侵入防御イベント

ここでは、侵入防御イベントに関連する操作について説明します。イベントに関する全般的なベストプラクティスについては、Deep Securityのイベントを参照してください。

Deep Securityでキャプチャされた侵入防御イベントを確認するには、[イベントとレポート][イベント][侵入防御イベント] に移動します。

侵入防御イベントで表示される情報

[侵入防御イベント] 画面には次の列が表示されます。[列] をクリックして、表に表示する列を選択することができます。

  • 時刻: コンピュータ上でイベントが発生した時刻。
  • コンピュータ: このイベントのログが記録されたコンピュータ(コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
  • 理由: このイベントに関連付けられた侵入防御ルール。
  • タグ: イベントに付けられたタグ。
  • アプリケーションの種類: このイベントの原因となった侵入防御ルールに関連付けられたアプリケーションの種類。
  • 処理: 侵入防御ルールが実行する処理 (ブロックまたはリセット)。ルールが検出のみモードの場合、処理名の前に「検出のみ:」が付きます。
    Deep Security 7.5 SP1より前に作成された侵入防御ルールでは、挿入、置換、削除処理も実行することができましたが、現在これらの処理は実行されません。これらの処理の実行を試みる古いルールが実行された場合、ルールが検出のみモードで適用されたことを示すイベントが記録されます。
  • ランク: ランク付けシステムでは、侵入防御およびファイアウォールイベントの重要度を数値化できます。コンピュータに「資産評価」を割り当て、侵入防御ルールとファイアウォールルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。これによって、侵入防御イベントまたはファイアウォールイベントを表示するときに、イベントをランクでソートできます。
  • 重要度: 侵入防御ルールの重要度。
  • 方向: パケットの方向 (受信または送信)。
  • フロー: このイベントを引き起こしたパケットが、侵入防御ルールで監視しているトラフィックと同じ方向に進んでいたか (「接続フロー」)、または反対方向に進んでいたか (「リバースフロー」)。
  • インタフェース: パケットが通過したインタフェースのMACアドレス。
  • フレームの種類: 対象となるパケットのフレームの種類。値は、[IPV4]、[IPV6]、[ARP]、[REVARP]、および [その他:XXXX] (XXXXはフレームの種類を示す4桁の16進コード) のいずれかになります。
  • プロトコル: 値は、[ICMP]、[ICMPV6]、[IGMP]、[GGP]、[TCP]、[PUP]、[UDP]、[IDP]、[ND]、[RAW]、[TCP+UDP]、および [その他: nnn] (nnnは、3桁の10進値) のいずれかになります。
  • フラグ: パケットに設定されたフラグ。
  • 送信元IP: パケットの送信元IP。
  • 送信元MAC: パケットの送信元MACアドレス。
  • 送信元ポート: パケットの送信元ポート。
  • 送信先IP: パケットの送信先IP。
  • 送信先MAC: パケットの送信先MACアドレス。
  • 送信先ポート: パケットの送信先ポート。
  • パケットサイズ: バイト単位のパケットのサイズ。
  • 繰り返しカウント: イベントが連続して繰り返された回数。
  • 時間 (マイクロ秒): コンピュータ上でイベントが発生した時間 (マイクロ秒)。
  • イベント送信元: イベントの発生元であるDeep Securityコンポーネント。

イベントの詳細を確認する

イベントをダブルクリック (またはイベントを右クリックして [表示] をクリック) すると、そのイベントの詳細情報を含む画面が表示されます。[タグ] タブには、このイベントに関連付けられているタグが表示されます。イベントのタグ付けの詳細については、イベントを識別およびグループ化するためのタグの適用を参照してください。

また、イベントを右クリックして [コンピュータの詳細] を選択すると、イベントを生成したコンピュータのコンピュータエディタ画面が開きます。

特定のイベントを検索する

各イベント画面の上部にあるリストを使用して、イベントをフィルタおよびグループ化できます。フィルタを適用するには、対象となる値を選択し、右側にある青色の大きな矢印をクリックします。また、右上の検索バーを使用して特定のイベントを検索することもできます。

詳細検索を実行するには、検索バーの矢印をクリックし、[詳細検索を開く] をクリックします。

[期間] 設定でリストをフィルタし、特定の期間内に発生したイベントだけを表示できます。

[コンピュータ] 設定で、コンピュータグループ別またはポリシー別にイベントログエントリを表示できます。

詳細検索機能 (大文字/小文字の区別なし):

  • 次の文字列を含む: 選択した列の入力内容に検索文字列が含まれる
  • 次の文字列を含まない: 選択した列の入力内容に検索文字列が含まれない
  • 等しい: 選択した列の入力内容と検索文字列が完全に一致する
  • 等しくない: 選択した列の入力内容が検索文字列と一致しない
  • 次のリストに含まれる: 選択した列の入力内容がカンマ区切りで入力された検索文字列1つと完全に一致する
  • 次のリストに含まれない: 選択した列の入力内容がカンマ区切りで入力されたどの検索文字列とも一致しない

検索バーの右側にある「プラス」ボタン (+) をクリックすると、追加の検索バーが表示され、検索に複数のパラメータを適用できます。検索パラメータの準備ができたら、右側にある青色の大きな矢印をクリックします。

イベントのリストをエクスポートする

[エクスポート] をクリックして、すべてのイベントまたは選択したイベントをCSVファイルにエクスポートします。

イベントにタグを付ける

[自動タグ付け] をクリックして、イベントに適用されている既存の自動タグ付けルールのリストを表示します。イベントを右クリックして、タグを手動で追加または削除することもできます (イベントを識別およびグループ化するためのタグの適用を参照してください)。