ファイアウォールイベント

Vulnerability ProtectionDeep Security Managerでは、初期設定で、ハートビートごとにVulnerability ProtectionDeep Security Agent/Applianceからファイアウォールイベントを収集します。ログのデータを使用して、Vulnerability ProtectionDeep Security Managerの各種レポート、グラフ、およびチャートが作成されます。

イベントログは、Vulnerability ProtectionDeep Security Managerによって収集された後、[管理]→[システム設定]→[ストレージ] で設定された一定の期間保持されます。初期設定値は1週間です。

ファイアウォールイベントのアイコン:

単一イベント
データ付き単一イベント
折りたたみイベント
データ付き折りたたみイベント

イベントの折りたたみは、同じ種類のイベントが数回続けて発生したときに実行されます。これによりディスク容量を節約でき、ログメカニズムに負荷をかけるDoS攻撃から防御することができます。

メイン画面から、次のことを実行できます。

個々のイベントのプロパティを表示 () する
リストをフィルタする。イベントのリストをフィルタするには、[期間] および [コンピュータ] ツールバーを使用します。
イベントリストのデータをCSVファイルにエクスポート () する
既存の自動タグ付け () ルールを表示する
イベントのリストビューから列 () を追加または削除する
特定のイベントを検索 () する

さらに、イベントを右クリックすると、次のオプションが表示されます。

タグの追加: このイベントにイベントタグを追加します (「イベントのタグ付け」を参照)。
タグを削除: 既存のイベントタグを削除します。
コンピュータの詳細: ログエントリを生成したコンピュータの [詳細] 画面を表示します。

[ファイアウォールイベント] 画面には、次の列があります。

時刻: コンピュータ上でイベントが発生した時刻。
コンピュータ: このイベントのログが記録されたコンピュータ(コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
理由: この画面のログエントリが、ファイアウォールルールによって生成されたか、またはファイアウォールステートフル設定によって生成されたかを示します。エントリがファイアウォールルールによって生成された場合、列エントリには、「ファイアウォールルール:」と表示され、続いてファイアウォールルールの名前が表示されます。それ以外の場合、列エントリには、ログエントリを生成したファイアウォールステートフル設定の内容が表示されます(パケット拒否の理由一覧は、「参照」セクションの「ファイアウォールイベント」を参照してください)。
タグ: このイベントに適用されているイベントタグ。
処理: ファイアウォールルールまたはファイアウォールステートフル設定によって実行された処理。処理には、許可、拒否、強制的に許可、ログのみがあります。
ランク: ランク付けシステムでは、侵入防御およびファイアウォールイベントの重要度を数値化できます。コンピュータに「資産評価」を割り当て、侵入防御ルールとファイアウォールルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。これによって、侵入防御イベントまたはファイアウォールイベントを表示するときに、イベントをランクでソートできます。
方向: パケットの方向 (受信または送信)。
インタフェース: パケットが経由するインタフェースのMACアドレス。
フレームの種類: 対象となるパケットのフレームの種類。値は、[IPV4]、[IPV6]、[ARP]、[REVARP]、および [その他: XXXX] (XXXXはフレームの種類を示す4桁の16進コード) のいずれかになります。
プロトコル: 値は、[ICMP]、[ICMPV6]、[IGMP]、[GGP]、[TCP]、[PUP]、[UDP]、[IDP]、[ND]、[RAW]、[TCP+UDP]、および [その他: nnn] (nnnは、3桁の10進値) のいずれかになります。
フラグ: パケットに設定されたフラグ。
送信元IP: パケットの送信元IP。
送信元MAC: パケットの送信元MACアドレス。
送信元ポート: パケットの送信元ポート。
送信先IP: パケットの送信先IP。
送信先MAC: パケットの送信先MACアドレス。
送信先ポート: パケットの送信先ポート。
パケットサイズ: バイト単位のパケットのサイズ。
繰り返しカウント: イベントが連続して繰り返された回数。
時間 (ミリ秒): コンピュータ上でイベントが発生した時間 (ミリ秒)。
イベント送信元: イベントの発生元であるVulnerability ProtectionDeep Securityコンポーネント。

ログのみルールは、対象のパケットが、拒否ルールまたはそのパケットを除外する許可ルールによって、それ以降に停止されない場合にログエントリのみを生成します。この2つのルールのいずれかによってパケットが停止される場合は、ログのみルールではなく、これらのルールがログエントリを生成します。以降のルールでパケットを停止しない場合は、ログのみルールがエントリを生成します。

イベントプロパティを表示する

イベントをダブルクリックすると、そのエントリの [プロパティ] 画面が表示され、画面上のイベントに関するすべての情報が表示されます。[タグ] タブには、このイベントに関連付けられているタグが表示されます。イベントのタグ付けの詳細については、[ポリシー]→[共通オブジェクト]→[その他]→[タグ]、および「参照」セクションの「イベントのタグ付け」を参照してください。

リストをフィルタし、イベントを検索する

[検索] ドロップダウンメニューから [詳細検索を開く] を選択すると、詳細検索オプションが表示されます。

[期間] ツールバーでリストをフィルタし、特定の期間内に発生したイベントだけを表示できます。

[コンピュータ] ツールバーで、コンピュータグループ別またはコンピュータポリシー別にイベントログエントリを表示できます。

詳細検索機能 (大文字/小文字の区別なし):

次の文字列を含む: 選択した列の入力内容に検索文字列が含まれる
次の文字列を含まない: 選択した列の入力内容に検索文字列が含まれない
等しい: 選択した列の入力内容と検索文字列が完全に一致する
等しくない: 選択した列の入力内容が検索文字列と一致しない
次のリストに含まれる: 選択した列の入力内容がカンマ区切りで入力された検索文字列1つと完全に一致する
次のリストに含まれない: 選択した列の入力内容がカンマ区切りで入力されたどの検索文字列とも一致しない

検索バーの右側にある「プラス」ボタン (+) をクリックすると、追加の検索バーが表示され、検索に複数のパラメータを適用できます。準備が整ったら、送信ボタン (ツールバーの右側にある上部に右矢印の付いたボタン) をクリックします。

エクスポート

[エクスポート] ボタンをクリックして、すべてのイベントまたは選択されたイベントをCSVファイルへエクスポートします。

自動タグ付け

[自動タグ付け] をクリックして、既存のファイアウォールの自動タグ付けルールリストを表示します。