セキュリティログ監視イベント

イベントに関する全般的なベストプラクティスについては、Deep Securityのイベントを参照してください。

Deep Securityでキャプチャされたセキュリティログ監視イベントを確認するには、[イベントとレポート]→[イベント]→[セキュリティログ監視イベント] の順に選択します。

セキュリティログ監視イベントで表示される情報

[セキュリティログ監視イベント] 画面には次の列が表示されます。[列] をクリックして、表に表示する列を選択することができます。

  • 時刻: コンピュータ上でイベントが発生した時刻。
  • コンピュータ: このイベントのログが記録されたコンピュータ (コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
  • 理由:このイベントに関連付けられたセキュリティログ監視ルール。
  • タグ: イベントに付けられたタグ。
  • 説明: ルールの説明。
  • ランク: ランク付けシステムでは、イベントの重要度を数値化できます。コンピュータに「資産評価」を、セキュリティログ監視ルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。これによって、イベントをランクでソートできます。
  • 重要度: セキュリティログ監視ルールの重要度。
  • グループ: ルールの所属先グループ。
  • プログラム名: プログラム名。イベントのSyslogヘッダから取得されます。
  • イベント: イベントの名前。
  • 場所: ログの生成元。
  • 送信元IP:パケットの送信元IP。
  • 送信元ポート: パケットの送信元ポート。
  • 送信先IP:パケットの送信先IP。
  • 送信先ポート:パケットの送信先ポート。
  • プロトコル:値は、[ICMP]、[ICMPV6]、[IGMP]、[GGP]、[TCP]、[PUP]、[UDP]、[IDP]、[ND]、[RAW]、[TCP+UDP]、および [その他: nnn] (nnnは、3桁の10進値) のいずれかになります。
  • 処理: イベント内で実行された処理
  • 送信元ユーザ: イベント内の送信元ユーザ。
  • 送信先ユーザ: イベント内の送信先ユーザ。
  • イベントホスト名: イベント発生元のホスト名。
  • ID: イベントからIDとしてデコードされたID。
  • ステータス: イベント内のデコードされたステータス。
  • コマンド: イベント内で呼び出されるコマンド。
  • URL: イベント内のURL。
  • データ: イベントから抽出されたその他のデータ。
  • システム名: イベント内のシステム名。
  • 一致したルール: 一致したルールの数。
  • イベント送信元: イベントの送信元であるDeep Securityコンポーネント。

セキュリティログ監視のセキュリティイベント一覧

セキュリティログ監視に関連するシステムイベントについては、システムイベントを参照してください。

ID 重要度 イベント
8100 エラー セキュリティログ監視エンジンのエラー
8101 警告 セキュリティログ監視エンジンの警告
8102 情報 セキュリティログ監視エンジンの初期化