イベントの検索
システムでは、データベーステーブルにイベントとして保存される情報が生成されます。イベントには、アプライアンスがイベントを生成する原因となったアクティビティを示すいくつかのフィールドが含まれます。ご使用の環境用にカスタマイズされた、さまざまなイベント タイプの検索を作成および保存し、後で再使用するために保存できます。
検索設定を保存するときには、その検索設定の名前を付け、それを自分だけで使用するか、それともアプライアンスの全ユーザが使用できるようにするかを指定します。カスタム ユーザ ロールのデータの制限として検索を使用する場合は、必ずプライベート検索として保存する必要があります。以前に検索設定を保存した場合、それをロードし、必要に応じて修正して、検索を開始することができます。カスタム分析のダッシュボード ウィジェット、レポート テンプレート、カスタム ユーザ ロールも、保存した検索を使用できます。保存済みの検索設定がある場合、[検索(Search)] ページからそれらを削除できます。
いくつかのイベントタイプに関しては、システムに備わっている定義済みの検索設定をサンプルとして使用すると、ネットワークについての重要な情報にすばやくアクセスできます。ネットワーク環境に合わせて定義済み検索設定のフィールドを変更し、検索設定を保存して、後で再利用することができます。
検索の種類に応じて、使用できる検索条件は異なりますが、メカニズムは同じです。検索により、すべてのフィールドに対して指定した検索条件と一致するレコードのみが返されます。
(注) |
カスタム テーブルの検索には、若干異なる手順が必要です。 |
検索の制約
データベース テーブルごとに、検索を制約する値を入力できる独自の検索ページがあります。入力した値は、そのテーブルに定義されているフィールドに適用されます。フィールドのタイプによっては、特殊なシンタックスを使用して、ワイルドカード文字や数値の範囲などの基準を指定できます。
検索結果はワークフロー ページに表示され、カラム式レイアウトでテーブルの各フィールドが示されます。一部のデータベース テーブルは、ワークフロー ページにカラムとして表示されないフィールドを使用した検索も行えます。ワークフローページで結果を確認する際に、該当する制約が検索結果に適用されているかどうかを判別するには、[展開矢印(Expand Arrow)]() をクリックして、検索に現在有効になっている制約を表示します。
一般的な検索の制約
イベントを検索するときは、次の一般的な注意事項を順守してください。
-
多くのフィールドでは、部分一致検索にワイルドカードが必要です。これらの検索では、すべてのフィールドでワイルドカードを使用できます。
検索で使用するワイルドカードと記号を参照してください。
-
すべてのフィールドで否定(
!
)を使用できます。 -
すべてのフィールドで検索値のカンマ区切りリストを使用できます。指定したフィールドにリストされた値のいずれかを含むレコードは、その検索条件に一致します。
-
すべてのフィールドで、引用符で囲んだカンマ区切りリストを検索値として使用できます。
-
値を 1 つのみ含むことができるフィールドの場合、検索条件に一致するのは、指定したフィールドに引用符内の文字列と同じ文字列が含まれるレコードです。たとえば、
A, B, "C, D, E"
を検索すると、指定したフィールドに「A
」または「B
」または「C, D, E
」を含むレコードが一致します。これにより、使用できる値にカンマを含むフィールドでの一致が可能です。 -
同時に複数の値を含むことができるフィールドの場合、引用符で囲んだカンマ区切りリスト内のすべての値が指定したフィールドに含まれるレコードが検索条件に一致します。
-
同時に複数の値を含むことができるフィールドについては、引用符で囲んだカンマ区切りリストだけでなく、単一の値も検索条件に使用することができます。たとえば、
A, B, "C, D, E"
をこれらの文字の 1 つまたは複数を含むことができるフィールドで検索すると、指定したフィールドにA
またはB
、またはC
、D
、E
のすべてを含むレコードが一致します。
-
-
フィールドでその情報を利用できないイベントを示すには、そのフィールドで
n/a
を指定します。フィールドに情報が入力されているイベントを示すには!n/a
を使用します。 -
多くの数値フィールドの前には、より大きい(
>
)、以上(>=
)、より小さい(<)、以下(<=
)、等しい(=
)または等しくない(<>
)の演算子を付けることができます。
ヒント |
長い複雑な値を(SHA-256 ハッシュ値など)を含むフィールドを検索する場合は、ソース資料から検索基準値をコピーし、検索ページの適切なフィールドに貼り付けることができます。 |
検索で使用するワイルドカードと記号
接続イベントとセキュリティ インテリジェンス イベントのすべてのテキストフィールド、および他のイベントタイプのほとんどのテキストフィールドを検索する場合、テキストフィールドで部分一致を検索するには、文字列内の指定されていない文字を表すためにアスタリスク(*)が必要です。アスタリスクを使用しない検索は、これらのフィールドでの完全一致検索になります。ワイルドカードを必要としないフィールドでも、部分一致検索には常にワイルドカードを使用することを推奨します。
たとえば、example.com
、www.example.com
、または department.example.com
を見つけるには、*.example.com
で検索します。example.com
で検索すると、ほとんどの場合、example.com
のみが返されます。
英数字以外の文字(アスタリスク文字を含む)を検索するには、検索文字列を引用符で囲みます。たとえば、次の文字列を検索するとします。
Find an asterisk (*)
次のように入力します。
"Find an asterisk (*)"
検索でのオブジェクトとアプリケーションのフィルタ
システムでは、ネットワーク構成の一部として使用可能な名前付きオブジェクト、オブジェクトグループ、およびアプリケーションフィルタを作成できます。検索を実行または保存するときには、検索条件としてこれらのオブジェクト、グループ、およびフィルタを使用できます。
検索を実行するときに、オブジェクト、オブジェクト グループ、およびアプリケーション フィルタは ${object_name}
という形式で表示されます。たとえば、オブジェクト名 ten_ten_network
であるネットワーク オブジェクトは、検索では ${ten_ten_network}
と表されます。
検索基準としてオブジェクトを使用できる検索フィールドの横には [オブジェクト(Object)]() が表示され、これをクリックすることができます。
検索で指定する時間制約
時間値を指定できる検索条件フィールドで使用可能な形式を、次の表に示します。
時間の形式 |
例 |
---|---|
|
|
|
|
時間値の前に、以下のいずれか 1 つの演算子を指定できます。
演算子 |
例 |
説明 |
---|---|---|
|
|
2006 年 3 月 22 日午後 2:23 より前のタイムスタンプを持つイベントを返します。 |
|
|
今日の午後 2 時 45 分より後のタイムスタンプを持つイベントを返します。 |
検索での IP アドレス
検索で IP アドレスを指定するときには、個別の IP アドレス、複数アドレスのカンマ区切りリスト、アドレス ブロック、またはハイフン(-)で区切った IP アドレス範囲を入力することができます。また、否定を使用することもできます。
IPv6 をサポートする検索(侵入イベント、接続データ、相関イベントの検索など)では、IPv4 アドレス、IPv6 アドレス、および CIDR/プレフィックス長アドレス ブロックを任意に組み合わせて入力できます。IP アドレスを使用してホストを検索した場合、結果には、少なくとも 1 つの IP アドレスが検索条件と一致するホストがすべて含まれます(つまり、IPv6 のアドレスの検索では、プライマリ アドレスが IPv4 であるホストが返されることがあります)。
CIDR またはプレフィックス長の表記を使用して IP アドレスのブロックを指定する場合、システムは、マスクまたはプレフィックス長で指定されたネットワーク IP アドレスの部分のみを使用します。たとえば、10.1.2.3/8
と入力すると、システムは 10.0.0.0/8
を使用します。
IP アドレスをネットワークオブジェクトによって表すことができるため、IP アドレス検索フィールドの横にあるネットワークの追加の[オブジェクト(Object)]()をクリックして、ネットワークオブジェクトを IP アドレス検索基準として使用することもできます。
指定する項目 |
タイプ |
例 |
---|---|---|
単一の IP アドレス |
その IP アドレス。 |
|
リストを使用した複数の IP アドレス |
IP アドレスからなるカンマ区切りリスト。カンマの前後にスペースを追加しないでください。 |
|
CIDR ブロックまたはプレフィックス長で指定できる IP アドレスの範囲 |
IPv4 CIDR または IPv6 プレフィクス長表記の IP アドレス ブロック。 |
これは、サブネット マスク 255.255.255.0 である 192.168.1.0 ネットワーク内の任意の IP を指定します(つまり 192.168.1.0 から 192.168.1.255 まで)。 |
CIDR ブロックやプレフィクスで指定できない IP アドレスの範囲 |
ハイフンを使用した IP アドレス範囲。ハイフンの前後にスペースを入力しないでください。 |
|
他の方法で否定を使用して IP アドレスまたは IP アドレス範囲を指定 |
IP アドレス、ブロック、または範囲の先頭に感嘆符を付ける。 |
|
ブロックされたホストまたはモニター対象の(そうでなければブロックされた)ホスト ホスト プロファイルのアイコンを参照してください。 |
接続イベントとセキュリティ インテリジェンス イベントの、[イニシエータIP(Initiator IP)] フィールドと [レスポンダIP(Responder IP)] フィールド:
|
-- |
検索での URL
URL を検索するときは、ワイルドカードを含めます。たとえば、*example.com* を使用すると、https://example.com、division.example.com、example.com/division/ など、ドメインのすべてのバリエーションを検索します。
検索での管理対象デバイス
デバイスをグループ化している場合(Management Center で、または実際の高可用性設定あるいは拡張性設定として)、グループの名前を検索すると、グループ内のすべてのデバイスに対する結果が正しく返されます。
システムでグループ、の一致が検出されると、検索を実行するために、そのグループ名名が適切なメンバー デバイス名に置き換えられます。デバイス フィールドのデバイス グループを使用する検索を保存すると、デバイス フィールドで指定した名前がシステムによって保存され、検索が実行されるたびにデバイス名の置換が再度実行されます。
検索でのポート
システムでは、ポート番号を表す特定の構文を検索で指定できます。次の入力が可能です。
-
1 つのポート番号
-
コンマで区切られたポート番号リスト
-
ポート番号範囲を示すのにダッシュで区切られた 2 つのポート番号
-
1 つのポート番号の後に、スラッシュで区切られたプロトコル省略形(侵入イベントを検索する場合のみ)
-
1 つのポート番号またはポート番号範囲の前に 1 つの感嘆符(指定されたポートの否定を表す)
(注) |
ポート番号や範囲を指定するときには、スペースを使用しないでください。 |
例 |
説明 |
---|---|
|
ポート 21 でのすべてのイベントを返します(TCP および UDP イベントを含む)。 |
|
ポート 23 上のイベントを除くすべてのイベントを返します。 |
|
ポート 25 の TCP 関連侵入イベントをすべて戻します。 |
|
ポート 21、25 の TCP 関連侵入イベントをすべて戻します。 |
|
ポート 21 から 25 のイベントをすべて戻します。 |
検索のイベント フィールド
-
Cisco Secure Firewall Management Center デバイス構成ガイドの「Nmap Scan Results Fields」を参照してください
検索の実行
検索を実行するには、管理者権限またはセキュリティアナリスト権限が必要です。
手順
ステップ 1 |
を選択します。
|
||
ステップ 2 |
テーブルのドロップダウンリストから、検索するイベントタイプまたはデータを選択します。 |
||
ステップ 3 |
該当するフィールドに検索基準を入力します。使用可能な検索条件の詳細については、次の項を参照してください。
|
||
ステップ 4 |
将来検索を再度使用する場合は、その検索を保存します。詳細については、検索設定の保存を参照してください。 |
||
ステップ 5 |
[検索(Search)] をクリックして、検索を開始します。検索結果は、検索されるテーブルのデフォルト ワークフローで表示され、該当する場合には時間で制約されます。 |
次のタスク
-
ワークフローを使用して検索結果を分析する場合は、ワークフローの使用を参照してください。
検索設定の保存
検索を保存するには、管理者権限またはセキュリティアナリスト権限が必要です。
マルチドメイン展開では、現在のドメインで作成された保存済みの検索が表示されます。これは編集できます。先祖ドメインで作成された保存済みの検索も表示されますが、これは編集できません。下位のドメインで作成された検索を表示および編集するには、そのドメインに切り替えます。
始める前に
-
検索の実行で説明するように検索条件を設定するか、保存済み検索設定のロードで説明するように保存した検索をロードします。
手順
ステップ 1 |
[検索(Search)] ページから、自分だけがアクセスできるように検索設定をプライベートとして保存する場合は、[プライベート(Private)] チェックボックスをオンにします。
|
||
ステップ 2 |
次の 2 つの対処法があります。
|
保存済み検索設定のロード
保存済み検索をロードするには、管理者権限またはセキュリティアナリスト権限が必要です。
マルチドメイン展開では、現在のドメインで作成された保存済みの検索が表示されます。これは編集できます。先祖ドメインで作成された保存済みの検索も表示されますが、これは編集できません。下位のドメインで作成された検索を表示および編集するには、そのドメインに切り替えます。
手順
ステップ 1 |
を選択します。
|
||
ステップ 2 |
テーブルのドロップダウンリストから、検索するイベントまたはデータのタイプを選択します。 |
||
ステップ 3 |
[カスタム検索(Custom Searches)] リストまたは [定義済の検索(Predefined Searches)] リストから、ロードする検索を選択します。 |
||
ステップ 4 |
別の検索条件を使用するには、検索の制約を変更します。 |
||
ステップ 5 |
変更した検索を将来再度使用する場合は、検索を保存しておきます。詳細については、検索設定の保存を参照してください。 |
||
ステップ 6 |
[検索(Search)] をクリックします。 |