- [宛先ポート/ICMPコード(Destination Port/ICMP Code)](Syslog:個別のフィールド - DstPort、ICMPCode)
-
Secure Firewall Management Center のインターフェイスでは、これらの値は概要とグラフを抑制します。
セッション レスポンダが使用するポートまたは ICMP コード。
- DestinationSecurityGroup(Syslog のみ)
-
このフィールドには、 Destinationsecuritygrouptag(使用可能な場合)の数値に関連付けられているテキスト値が保持されます。グループ名をテキスト値として使用できない場合、このフィールドには、[DestinationSecurityGroupTag] フィールドと同じ整数値が含まれます。
- [DestinationSecurityGroupType] (Syslog のみ)
-
このフィールドには、セキュリティグループタグを取得した送信元が表示されます。
値
|
説明
|
インライン
|
送信元 SGT 値はパケットからのものです
|
Session Directory
|
送信元 SGT 値は、セッション ディレクトリ トピックによる ISE からのものです
|
SXP
|
送信元 SGT 値は SXP トピックによる ISE からのものです
|
- 宛先 SGT(Syslog:DestinationSecurityGroupTag)
-
接続に関係する宛先のセキュリティ グループ タグ(SGT)属性。
送信元 SGT 値は、[DestinationSecurityGroupType ] フィールドで指定された送信元から取得されます。
- [検出タイプ(Detection Type)]
-
このフィールドには、クライアントの検出元が表示されます。
- デバイス
-
Secure Firewall Management Center の Web インターフェイスでは、この値は概要とグラフを抑制します。
接続を検出した管理対象デバイス。または、NetFlow データから生成された接続の場合は、データを処理した管理対象デバイス。
- DeviceUUID(Syslog のみ)
-
イベントを生成した Firepower デバイスの一意の識別子。
[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを識別できます。
- [DNSクエリ(DNS Query)](Syslog:DNSQuery)
-
ドメイン名を検索するために接続でネーム サーバーに送信された DNS クエリ。
このフィールドには、DNS フィルタリングが有効になっている場合の URL フィルタリング一致のドメイン名も保持できます。この場合、[URL] フィールドは空白になり、[URL Category] フィールドと [URL Reputation]
フィールドにはドメインに関連付けられた値が含まれます。
DNS フィルタリングの詳細については、DNS フィルタリング:DNS ルックアップ中の URL レピュテーションとカテゴリの識別(ベータ版)を参照してください。
- [DNSレコードタイプ(DNS Record Type)](Syslog:DNSRecordType)
-
接続で送信された DNS クエリを解決するために使用された DNS リソース レコードのタイプ。
- [DNS応答(DNS Response)](Syslog:DNSResponseType)
-
問い合わせ時に接続でネーム サーバーに返された DNS レスポンス。
- [DNSシンクホール名 (DNS Sinkhole Name)](Syslog:DNS_Sinkhole)
-
システムが接続をリダイレクトしたシンクホール サーバーの名前。
- DNS TTL(syslog:DNS_TTL)
-
DNS サーバーが DNS リソース レコードをキャッシュする秒数。
- ドメイン(Domain)
-
接続を検出した管理対象デバイスのドメイン。または、NetFlow データから生成された接続の場合は、データを処理した管理対象デバイスのドメイン。 このフィールドは、マルチテナンシーのために Management Center を設定したことがある場合に表示されます。
- ピアの暗号化(Encrypt Peer)
-
関連付けられた接続のパケットを暗号化する VPN ピアの IP アドレス(ピアの IKE アドレス)。
VPN ピアの IP アドレスを表示するには、接続の開始時と接続の終了時にログを記録するアクセス コントロール ポリシー ルールのログ設定を有効にする必要があります。
- 暗号化された可視性フィンガープリント(Syslog:EncryptedVisibilityFingerprint)
-
セッションの暗号化された可視化エンジン(EVE)によって検出された TLS フィンガープリント。
- 暗号化された可視性プロセス名(Syslog:EncryptedVisibilityProcessName)
-
暗号化された可視性エンジン(EVE)によって分析された TLS クライアント hello パケットのプロセスまたはクライアント。
- 暗号化された可視性信頼スコア(Syslog:EncryptedVisibilityConfidenceScore)
-
暗号化された可視性エンジンが適切なプロセスを検出しているかを示す 0 〜 100% の範囲内の信頼値。たとえば、プロセス名が Firefox で、信頼スコアが 80% の場合、エンジンが検出したプロセスが Firefox であると 80% 信頼していることを示します。
- 暗号化された可視性脅威の信頼度(Syslog:EncryptedVisibilityThreatConfidence)
-
暗号化された可視性エンジンによって検出されたプロセスに脅威が含まれる確率のレベル。このフィールドは、脅威信頼スコアの値に基づいて、帯域([Very High]、[High]、[Medium]、[Low]、または [Very Low])を示します。
- 暗号化された可視性脅威信頼スコア(Syslog:EncryptedVisibilityThreatConfidenceScore)
-
暗号化された可視性エンジンによって検出されたプロセスに脅威が含まれていることを示す 0 〜 100% の範囲内の信頼値。脅威信頼スコアが非常に高い場合(90% など)、[暗号化された可視性プロセス名(Encrypted Visibility Process
Name)] フィールドには [マルウェア(Malware)] と表示されます。
- エンドポイント ロケーション(Endpoint Location)
-
ISE で指定された、ユーザーの認証に ISE を使用したネットワーク デバイスの IP アドレス。
- エンドポイントのプロファイル (Syslog:Endpoint Profile)
-
ISE で指定されたユーザーのエンドポイント デバイス タイプ。
- Event Priority(Syslog のみ)
-
接続イベントが優先度の高いイベントであるかどうか。高優先度(High
)イベントは、侵入、セキュリティ インテリジェンス、ファイル、またはマルウェアイベントに関連付けられた接続イベントです。他のすべてのイベントは低優先度(Low
)イベントです。
- ファイル (Syslog: FileCount)
-
1 つ以上のファイル イベントに関連付けられている接続で検出またはブロックされたファイル(マルウェア ファイルを含む)の数。
Secure Firewall Management Center の Web インターフェイスでは、[ファイルの表示(View Files)] アイコン()はファイルのリストにリンクしています。アイコンの数字は、その接続で検出またはブロックされたファイル数(マルウェア ファイルを含む)を示します。
- [最初のパケットまたは最後のパケット(First Packet or Last Packet)](Syslog:ConnectionDuration フィールドを参照)
-
セッションの最初または最後のパケットが検出された日時。
- First Packet Time(Syslog のみ)
-
システムが最初のパケットを検出した時間。
[DeviceUUID]、[First Packet Time]、[Connection Instance ID]、および [Connection Counter] フィールドの情報を総合すると、接続イベントを識別できます。
- HTTP Referrer (Syslog: HTTPReferer)
-
接続で検出された HTTP トラフィックの要求 URL のリファラを示す HTTP リファラ(他の URL へのリンクを提供した Web サイト、他の URL からリンクをインポートした Web サイトなど)。
- HTTP 応答コード (Syslog:HTTPResponse)
-
クライアントからの接続経由の HTTP 要求に応じて送信される HTTP ステータス コード。
- [入力/出力インターフェイス(Ingress/Egress Interface)](Syslog:IngressInterface、EgressInterface)
-
接続に関連付けられた入力または出力のインターフェイス。展開に非対称のルーティング設定が含まれている場合は、入力と出力のインターフェイスが同じインライン ペアに属する場合があります。
- [入力/出力セキュリティゾーン(Ingress/Egress Security Zone)](Syslog:IngressZone、EgressZone)
-
接続に関連付けられた入力または出力のセキュリティ ゾーン。
再区分されたカプセル化接続では、元の入力セキュリティ ゾーンの代わりに、割り当てたトンネル ゾーンが入力フィールドに表示されます。出力フィールドは空白です。
- 入力仮想ルータ/出力仮想ルータ(Syslog:Ingressvrf、 EgressVRF)
-
仮想ルーティングを使用するネットワークにおける、トラフィックがネットワークに出入りするときに通過する仮想ルータの名前。
- イニシエータ/Responder バイト (Syslog: InitiatorBytes、 ResponderBytes)
-
セッション イニシエータが送信したバイトまたはセッション レスポンダが受信したバイトの総数。
- イニシエータ/レスポンダ大陸(Initiator/Responder Continent)
-
ルーティング可能な IP が検出された場合の、セッション イニシエータまたはレスポンダの IP アドレスに関連付けられた大陸。
- イニシエータ/レスポンダ国(Initiator/Responder Country)
-
ルーティング可能な IP が検出された場合の、セッション イニシエータまたはレスポンダの IP アドレスに関連付けられた国。システムにより、国旗のアイコンと、国の ISO 3166-1 alpha-3 国番号が表示されます。国旗アイコンの上にポインタを移動すると、国の完全な名称が表示されます。
- [イニシエータ/レスポンダ IP(Initiator/Responder IP)](Syslog:SrcIP、DstIP)
-
Secure Firewall Management Center のインターフェイスでは、これらの値は概要とグラフを抑制します。
セッション イニシエータまたはレスポンダの IP アドレス(および DNS 解決が有効化されている場合はホスト名)。
イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。
Secure Firewall Management Center の Web インターフェイスでは、ホストアイコンは接続がブロックされる原因となった IP アドレスを示します。
プレフィルタポリシーによってブロックされるか、または高速パスが適用されたプレーンテキストのパススルートンネルでは、イニシエータとレスポンダの IP アドレスはトンネルエンドポイント(トンネルの両側のネットワークデバイスのルーテッドインターフェイス)を表します。
- [イニシエータ/レスポンダのパケット数(Initiator/Responder Packets)](Syslog:InitiatorPackets、ResponderPackets)
-
セッション イニシエータが送信したバイトまたはセッション レスポンダが受信したパケットの総数。
- [イニシエータユーザー(Initiator User)](Syslog:User)
-
Secure Firewall Management Center の Web インターフェイスでは、この値は概要とグラフを制限します。
セッション イニシエータにログインしていたユーザー。このフィールドに [認証なし(No Authentication)] が入力されている場合、ユーザ トラフィックは次のようになります。
該当する場合、ユーザー名の前には <realm>\ が付いています。
イニシエータ/レスポンダ、送信元/接続先、および送信者/受信者フィールドに関する注意も参照してください。
- [侵入イベント(Intrusion Events)](syslog:IPSCount)
-
接続に関連付けられた侵入イベント(ある場合)の数。
Secure Firewall Management Center の Web インターフェイスでは、[侵入イベントの表示(View Intrusion Events)] アイコン()はイベントのリストにリンクしています。
- IOC
-
マルウェア イベントが、接続に関与したホストに対する侵入の痕跡(IOC)をトリガーしたかどうか。
- [NAT Source/Destination IP (Syslog: NAT_InitiatorIP, NAT_ResponderIP)]
-
セッションのイニシエータまたはレスポンダの NAT 変換後の IP アドレス。
- [NAT Source/Destination Port (Syslog: NAT_InitiatorPort, NAT_ResponderPort)]
-
セッションのイニシエータまたはレスポンダの NAT 変換後のポート。
- [NetBIOSドメイン(NetBIOS Domain)](Syslog:NetBIOSDomain)
-
セッションで使用された NetBIOS ドメイン。
- NetFlow SNMP 入出力(NetFlow SNMP Input/Output)
-
NetFlow データから生成された接続の場合、接続トラフィックが NetFlow 対応デバイスに入ったか、NetFlow エクスポータから出た際のインターフェイスのインターフェイス インデックス。
- NetFlow 送信元/宛先の自律システム(NetFlow Source/Destination Autonomous System)
-
NetFlow データから生成された接続の場合、接続のトラフィックの送信元または宛先に対する、Border Gateway Protocol の自律システム番号。
- NetFlow 送信元/宛先のプレフィックス(NetFlow Source/Destination Prefix)
-
NetFlow データから生成された接続の場合、送信元または宛先の IP アドレスに、送信元と宛先のプレフィックス マスクが追加されたもの。
- NetFlow 送信元/宛先 TOS(NetFlow Source/Destination TOS)
-
NetFlow データから生成された接続の場合、接続トラフィックが NetFlow 対応デバイスに入ったか、NetFlow エクスポータから出たときの Type of Service(TOS)バイトの設定。
- [ネットワーク分析ポリシー(Network Analysis Policy)](Syslog:NAPPolicy)
-
イベントの生成に関連付けられているネットワーク分析ポリシー(NAP)(ある場合)。
- クライアントのオリジナル国(Original Client Country)
-
元のクライアントの IP アドレスが属する国。この値を取得するために、システムは元のクライアント IP アドレスを X-Forwarded-For(XFF)、True-Client-IP、またはカスタム定義の HTTP ヘッダーから抽出し、それを地理位置情報データベース(GeoDB)を使用して国にマップします。このフィールドに入力するには、元のクライアントに基づいてプロキシ
トラフィックを処理するアクセス コントロール ルールを有効にする必要があります。
- [元のクライアントのIP(Original Client IP)](Syslog:originalClientSrcIP)
-
X-Forwarded-For(XFF)、True-Client-IP、またはカスタム定義の HTTP ヘッダーからの、元のクライアント IP アドレス。このフィールドに入力するには、元のクライアントに基づいてプロキシ トラフィックを処理するアクセス
コントロール ルールを有効にする必要があります。
- プレフィルタ ポリシー (Syslog:Prefilter Policy)
-
接続を処理したプレフィルタ ポリシー。
- プロトコル (Syslog:Protocol)
-
Secure Firewall Management Center の Web インターフェイスは、次のようになります。
接続に使用されるトランスポート プロトコルです。特定のプロトコルを検索するには、名前を使用するか、http://www.iana.org/assignments/protocol-numbers に記載されたプロトコルの番号を指定します。