Cisco ASA with FirePOWER Services バージョン 7.0 ローカル管理設定ガイド

ASA FirePOWER イベントタイプについて

ASA FirePOWER モジュールでは、5 つのイベントタイプ（接続イベント、セキュリティインテリジェンスイベント、侵入イベント、ファイルイベント、およびマルウェアイベント）からのイベントフィールドを表示するリアルタイムイベントビューが提供されます。

Connection Events

接続イベントと呼ばれる接続ログには、検出されたセッションに関するデータが含まれています。個々の接続イベントで入手可能な情報はいくつかの要因によって決まりますが、一般的には次のものがあります。

タイムスタンプ、送信元と宛先の IP アドレス、入出力ゾーン、接続を処理したデバイスなど、基本的な接続特性
アプリケーション、要求される URL、または接続に関連付けられているユーザなど、システムによって検出または推測される追加の接続特性
ポリシーがトラフィックを処理したアクセスコントロールルール（または他の設定）、接続が許可またはブロックされているかどうかなど、接続がログに記録された理由に関するメタデータ

アクセスコントロールでさまざまな設定を行うことで、ログする接続の種類、接続をログする時期、およびデータを保存する場所のきめ細かい制御を行うことができます。アクセスコントロールポリシーが正常に処理できる接続をログに記録できます。接続のロギングは、次の状況で有効にできます。

接続がレピュテーションベースのセキュリティインテリジェンス機能によってブロックまたはモニタされる場合
接続がアクセスコントロールルールまたはアクセスコントロールのデフォルトアクションによって処理された場合

設定するロギングに加えて、システムは禁止されたファイル、マルウェア、または侵入の試みを検出した場合に、ほとんどの接続を自動的にログに記録します。

Security Intelligence Events

セキュリティインテリジェンスロギングを有効にすると、ブロックリストの一致によってセキュリティインテリジェンスイベントおよび接続イベントが自動的に生成されます。セキュリティインテリジェンスイベントは特殊なタイプの接続イベントで、個別に表示および分析できます。セキュリティインテリジェンスによるブロックの決定を含む、接続ロギングの設定の詳細については、ネットワークトラフィックの接続のロギングを参照してください。

ヒント

特に明記されていない限り、接続イベントに関する一般情報もまたセキュリティインテリジェンスイベントに関連します。セキュリティインテリジェンスの詳細については、レピュテーションベースのルールによるトラフィックの制御を参照してください。

Intrusion Events

システムは、ホストとそのデータの可用性、整合性、および機密性に影響する可能性のある悪意のあるアクティビティについて、ネットワークを通過するパケットを検査します。システムは、潜在的な侵入を特定すると侵入イベントを生成します。これは、エクスプロイトの日付、時間、タイプ、および攻撃元とそのターゲットに関するコンテキスト情報の記録です。

File Events

ファイルイベントは、システムがネットワークトラフィック内で検出した（さらにオプションでブロックした）ファイルを表します。

システムは、現在適用されているファイルポリシーのルールに従って、管理対象デバイスがネットワークトラフィック内のファイルを検出またはブロックしたときに生成されたファイルイベントを記録します。

Malware Events

マルウェアイベントは、システムがネットワークトラフィック内で検出した（さらにオプションでブロックした）マルウェアファイルを表します。

マルウェアライセンスを使用すると、ASA FirePOWER モジュールは全体的なアクセスコントロール設定の一部として、ネットワークトラフィック内のマルウェアを検出できます。ファイルポリシーの概要と作成を参照してください。

以下のシナリオでは、マルウェアイベントが生成される可能性があります。

管理対象デバイスが一連の特定のファイルタイプのいずれかを検出すると、ASA FirePOWER モジュールはマルウェアクラウドルックアップを実行します。これにより、ファイル性質として Malware、Clean、または Unknown が ASA FirePOWER モジュールに返されます。
ASA FirePOWER モジュールがクラウドとの接続を確立できない場合や、その他の理由でクラウドが使用できない場合、ファイル性質は Unavailable になります。この性質で見られるイベントはごくわずかである可能性があります。これは予期された動作です。
クリーンリストに含まれているファイルを管理対象デバイスが検出した場合、ASA FirePOWER モジュールはファイル性質として Clean をそのファイルに割り当てます。

ASA FirePOWER モジュールは他のコンテキストデータとともに、ファイルの検出と性質のレコードをマルウェアイベントとして記録します。

ネットワークトラフィックで検出され、ASA FirePOWER モジュールによってマルウェアとして識別されたファイルは、ファイルイベントとマルウェアイベントの両方を生成します。これは、ファイル内のマルウェアを検出するために、システムはまずそのファイル自体を検出する必要があるためです。

ASA FirePOWER イベントのイベントフィールド

Action

接続イベントまたはセキュリティインテリジェンスイベントの場合、接続をロギングしたアクセスコントロールルールまたはデフォルトアクションに関連付けられたアクション。

[許可（Allow）] は、明示的に許可されてユーザがバイパスする、インタラクティブにブロックされる接続を表します。
[Trust] は、信頼できる接続を表します。最初のパケットが信頼ルールによって検出された TCP 接続のみ、接続終了イベントを生成します。システムは、最後のセッションパケットの 1 時間後にイベントを生成します。
[Block] と [Block with reset] は、ブロックされた接続を表します。さらにシステムは、ブロックアクションを、セキュリティインテリジェンスによってブロックされた接続、侵入ポリシーによってエクスプロイトが検出された接続、およびファイルポリシーによってファイルがブロックされた接続にも関連付けます。
[Interactive Block] と [Interactive Block with reset] は、システムが Interactive Block ルールを使用して最初にユーザの HTTP 要求をブロックしたときにロギングできる接続開始イベントを示します。システムが表示する警告ページでユーザがクリック操作をすると、そのセッションについてロギングするその他の接続イベントは、アクションが [Allow] になります。
[Default Action] は、接続がデフォルトアクションによって処理されたことを示します。
セキュリティインテリジェンスによって監視されている接続の場合、そのアクションは、接続によってトリガーされる最初の監視以外のアクセスコントロールルールのアクションか、デフォルトアクションです。同様に、モニタルールに一致するトラフィックは常に後続のルールまたはデフォルトアクションによって処理されるため、モニタルールによってロギングされた接続に関連付けられたアクションが [Monitor] になることはありません。

ファイルイベントまたはマルウェアイベントの場合、ファイルが一致したルールのルールアクションに関連付けられているファイルルールアクションと、関連するファイルルールアクションのオプション。

Allowed Connection

システムがイベントのトラフィックフローを許可したかどうか。

Application

接続で検出されたアプリケーション。

Application Business Relevance

接続で検出されたアプリケーショントラフィックに関連付けられたビジネスとの関連性：[Very High]、[High]、[Medium]、[Low]、[Very Low]。接続で検出されたアプリケーションのタイプごとに、関連するビジネス関連性があります。このフィールドでは、それらのうち最も低いもの（関連が最も低い）が表示されます。

Application Categories

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示すカテゴリ。

Application Risk

接続で検出されたアプリケーショントラフィックに関連付けられたリスク：[Very High]、[High]、[Medium]、[Low]、[Very Low]。接続で検出されたアプリケーションのタイプごとに、関連するリスクがあります。このフィールドでは、それらのうち最も高いものが表示されます。

Application Tag

アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示すタグ。

Block Type

イベントのトラフィックフローと一致するアクセスコントロールルールで指定されたブロックのタイプ。[Block] または [Interactive Block]。

Client

接続で検出されたクライアントアプリケーション。

接続に使用されている特定のクライアントをシステムが特定できない場合、このフィールドには汎用的な名称としてアプリケーションプロトコル名の後に client を付加した形で、FTP client などと表示されます。

Client Business Relevance

接続で検出されたクライアントトラフィックに関連付けられたビジネスとの関連性：[Very High]、[High]、[Medium]、[Low]、[Very Low]。接続で検出されたクライアントのタイプごとに、ビジネスとの関連性が関連付けられています。このフィールドは、最も低いもの（関連性が最も低い）を表示します。

Client Categories

クライアントの機能を理解するのに役立つ、トラフィックで検出されたクライアントの特性を示すカテゴリ。

Client Risk

接続で検出されたクライアントトラフィックに関連付けられたリスク：[Very High]、[High]、[Medium]、[Low]、[Very Low]。接続で検出されたクライアントのタイプごとに、リスクが関連付けられています。このフィールドは、最も高いものを表示します。

Client Tag

クライアントの機能を理解するのに役立つ、トラフィックで検出されたクライアントの特性を示すタグ。

Client Version

接続で検出されたクライアントのバージョン。

Connection

内部的に生成されたトラフィックフローの固有 ID。

Connection Blocktype Indicator

イベントのトラフィックフローと一致するアクセスコントロールルールで指定されたブロックのタイプ。[Block] または [Interactive Block]。

Connection Bytes

接続の合計バイト数。

Connection Time

接続の開始時刻。

Connection Timestamp

接続が検出された時刻。

Context

トラフィックが通過したセキュリティコンテキストを識別するメタデータ。マルチコンテキストモードのデバイスでは、システムはこのフィールドにのみ入力することに注意してください。

Denied Connection

システムがイベントのトラフィックフローを拒否したかどうか。

Destination Country and Continent

受信ホストの国および大陸。

Destination IP

受信ホストが使用する IP アドレス。

Destination Port, Destination Port Icode, Destination Port/ICMP Code

セッションレスポンダが使用する宛先ポートまたは ICMP コード。

Direction

ファイルの送信方向。

Disposition

以下のファイル性質のいずれかです。

Malware：クラウドがマルウェアとしてファイルを分類したことを示します。
Clean は、クラウドでそのファイルがクリーンとして分類されているか、ユーザがファイルをクリーンリストに追加したことを示します。
Unknown は、クラウドが性質を割り当てる前にマルウェアクラウドルックアップが行われたことを示します。ファイルは分類されていません。
[Custom Detection] は、ファイルをユーザがカスタム検出リストに追加したことを示します。
Unavailable：ASA FirePOWER モジュールがマルウェアクラウドルックアップを実行できなかったことを示します。この性質で見られるイベントはごくわずかである可能性があります。これは予期された動作です。
N/A：ファイル検出またはファイルブロックルールがファイルを処理し、ASA FirePOWER モジュールがマルウェアクラウドルックアップを行わなかったことを示します。

Egress Interface

接続に関連付けられた出力インターフェイス。展開環境に非同期のルーティング設定が含まれている場合は、入力と出力のインターフェイスが同じインターフェイスセットに属する場合があることに注意してください。

Egress Security Zone

接続に関連付けられた出力セキュリティゾーン。

Event

イベントのタイプ。

Event Microseconds

イベントが検出された時刻（マイクロ秒単位）。

Event Seconds

イベントが検出された時刻（秒単位）。

Event Type

イベントのタイプ。

File Category

ファイルタイプの一般的なカテゴリ（Office ドキュメント、アーカイブ、マルチメディア、実行可能ファイル、PDF ファイル、エンコードファイル、グラフィック、システムファイルなど）。

File Event Timestamp

ファイルまたはマルウェアファイルが作成された日時。

File Name

ファイルまたはマルウェアファイルの名前。

File SHA256

ファイルの SHA-256 ハッシュ値。

File Size

ファイルまたはマルウェアファイルのサイズ（KB 単位）。

File Type

ファイルまたはマルウェアファイルのファイルタイプ（HTMLや MSEXE など）。

File/Malware Policy

イベントの生成に関連付けられているファイルポリシー。

Filelog Blocktype Indicator

イベントのトラフィックフローと一致するファイルルールで指定されたブロックのタイプ。[Block] または [Interactive Block]。

Firewall Policy Rules/SI Category

接続でブロックされた IP アドレスを表すか、またはそれを含むオブジェクトの名前。セキュリティインテリジェンスのカテゴリは、ネットワークオブジェクトまたはグループ、グローバルブロックリスト、カスタムセキュリティインテリジェンスのリストまたはフィード、あるいはインテリジェンスフィードのカテゴリのいずれかの名前にできます。[Reason] が [IP Block] または [IP Monitor] の場合にのみ、このフィールドに値が入力されることに注意してください。セキュリティインテリジェンスイベントのビューでは、エントリに必ず原因が表示されます。

Firewall Rule

接続を処理したアクセスコントロールルールまたはデフォルトアクションと、その接続に一致した最大 8 つの Monitor ルール。

First Packet

セッションの最初のパケットが検出された日時。

HTTP Referrer

接続で検出された HTTP トラフィックの要求 URL の参照元を示す HTTP 参照元（他の URL へのリンクを提供した Web サイト、他の URL からリンクをインポートした Web サイトなど）。

IDS Classification

イベントを生成したルールが属する分類。ルールの分類名と番号のリストについては、表 1の表を参照してください。

Impact

このフィールドの影響レベルは、侵入データ、ネットワーク検出データ、脆弱性情報との関係を示します。

Impact Flag

「Impact」を参照してください。

Ingress Interface

接続に関連付けられた入力インターフェイス。展開環境に非同期のルーティング設定が含まれている場合は、入力と出力のインターフェイスが同じインターフェイスセットに属する場合があることに注意してください。

Ingress Security Zone

接続に関連付けられた入力セキュリティゾーン。

Initiator Bytes

セッションイニシエータが送信した合計バイト数。

Initiator Country and Continent

ルーティング可能な IP が検出された場合の、セッションを開始したホスト IP アドレスに関連付けられた国および大陸。

Initiator IP

セッションレスポンダを開始したホスト IP アドレス（および DNS 解決が有効化されている場合はホスト名）。

Initiator Packets

セッションイニシエータが送信した合計パケット数。

Inline Result

次のいずれかが必要です。

黒い下矢印。ルールをトリガーとして使用したパケットをシステムがドロップしたことを示します
灰色の下矢印。[Drop when Inline] ポリシーオプション（インライン展開環境）を有効にした場合、またはシステムがプルーニングしている間に [Drop and Generate] ルールがイベントを生成した場合、IPS がパケットをドロップしたことを示します
ブランク。トリガーとして使用されたルールが [Drop and Generate Events] に設定されてないことを示します
侵入ポリシーのルールの状態またはインラインドロップ動作にかかわらず、インラインインターフェイスがタップモードになっている場合を含め、パッシブ展開環境ではシステムはパケットをドロップしないことに注意してください。

IPS Blocktype Indicator

イベントのトラフィックフローと一致する侵入ルールのアクション。

Last Packet

セッションの最後のパケットが検出された日時。

MPLS Label

この侵入イベントをトリガーしたパケットと関連付けられているマルチプロトコルラベルスイッチングラベル。

Malware Blocktype Indicator

イベントのトラフィックフローと一致するファイルルールで指定されたブロックのタイプ。[Block] または [Interactive Block]。

Message

イベントを説明するテキスト。

ルールベースの侵入イベントの場合、イベントメッセージはルールから取得されます。デコーダベースおよびプリプロセッサベースのイベントの場合は、イベントメッセージはハードコーディングされています。

マルウェアイベントの場合は、マルウェアイベントに関連付けられている追加情報。ネットワークベースのマルウェアイベントの場合、このフィールドにデータが入れられるのは、性質が変更されたファイルだけです。

Monitor Rules

その接続で一致する 8 つまでのモニタルール。

Netbios Domain

セッションで使用された NetBIOS ドメイン。

Num Ioc

侵入イベントをトリガーとして使用したトラフィックが、接続に関係するホストに対する侵入の痕跡（IOC）もトリガーとして使用したかどうか。

Original Client Country and Continent

元のクライアントの IP アドレスが属する国。この値を取得するために、システムは元のクライアント IP アドレスを X-Forwarded-For（XFF）、True-Client-IP、またはカスタム定義の HTTP ヘッダーから抽出し、それを地理位置情報データベース（GeoDB）を使用して国にマップします。このフィールドに入力するには、元のクライアントに基づいてプロキシトラフィックを処理するアクセスコントロールルールを有効にする必要があります。

Original Client IP

X-Forwarded-For（XFF）、True-Client-IP、またはカスタム定義の HTTP ヘッダーからの、元のクライアント IP アドレス。このフィールドに入力するには、元のクライアントに基づいてプロキシトラフィックを処理するアクセスコントロールルールを有効にする必要があります。

Policy

イベントの生成に関連付けられているアクセスコントロールポリシー、侵入ポリシー、またはネットワーク分析ポリシー（NAP）（ある場合）。

Policy Revision

イベントの生成に関連付けられているアクセスコントロールポリシー、侵入ポリシー、またはネットワーク分析ポリシー（NAP）（ある場合）のリビジョン。

Priority

Cisco VRT で指定されたイベントの優先順位。

Protocol

接続で検出されたプロトコル。

Reason

次の場合に接続がロギングされた 1 つまたは複数の原因。

[User Bypass] は、システムが最初はユーザの HTTP 要求をブロックしたが、ユーザが警告ページでクリック操作をして、最初に要求していたサイトへ進むことを選択したことを示します。[User Bypass] の原因は必ず [Allow] のアクションとペアになります。
[IP Block] は、システムがセキュリティインテリジェンスデータに基づいて、インスペクションなしで接続を拒否したことを示します。[IP Block] の原因は必ず [Block] のアクションとペアになります。
[IP Monitor] は、システムがセキュリティインテリジェンスデータに基づいて接続を拒否するはずでしたが、ユーザが接続を拒否せず監視するように設定したことを示します。
[File Monitor] は、システムが接続において特定のファイルの種類を検出したことを示します。
[File Block] は、ファイルまたはマルウェアファイルが接続に含まれており、システムがその送信を防いだことを示します。[File Block] の原因は必ず [Block] のアクションとペアになります。
[File Custom Detection] は、カスタム検出リストにあるファイルが接続に含まれており、システムがその送信を防いだことを示します。
[File Resume Allow] は、ファイル送信がはじめにファイルブロックまたはマルウェアブロックファイルルールによってブロックされたことを示します。そのファイルを許可する新しいアクセスコントロールポリシーが適用された後で、HTTP セッションは自動的に再開しました。この原因は、インライン構成のみで表示されることに注意してください。
[File Resume Block] は、ファイル送信がはじめにファイル検出またはマルウェアクラウドルックアップファイルルールによって許可されたことを示します。そのファイルをブロックする新しいアクセスコントロールポリシーが適用された後で、HTTP セッションは自動的に停止しました。この原因は、インライン構成のみで表示されることに注意してください。
[Intrusion Block] は、接続で検出されたエクスプロイト（侵入ポリシー違反）をシステムがブロックしたか、ブロックするはずだったことを示します。[侵入ブロック（Intrusion Block）] の理由は、ブロックされたエクスプロイトの場合は [ブロック（Block）]、ブロックされるはずだったエクスプロイトの場合は [許可（Allow）] のアクションと対として組み合わされます。
[Intrusion Monitor] は、接続で検出されたエクスプロイトをシステムが検出したものの、ブロックしなかったことを示します。これは、トリガーされた侵入ルールの状態が [Generate Events] に設定されている場合に発生します。
コンテンツ制限は、セーフサーチまたは YouTube EDU 機能のいずれかに関連したコンテンツ制限を実施するために、システムがパケットを変更したことを示します。

Receive Times

宛先ホストまたはレスポンダがイベントに応答した時刻。

Referenced Host

接続のプロトコルが DNS、HTTP、または HTTPS の場合、このフィールドにはそれぞれのプロトコルが使用していたホスト名が表示されます。

Responder Bytes

セッションレスポンダが送信した合計バイト数。

Responder Country and Continent

ルーティング可能な IP が検出された場合の、セッションレスポンダのホスト IP アドレスに関連付けられた国および大陸。

Responder Packets

セッションレスポンダが送信した合計パケット数。

Responder IP

セッションイニシエータに応答したホスト IP アドレス（および DNS 解決が有効化されている場合はホスト名）。

Security Group Tag Name

接続に関係するパケットのセキュリティグループタグ（SGT）属性。SGT は、信頼ネットワーク内での、トラフィックの送信元の権限を指定します。セキュリティグループアクセス（Cisco TrustSec と Cisco ISE の両方に共通の機能）は、パケットがネットワークに入るときに属性を適用します。

Signature

イベントのトラフィックと一致する侵入ルールのシグネチャ ID。

Source Country and Continent

送信元ホストの国および大陸。

Source IP

侵入イベントで送信元ホストが使用する IP アドレス。

Source or Destination

イベントの接続を送信元/宛先とするホスト。

Source Port, Source Port Type, Source Port/ICMP Type

セッションイニシエータが使用する送信元ポートまたは ICMP タイプ。

TCP Flags

接続で検出された TCP フラグ。

URL

セッション中に監視対象のホストによって要求された URL。

URL Category

セッション中に監視対象のホストによって要求された URL に関連付けられているカテゴリ（使用可能な場合）。

URL Reputation

セッション中に監視対象のホストによって要求された URL に関連付けられているレピュテーション（使用可能な場合）。

URL Reputation Score

セッション中に監視対象のホストによって要求された URL に関連付けられているレピュテーションスコア（使用可能な場合）。

User

イベントが発生したホスト（受信 IP）のユーザ

User Agent

接続で検出された HTTP トラフィックから取得したユーザエージェントアプリケーションの情報。

VLAN

イベントをトリガーしたパケットに関連付けられている最内部 VLAN ID。

Web App Business Relevance

接続で検出された Web アプリケーショントラフィックに関連付けられているビジネスとの関連性：[Very High]、[High]、[Medium]、[Low]、[Very Low]。接続で検出された Web アプリケーションのタイプごとに、ビジネスとの関連性が関連付けられています。このフィールドは、最も低いもの（関連性が最も低い）を表示します。

Web App Categories

Web アプリケーションの機能を理解するのに役立つ、トラフィックで検出された Web アプリケーションの特性を示すカテゴリ。

Web App Risk

接続で検出された Web アプリケーショントラフィックに関連付けられたリスク：[Very High]、[High]、[Medium]、[Low]、[Very Low]。接続で検出された Web アプリケーションのタイプごとに、リスクが関連付けられています。このフィールドは、最も高いものを表示します。

Web App Tag

Web アプリケーションの機能を理解するのに役立つ、トラフィックで検出された Web アプリケーションの特性を示すタグ。

Web Application

トラフィックで検出された Web アプリケーション。

侵入ルールの分類

侵入ルールには、攻撃の分類が含まれています。次の表に、それぞれの分類の名前と番号を示します。

表 1. ルールの分類
番号	分類名	説明
1	not-suspicious	不審ではないトラフィック
2	unknown	不明なトラフィック
3	bad-unknown	有害な可能性のあるトラフィック
4	attempted-recon	情報漏えいが試行された
5	successful-recon-limited	情報漏えいが発生
6	successful-recon-largescale	大規模な情報漏えい
7	attempted-dos	サービス拒否が試行された
8	successful-dos	サービス拒否が発生
9	attempted-user	ユーザ特権の獲得が試行された
10	unsuccessful-user	ユーザ特権の獲得が失敗した
11	successful-user	ユーザ特権の獲得に成功
12	attempted-admin	管理者特権の獲得が試行された
13	successful-admin	管理者特権の獲得に成功
14	rpc-portmap-decode	RPC クエリのデコード
15	shellcode-detect	実行可能コードが検出された
16	string-detect	疑わしい文字列が検出された
17	suspicious-filename-detect	疑わしいファイル名が検出された
18	suspicious-login	疑わしいユーザ名を使用したログイン試行が検出された
19	system-call-detect	システムコールが検出された
20	tcp-connection	TCP 接続が検出された
21	trojan-activity	ネットワークトロイの木馬が検出された
22	unusual-client-port-connection	通常とは異なるポートをクライアントが使用していた
23	network-scan	ネットワークスキャンの検出
24	denial-of-service	サービス拒否攻撃の検出
25	non-standard-protocol	標準的でないプロトコルまたはイベントの検出
26	protocol-command-decode	一般的なプロトコルコマンドデコード
27	web-application-activity	脆弱な可能性のある Web アプリケーションへのアクセス
28	web-application-attack	Web アプリケーション攻撃
29	misc-activity	その他のアクティビティ
30	misc-attack	その他の攻撃
31	icmp-event	一般的な ICMP イベント
32	inappropriate-content	不適切な内容が検出された
33	policy-violation	企業プライバシー侵害の可能性
34	default-login-attempt	デフォルトのユーザ名とパスワードによるログイン試行
35	sdf	機密データ
36	malware-cnc	既知のマルウェアコマンドと制御トラフィック
37	client-side-exploit	既知のクライアント側 exploit 試行
38	file-format	既知の有害ファイルまたはファイルベースの exploit

Cisco ASA with FirePOWER Services バージョン 7.0 ローカル管理設定 ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： イベントの表示

イベントの表示

ASA FirePOWER リアルタイム イベントへのアクセス

手順

ASA FirePOWER イベント タイプについて