフも示されます。機能別 CPU のグラフは、システム上で最も多くのリソース使用する製品の領域を示す良い指標です。アプライアンスの最適化が必要な場合、このグラフは、調整やディセーブル化の必要な機能を判断するのに役立ちます。

メモリページスワップ(Memory Page Swapping)

メモリ ページ スワッピングのグラフは、システムによるディスクへのページングが必要な頻度を示します(KB/秒単位)。

システムは、定期的にメモリをスワップするように設計されているので、一部のメモリ スワッピングは起こり得るものであり、アプライアンスの問題を示すものではありません。システムが常に高ボリュームのメモリ スワッピングを行う場合以外は、メモリ スワッピングは予想される正常な動作です(特に C170 アプライアンスの場合)。パフォーマンスを向上させるには、ネットワークに E メール セキュリティ アプライアンスを追加するか、設定を調整して、最大のスループットを確保することが必要な場合もあります。


(注)  
このグラフには、目視基準であるメモリ ページ スワッピングのしきい値も示されます。この線の位置を調整するには、E メール セキュリティ アプライアンスのシステムの状態グラフの参照のしきい値の調整を参照してください。キャパシティの問題に対応するために実行できるアクションを提案するアラートを送信するように、E メール セキュリティ アプライアンスを設定できます。
リソース節約アクティビティ

リソース節約アクティビティ グラフは、E メール セキュリティ アプライアンスがリソース節約モード(RCM)になった回数を示します。たとえば、グラフに n 回と示されている場合は、アプライアンスが n 回 RCM になり、少なくとも n-1 回終了していることを意味します。

お使いのアプライアンスは、頻繁に RCM になるのではなく、メール量が非常に多い場合または異常に増加した場合にのみ RCM になる必要があります。リソース節約アクティビティ グラフにアプライアンスが頻繁に RCM になっていることが示されている場合は、システムが過負荷になっていることを示している可能性があります。

[システム容量(System Capacity)]:[すべて(All)]

[すべて(All)] ページでは、これまでのすべてのシステム キャパシティ レポートを単一のページに統合し、さまざまなレポート同士の関係を表示することができます。たとえば、過剰なメモリ スワッピングの発生と同時期にメッセージ キューが高いことを確認できます。これは、キャパシティの問題の兆候である可能性があります。このページを PDF ファイルとして保存し、後で参照するために(またはサポート スタッフと共有するために)システム パフォーマンスのスナップショットを保存することが推奨されます。

[有効なレポートデータ(Reporting Data Availability)] ページ

[メール(Email)] > [レポート(Reporting)] > [有効なレポートデータ(Reporting Data Availability)] ページでは、リソース使用率および電子メール トラフィックの障害のある場所がリアルタイムに表示されるようにデータを表示、更新およびソートできます。

このページから、セキュリティ管理アプライアンスによって管理されるアプライアンス全体のデータ アベイラビリティを含めて、すべてのデータ リソース使用率および電子メール トラフィックに障害のある場所が表示されます。

このレポート ページから、特定のアプライアンスおよび時間範囲のデータ アベイラビリティを表示することもできます。

スケジュール設定された電子メール レポートとオンデマンドの電子メール レポートについて

使用可能なレポートの種類

特記のない限り、次のタイプの電子メール セキュリティ レポートは、スケジュール設定されたレポートおよびオンデマンド レポートとして使用できます。

時間範囲

各レポートは、前日、過去 7 日間、前月、過去の日(最大 250 日)、または過去の月(最大 12 ヵ月)のデータを含めるように設定できます。また、指定した日数(2 ~ 100 日)または指定した月数(2 ~ 12 ヵ月)のデータを含めることもできます。

レポートの実行時間にかかわらず、直前の時間間隔(過去 1 時間、1 日、1 週間、または 1 ヵ月)のデータのみが含まれます。たとえば、日次レポートを午前 1 時に実行するようにスケジュールを設定した場合、レポートには前日の 00:00 から 23:59 までのデータが含まれます。

言語とロケール


(注)  
個々のレポートに特定のロケールを使用して、PDF レポートをスケジュール設定したり、raw データを CSV ファイルとしてエクスポートしたりすることができます。[スケジュール設定されたレポート(Scheduled Reports)] ページの言語ドロップダウン メニューでは、ユーザが現在選択しているロケールおよび言語で PDF レポートを表示またはスケジュールすることができます。レポーティング データおよびトラッキング データの印刷およびエクスポートの重要な情報を参照してください。

アーカイブ済みレポートの保存

レポートの保存期間や、アーカイブ済みレポートがいつシステムから削除されるかについては、[アーカイブ メール レポート(Archived Email Reports)] の表示と管理を参照してください。

その他のレポート タイプ

セキュリティ管理アプライアンスの [メール(Email)] > [レポート(Reporting)] セクションでは、次の 2 種類の特別なレポートを生成できます。

\[ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)\] レポート

[ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)] レポートには、ネットワーク内の 1 つまたは複数のドメインの着信および発信メッセージの概要が表示されます。これは [エグゼクティブサマリー(Executive Summary)] レポートと似ていますが、レポート データが、指定したドメインで送受信されるメッセージに制限されます。[送信メールサマリー(Outgoing Mail Summary)] には、送信サーバの PTR(ポインタ レコード)のドメインが、指定したドメインに一致する場合にのみデータが表示されます。複数のドメインが指定されている場合、このアプライアンスはすべてのドメインのデータを 1 つのレポートに集約します。

サブドメインのレポートを生成するには、E メール セキュリティ アプライアンスおよびセキュリティ管理アプライアンスのレポーティング システムで、親ドメインをセカンドレベル ドメインとして追加する必要があります。たとえば、example.com をセカンドレベル ドメインとして追加した場合、subdomain.example.com のようなサブドメインをレポーティングに使用できるようになります。セカンドレベル ドメインを追加するには、E メール セキュリティ アプライアンスの CLI で reportingconfig -> mailsetup -> tld を実行し、セキュリティ管理アプライアンスの CLI で reportingconfig -> domain -> tld を実行します。

その他のスケジュール設定されたレポートとは異なり、[ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)] レポートはアーカイブされません。

[ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)] レポートと送信者レピュテーション フィルタリングによってブロックされたメッセージ

送信者レピュテーション フィルタリングによってブロックされたメッセージはワーク キューに入らないため、AsyncOS はこれらのメッセージに対して、宛先ドメインを判定するための処理は行いません。アルゴリズムによって、ドメインごとに拒否されたメッセージ数が推定されます。ドメインごとのブロックされたメッセージの正確な数を知るには、メッセージが受信者レベル(RCPT TO)に達するまでセキュリティ管理アプライアンスでの HAT 拒否を遅らせます。そうすることで、AsyncOS が着信メッセージから受信者データを収集できるようになります。E メール セキュリティ アプライアンスで listenerconfig -> setup コマンドを使用して拒否を遅らせることができます。ただし、このオプションはシステムのパフォーマンスに影響を及ぼす可能性があります。遅延した HAT 拒否の詳細については、ご使用の E メール セキュリティ アプライアンスのマニュアルを参照してください。


(注)  
セキュリティ管理アプライアンスのドメインごとのエグゼクティブ サマリー レポートでレピュテーション フィルタによる停止を表示するには、E メール セキュリティ アプライアンスとセキュリティ管理アプライアンスの両方で hat_reject_info を有効にする必要があります。セキュリティ管理アプライアンス上で hat_reject_info を有効にするには、reportingconfig > domain > hat_reject_info コマンドを実行します。
[ドメイン毎のエグゼクティブ サマリー(Domain-Based Executive Summary)] レポートのドメインおよび受信者のリストの管理

コンフィギュレーション ファイルを使用して、[ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)] レポートのドメインおよび受信者を管理できます。コンフィギュレーション ファイルは、アプライアンスのコンフィギュレーション ディレクトリに保存されるテキスト ファイルです。このファイルの行ごとに、個別のレポートが生成されます。これによって、大量のドメインおよび受信者を 1 つのレポートに含めることができ、複数のドメイン レポートを 1 つのコンフィギュレーション ファイルで定義できます。

コンフィギュレーション ファイルの各行には、ドメイン名のスペース区切りリストと、レポート受信者の電子メール アドレスのスペース区切りリストが含まれます。ドメイン名のリストと電子メール アドレスのリストはカンマで区切られます。subdomain.example.com のように、親ドメイン名の前にサブドメイン名とピリオドを追加すると、サブドメインを含めることができます。

次に示すファイルは、3 つのレポートを生成する 1 つのレポート コンフィギュレーション ファイルです。


yourdomain.com sampledomain.com, admin@yourdomain.com
sampledomain.com, admin@yourdomain.com user@sampledomain.com
subdomain.example.com mail.example.com, user@example.com

(注)  
コンフィギュレーション ファイルと 1 つの名前付きレポートに定義された設定を使用して、複数のレポートを同時に生成することができます。たとえば、Bigfish という名前の会社が Redfish と Bluefish という名前の会社を買収し、Redfish と Bluefish のドメインを引き続き維持するとします。Bigfish 社は、個々のドメイン レポートに対応する 3 行が含まれるコンフィギュレーション ファイルを使用して 1 つの [ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)] レポートを作成します。アプライアンスで [ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)] レポートが生成されると、Bigfish 社の管理者は Bigfish.com、Redfish.com、および Bluefish.com ドメインのレポートを受信し、Redfish 社の管理者は Redfish.com ドメインのレポートを受信し、Bluefish 社の管理者は Bluefish.com ドメインのレポートを受信します。

名前付きレポートごとに異なるコンフィギュレーション ファイルをアプライアンスにアップロードできます。また、複数のレポートに対して同じコンフィギュレーション ファイルを使用することもできます。たとえば、異なる期間の同じドメインに関するデータが表示される、複数の名前付きレポートを作成できます。アプライアンスにコンフィギュレーション ファイルをアップロードする場合は、ファイル名を変更しない限り、GUI でレポート設定を更新する必要がありません。

[ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)] レポートの作成
手順
ステップ 1

セキュリティ管理アプライアンスでレポートのスケジュールを設定することも、すぐにレポートを生成することもできます。

レポートのスケジュールを設定するには、次の手順を実行します。

  1. [メール(Email)] > [レポート(Reporting)] > [スケジュール設定されたレポート(Scheduled Reports)] を選択します。

  2. [定期レポートの追加(Add Scheduled Report)] をクリックします。

    オンデマンド レポートを作成するには、次の手順を実行します。

    • [メール(Email)] > [レポート(Reporting)] > [アーカイブレポート(Archived Reports)] を選択します。
    • [今すぐレポートを生成(Generate Report Now)] をクリックします。
ステップ 2

[レポートタイプ(Report Type)] ドロップダウン リストから、[ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)] レポート タイプを選択します。

ステップ 3

レポートを含めるドメインおよびレポート受信者の電子メール アドレスを指定します。レポートを生成するための、次のいずれかのオプションを選択できます。

  • [ドメインを個別に指定してレポートを生成(Generate report by specifying individual domains)]。レポートのドメインおよびレポート受信者の電子メール アドレスを入力します。複数のエントリを指定する場合は、カンマで区切ります。また、subdomain.yourdomain.com のようなサブドメインを使用することもできます。あまり頻繁には変更されないと予測される少数のドメインのレポートを作成する場合は、ドメインを個別に指定することを推奨します。

  • [ファイルをアップロードしてレポートを生成(Generate reports by uploading file)]。レポートのドメイン、および受信者の電子メール アドレスのリストが含まれるコンフィギュレーション ファイルをインポートします。アプライアンスのコンフィギュレーション ディレクトリからコンフィギュレーション ファイルを選択することも、ローカル コンピュータからアップロードすることもできます。頻繁に変更される多数のドメインのレポートを作成する場合は、コンフィギュレーション ファイルの使用を推奨します。ドメインベースのレポートのコンフィギュレーション ファイルの詳細については、[ドメイン毎のエグゼクティブ サマリー(Domain-Based Executive Summary)] レポートのドメインおよび受信者のリストの管理を参照してください。

(注)   
レポートを外部アカウント(Yahoo! メールや Gmail など)に送信する場合は、レポート メッセージが誤ってスパムに分類されないように外部アカウントのホワイトリストにレポーティング返信アドレスを追加する必要がある場合があります。
ステップ 4

[タイトル(Title)] テキスト フィールドに、レポートのタイトル名を入力します。

AsyncOS では、レポート名が一意かどうかは確認されません。混乱を避けるために、同じ名前で複数のレポートを作成しないでください。
ステップ 5

[送信ドメイン(Outgoing Domain)] セクションで、発信メール サマリーのドメイン タイプを選択します。選択肢は [サーバ別(By Server)] または [電子メールアドレス別(By Email Address)] です。
ステップ 6

[時間範囲(Time Range to Include)] ドロップダウン リストから、レポート データの時間範囲を選択します。
ステップ 7

[フォーマット(Format)] セクションで、レポートの形式を選択します。

次のオプションがあります。

  • PDF.配信用、アーカイブ用、またはその両方の用途で PDF 形式のドキュメントを作成します。[PDFレポートをプレビュー(Preview PDF Report)] をクリックすると、ただちに PDF ファイルでレポートを表示できます。

  • CSV.カンマ区切りの値の raw データが含まれる ASCII テキスト ファイルを作成します。各 CSV ファイルには、最大 100 行を含めることができます。レポートに複数の種類の表が含まれる場合、各表に対して別個の CSV ファイルが作成されます。
ステップ 8

[スケジュール(Schedule)] セクションから、レポートを生成するスケジュールを選択します。

選択肢は [日単位(Daily)]、[週単位(Weekly)](曜日のドロップダウン リストがあります)または [月単位(monthly)] です。
ステップ 9

(任意)レポートのカスタム ロゴをアップロードします。ロゴは、レポートの上部に表示されます。

  • このロゴは、最大で 550 X 50 ピクセルの .jpg、.gif、または .png ファイルにする必要があります。

  • ロゴ ファイルをアップロードしなかった場合、デフォルトのシスコ ロゴが使用されます。
ステップ 10

このレポートの言語を選択します。アジア言語での PDF ファイルの生成については、レポーティング データおよびトラッキング データの印刷およびエクスポートの重要な情報を参照してください。

ステップ 11

[送信(Submit)] をクリックして、ページ上の変更を送信し、[変更を確定(Commit Changes)] をクリックして変更を保存します。

[エグゼクティブサマリー(Executive Summary)] レポート

[エグゼクティブサマリー(Executive Summary)] レポートは、E メール セキュリティ アプライアンスからの送受信電子メール メッセージ アクティビティの高レベルな概要です。セキュリティ管理アプライアンス で表示できます。

このレポート ページには、[電子メール レポーティングの概要(Email Reporting Overview)] ページで表示できる情報の概要が表示されます。[電子メールレポーティングの概要(Email Reporting Overview)] ページの詳細については、[電子メール レポーティングの概要(Email Reporting Overview)] ページを参照してください。

メール レポートのスケジュール設定

スケジュール設定された電子メール レポートとオンデマンドの電子メール レポートについてに示されているすべてのレポートをスケジュール設定できます。

レポートのスケジュール設定の管理方法については、次を参照してください。

スケジュール設定されたレポートの追加

スケジュール設定された電子メール レポートを追加するには、次の手順を実行します。

手順

ステップ 1

[メール(Email)] > [レポート(Reporting)] > [スケジュール設定されたレポート(Scheduled Reports)] を選択します。

ステップ 2

[定期レポートの追加(Add Scheduled Report)] をクリックします。

ステップ 3

レポート タイプを選択します。

レポート タイプの説明については、スケジュール設定された電子メール レポートとオンデマンドの電子メール レポートについてを参照してください。

(注)   

- [ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)] レポートの設定の詳細については、\[ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)\] レポートを参照してください。

- スケジュール設定されたレポートに使用できるオプションは、レポート タイプによって異なります。この手順の残りの部分で説明するオプションを、すべてのレポートに適用する必要はありません。
ステップ 4

[タイトル(Title)] フィールドに、レポートのタイトルを入力します。

同じ名前の複数のレポートを作成することを防止するため、わかりやすいタイトルを使用することを推奨します。
ステップ 5

[時間範囲(Time Range to Include)] ドロップダウン メニューからレポートの時間範囲を選択します。

ステップ 6

生成されるレポートの形式を選択します。

デフォルト形式は PDF です。ほとんどのレポートで、raw データを CSV ファイルとして保存することもできます。
ステップ 7

レポートに応じて、[行数(Number of Rows)] で、レポートに含めるデータの量を選択します。
ステップ 8

レポートに応じて、レポートをソートする基準となる列を選択します。
ステップ 9

[スケジュール(Schedule)] 領域で、レポートのスケジュールを設定する日、週、または月の横にあるオプション ボタンを選択します。また、レポートのスケジュール設定に時刻を含めることもできます。時刻は、深夜 0 時を基準とした増分になります(00:00 ~ 23:59 が 1 日)。

ステップ 10

[メール(Email)] テキスト フィールドに、生成されたレポートが送信される電子メール アドレスを入力します。

電子メール受信者を指定しない場合でも、レポートはアーカイブされます。

必要に応じた数(ゼロも含む)のレポート受信者を追加できます。レポートを多数のアドレスに送信する必要がある場合、個別に受信者を設定するよりも、メーリング リストを作成するほうが容易です。
ステップ 11

レポートの言語を選択します。

アジア言語については、レポーティング データおよびトラッキング データの印刷およびエクスポートの重要な情報を参照してください。

ステップ 12

[送信(Submit)] をクリックします。

スケジュール設定されたレポートの編集

手順

ステップ 1

[メール(Email)] > [レポート(Reporting)] > [スケジュール設定されたレポート(Scheduled Reports)] を選択します。

ステップ 2

[レポートタイトル(Report Title)] 列の、変更するレポート名リンクをクリックします。
ステップ 3

レポート設定値を変更します。
ステップ 4

変更を送信し、保存します。

スケジュール設定されたレポートの中止

スケジュール設定されたレポートで、今後のインスタンスが生成されないようにするには、次のステップを実行します。

手順

ステップ 1

[メール(Email)] > [レポート(Reporting)] > [スケジュール設定されたレポート(Scheduled Reports)] を選択します。

ステップ 2

生成を中止するレポートに対応するチェックボックスを選択します。スケジュール設定されたすべてのレポートを削除するには、[すべて(All)] チェックボックスを選択します。

ステップ 3

[削除(Delete)] をクリックします。

(注)   
削除されたレポートのアーカイブ版は、自動的に削除されるわけではありません。以前に生成されたレポートを削除するには、アーカイブ済みのレポートの削除を参照してください。

オンデマンドでの電子メール レポートの生成

[メール レポート(Email Reporting)] ページの概要およびで説明したインタラクティブ レポート ページを使用して表示(および PDF を生成)できるレポートに加えて、スケジュール設定された電子メール レポートとオンデマンドの電子メール レポートについてに示したレポートの、指定したタイム フレームの PDF ファイルまたは raw データ CSV ファイルをいつでも保存できます。

オンデマンド レポートを生成するには、次の手順を実行します。

手順

ステップ 1

[メール(Email)] > [レポート(Reporting)] > [アーカイブレポート(Archived Reports)] を選択します。

ステップ 2

[今すぐレポートを生成(Generate Report Now)] をクリックします。

ステップ 3

レポート タイプを選択します。

レポート タイプの説明については、スケジュール設定された電子メール レポートとオンデマンドの電子メール レポートについてを参照してください。

ステップ 4

[タイトル(Title)] テキスト フィールドに、レポートのタイトル名を入力します。

AsyncOS では、レポート名が一意かどうかは確認されません。混乱を避けるために、同じ名前で複数のレポートを作成しないでください。

(注)   

[ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)] レポートの設定の詳細については、\[ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)\] レポートを参照してください。

スケジュール設定されたレポートに使用できるオプションは、レポート タイプによって異なります。この手順の残りの部分で説明するオプションを、すべてのレポートに適用する必要はありません。
ステップ 5

[時間範囲(Time Range to Include)] ドロップダウン リストから、レポート データの時間範囲を選択します。

これはカスタム時間範囲オプションです。
ステップ 6

[フォーマット(Format)] セクションで、レポートの形式を選択します。

次のオプションがあります。

  • PDF.配信用、アーカイブ用、またはその両方の用途で PDF 形式のドキュメントを作成します。[PDFレポートをプレビュー(Preview PDF Report)] をクリックすると、ただちに PDF ファイルでレポートを表示できます。

  • CSV.カンマ区切りの値の raw データが含まれる ASCII テキスト ファイルを作成します。各 CSV ファイルには、最大 100 行を含めることができます。レポートに複数の種類の表が含まれる場合、各表に対して別個の CSV ファイルが作成されます。
ステップ 7

レポートを実行するアプライアンスまたはアプライアンス グループを選択します。アプライアンス グループを作成していない場合、このオプションは表示されません。
ステップ 8

[配信オプション(Delivery Option)] セクションから、次のオプションを選択します。

  • [アーカイブレポート(Archive Report)] チェックボックスをオンにして、レポートをアーカイブします。

このオプションを選択すると、レポートが [アーカイブレポート(Archived Reports)] ページに表示されます。

(注)   
[ドメイン毎のエグゼクティブサマリー(Domain-Based Executive Summary)] レポートはアーカイブできません。

  • [今すぐ受信者にメールを送る(Email now to recipients)] チェックボックスをオンにして、レポートを電子メールで送信します。

テキスト フィールドに、レポートの受信者の電子メールアドレスを入力します。
ステップ 9

このレポートの言語を選択します。アジア言語での PDF ファイルの生成については、レポーティング データおよびトラッキング データの印刷およびエクスポートの重要な情報を参照してください。

ステップ 10

[このレポートを配信(Deliver This Report)] をクリックして、レポートを生成します。

[アーカイブ メール レポート(Archived Email Reports)] の表示と管理

スケジュール設定されたレポートおよびオンデマンド レポートは、一定期間アーカイブされます。

セキュリティ管理アプライアンスでは、スケジュール設定された各レポートの最大 30 のインスタンスで、生成された最新のレポートをすべてのレポートに対して、合計 1000 バージョンまで保持します。30 インスタンスという制限は、同じ名前と時間範囲のスケジュール設定された各レポートに適用されます。

アーカイブ済みのレポートは自動的に削除されます。新しいレポートが追加されると、古いレポートが削除され、常に 1000 という数が維持されます。

アーカイブ済みのレポートは、アプライアンスの /periodic_reports ディレクトリに保管されます。(詳細については、IP インターフェイスおよびアプライアンスへのアクセスを参照してください)。

アーカイブ レポートへのアクセス

[メール(Email)] > [レポート(Reporting)] > [アーカイブ レポート(Archived Reports)] ページには、生成されたがまだ消去されておらず、アーカイブすることを指定した、スケジュール設定されたレポートとオンデマンド レポートが表示されます。

手順

ステップ 1

[メール(Email)] > [レポート(Reporting)] > [アーカイブレポート(Archived Reports)] を選択します。

ステップ 2

リストが長い場合に特定のレポートを見つけるには、[表示(Show)] メニューからレポート タイプを選択してリストをフィルタリングするか、または列のヘッダーをクリックし、その列でソートします。

ステップ 3

[レポートタイトル(Report Title)] をクリックすると、そのレポートが表示されます。

アーカイブ済みのレポートの削除

[アーカイブ メール レポート(Archived Email Reports)] の表示と管理で説明したルールに従って、レポートは自動的にシステムから削除されます。ただし、不要なレポートを手動で削除することもできます。

アーカイブ済みのレポートを手動で削除するには、次の手順を実行します。

手順

ステップ 1

[メール(Email)] > [レポート(Reporting)] > [アーカイブレポート(Archived Reports)] を選択します。

選択可能なアーカイブ済みのレポートが表示されます。
ステップ 2

削除する 1 つまたは複数のレポートのチェックボックスを選択します。
ステップ 3

[削除(Delete)] をクリックします。

ステップ 4

スケジュール設定されたレポートで、今後のインスタンスが生成されないようにするには、スケジュール設定されたレポートの中止を参照してください。

メール レポートのトラブルシューティング

すべてのレポートのトラブルシューティングも参照してください。

アウトブレイク フィルタ レポートに情報が正しく表示されない

問題

アウトブレイク フィルタ レポートに脅威情報が正しく表示されません。

ソリューション

[管理アプライアンス(Management Appliance)] > [システム管理(System Administration)] > [アップデート設定(Update Settings)] で指定した Cisco アップデート サーバとアプライアンスが通信できることを確認します。

レポートのリンクをクリックした後のメッセージ トラッキング結果がレポート結果と一致しない

問題

レポートからドリルダウンしたときのメッセージ トラッキング結果が、予期した結果に一致しません。

ソリューション

これは、レポーティングとトラッキングが常に同時に有効にならずに適切に機能しない場合、または、レポーティングとトラッキングが各 E メール セキュリティ アプライアンスで常に同時に集中管理またはローカル保存されない場合に発生する可能性があります。各機能(レポーティング、トラッキング)のデータは、その機能が有効になっている間だけキャプチャされます。

関連項目

[高度なマルウェア保護判定のアップデート(Advanced Malware Protection Verdict Updates)] レポートの結果が異なる

問題

Web セキュリティ アプライアンスおよび E メール セキュリティ アプライアンスが同じファイルを分析用に送信し、Web および電子メールの [AMP 判定のアップデート(AMP Verdict Updates)] レポートに、そのファイルの異なる判定が表示されます。

ソリューション

これは一時的な違いです。すべての判定アップデートがダウンロードされると、結果は一致します。一致するまでに最大で 30 分かかります。

ファイル分析レポートの詳細の表示に関する問題

ファイル分析レポートの詳細を表示する際のエラー

問題

ファイル分析レポートの詳細を表示しようとすると、「使用可能なクラウド サーバ構成がありません(No cloud server configuration is available)」エラーが表示されます。

ソリューション

[管理アプライアンス(Management Appliance)] > [集約管理サービス(Centralized Services)] > [セキュリティ アプライアンス(Security Appliances)] に移動して、ファイル分析機能が有効になっている E メール セキュリティ アプライアンスを少なくとも 1 つ追加します。

ファイル分析レポートの詳細をプライベート クラウドの Cisco AMP Threat Grid Appliance に表示する際のエラー

問題

ファイル分析レポートの詳細を表示しようとすると、API キー エラー、登録エラー、またはアクティベーション エラーが表示されます。

ソリューション

プライベート クラウド(オンプレミス)の Cisco AMP Threat Grid Appliance を使用している場合は、(オンプレミスのファイル分析)ファイル分析アカウントをアクティブ化するを参照してください。

Threat Grid Appliance のホスト名が変更される場合は、参照先の手順のプロセスを繰り返す必要があります。

ファイル分析関連エラーのロギング

登録エラーおよびその他のファイル分析関連のエラーが GUI ログに記録されます。

不正なグレイメール メッセージまたはマーケティングメッセージの総数

問題

マーケティング メール、ソーシャル メール、およびバルク メールの数が、グレイメール メッセージの総数を超える。

ソリューション

マーケティング メッセージの総数には、AsyncOS 9.5 へのアップグレードの前後に受信したマーケティング メッセージが含まれますが、グレイメール メッセージの総数にはアップグレード後に受信したメッセージだけが含まれます。AsyncOS 9.5 へのアップグレード後のマーケティング メッセージのレポートを参照してください。