イベント
イベントは、ネットワーク内の潜在的に危険なアクティビティに対する注意を促すためにシステムで生成された通知です。イベントは、設定イベント、SCADA イベント、ネットワーク脅威、ネットワークイベントのいずれかのカテゴリでシステムに設定されたポリシーによって生成されます。深刻度レベルが各ポリシーに割り当てられ、イベントの深刻度を示します。
ポリシーがアクティブ化されると、そのポリシーの条件に適合するシステム内のイベントがイベントログをトリガーします。同じ特性を持つ複数のイベントが、1 つにクラスター化されます。
イベントの表示
システムで発生したすべてのイベントが、[すべてのイベント] 画面に表示されます。イベントの特定のサブセットが、設定イベント、SCADA イベント、ネットワーク脅威、ネットワークイベントの各イベントカテゴリの別々の画面に表示されます。
画面の上部には、各イベントのリストが表示されます。イベント画面のそれぞれのイベント (設定イベント、SCADA イベント、ネットワーク脅威、ネットワークイベント) は、表示する列と各列の位置を調整することで、表示設定をカスタマイズできます。イベントは、さまざまなカテゴリ (イベントタイプ、深刻度、ポリシー名など) に従ってグループ化できます。また、イベントリストをソートおよびフィルタリングしたり、検索を実行したりすることもできます。カスタマイズ機能の説明については、管理コンソールのユーザーインターフェース要素を参照してください。
ヘッダーバーに [アクション] ボタンがあり、選択したイベントで次のアクションを実行できます。
-
解決 – このイベントを解決済みとしてマークします。
-
PCAP のダウンロード – このイベントの PCAP ファイルをダウンロードします。
-
除外 – このイベントのポリシー除外を作成します。
これらのアクションの詳細情報は、次のセクションに示されています。
画面の下部には、選択されたイベントに関する詳細情報がタブに分割されて表示されます。選択したイベントのイベントタイプに関連するタブのみが表示されます。さまざまなタイプのイベントに対して、詳細、コード、ソース、デスティネーション、ポリシー、スキャン済みポート、ステータスのタブが表示されます。
注意: パネル分割を上下にドラッグして、下部パネルの表示を拡大 / 縮小できます。
各イベントに関連するパケットキャプチャファイルをダウンロードできます。ネットワークを参照してください。各イベントリストに表示される情報について、次の表で説明します。
| パラメーター | 説明 |
|---|---|
| 名前 | ネットワーク内のデバイスの名前。資産の名前をクリックして、その資産の [資産詳細] 画面を表示します。インベントリを参照してください。 |
| アドレス |
資産の IP および / または MAC アドレス。 注意: 資産には複数の IP アドレスがある場合があります。 |
| タイプ | 資産タイプ。さまざまな資産タイプの説明については、資産タイプを参照してください。 |
| バックプレーン | コントローラーが接続されているバックプレーンユニット。バックプレーン構成に関する追加の詳細が、[資産詳細] 画面に表示されます。 |
| スロット | バックプレーン上にあるコントローラーの場合、コントローラーが取り付けられているスロットの番号が表示されます。 |
| ベンダー | 資産ベンダー。 |
| ファミリー | コントローラーベンダーによって定義された製品のファミリー名。 |
| ファームウェア | 現在コントローラーにインストールされているファームウェアのバージョン。 |
| 場所 | OT Security の資産詳細でユーザーが入力した資産の場所。インベントリを参照してください。 |
| 最終確認日 | デバイスが OT Security によって最後に確認された時間。これは、デバイスがネットワークに接続された、またはアクティビティを実行した最後の時間です。 |
| OS | 資産で実行されている OS。 |
| ログ ID | イベントを参照するためにシステムによって生成される ID。 |
| 時間 | イベントが発生した日時。 |
| イベントタイプ | イベントをトリガーしたアクティビティのタイプの説明。イベントは、システムに設定されているポリシーによって生成されます。さまざまなタイプのポリシーの説明については、ポリシーのタイプを参照してください。 |
| 深刻度 |
イベントの深刻度レベルを表示します。以下は、可能な値の説明です。 なし - 心配は不要です。 情報 - 現時点では心配はありませんが、都合の良いときに確認する必要があります。 警告 - 潜在的に害のあるアクティビティが発生したことに対する中程度の深刻度レベルで、都合の良いときに対処する必要があります。 重大 - 潜在的に害のあるアクティビティが発生したことに対する深刻度の高いレベルで、すぐに対処する必要があります。 |
| ポリシー名 | イベントを生成したポリシーの名前。名前は、ポリシーリストへのリンクになっています。 |
| ソース資産 | イベントを開始した資産の名前。このフィールドは、資産リストへのリンクになっています。 |
| ソースアドレス | イベントを開始した資産の IP または MAC。 |
| デスティネーション資産 | イベントの影響を受けた資産の名前。このフィールドは、資産リストへのリンクになっています。 |
| デスティネーションアドレス | イベントの影響を受けた IP または MAC。 |
| プロトコル | 関連する場合は、このイベントを生成した会話に使用されたプロトコルを示します。 |
| イベントカテゴリ |
イベントの一般的なカテゴリを表示します。
注意: [すべてのイベント] 画面には、すべてのタイプのイベントが表示されます。それぞれの特定のイベント画面には、指定されたカテゴリのイベントのみが表示されます。
以下は、イベントカテゴリの簡単な説明です (詳細な説明については、ポリシーカテゴリとサブカテゴリを参照してください)。
|
| ステータス | イベントが解決済みとしてマークされているかどうかを示します。 |
| 解決者 | 解決済みイベントについて、どのユーザーがイベントを解決済みとしてマークしたかを示します。 |
| 解決日 | 解決済みイベントについて、いつイベントが解決済みとしてマークされたかを示します。 |
| コメント | イベントの解決時に追加されたコメントを表示します。 |
イベントの詳細の表示
イベント画面の下部に、選択したイベントの追加詳細が表示されます。情報は複数のタブに分割されています。選択したイベントに関連するタブのみが表示されます。詳細情報には、関連エンティティに関する追加情報へのリンクが含まれています (ソース資産、デスティネーション資産、ポリシー、グループなど)。
-
ヘッダー – イベントに関する重要な情報の概要を表示します。
-
詳細 – イベントの簡単な説明、およびこの情報が重要である理由の説明とイベントによる潜在的な被害を緩和するための推奨手順が記載されています。さらに、イベントに関連するソース資産とデスティネーション資産も表示されます。
-
ルールの詳細 (侵入検出イベント用) – イベントに適用される Suricata ルールに関する情報を表示します。
-
コード – このタブは、コードのダウンロードとアップロード、HW 設定、コードの削除などのコントローラーアクティビティで表示されます。特定のコードブロック、ラング、タグなど、関連コードに関する詳細情報が表示されます。コード要素は、表示される詳細を展開 / 最小化するための矢印付きのツリー構造で表示されます。
-
ソース – このイベントのソース資産に関する詳細情報を表示します。
-
デスティネーション – このイベントのデスティネーション資産に関する詳細情報を表示します。
-
影響を受ける資産 – このイベントによって影響を受ける資産に関する詳細情報を表示します。
-
スキャン済みポート (ポートスキャンイベント用) – スキャンされたポートを表示します。
-
スキャン済みアドレス (ARP スキャンイベント用) – スキャンされたアドレスを表示します。
-
ポリシー – イベントをトリガーしたポリシーに関する詳細情報を表示します。
-
ステータス – イベントが解決済みとしてマークされているかどうかを示します。解決済みのイベントについては、どのユーザーが解決済みとしてマークしたか、いつ解決されたかに関する詳細を表示します。
イベントクラスターの表示
イベントの監視を容易にするために、同じ特性を持つ複数のイベントが、1 つにクラスター化されます。クラスタリングは、イベントタイプ (同じポリシーを共有するなど)、ソース資産とデスティネーション資産、イベントが発生する時間範囲に基づいて行われます。イベントクラスターの設定の詳細については、イベントクラスターを参照してください。
クラスター化されたイベントは、ログ ID の横に矢印で示されます。クラスターの個々のイベントを表示するには、レコードをクリックしてリストを展開します。