侵入防御イベント

Vulnerability ProtectionDeep Security Managerでは、初期設定で、ハートビートごとにVulnerability ProtectionDeep Security Agent/Applianceから侵入防御イベントを収集します。

イベントログは、Vulnerability ProtectionDeep Security Managerによって収集された後、[管理]→[システム設定]→[ストレージ] で設定された一定の期間保持されます。初期設定値は1週間です。

メイン画面から、次のことを実行できます。

• 個々のイベントのプロパティを表示 () する
• リストをフィルタする。イベントのリストをフィルタするには、[期間] および [コンピュータ] ツールバーを使用します。
• イベントログのデータをCSVファイルにエクスポート () する
• 既存の自動タグ付け () ルールを表示する
• イベントのリストビューから列 () を追加または削除する
• 特定のイベントを検索 () する

さらに、イベントを右クリックすると、次のオプションが表示されます。

• すべて選択: 表示されたイベントを、100個を上限としてすべて選択します。
• 選択したアイテムをCSV形式でエクスポート: 選択されたイベントの詳細をCSVファイルに出力します。作成されたCSVファイルは表計算プログラムで開くことができます。
• 表示: イベントに関する詳細を表示します。
• タグの追加: このイベントにイベントタグを追加します (「イベントのタグ付け」を参照)。
• タグを削除: 既存のイベントタグを削除します。
• コンピュータの詳細: ログエントリを生成したコンピュータの [詳細] 画面を表示します。

[侵入防御イベント] 画面には、次の列があります。

• 時刻: コンピュータ上でイベントが発生した時刻。
• コンピュータ: このイベントのログが記録されたコンピュータ(コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
• 理由: このイベントに関連付けられた侵入防御ルール。
• タグ: イベントに付けられたタグ。
• アプリケーションの種類: このイベントの原因となった侵入防御ルールに関連付けられたアプリケーションの種類。
• 処理: 侵入防御ルールが実行する処理 (ブロックまたはリセット)。ルールが検出のみモードの場合、処理名の前に「検出のみ:」が付きます)。
  Deep Security 7.5 SP1より前に作成された侵入防御ルールでは、挿入、置換、削除処理も実行することができましたが、現在これらの処理は実行されません。これらの処理の実行を試みる古いルールが実行された場合、ルールが検出のみモードで適用されたことを示すイベントが記録されます。
• ランク: ランク付けシステムでは、侵入防御およびファイアウォールイベントの重要度を数値化できます。コンピュータに「資産評価」を割り当て、侵入防御ルールとファイアウォールルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。これによって、侵入防御イベントまたはファイアウォールイベントを表示するときに、イベントをランクでソートできます。
• 重要度: 侵入防御ルールの重要度。
• 方向: パケットの方向 (受信または送信)。
• フロー: このイベントを引き起こしたパケットが、侵入防御ルールで監視しているトラフィックと同じ方向に進んでいたか (「接続フロー」)、または反対方向に進んでいたか (「リバースフロー」)。
• インタフェース: パケットが通過したインタフェースのMACアドレス。
• フレームの種類: 対象となるパケットのフレームの種類。値は、[IPV4]、[IPV6]、[ARP]、[REVARP]、および [その他: XXXX] (XXXXはフレームの種類を示す4桁の16進コード) のいずれかになります。
• プロトコル: 値は、[ICMP]、[ICMPV6]、[IGMP]、[GGP]、[TCP]、[PUP]、[UDP]、[IDP]、[ND]、[RAW]、[TCP+UDP]、および [その他: nnn] (nnnは、3桁の10進値) のいずれかになります。
• フラグ: パケットに設定されたフラグ。
• 送信元IP: パケットの送信元IP。
• 送信元MAC: パケットの送信元MACアドレス。
• 送信元ポート: パケットの送信元ポート。
• 送信先IP: パケットの送信先IP。
• 送信先MAC: パケットの送信先MACアドレス。
• 送信先ポート: パケットの送信先ポート。
• パケットサイズ: バイト単位のパケットのサイズ。
• 繰り返しカウント: イベントが連続して繰り返された回数。
• 時間 (ミリ秒): コンピュータ上でイベントが発生した時間 (ミリ秒)。
• イベント送信元: イベントの発生元であるDeep Securityコンポーネント。

イベントプロパティを表示する

イベントをダブルクリックすると、そのエントリの [プロパティ] 画面が表示されます。[タグ] タブには、このイベントに関連付けられているタグが表示されます。イベントのタグ付けの詳細については、[ポリシー]→[共通オブジェクト]→[その他]→[タグ]、および「参照」セクションの「イベントのタグ付け」を参照してください。

リストをフィルタし、イベントを検索する

[検索] ドロップダウンメニューから [詳細検索を開く] を選択すると、詳細検索オプションが表示されます。

[期間] ツールバーでリストをフィルタし、特定の期間内に発生したイベントだけを表示できます。

[コンピュータ] ツールバーで、コンピュータグループ別またはコンピュータポリシー別にイベントログエントリを表示できます。

詳細検索機能 (大文字/小文字の区別なし):

• 次の文字列を含む: 選択した列の入力内容に検索文字列が含まれる
• 次の文字列を含まない: 選択した列の入力内容に検索文字列が含まれない
• 等しい: 選択した列の入力内容と検索文字列が完全に一致する
• 等しくない: 選択した列の入力内容が検索文字列と一致しない
• 次のリストに含まれる: 選択した列の入力内容がカンマ区切りで入力された検索文字列1つと完全に一致する
• 次のリストに含まれない: 選択した列の入力内容がカンマ区切りで入力されたどの検索文字列とも一致しない

検索バーの右側にある「プラス」ボタン (+) をクリックすると、追加の検索バーが表示され、検索に複数のパラメータを適用できます。準備が整ったら、送信ボタン (ツールバーの右側にある上部に右矢印の付いたボタン) をクリックします。

エクスポート

[エクスポート] ボタンをクリックして、すべてのイベントログエントリをCSVファイルへエクスポートします。

自動タグ付け

[自動タグ付け] をクリックして、既存の侵入防御の自動タグ付けルールリストを表示します。