イベント
イベントは、ネットワーク内の潜在的に危険なアクティビティに対する注意を促すためにシステムで生成された通知です。OT Security システムで設定したポリシーは、設定イベント、SCADA イベント、ネットワーク脅威、ネットワークイベントのいずれかのカテゴリでイベントを生成します。OT Security は深刻度レベルを各ポリシーに割り当て、イベントの深刻度を示します。
ポリシーをアクティブ化すると、そのポリシーの条件に適合するシステム内のイベントがイベントログをトリガーします。同じ特性を持つ複数のイベントが、1 つにクラスター化されます。
イベントの表示
システムで発生したすべてのイベントが、[すべてのイベント] ページに表示されます。イベントの特定のサブセットが、設定イベント、SCADA イベント、ネットワーク脅威、ネットワークイベントの各イベントカテゴリの別々のウィンドウに表示されます。
イベントページのそれぞれのイベント (設定イベント、SCADA イベント、ネットワーク脅威、ネットワークイベント) は、表示する列と各列の位置を選択することで、表示設定をカスタマイズできます。イベントは、イベントタイプ、深刻度、ポリシー名などに基づいてグループ化できます。イベントリストの並べ替え、フィルタリング、検索も可能です。カスタマイズ機能の詳細については、表のカスタマイズを参照してください。
ヘッダーバーの [アクション] ボタンを使用して、次のアクションを実行できます。
-
解決 – このイベントを解決済みとしてマークします。
-
PCAP のダウンロード – このイベントの PCAP ファイルをダウンロードします。
-
除外 – このイベントのポリシー除外を作成します。
ページの下部には、選択されたイベントに関する詳細情報がタブに分割されて表示されます。選択したイベントのイベントタイプに関連するタブのみが表示されます。さまざまなタイプのイベントに対して、詳細、コード、ソース、デスティネーション、ポリシー、スキャン済みポート、ステータスのタブが表示されます。
注意: パネル分割を上下にドラッグして、下部パネルの表示を拡大 / 縮小できます。
各イベントに関連するパケットキャプチャファイルをダウンロードできます。ネットワークを参照してください。各イベントリストに表示される情報について、次の表で説明します。
| パラメーター | 説明 |
|---|---|
| 名前 | ネットワーク内のデバイスの名前。資産の名前をクリックして、その資産の [資産詳細] 画面を表示します。インベントリを参照してください。 |
| アドレス |
資産の IP および / または MAC アドレス。 注意: 資産には複数の IP アドレスがある場合があります。 |
| タイプ | 資産タイプ。さまざまな資産タイプの説明については、資産タイプを参照してください。 |
| バックプレーン | コントローラーが接続されているバックプレーンユニット。バックプレーン構成に関する追加の詳細が、[資産詳細] 画面に表示されます。 |
| スロット | バックプレーン上にあるコントローラーの場合、コントローラーが取り付けられているスロットの番号が表示されます。 |
| ベンダー | 資産ベンダー。 |
| ファミリー | コントローラーベンダーによって定義された製品のファミリー名。 |
| ファームウェア | 現在コントローラーにインストールされているファームウェアのバージョン。 |
| 場所 | OT Security の資産詳細でユーザーが入力した資産の場所。インベントリを参照してください。 |
| 最終確認日 | デバイスが OT Security によって最後に確認された時間。これは、デバイスがネットワークに接続された、またはアクティビティを実行した最後の時間です。 |
| OS | 資産で実行されている OS。 |
| ログ ID | イベントを参照するためにシステムによって生成される ID。 |
| 時間 | イベントが発生した日時。 |
| イベントタイプ | イベントをトリガーしたアクティビティのタイプの説明。イベントは、システムに設定されているポリシーによって生成されます。さまざまなタイプのポリシーの説明については、ポリシーのタイプを参照してください。 |
| 深刻度 |
イベントの深刻度レベルを表示します。以下は、可能な値の説明です。 なし - 心配は不要です。 情報 - 現時点では心配はありませんが、都合の良いときに確認する必要があります。 警告 - 潜在的に害のあるアクティビティが発生したことに対する中程度の深刻度レベルで、都合の良いときに対処する必要があります。 重大 - 潜在的に害のあるアクティビティが発生したことに対する深刻度の高いレベルで、すぐに対処する必要があります。 |
| ポリシー名 | イベントを生成したポリシーの名前。名前は、ポリシーリストへのリンクになっています。 |
| ソース資産 | イベントを開始した資産の名前。このフィールドは、資産リストへのリンクになっています。 |
| ソースアドレス | イベントを開始した資産の IP または MAC。 |
| デスティネーション資産 | イベントの影響を受けた資産の名前。このフィールドは、資産リストへのリンクになっています。 |
| デスティネーションアドレス | イベントの影響を受けた IP または MAC。 |
| プロトコル | 関連する場合は、このイベントを生成した会話に使用されたプロトコルを示します。 |
| イベントカテゴリ |
イベントの一般的なカテゴリを表示します。
注意: [すべてのイベント] 画面には、すべてのタイプのイベントが表示されます。それぞれの特定のイベント画面には、指定されたカテゴリのイベントのみが表示されます。
以下は、イベントカテゴリの簡単な説明です (詳細な説明については、ポリシーカテゴリとサブカテゴリを参照してください)。
|
| ステータス | イベントが解決済みとしてマークされているかどうかを示します。 |
| 解決者 | 解決済みイベントについて、どのユーザーがイベントを解決済みとしてマークしたかを示します。 |
| 解決日 | 解決済みイベントについて、いつイベントが解決済みとしてマークされたかを示します。 |
| コメント | イベントの解決時に追加されたコメントを表示します。 |
イベントの詳細の表示
イベント画面の下部に、選択したイベントの追加詳細が表示されます。情報は複数のタブに分割されています。選択したイベントに関連するタブのみが表示されます。詳細情報には、関連エンティティに関する追加情報へのリンクが含まれています (ソース資産、デスティネーション資産、ポリシー、グループなど)。
-
ヘッダー – イベントに関する重要な情報の概要を表示します。
-
詳細 – イベントの簡単な説明、およびこの情報が重要である理由の説明とイベントによる潜在的な被害を緩和するための推奨手順が記載されています。さらに、イベントに関連するソース資産とデスティネーション資産も表示されます。
-
ルールの詳細 (侵入検出イベント用) – イベントに適用される Suricata ルールに関する情報を表示します。
-
コード – このタブは、コードのダウンロードとアップロード、HW 設定、コードの削除などのコントローラーアクティビティで表示されます。特定のコードブロック、ラング、タグなど、関連コードに関する詳細情報が表示されます。コード要素は、表示される詳細を展開 / 最小化するための矢印付きのツリー構造で表示されます。
-
ソース – このイベントのソース資産に関する詳細情報を表示します。
-
デスティネーション – このイベントのデスティネーション資産に関する詳細情報を表示します。
-
影響を受ける資産 – このイベントによって影響を受ける資産に関する詳細情報を表示します。
-
スキャン済みポート (ポートスキャンイベント用) – スキャンされたポートを表示します。
-
スキャン済みアドレス (ARP スキャンイベント用) – スキャンされたアドレスを表示します。
-
ポリシー – イベントをトリガーしたポリシーに関する詳細情報を表示します。
-
ステータス – イベントが解決済みとしてマークされているかどうかを示します。解決済みのイベントについては、どのユーザーが解決済みとしてマークしたか、いつ解決されたかに関する詳細を表示します。
イベントクラスターの表示
イベントの監視を容易にするために、同じ特性を持つ複数のイベントが、1 つにクラスター化されます。クラスタリングは、イベントタイプ (同じポリシーを共有するなど)、ソース資産とデスティネーション資産、イベントが発生する時間範囲に基づいて行われます。イベントクラスターの設定の詳細については、イベントクラスターを参照してください。
クラスター化されたイベントは、ログ ID の横に矢印で示されます。クラスターの個々のイベントを表示するには、レコードをクリックしてリストを展開します。