ビュー:
イベントに関する全般的なベストプラクティスについては、Deep Securityのイベント収集を参照してください。
Deep Securityによってキャプチャされたファイアウォールイベントを確認するには、[イベントとレポート][イベント][ファイアウォールイベント]に移動します。
ファイアウォールイベントのアイコン:
  • generic_single_event=cec9c63e-5bc7-491f-ad03-d2e7f6da8d90.png 単一イベント
  • generic_event_w_data=a4cf5c7e-f905-4781-b5aa-f3759ee15da8.png データを含む単一イベント
  • generic_repeated_event=2f22b2b4-c50a-494f-951e-205fa17f2a02.png 折りたたまれたイベント
  • generic_repeated_event_w_data=deea0c11-3573-4753-a784-777430cda8f4.png データを含む折りたたまれたイベント
注意
注意
イベントの折りたたみは、同じ種類のイベントが数回続けて発生したときに実行されます。これによりディスク容量を節約でき、ログメカニズムに負荷をかけるDoS攻撃から防御することができます。

ファイアウォールイベントで表示される情報

これらの列は、ファイアウォールイベント画面に表示できます。[列] をクリックして、テーブルに表示する列を選択できます。
  • 日時::コンピュータ上でイベントが発生した時刻。
  • コンピュータ::このイベントのログが記録されたコンピュータ (コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)
  • 理由::このページのログエントリは、ファイアウォールルールまたはファイアウォールステートフル設定によって生成されます。エントリがファイアウォールルールによって生成された場合、列エントリは「ファイアウォールルール:」で始まり、その後にファイアウォールルールの名前が続きます。それ以外の場合、列エントリにはログエントリを生成したファイアウォールステートフル設定が表示されます。
  • タグ:: このイベントに適用されているイベントタグ。
  • 処理::ファイアウォールルールまたはファイアウォールステートフル構成によって実行された処理。可能な処理は、許可、拒否、強制許可、およびログのみです。
  • ランク::ランク付けシステムでは、侵入防御およびファイアウォールイベントの重要度を数値化できます。コンピュータに「資産評価」を割り当て、侵入防御ルールとファイアウォールルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。これによって、侵入防御イベントまたはファイアウォールイベントを表示するときに、イベントをランクでソートできます。
  • 方向::パケットの方向 (受信または送信)。
  • インタフェース::パケットが経由するインタフェースのMACアドレス。
  • フレームの種類:: 対象となるパケットのフレームの種類。値は、[IPV4]、[IPV6]、[ARP]、[REVARP]、および [その他:XXXX] (XXXXはフレームの種類を示す4桁の16進コード) のいずれかになります。
  • プロトコル::値は、[ICMP]、[ICMPV6]、[IGMP]、[GGP]、[TCP]、[PUP]、[UDP]、[IDP]、[ND]、[RAW]、[TCP+UDP]、および [その他: nnn] (nnnは3桁の10進値) のいずれかになります。
  • フラグ::パケットに設定されたフラグ。
  • 送信元IP:パケットの送信元IP。
  • 送信元MAC::パケットの送信元MACアドレス。
  • 送信元ポート::パケットの送信元ポート。
  • 送信先IP::パケットの送信先IP。
  • 送信先MAC::パケットの送信先MACアドレス。
  • 送信先ポート:パケットの送信先ポート。
  • パケットサイズ::バイト単位のパケットのサイズ。
  • 繰り返しカウント:: イベントが連続して繰り返された回数。
  • 時間 (ミリ秒)::コンピュータ上でイベントが発生した時間 (ミリ秒)。
  • イベント送信元::イベントの発生元であるDeep Securityコンポーネント。
次の列も使用できます。Deep Security Agent 12 FR以上で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。
  • インタフェースの種類::コンテナインターフェイスタイプ。
  • コンテナ名::イベントが発生したコンテナの名前。
  • コンテナID::イベントが発生したコンテナのコンテナIDです。
  • イメージ名::イベントが発生したコンテナの作成に使用されたイメージ名。
  • RepoDigest::コンテナイメージを識別する一意の通知です。
  • プロセス名::イベントの原因となった (コンテナからの) プロセスの名前。
注意
注意
ログのみ]ルールは、該当するパケットがその後[拒否]ルールまたはそれを除外する[許可]ルールによって停止されない場合にのみログエントリを生成します。パケットがこれら2つのルールのいずれかによって停止された場合、それらのルールがログエントリを生成し、[ログのみ]ルールは生成しません。後続のルールがパケットを停止しない場合、ログ専用ルールがエントリを生成します。

ファイアウォールイベント一覧

ID
イベント
備考
100
セッション情報なし
既存の接続に関連付けられていないパケットを受信しました。
101
不正なフラグ
パケットに設定されたフラグが無効でした。このイベントは、現在の接続 (存在する場合) のコンテキスト内で意味をなさないフラグ、または無意味な組み合わせのフラグであることを示している可能性があります。
接続コンテキストを評価するには「ファイアウォールステートフル設定」がオンになっている必要があります。
102
不正なシーケンス
シーケンス番号が無効なパケットまたはデータサイズが範囲外のパケットが検出されました。
103
不正なACK
確認応答番号が無効なパケットが検出されました。
104
内部エラー
 
105
CEフラグ
パケットに輻輳フラグが設定されており、ポリシーの回避技術対策設定がカスタム構成を使用していて、TCP輻輳フラグプロパティがログまたは拒否に設定されています。(回避技術対策設定の構成を参照してください。)
106
不正なIP
パケットの送信元IPが無効です。
107
不正なIPデータグラム長
IPヘッダで指定されている長さよりも短いIPデータグラム長です。
108
フラグメント化
断片化されたパケットが検出されましたが、断片化されたパケットは許可されていません。
109
不正なフラグメントオフセット
 
110
最初のフラグメントが最小サイズ未満
フラグメント化されたパケットが検出されました。最初のフラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。
パケットヘッダに次の設定が指定されている場合、パケットは破棄されます。
  • フラグメントオフセット= 0(フラグメントはパケット内の最初のフラグメントです)
  • 合計長(合計ヘッダー長の最大)< 120バイト(初期設定で許可される最小フラグメントサイズ)
このイベントが発生しないようにするには、ポリシーの高度なネットワークエンジンの設定で最小フラグメントサイズプロパティの値を低く設定するか、0に設定してこの検査をオフにします。 (コンピュータとポリシーエディタの設定の「高度なネットワークエンジンオプション」を参照してください。)
111
範囲外のフラグメント
フラグメント化されたパケットシーケンスに指定されているオフセットが、データグラムの最大サイズ範囲を超えています。
112
最小オフセット値以下のフラグメント
フラグメント化されたパケットが検出されました。フラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。
113
IPv6パケット
IPv6パケットが検出され、IPv6ブロックが有効になっています。詳細は、高度なネットワークエンジンオプションの「エージェントおよびアプライアンスバージョン9以降でIPv6をブロックする」プロパティを参照してください (コンピュータおよびポリシーエディタの設定を参照)
114
受信接続の上限
受信接続の数が許可されている最大接続数を超えました。TCPパケットインスペクションの「TCPステートフルインスペクションを有効にする」プロパティを参照してください。
115
送信接続の上限
送信接続の数が許可されている最大接続数を超えました。TCPパケットインスペクションの「TCPステートフルインスペクションを有効にする」プロパティを参照してください。
116
SYN送信の上限
単一のコンピュータからのハーフオープン接続の数がファイアウォールのステートフル構成で指定された数を超えています。TCPパケットインスペクションの「単一のコンピュータからのハーフオープン接続の数を制限する」プロパティを参照してください。
118
不明なIPバージョン
IPv4またはIPv6以外のIPパケットが検出されました。
119
不正なパケット情報
 
120
内部エンジンエラー
システムメモリの不足。システムリソースを追加してこの問題を修正します。
121
許可されていないUDP応答
コンピュータに許可されていない受信UDPパケットは拒否されます。
122
許可されていないICMP応答
ファイアウォールステートフル設定でICMPステートフルが有効になっています。いずれの「強制的に許可」ルールにも一致しない未許可のパケットを受信しました。
123
ポリシーで未許可
パケットはいずれの「許可」ルールまたは「強制的に許可」ルールにも一致しないため黙示的に拒否されます。
124
不正なポートコマンド
FTP制御チャネルのデータストリームで無効なFTPポートコマンドが検出されました。
125
SYN Cookieエラー
SYN Cookieの保護メカニズムでエラーが発生しました。
126
不正なデータオフセット
データオフセットパラメータが無効です。
127
IPヘッダなし
パケットIPヘッダが無効または不完全です。
128
読み取り不能なイーサネットヘッダ
このイーサネットフレームに含まれるデータがイーサネットヘッダよりも少なくなっています。
129
未定義
 
130
送信元および送信先IPが同一
送信元IPと送信先IPが同じです。
131
不正なTCPヘッダ長
 
132
読み取り不能なプロトコルヘッダ
読み取り不能なTCP、UDP、またはICMPヘッダがパケットに含まれています。
133
読み取り不能なIPv4ヘッダ
読み取り不能なIPv4ヘッダがパケットに含まれています。
134
不明なIPバージョン
IPバージョンを認識できません。
135
不正なアダプタ設定
無効なアダプタ設定を受信しました。
136
重複しているフラグメント
このパケットのフラグメントは以前に送信されたフラグメントと重複しています。
138
切断された接続上のパケット
すでに切断された接続に属するパケットを受信しました。
139
再送の破棄
ネットワークエンジンは、同じTCP接続で既に受信したデータと重複するが一致しないTCPパケットを検出しました。(ネットワークエンジンは、エンジンの接続バッファにキューされたパケットデータを再送信されたパケットのデータと比較します。)
ネットワークエンジンは、処理するTCP接続ごとにデータストリームを順番に再構築します。受信パケットのシーケンス番号と長さにより、このデータストリームの特定の領域が決まります。ログの注記用フィールドは、TCPストリームで変更した次のコンテンツの場所を示します。prev-full、prev-part、next-full、およびnext-part。
  • 「prev-full」と「prev-part」: 変更された領域は、シーケンスデータストリーム内で再送信されたパケットの直前にあるパケットにあります。「prev-full」は、変更された領域がシーケンスデータストリーム内で再送信されたパケットの直前にあるパケットに完全に含まれていることを示します。それ以外の場合、注記は「prev-part」です。
  • 「next-full」と「next-part」: 変更された領域は、シーケンスデータストリーム内で再送信されたパケットの直後に続くパケットにあります。「next-full」は、変更された領域がシーケンスデータストリーム内で再送信されたパケットの直後に続くパケットに完全に含まれていることを示します。それ以外の場合、注記は「next-part」となります。
140
未定義
 
141
ポリシーで未許可 (オープンポート)
 
142
新しい接続の開始
 
143
無効なチェックサム
 
144
無効なフック
 
145
IPペイロードがゼロ
 
146
IPv6ソースがマルチキャスト
 
147
無効なIPv6アドレス
 
148
最小サイズ以下のIPv6のフラグメント
 
149
無効なトランスポートヘッダ長
 
150
メモリ不足
 
151
最大TCP接続数
最大TCP接続数を超えました。許可される最大TCP接続数を増やすを参照してください。
152
最大UDP接続数
 
200
リージョンサイズの超過
リージョン (編集リージョン、URIなど) が閉じられずに、バッファの最大許容サイズ (7570バイト) を超えました。これは、通常、データがプロトコルに適合していないために発生します。
201
メモリ不足
リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。
202
編集回数の超過
パケットの単一リージョンにおける最大編集回数 (32回) を超えました。
203
編集範囲の超過
リージョンのサイズを最大許容サイズ (8,188バイト) よりも増やそうとする編集が試行されました。
204
パケットの最大一致数を超過
パケット内でパターンに一致する地点が2,048箇所を超えています。この制限に達するパケットは通常ガベージパケットまたは回避パケットであるため、エラーが返されて接続が破棄されます。
205
エンジンのコールスタック数の超過
 
206
ランタイムエラー
ランタイムエラーです。
207
パケットの読み込みエラー
パケットデータの読み込み中に発生した低レベルの問題です。
257
Fail-Open: 拒否 (ログに記録)
破棄する必要のあるパケットを記録し、Fail-Open機能がオンでインラインモードの場合には記録しません。
300
サポートされていない暗号化
不明またはサポートされていない暗号化スイートが要求されました。
301
マスターキーの生成エラー
マスターシークレットから、暗号化キー、MACシークレット、および初期化ベクタを生成できません。
302
レコードレイヤメッセージ (準備ができていません)
SSL状態エンジンで、セッションの初期化前にSSLレコードが検出されました。
303
ハンドシェークメッセージ (準備ができていません)
SSL状態エンジンで、ハンドシェークのネゴシエーション後にハンドシェークメッセージが検出されました。
304
ハンドシェークメッセージの障害
適切にフォーマットされたハンドシェークメッセージが、誤った順序で検出されました。
305
メモリの割り当てエラー
リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。
306
サポートされていないSSLバージョン
クライアントがSSL V2バージョンのネゴシエーションを試行しました。
307
プレマスターキーの復号時のエラー
ClientKeyExchangeメッセージからプレマスターシークレットを復号できません。
308
クライアントによるロールバックの試行
クライアントが、ClientHelloメッセージに指定されたバージョンより古いバージョンのSSLプロトコルへのロールバックを試行しました。
309
更新エラー
キャッシュされたセッションキーでSSLセッションが要求されましたが、該当するセッションキーが見つかりませんでした。
310
鍵の交換エラー
サーバが一時的に生成されたキーを使用してSSLセッションを確立しようとしています。
311
SSLキー交換の上限を超過
キー交換の同時要求数が上限を超えました。
312
鍵サイズの超過
マスターの秘密鍵がプロトコルIDで指定されたサイズを超えています。
313
ハンドシェーク内の不正なパラメータ
ハンドシェークプロトコルのデコード中に無効または不正な値が検出されました。
314
利用可能なセッションなし
 
315
未サポートの圧縮方法
 
316
サポートされていないアプリケーション層プロトコル
不明、またはサポートされていないSSLアプリケーション層プロトコルが要求されました。
385
Fail-Open: 拒否 (ログに記録)
破棄する必要のあるパケットを記録し、Fail-Open機能がオンでタップモードの場合には記録しません。
500
URIパスの深さが超過
区切り文字「/」が多すぎます。パスの深さは最大100です。
501
無効なトラバーサル
ルートより上位に「../」を使用しようとしました。
502
URIに使用できない文字
URIに無効な文字が使用されています。
503
不完全なUTF8シーケンス
UTF8シーケンスの途中でURIが終了しました。
504
無効なUTF8の符号化
無効または規定外のエンコードが試行されました。
505
無効な16進の符号化
%nnのnnが16進数ではありません。
506
URIパス長の超過
パス長が512文字を超えています。
507
不正な文字の使用
無効な文字を使用しています。
508
二重デコードの攻撃コード
二重デコードの攻撃コードです (%25xx、%25%xxdなど)。
700
不正なBase64コンテンツ
Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
710
破損したDeflate/GZIPコンテンツ
Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
711
不完全なDeflate/GZIPコンテンツ
不完全なDeflate/GZIPコンテンツです
712
Deflate/GZIPチェックサムエラー
Deflate/GZIPチェックサムエラーです。
713
未サポートのDeflate/GZIP辞書
サポートされていないDeflate/GZIP辞書です。
714
サポートされていないGZIPヘッダ形式/方法
サポートされていないGZIPヘッダ形式または方法です。
801
プロトコルデコード検索の上限を超過
プロトコルデコードルールには検索またはPDUオブジェクトの制限が定義されていますが、オブジェクトを見つける前に制限に達しました。
802
プロトコルデコードの制約エラー
プロトコルデコードルールによってデコードされたデータが、プロトコルコンテンツの制約を満たしていません。
803
プロトコルデコードエンジンの内部エラー
 
804
プロトコルデコードの構造の超過
プロトコルデコードルールで、型の最大ネスト深度 (16) を超える型定義とパケットコンテンツが検出されました。
805
プロトコルデコードのスタックエラー
ルールのプログラミングエラーが原因で、反復が発生したか、またはネストされたプロシージャコールが使用されようとしました。
806
データの無限ループエラー
 
10002
ゼロシーケンスでのログの理由のリセット
シーケンス番号がゼロのTCPリセット (RST) パケットが複数送信されました。