イベント、アラート、およびレポート

イベント

Vulnerability ProtectionDeep Securityでは、保護モジュールのルールまたは条件がトリガされると、セキュリティイベントが記録されます。また、管理またはシステム関連のイベント (ユーザのログオン、Agentソフトウェアのアップグレードなど) が発生すると、システムイベントが記録されます。イベントは日常的に多数発生し、必ずしも個別に対処が必要であるとは限りません。

コンピュータで発生するほとんどのイベントは、次回のハートビート処理時にVulnerability Protection Deep Security Managerに送信されます。ただし、例外として、通信の設定で、Relay/Agent/Applianceから通信を開始できるようになっている場合、次のイベントはすぐに送信されます。

スマートスキャンサーバがオフライン
スマートスキャンサーバがオンライン復帰
変更監視検索が完了
変更監視のベースライン作成
変更監視ルール内に認識できないエレメント
変更監視ルールのエレメントがローカルプラットフォームでサポートされていない
異常な再起動の検出
ディスク容量不足の警告
セキュリティログ監視がオフライン
セキュリティログ監視がオンライン復帰
攻撃の予兆検索の検出 (ポリシーまたはコンピュータエディタの [ファイアウォール]→[攻撃の予兆] で、設定が有効になっている場合)

初期設定で、Vulnerability ProtectionDeep Security Managerでは、ハートビートごとにAgent/Applianceからイベントを収集します。イベントのデータを使用して、Vulnerability ProtectionDeep Security Managerの各種レポート、グラフ、およびチャートが作成されます。

イベントは、Vulnerability ProtectionDeep Security Managerによって収集された後、[管理]→[システム設定] 画面の [ストレージ] タブで設定された一定の期間保持されます。

メイン画面から、次のことを実行できます。

個々のイベントのプロパティを表示 () する
リストをフィルタする。イベントのリストをフィルタするには、[期間] および [コンピュータ] ツールバーを使用します。
イベントリストのデータをCSVファイルにエクスポート () する
既存の自動タグ付け () ルールを表示する
特定のイベントを検索 () する

さらに、イベントを右クリックすると、次のオプションが表示されます。

タグの追加: このイベントにタグを追加します (「イベントのタグ付け」を参照)。
タグを削除: このイベントからタグを削除します。
コンピュータの詳細: ログエントリを生成したコンピュータの [コンピュータの詳細] 画面を表示します。

イベントプロパティを表示する

イベントをダブルクリック (またはコンテキストメニューから [表示] を選択) すると、そのエントリの [プロパティ] 画面が表示され、そのイベントに関するすべての情報が1つの画面に表示されます。[タグ] タブには、このイベントに関連付けられているタグが表示されます。イベントのタグ付けの詳細については、[ポリシー]→[共通オブジェクト]→[その他]→[タグ] および「イベントのタグ付け」を参照してください。

リストをフィルタし、イベントを検索する

[検索] ドロップダウンメニューから [詳細検索を開く] を選択すると、詳細検索オプションが表示されます。

[期間] ツールバーでリストをフィルタし、特定の期間内に発生したイベントだけを表示できます。

[コンピュータ] ツールバーで、コンピュータグループ別またはコンピュータポリシー別にイベントログエントリを表示できます。

詳細検索機能 (大文字/小文字の区別なし):

次の文字列を含む: 選択した列の入力内容に検索文字列が含まれる
次の文字列を含まない: 選択した列の入力内容に検索文字列が含まれない
等しい: 選択した列の入力内容と検索文字列が完全に一致する
等しくない: 選択した列の入力内容が検索文字列と一致しない
次のリストに含まれる: 選択した列の入力内容がカンマ区切りで入力された検索文字列1つと完全に一致する
次のリストに含まれない: 選択した列の入力内容がカンマ区切りで入力されたどの検索文字列とも一致しない

検索バーの右側にある「プラス」ボタン (+) をクリックすると、追加の検索バーが表示され、検索に複数のパラメータを適用できます。準備が整ったら、送信ボタン (ツールバーの右側にある上部に右矢印の付いたボタン) をクリックします。

エクスポート

[エクスポート] をクリックして、すべてのイベントまたは選択されたイベントをCSVファイルへエクスポートします。

自動でタグを付ける

[自動タグ付け] をクリックして、既存の自動タグ付けルールリストを表示します(「イベントのタグ付け」を参照)。

アラート

アラートは、ユーザに注意を促す必要がある異常な状況が発生したときに作成されます (ユーザが実行したコマンドの失敗、ハードディスクの容量不足など)。定義済みのアラートリストがあります。また、トリガ時にアラートを生成するように保護モジュールのルールを設定できます。

Vulnerability ProtectionDeep SecurityをSMTPサーバに接続すると、特定のアラートが発令されたときにユーザにメール通知を送信できます。

[アラート] 画面には、有効なアラートがすべて表示されます。アラートは、同じようなアラートをグループ化した概要ビュー、またはすべてのアラートを個別に一覧表示したリストビューで表示できます。これらの2つのビューを切り替えるには、画面のタイトルの [アラート] の横にあるドロップダウンメニューを使用します。

概要ビューで、[詳細の表示] をクリックしてアラートパネルを拡大すると、その特定のアラートを生成したコンピュータ (場合によりユーザを含む) がすべて表示されます(コンピュータをクリックすると、コンピュータの [詳細] 画面が表示されます)。

概要ビューでは、コンピュータのリストが5項目を超える場合、5つ目のコンピュータの後ろに省略記号 (「...」) が表示されます。省略記号をクリックすると、リスト全体が表示されます。アラートに対して適切な処理を実行したら、対象のアラートの横にあるチェックボックスをオンにし、[選択対象を消去] リンクをクリックして、アラートを消去できます(リストビューでは、アラートを右クリックすると、ショートカットメニューにオプションのリストが表示されます)。

「Relayアップデートサービスを利用不可」などの消去できないアラートは、アラートの状態が解消されたときに自動的に消去されます。

アラートには、システムアラートとセキュリティアラートの2種類があります。システムアラートは、Agentのオフライン化やコンピュータの時計の変更などのシステムイベントでトリガされます。セキュリティアラートは、侵入防御、ファイアウォール、変更監視、およびセキュリティログ監視の各ルール侵入防御ルールとファイアウォールルールによってトリガされます。アラートは、[アラートの設定] () をクリックして設定できます。

[コンピュータ] フィルタバーを使用して、特定のコンピュータグループ内のコンピュータや、特定のポリシーを保持するコンピュータなど、特定のコンピュータに関連するアラートのみを表示できます。

レポート

Vulnerability ProtectionDeep Security Managerは、PDFまたはRTFの形式でレポートを生成します。[レポートの生成] 画面で生成されたほとんどのレポートには、日付範囲、コンピュータグループ別のレポートなどの設定可能なパラメータがあります。パラメータのオプションは、それらが適用されないレポートの場合は無効になります。

単独レポート

レポート

各種レポートはPDFまたはRTF形式で出力することができます。ただし、「セキュリティモジュールの使用状況レポート」と「セキュリティモジュールの累積使用状況レポート」はCSV形式で出力されます。

使用している保護モジュールに応じて、次のレポートを利用可能です。

アラートレポート: 最も一般的なアラートのリスト
不正プログラム対策レポート: 上位25台の感染コンピュータのリスト
攻撃レポート: 分析アクティビティの概要表 (モード別)
コンピュータレポート: [コンピュータ] タブに表示される各コンピュータの概要
DPIルールの推奨レポート: 侵入防御ルールの推奨。このレポートは、一度に1つのセキュリティポリシーまたはコンピュータでのみ実行できます。
ファイアウォールレポート: ファイアウォールルールおよびステートフル設定アクティビティの記録
コンピュータフォレンジックス監査レポート: コンピュータ上のAgentの設定
変更監視ベースラインレポート: 特定の時間におけるホストのベースライン (タイプ、キー、フィンガープリントの日付)
変更監視の詳細な変更レポート: 検出された変更についての詳細
変更監視レポート: 検出された変更の概要
侵入防御レポート: 侵入防御ルールアクティビティの記録
セキュリティログ監視の詳細レポート: 収集されたログデータの詳細
セキュリティログ監視レポート: 収集されたログデータの概要
推奨設定レポート: 推奨設定の検索アクティビティの記録
セキュリティモジュールの累積使用状況レポート: 保護モジュールの現在のコンピュータ使用状況 (累計と100件ごとの合計)
セキュリティモジュールの使用状況レポート: 保護モジュールの現在のコンピュータ使用状況
概要レポート: Vulnerability ProtectionDeep Securityアクティビティ全体の概要
不審なアプリケーション活動レポート: 不審なアクティビティについての情報
システムイベントレポート: システムアクティビティ (セキュリティ以外) の記録
システムレポート: コンピュータ、連絡先、ユーザの概要
ユーザおよび連絡先レポート: ユーザと連絡先の内容およびアクティビティの詳細
Webレピュテーションレポート: Webレピュテーションイベントの多いコンピュータのリスト

PDFまたはRTFのレポートには、オプションで分類を追加することもできます。分類には、「空白」、「TOP SECRET」、「SECRET」、「CONFIDENTIAL」、「FOR OFFICIAL USE ONLY」、「LAW ENFORCEMENT SENSITIVE (LES)」、「LIMITED DISTRIBUTION」、「UNCLASSIFIED」、「INTERNAL USE ONLY」があります。

イベントデータを含むレポートを選択する場合、イベントタグでレポートをフィルタするオプションを使用できます。[すべて] はすべてのイベントを、[タグなし] はタグ付けされていないイベントのみを、[タグ] を選択して1つ以上のタグを指定すると指定したタグを含むイベントのみを、それぞれレポートに含めることができます。

期間

期間を設定して、ログの記録期間を任意で設定できます。これは、セキュリティ監査に役立ちます。

期間のオプションは次のとおりです。

過去24時間: 過去24時間のイベントが含まれます。正時 (0分0秒) に記録を開始および終了します。たとえば、12月5日の午前10:14にレポートを生成した場合、12月4日の午前10:00から12月5日の午前10:00の間に発生したイベントのレポートが作成されます。
過去7日間: 過去1週間のイベントが含まれます。週の開始および終了は深夜0時です。たとえば、12月5日の午前10:14にレポートを生成する場合、11月28日の午前00:00から12月5日の午前00:00の間に発生したイベントのレポートが作成されます。
前月: 前月のイベントが含まれます。深夜0時に記録を開始および終了します。たとえば、11月15日にこのオプションを選択すると、10月1日の0時から11月1日の0時までに発生したイベントのレポートが送信されます。
カスタム範囲: 任意の日付と時刻の範囲をレポートに指定できます。レポートでは、開始日が3日以上前の場合、開始時間が深夜0時に変更される可能性があります。

レポートには、カウンタに保存されたデータが使用されます。カウンタは、イベントから定期的に集計されたデータです。カウンタのデータは、最新の3日間は時間単位で集計されます。現在の時間のデータはレポートに含まれません。3日よりも古いデータは日単位で集計されてカウンタに保存されます。そのため、レポートでカバーされる期間は、最新の3日に関しては時間単位で指定できますが、3日より前になると日単位のみ指定可能になります。

コンピュータ

コンピュータに対して、どのデータをレポートに含めるかを設定します。

すべてのコンピュータ: Vulnerability ProtectionDeep Security Managerのすべてのコンピュータ
マイコンピュータ: 特定のコンピュータのみの表示権限がある場合は、このオプションを選択すると、表示できるすべてのコンピュータが対象となります。
グループ: Vulnerability ProtectionDeep Securityグループのコンピュータ
使用ポリシー: 選択したポリシー (およびオプションでそのサブポリシー) を使用しているコンピュータに、レポートの対象を限定できます。
コンピュータ: レポートの対象を、選択した1台のコンピュータに限定できます。

複数のコンピュータグループから特定のコンピュータに関するレポートを生成するには、まず該当するコンピュータの閲覧権限があるユーザを生成し、「すべてのコンピュータ」レポートを定期的に生成するよう予約タスクを作成するか、生成したユーザでログオンして「すべてのコンピュータ」レポートを実行します。レポートには、そのユーザが閲覧できるコンピュータのみが記載されます。

暗号化

レポートは、現在ログインしているユーザのパスワードか、レポートごとに設定された新規パスワードで保護できます。

レポートのパスワードの無効化: レポートはパスワードで保護されません。
現在のユーザのレポートのパスワードを使用: 現在のユーザのPDFレポートのパスワードを使用します。ユーザのPDFレポートのパスワードを表示または変更するには、[管理]→[ユーザ管理]→[ユーザ]→[プロパティ]→[設定]→[レポート] に進みます。
カスタムレポートのパスワードの使用: このレポートのワンタイムパスワードを作成します。パスワードに複雑さの要件はありません。

定期レポート

定期レポートとは、レポートを定期的に生成して、任意の数のユーザまたは連絡先宛てに配布する予約タスクのことです。ほとんどのオプションは前述の単独レポートと同じですが、[期間] オプションだけは例外で、次のようになります。

過去 [N] 時間: [N] に60未満の値を指定した場合、開始時刻と終了時刻は指定した時間の正時となります。[N] に60より大きな値を指定すると、指定した期間の開始時のデータは時間単位で集計されていないため、レポートの開始時刻は開始日の深夜0時 (00:00) に変更されます。
過去 [N] 日間: [N] 日前の深夜0時から現在の日付の深夜0時までのデータがレポートされます。
過去 [N] 週間: 過去 [N] 週間のイベントがレポートされます。開始および終了時刻は深夜0時 (00:00) です。
過去 [N] か月間: 過去 [N] か月間の暦月のイベントがレポートされます。開始および終了時刻は深夜0時 (00:00) です。たとえば、11月15日に「過去1か月間」を選択すると、10月1日の0時から11月1日の0時までに発生したイベントのレポートが送信されます。

予約タスクの詳細については、[管理]→[予約タスク] でオンラインヘルプを参照してください。