イベント

[イベント] タブには、OT Security プラグインによって検出された、資産に関連するネットワーク内のイベントの詳細リストが表示されます。表示される列と各列の位置を調整することで、表示設定をカスタマイズできます。イベントは、さまざまなカテゴリ (イベントタイプ、深刻度、ポリシー名など) に従ってグループ化できます。また、イベントリストをソートおよびフィルタリングしたり、検索を実行したりすることもできます。カスタマイズ機能の説明については、管理コンソールのユーザーインターフェース要素を参照してください。

画面の下部には、選択されたイベントに関する詳細情報がタブに分割されて表示されます。選択したイベントのイベントタイプに関連するタブのみが表示されます。イベントの詳細については、イベントを参照してください。

ペインの上部に [アクション] ボタンがあり、選択したイベントで次のアクションを実行できます。

  • 解決 – このイベントを解決済みとしてマークします。

  • PCAP のダウンロード – このイベントの PCAP ファイルをダウンロードします。

  • 除外 – このイベントのポリシー除外を作成します。

これらのアクションの詳細については、イベントの章を参照してください。

各イベントリストに表示される情報について、次の表で説明します。

パラメーター 説明
ログ ID イベントを参照するためにシステムによって生成される ID。
時間 イベントが発生した日時。
イベントタイプ イベントをトリガーしたアクティビティのタイプの説明。イベントは、システムに設定されているポリシーによって生成されます。さまざまなタイプのポリシーの説明については、ポリシーのタイプを参照してください。
深刻度

イベントの深刻度レベルを表示します。以下は、可能な値の説明です。

  • なし - 心配は不要です。

  • 情報 - 現時点では心配はありませんが、都合の良いときに確認する必要があります。

  • 警告 - 潜在的に害のあるアクティビティが発生したことに対する中程度の深刻度レベルで、都合の良いときに対処する必要があります。

  • 重大 - 潜在的に害のあるアクティビティが発生したことに対する深刻度の高いレベルで、すぐに対処する必要があります。
ポリシー名 イベントを生成したポリシーの名前。名前は、ポリシーリストへのリンクになっています。
ソース資産 イベントを開始した資産の名前。このフィールドは、資産リストへのリンクになっています。
ソースアドレス イベントを開始した資産の IP または MAC。
ソースアドレス イベントを開始した資産の IP または MAC。
デスティネーション資産 イベントの影響を受けた資産の名前。このフィールドは、資産リストへのリンクになっています。
デスティネーションアドレス イベントの影響を受けた IP または MAC。
プロトコル 関連する場合は、このイベントを生成した会話に使用されたプロトコルを示します。
イベントカテゴリ

イベントの一般的なカテゴリを表示します。

注意: [すべてのイベント] 画面には、すべてのタイプのイベントが表示されます。それぞれの特定のイベント画面には、指定されたカテゴリのイベントのみが表示されます。

以下は、イベントカテゴリの簡単な説明です (詳細な説明については、ポリシーカテゴリとサブカテゴリを参照してください)。

  • 設定イベント - 2 つのサブカテゴリが含まれます。

  • コントローラー検証イベント – これらのポリシーは、ネットワークのコントローラーで発生する変更を検出します。

  • コントローラーアクティビティイベント – アクティビティポリシーは、ネットワークで発生するアクティビティに関連しています (つまり、ネットワークの資産間に実装された「コマンド」)。

  • SCADA イベント – コントローラーのデータプレーンに加えられた変更を識別するポリシーです。

  • ネットワーク脅威イベント – これらのポリシーは、侵入の脅威を示すネットワークトラフィックを特定します。

  • ネットワークイベント – ネットワーク内の資産および資産間の通信ストリームに関連したポリシーです。
ステータス イベントが解決済みとしてマークされているかどうかを示します。
解決者 解決済みイベントについて、どのユーザーがイベントを解決済みとしてマークしたかを示します。
解決日 解決済みイベントについて、いつイベントが解決済みとしてマークされたかを示します。
コメント イベントの解決時に追加されたコメントを表示します。