Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

ファイアウォールイベント

イベントに関する全般的なベストプラクティスについては、Deep Securityのイベントを参照してください。

Deep Securityでキャプチャされたファイアウォールイベントを確認するには、[イベントとレポート][イベント][ファイアウォールイベント] の順に選択します。

ファイアウォールイベントのアイコン:

  • 単一イベント
  • データ付き単一イベント
  • 折りたたみイベント
  • データ付き折りたたみイベント
イベントの折りたたみは、同じ種類のイベントが数回続けて発生したときに実行されます。これによりディスク容量を節約でき、ログメカニズムに負荷をかけるDoS攻撃から防御することができます。

ファイアウォールイベントで表示される情報

[ファイアウォールイベント] 画面には次の列が表示されます。[列] をクリックして、表に表示する列を選択することができます。

  • 時刻: コンピュータ上でイベントが発生した時刻。
  • コンピュータ: このイベントのログが記録されたコンピュータ(コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
  • 理由: この画面のログエントリが、ファイアウォールルールによって生成されたか、またはファイアウォールステートフル設定によって生成されたかを示します。エントリがファイアウォールルールによって生成された場合、列エントリには、「ファイアウォールルール:」と表示され、続いてファイアウォールルールの名前が表示されます。それ以外の場合、列エントリには、ログエントリを生成したファイアウォールステートフル設定の内容が表示されます。
  • タグ: このイベントに適用されているイベントタグ。
  • 処理: ファイアウォールルールまたはファイアウォールステートフル設定によって実行された処理。処理には、許可、拒否、強制的に許可、ログのみがあります。
  • ランク: ランク付けシステムでは、侵入防御およびファイアウォールイベントの重要度を数値化できます。コンピュータに「資産評価」を割り当て、侵入防御ルールとファイアウォールルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。これによって、侵入防御イベントまたはファイアウォールイベントを表示するときに、イベントをランクでソートできます。
  • 方向: パケットの方向 (受信または送信)。
  • インタフェース: パケットが経由するインタフェースのMACアドレス。
  • フレームの種類: 対象となるパケットのフレームの種類。値は、[IPV4]、[IPV6]、[ARP]、[REVARP]、および [その他: XXXX] (XXXXはフレームの種類を示す4桁の16進コード) のいずれかになります。
  • プロトコル: 値は、[ICMP]、[ICMPV6]、[IGMP]、[GGP]、[TCP]、[PUP]、[UDP]、[IDP]、[ND]、[RAW]、[TCP+UDP]、および [その他: nnn] (nnnは、3桁の10進値) のいずれかになります。
  • フラグ: パケットに設定されたフラグ。
  • 送信元IP: パケットの送信元IP。
  • 送信元MAC: パケットの送信元MACアドレス。
  • 送信元ポート: パケットの送信元ポート。
  • 送信先IP: パケットの送信先IP。
  • 送信先MAC: パケットの送信先MACアドレス。
  • 送信先ポート: パケットの送信先ポート。
  • パケットサイズ: バイト単位のパケットのサイズ。
  • 繰り返しカウント: イベントが連続して繰り返された回数。
  • 時間 (マイクロ秒): コンピュータ上でイベントが発生した時間 (マイクロ秒)。
  • イベント送信元: イベントの送信元であるDeep Securityコンポーネント。
ログのみルールは、対象のパケットが、拒否ルールまたはそのパケットを除外する許可ルールによって、それ以降に停止されない場合にログエントリのみを生成します。この2つのルールのいずれかによってパケットが停止される場合は、ログのみルールではなく、これらのルールがログエントリを生成します。以降のルールでパケットを停止しない場合は、ログのみルールがエントリを生成します。

ファイアウォールイベント一覧

ID イベント 備考
100 セッション情報なし 既存の接続に関連付けられていないパケットを受信しました。
101 不正なフラグ

パケットに設定されたフラグが無効です。このイベントは、現在の接続 (存在する場合) のコンテキスト内で意味をなさないフラグ、または無意味な組み合わせのフラグであることを示しています。

接続コンテキストを評価するには「ファイアウォールステートフル設定」がオンになっている必要があります。

102 不正なシーケンス シーケンス番号が無効なパケットまたはデータサイズが範囲外のパケットが検出されました。
103 不正なACK 確認応答番号が無効なパケットが検出されました。
104 内部エラー  
105 CEフラグ パケットに輻輳フラグが設定されていたり、ポリシーの回避技術対策でTCP輻輳フラグプロパティがログまたは拒否に設定されているカスタム設定を使用したりしています(回避技術対策の設定を参照)。
106 不正なIP パケットの送信元IPが無効です。
107 不正なIPデータグラム長 IPヘッダで指定されている長さよりも短いIPデータグラム長です。
108 フラグメント化 フラグメント化されたパケットが検出されました。フラグメント化されたパケットは許可されていません。
109 不正なフラグメントオフセット  
110 最初のフラグメントが最小サイズ未満

フラグメント化されたパケットが検出されました。最初のフラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。

パケットヘッダに次の設定が指定されている場合、パケットは破棄されます。

  • フラグメントオフセット = 0 (フラグメントはパケットの最初のフラグメントです)
  • 合計長 (最大組み合わせヘッダ長) < 120バイト (デフォルトの許容最小フラグメントサイズ)

このイベントの再発を防止するには、最小フラグメントサイズプロパティの値を低くするようにポリシーのネットワークエンジンの詳細設定を行うか、この監視をオフにするように0に設定します(ネットワークエンジン設定の「ネットワークエンジンの詳細オプション」を参照)。

111 範囲外のフラグメント フラグメント化されたパケットシーケンスに指定されているオフセットが、データグラムの最大サイズ範囲を超えています。
112 最小オフセット値以下のフラグメント フラグメント化されたパケットが検出されました。フラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。
113 IPv6パケット IPv6パケットが検出されました。IPv6ブロックが有効になっています。「ネットワークエンジンの詳細オプション」の「バージョン9以降のAgentとApplianceでIPv6をブロック」プロパティ (ネットワークエンジン設定を参照) を参照してください。
114 受信接続の上限 受信接続数が最大許容数を超えました。TCPパケットインスペクションの「TCPステートフルインスペクションを有効にする」プロパティを参照してください。
115 送信接続の上限 送信接続数が最大許容数を超えていました。TCPパケットインスペクションの「TCPステートフルインスペクションを有効にする」プロパティを参照してください。
116 SYN送信の上限 単一コンピュータからのハーフオープン接続数がファイアウォールステートフル設定に指定された数を超えています。TCPパケットインスペクションの「単一コンピュータからのハーフオープン接続数の上限」プロパティを参照してください。
118 不明なIPバージョン IPv4またはIPv6以外のIPパケットが検出されました。
119 不正なパケット情報  
120 内部エンジンエラー システムメモリの不足。システムリソースを追加してこの問題を修正します。
121 許可されていないUDP応答 コンピュータに許可されていない受信UDPパケットは拒否されます。
122 許可されていないICMP応答 ファイアウォールステートフル設定でICMPステートフルが有効になっています。いずれの「強制的に許可」ルールにも一致しない未許可のパケットを受信しました。
123 ポリシーで未許可 パケットはいずれの「許可」ルールまたは「強制的に許可」ルールにも一致しないため黙示的に拒否されます。
124 不正なポートコマンド FTP制御チャネルのデータストリームで無効なFTPポートコマンドが検出されました。
125 SYN Cookieエラー SYN Cookieの保護メカニズムでエラーが発生しました。
126 不正なデータオフセット データオフセットパラメータが無効です。
127 IPヘッダなし パケットIPヘッダが無効または不完全です。
128 読み取り不能なイーサネットヘッダ このイーサネットフレームに含まれるデータがイーサネットヘッダよりも少なくなっています。
129 未定義  
130 送信元および送信先IPが同一 送信元IPと送信先IPが同じです。
131 不正なTCPヘッダ長  
132 読み取り不能なプロトコルヘッダ 読み取り不能なTCP、UDP、またはICMPヘッダがパケットに含まれています。
133 読み取り不能なIPv4ヘッダ 読み取り不能なIPv4ヘッダがパケットに含まれています。
134 不明なIPバージョン IPバージョンを認識できません。
135 不正なアダプタ設定 無効なアダプタ設定を受信しました。
136 重複しているフラグメント このパケットのフラグメントは以前に送信されたフラグメントと重複しています。
138 切断された接続上のパケット すでに切断された接続に属するパケットを受信しました。
139 再送の破棄

ネットワークエンジンが、同じTCP接続ですでに受信したデータと重複しているTCPパケットを検出しましたが、すでに受信したデータと一致しません。(ネットワークエンジンは、エンジンの接続バッファ内の処理待ちパケットデータと再送信されたパケットのデータを比較します。)

ネットワークエンジンは、処理するTCP接続ごとにデータストリームを順番に再構築します。受信パケットのシーケンス番号と長さにより、このデータストリームの特定の領域が決まります。ログの注記用フィールドは、TCPストリームで変更した次のコンテンツの場所を示します。prev-full、prev-part、next-full、およびnext-part。

  • 「prev-full」と「prev-part」: 変更領域は、順番に整理されたデータストリームの再送信パケットをすぐに処理するパケット内にあります。「prev-full」は、変更領域が順番に整理されたデータストリームの再送信パケットをすぐに処理するパケット内に完全に含まれることを示します。それ以外の場合の注記は「prev-part」です。
  • 「next-full」と「next-part」: 変更領域は、順番に整理されたデータストリームの再送信パケットのすぐ後に続くパケット内にあります。「next-full」は、変更領域が順番に整理されたデータストリームの再送信パケットのすぐ後に続くパケット内に完全に含まれることを示します。それ以外の場合の注記は「next-part」です。
140 未定義  
141 ポリシーで未許可 (オープンポート)  
142 新しい接続の開始  
143 無効なチェックサム  
144 無効なフック  
145 IPペイロードがゼロ  
146 IPv6ソースがマルチキャスト  
147 無効なIPv6アドレス  
148 最小サイズ以下のIPv6のフラグメント  
149 無効なトランスポートヘッダ長  
150 メモリ不足  
151 最大TCP接続数 TCP接続の最大数が超えました。イベント: 最大TCP接続数を参照してください。
152 最大UDP接続数  
200 リージョンサイズの超過 リージョン (編集リージョン、URIなど) が閉じられずに、バッファの最大許容サイズ (7570バイト) を超えました。これは、通常、データがプロトコルに適合していないために発生します。
201 メモリ不足 リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。
202 編集回数の超過 パケットの単一リージョンにおける最大編集回数 (32回) を超えました。
203 編集範囲の超過 リージョンのサイズを最大許容サイズ (8,188バイト) よりも増やそうとする編集が試行されました。
204 パケットの最大一致数を超過 パケット内でパターンに一致する地点が2,048箇所を超えています。この制限に達するパケットは通常ガベージパケットまたは回避パケットであるため、エラーが返されて接続が破棄されます。
205 エンジンのコールスタック数の超過  
206 ランタイムエラー ランタイムエラーです。
207 パケットの読み込みエラー パケットデータの読み込み中に発生した低レベルの問題です。
257 Fail-Open: 拒否 (ログに記録) 破棄する必要のあるパケットを記録し、Fail-Open機能がオンでインラインモードの場合には記録しません。
300 サポートされていない暗号化 不明またはサポートされていない暗号化スイートが要求されました。
301 マスターキーの生成エラー マスターシークレットから、暗号化キー、MACシークレット、および初期化ベクタを生成できません。
302 レコードレイヤメッセージ (準備ができていません) SSL状態エンジンで、セッションの初期化前にSSLレコードが検出されました。
303 ハンドシェークメッセージ (準備ができていません) SSL状態エンジンで、ハンドシェークのネゴシエーション後にハンドシェークメッセージが検出されました。
304 ハンドシェークメッセージの障害 適切にフォーマットされたハンドシェークメッセージが、誤った順序で検出されました。
305 メモリの割り当てエラー リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。
306 サポートされていないSSLバージョン クライアントがSSL V2バージョンのネゴシエーションを試行しました。
307 プレマスターキーの復号時のエラー ClientKeyExchangeメッセージからプレマスターシークレットを復号できません。
308 クライアントによるロールバックの試行 クライアントが、ClientHelloメッセージに指定されたバージョンより古いバージョンのSSLプロトコルへのロールバックを試行しました。
309 更新エラー キャッシュされたセッションキーでSSLセッションが要求されましたが、該当するセッションキーが見つかりませんでした。
310 鍵の交換エラー サーバが一時的に生成されたキーを使用してSSLセッションを確立しようとしています。
311 SSLキー交換の上限を超過 キー交換の同時要求数が上限を超えました。
312 鍵サイズの超過 マスターの秘密鍵がプロトコルIDで指定されたサイズを超えています。
313 ハンドシェーク内の不正なパラメータ ハンドシェークプロトコルのデコード中に無効または不正な値が検出されました。
314 利用可能なセッションなし  
315 未サポートの圧縮方法  
316 サポートされていないアプリケーション層プロトコル 不明、またはサポートされていないSSLアプリケーション層プロトコルが要求されました。
385 Fail-Open: 拒否 (ログに記録) 破棄する必要のあるパケットを記録し、Fail-Open機能がオンでタップモードの場合には記録しません。
500 URIパスの深さが超過 区切り文字「/」が多すぎます。パスの深さは最大100です。
501 無効なトラバーサル ルートより上位に「../」を使用しようとしました。
502 URIに使用できない文字 URIに無効な文字が使用されています。
503 不完全なUTF8シーケンス UTF8シーケンスの途中でURIが終了しました。
504 無効なUTF8の符号化 無効または規定外のエンコードが試行されました。
505 無効な16進の符号化 %nnのnnが16進数ではありません。
506 URIパス長の超過 パス長が512文字を超えています。
507 不正な文字の使用 無効な文字を使用しています。
508 二重デコードの攻撃コード 二重デコードの攻撃コードです (%25xx、%25%xxdなど)。
700 不正なBase64コンテンツ Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
710 破損したDeflate/GZIPコンテンツ Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
711 不完全なDeflate/GZIPコンテンツ 不完全なDeflate/GZIPコンテンツです
712 Deflate/GZIPチェックサムエラー Deflate/GZIPチェックサムエラーです。
713 未サポートのDeflate/GZIP辞書 サポートされていないDeflate/GZIP辞書です。
714 サポートされていないGZIPヘッダ形式/方法 サポートされていないGZIPヘッダ形式または方法です。
801 プロトコルデコード検索の上限を超過 プロトコルデコードルールには検索またはPDUオブジェクトの制限が定義されていますが、オブジェクトを見つける前に制限に達しました。
802 プロトコルデコードの制約エラー プロトコルデコードルールによってデコードされたデータが、プロトコルコンテンツの制約を満たしていません。
803 プロトコルデコードエンジンの内部エラー  
804 プロトコルデコードの構造の超過 プロトコルデコードルールで、型の最大ネスト深度 (16) を超える型定義とパケットコンテンツが検出されました。
805 プロトコルデコードのスタックエラー ルールのプログラミングエラーが原因で、反復が発生したか、またはネストされたプロシージャコールが使用されようとしました。
806 データの無限ループエラー