イベントに関する全般的なベストプラクティスについては、Deep Securityのイベント収集を参照してください。
Deep Securityによってキャプチャされたセキュリティログ監視イベントを表示するには、[イベントとレポート]→[イベント]→[セキュリティログ監視イベント]に移動します。
セキュリティログ監視イベントで表示される情報
[セキュリティログ監視イベント] 画面には次の列が表示されます。[列] をクリックして、表に表示する列を選択することができます。
-
日時::コンピュータ上でイベントが発生した時刻。
-
コンピュータ::このイベントのログが記録されたコンピュータ (コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)
-
理由::このイベントに関連付けられたセキュリティログ監視ルール。
-
タグ::イベントに付けられたタグ。
-
説明::ルールの説明。
-
ランク::ランク付けシステムは、イベントの重要度を定量化する方法を提供します。コンピュータに「資産評価」を割り当て、セキュリティログ監視ルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。これによって、イベントをランクでソートできます。
-
重要度::セキュリティログ監視ルールの重要度。
-
グループ::ルールの所属先グループ。
-
プログラム名:: プログラム名。イベントのSyslogヘッダから取得されます。
-
イベント:イベントの名前。
-
場所:ログの生成元。
-
送信元IP:: パケットの送信元IP。
-
送信元ポート:: パケットの送信元ポート。
-
送信先IP:: パケットの送信先IP。
-
送信先ポート:: パケットの送信先ポート。
-
プロトコル::値は、[ICMP]、[ICMPV6]、[IGMP]、[GGP]、[TCP]、[PUP]、[UDP]、[IDP]、[ND]、[RAW]、[TCP+UDP]、および [その他: nnn] (nnnは3桁の10進値) のいずれかになります。
-
処理::イベント内で実行された処理
-
送信元ユーザ::イベント内の送信元ユーザ。
-
送信先ユーザ::イベント内の送信先ユーザ。
-
イベントホスト名::イベント発生元のホスト名。
-
ID:: イベントからIDとしてデコードされたID。
-
ステータス::イベント内のデコードされたステータス。
-
コマンド::イベント内で呼び出されるコマンド。
-
URL:: イベント内のURL。
-
データ::イベントから抽出されたその他のデータ。
-
システム名::イベント内のシステム名。
-
一致したルール::一致したルールの数。
-
イベント送信元:: イベントの発生元であるDeep Securityコンポーネント。
セキュリティログ監視のセキュリティイベントのリスト
![]() |
注意セキュリティログ監視に関連するシステムイベントについては、システムイベントを参照してください。
|
ID
|
重要度
|
イベント
|
8100
|
エラー
|
セキュリティログ監視エンジンのエラー
|
8101
|
警告
|
セキュリティログ監視エンジンの警告
|
8102
|
情報
|
セキュリティログ監視エンジンの初期化
|