ビュー:
イベントに関する一般的なベストプラクティスについては、Workload Securityのイベントを参照してください。
Workload Securityによってキャプチャされたファイアウォールイベントを確認するには、[イベント & Reports ][イベント][Firewall Events]に移動します。
ファイアウォールイベントのアイコン:
  • generic_single_event=ca341e78-2fb7-4808-8263-e2b804383967.png 単一イベント
  • generic_event_w_data=2d660e75-3cb3-40cf-a333-74d2808453d2.png データを含む単一イベント
  • generic_repeated_event=6b1f6c75-74e2-468c-9d64-90f0cf0c6153.png 折りたたまれたイベント
  • generic_repeated_event_w_data=12d8c124-3bbb-4dab-b4fa-714562d74970.png データを含む折りたたまれたイベント
イベントの折りたたみは、同じ種類のイベントが数回続けて発生したときに実行されます。これによりディスク容量を節約でき、ログメカニズムに負荷をかけるDoS攻撃から防御することができます。

ファイアウォールイベントについて表示される情報

[ファイアウォールイベント] ページには、次の列が表示されます。 [列] をクリックして、テーブルに表示する列を選択できます。
  • 時刻: コンピュータ上でイベントが発生した時刻。
  • Computer: このイベントが記録されたコンピュータ。コンピュータが削除されている場合、このエントリは [不明なコンピュータ] になります。
  • Reason: このページのログエントリは、ファイアウォールルールまたはファイアウォールのステートフル設定によって生成されました。エントリがファイアウォールルールによって生成された場合、列のエントリの先頭にはファイアウォールルールが付き、その後にファイアウォールルールの名前が続きます。それ以外の場合、列エントリには、ログエントリを生成したファイアウォールステートフル設定が表示されます。
  • タグ: このイベントに適用されているイベントタグ。
  • 処理: ファイアウォールルールまたはファイアウォールのステートフル設定によって実行された処理。処理には、許可、拒否、強制的に許可、ログのみがあります。
  • Rank: ランク付けシステムは、侵入防御イベントとファイアウォールイベントの重要性を数値化する方法を提供します。資産の値をコンピュータに割り当て、重大度の値を侵入防御ルールとファイアウォールルールに割り当てることで、イベントの重要度 (ランク) は、2 つの値を掛け合わせて計算されます。これにより、侵入防御イベントまたはファイアウォールイベントを表示するときに、イベントをランク順に並べ替えることができます。
  • 方向: 影響を受けたパケットの方向 (受信または送信)。
  • インタフェース: パケットが移動していたインタフェースのMACアドレス。
  • Frame Type: 対象のパケットのフレームタイプ。可能な値は、IPV4IPV6ARPREVARP、およびOther: XXXXです。XXXXは、フレームタイプの4桁の16進コードを表します。
  • プロトコル: 可能な値は ICMPICMPV6IGMPGGPTCPPUPUDPIDPNDRAWTCP+UDP、および Other: nnn です。ここで、nnn は3桁の10進数値を表します。
  • フラグ: パケットにフラグが設定されています。
  • 送信元IP: パケットの送信元IP。
  • 送信元MAC: パケットの送信元MACアドレス。
  • 送信元ポート: パケットの送信元ポート。
  • 送信IP: パケットの送信先IPアドレス。
  • 宛先MACアドレス: パケットの宛先MACアドレス。
  • 送信ポート: パケットの送信先ポート。
  • パケットサイズ: パケットのサイズ (バイト)。
  • 繰り返しカウント: イベントが連続して繰り返された回数。
  • 時間 (マイクロ秒): コンピュータでイベントが発生した時間 (マイクロ秒)。
  • イベントの発生元: Workload Security コンポーネント。イベントの発生元です。
  • ユーザ名: パケットを生成したユーザの名前。
ユーザ名はコントロールリリースの一部であり、プレビューにあります。関連コンテンツは変更される可能性があります。{ .preview }
以下の列も利用可能です。これらは、バージョン12 FR以降のエージェントで保護されたコンピューター上のコンテナからトリガーされるイベントの情報を表示します
  • インタフェースの種類: コンテナインタフェースの種類。
  • コンテナ名: イベントが発生したコンテナの名前。
  • コンテナID: イベントが発生したコンテナのコンテナIDです。
  • イメージ名: イベントが発生したコンテナの作成に使用されたイメージ名です。
  • RepoDigest: コンテナイメージを識別する一意の通知です。
  • プロセス名: イベントの原因となった (コンテナからの) プロセスの名前。
Log-only] ルールは、問題のパケットが [deny] ルール、またはそれを除外する [allow] ルールによってその後停止されなかった場合にのみ、ログ エントリを生成します。これら 2 つのルールのいずれかによってパケットが停止された場合、これらのルールは [log-only] ルールではなく、ログ エントリを生成します。後続のルールがパケットを停止しない場合、log-only ルールによってエントリが生成されます。

リストをフィルタしてユーザ名のイベントを検索する

firewall-event-keyword-filter=2a41fb8e-62ee-4584-ac20-defd1af2da56.png
[ユーザ名]はインデックスされておらず、キーワードで検索することはできませんのでご注意ください。
高度な検索を使用するには、[検索][高度な検索を開く]をクリックします。
firewall-event-advanced-filter=d8be5a9a-5a2e-4a9f-9a29-559c98d45ce4.png
複数の検索パラメータを適用するには、[検索]フィールドの右側にある[+]をクリックします。検索の準備ができたら、[リクエストを送信]をクリックします。
[ユーザ名]はインデックスされておらず、高度な検索は最初の5,000件のレコードに限定されることに注意してください。

ファイアウォールイベント一覧

ID
イベント
コメント
100
セッション情報なし
既存の接続に関連付けられていないパケットを受信しました。
101
不正なフラグ
パケットに設定されたフラグが無効でした。このイベントは、現在の接続 (存在する場合) のコンテキスト内で意味をなさないフラグ、または無意味な組み合わせのフラグであることを示しています。
接続コンテキストを評価するにはファイアウォールステートフル設定がオンに設定されている必要があります。
102
不正なシーケンス
シーケンス番号が無効なパケットまたはデータサイズが範囲外のパケットが検出されました。
103
不正なACK
確認応答番号が無効なパケットが検出されました。
104
内部エラー
105
CEフラグ
パケットに輻輳フラグが設定されており、ポリシーの回避技術対策設定では、TCP輻輳フラグプロパティがログまたは拒否に設定されているカスタム構成を使用しています。回避技術対策設定の構成を参照してください。
106
不正なIP
パケットの送信元IPが無効です。
107
不正なIPデータグラム長
IPヘッダで指定されている長さよりも短いIPデータグラム長です。
108
フラグメント化
フラグメント化されたパケットが検出され、受信したフラグメント化されたパケットを拒否するようにIPパケットインスペクションが設定されています。
109
不正なフラグメントオフセット
110
最初のフラグメントが最小サイズ未満
フラグメント化されたパケットが検出されました。最初のフラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。
パケットヘッダに次の設定が指定されている場合、パケットは破棄されます。
  • フラグメントオフセット= 0(フラグメントはパケット内の最初のフラグメントです)
  • 合計長(合計ヘッダー長の最大)< 120バイト(初期設定で許可される最小フラグメントサイズ)
このイベントが発生しないようにするには、ポリシーの高度なネットワークエンジンの設定で、最小フラグメントサイズプロパティの値を低く設定するか、0に設定してこの検査をオフにします。詳細は、コンピュータとポリシーエディタの設定の「高度なネットワークエンジンオプション」を参照してください。
111
範囲外のフラグメント
フラグメント化されたパケットシーケンスに指定されているオフセットが、データグラムの最大サイズ範囲を超えています。
112
最小オフセット値以下のフラグメント
フラグメント化されたパケットが検出されました。フラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。
113
IPv6パケット
IPv6パケットが検出され、IPv6ブロックが有効になっています。詳細は、ネットワークエンジンの詳細オプションの「バージョン9以降のAgentとApplianceでIPv6をブロック」プロパティを参照してください (コンピュータおよびポリシーエディタの設定を参照)
114
受信接続の上限
受信接続の数が許可されている最大接続数を超えました。TCPパケットインスペクションの「TCPステートフルインスペクションを有効にする」プロパティを参照してください。
115
送信接続の上限
送信接続の数が許可されている最大接続数を超えました。TCPパケットインスペクションの「TCPステートフルインスペクションを有効にする」プロパティを参照してください。
116
SYN送信の上限
単一のコンピュータからの半開接続の数が、ファイアウォールのステートフル構成で指定された数を超えています。TCPパケットインスペクションの「単一のコンピュータからの半開接続の数を制限する」プロパティを参照してください。
118
不明なIPバージョン
IPv4またはIPv6以外のIPパケットが検出されました。
119
不正なパケット情報
120
内部エンジンエラー
システムメモリの不足。システムリソースを追加してこの問題を修正します。
121
許可されていないUDP応答
コンピュータに許可されていない受信UDPパケットは拒否されます。
122
許可されていないICMP応答
ファイアウォールステートフル設定でICMPステートフルが有効になっています。いずれの「強制的に許可」ルールにも一致しない未許可のパケットを受信しました。
123
ポリシーで未許可
パケットはいずれの「許可」ルールまたは「強制的に許可」ルールにも一致しないため黙示的に拒否されます。
124
不正なポートコマンド
FTP制御チャネルのデータストリームで無効なFTPポートコマンドが検出されました。
125
SYN Cookieエラー
SYN Cookieの保護メカニズムでエラーが発生しました。
126
不正なデータオフセット
データオフセットパラメータが無効です。
127
IPヘッダなし
パケットIPヘッダが無効または不完全です。
128
読み取り不能なイーサネットヘッダ
このイーサネットフレームに含まれるデータがイーサネットヘッダよりも少なくなっています。
129
未定義
130
送信元および送信先IPが同一
送信元IPと送信先IPが同じです。
131
不正なTCPヘッダ長
132
読み取り不能なプロトコルヘッダ
読み取り不能なTCP、UDP、またはICMPヘッダがパケットに含まれています。
133
読み取り不能なIPv4ヘッダ
読み取り不能なIPv4ヘッダがパケットに含まれています。
134
不明なIPバージョン
IPバージョンを認識できません。
135
不正なアダプタ設定
無効なアダプタ設定を受信しました。
136
重複しているフラグメント
このパケットのフラグメントは以前に送信されたフラグメントと重複しています。
138
切断された接続上のパケット
すでに切断された接続に属するパケットを受信しました。
139
再送の破棄
ネットワークエンジンは、同じTCP接続ですでに受信したデータと重複しているが、すでに受信したデータとは一致しないTCPパケットを検出しました。ネットワークエンジンは、エンジンの接続バッファにキューイングされていたパケットデータと、再送信されたパケット内のデータを比較します。
ネットワークエンジンは、処理するTCP接続ごとにデータストリームを順番に再構築します。受信パケットのシーケンス番号と長さにより、このデータストリームの特定の領域が決まります。ログの注記用フィールドは、TCPストリームで変更した次のコンテンツの場所を示します。prev-full、prev-part、next-full、およびnext-part。
  • prev-full と prev-part: 変更された領域は、シーケンスされたデータストリーム内で再送信されたパケットの直前にあるパケットに含まれています。prev-full は、変更された領域がシーケンスされたデータストリーム内で再送信されたパケットの直前にあるパケットに完全に含まれていることを示します。それ以外の場合、注記は prev-part です。
  • 次の完全および次の部分: 変更された領域は、シーケンスされたデータストリーム内で再送信されたパケットの直後に続くパケットに含まれています。次の完全は、変更された領域がシーケンスされたデータストリーム内で再送信されたパケットの直後に続くパケットに完全に含まれていることを示します。それ以外の場合、注記は次の部分です。
140
未定義
141
ポリシーで未許可 (オープンポート)
142
新しい接続の開始
143
無効なチェックサム
144
無効なフック
145
IPペイロードがゼロ
146
IPv6ソースがマルチキャスト
147
無効なIPv6アドレス
148
最小サイズ以下のIPv6のフラグメント
149
無効なトランスポートヘッダ長
150
メモリ不足
151
最大TCP接続数
最大TCP接続数を超えました。許可される最大TCP接続数を増やすを参照してください。
152
最大UDP接続数
200
リージョンサイズの超過
リージョン (編集リージョン、URIなど) が閉じられずに、バッファの最大許容サイズ (7570バイト) を超えました。これは、通常、データがプロトコルに適合していないために発生します。
201
メモリ不足
リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。
202
編集回数の超過
パケットの単一リージョンにおける最大編集回数 (32回) を超えました。
203
編集範囲の超過
リージョンのサイズを最大許容サイズ (8,188バイト) よりも増やそうとする編集が試行されました。
204
パケットの最大一致数を超過
パケット内でパターンに一致する地点が2,048箇所を超えています。この制限に達するパケットは通常ガベージパケットまたは回避パケットであるため、エラーが返されて接続が破棄されます。
205
エンジンのコールスタック数の超過
206
ランタイムエラー
ランタイムエラーです。
207
パケットの読み込みエラー
パケットデータの読み込み中に発生した低レベルの問題です。
257
Fail-Open: 拒否 (ログに記録)
破棄する必要のあるパケットを記録し、Fail-Open機能がオンでインラインモードの場合には記録しません。
300
サポートされていない暗号化
不明またはサポートされていない暗号化スイートが要求されました。
301
マスターキーの生成エラー
マスターシークレットから、暗号化キー、MACシークレット、および初期化ベクタを生成できません。
302
レコードレイヤメッセージ (準備ができていません)
SSL状態エンジンで、セッションの初期化前にSSLレコードが検出されました。
303
ハンドシェークメッセージ (準備ができていません)
SSL状態エンジンで、ハンドシェークのネゴシエーション後にハンドシェークメッセージが検出されました。
304
ハンドシェークメッセージの障害
適切にフォーマットされたハンドシェークメッセージが、誤った順序で検出されました。
305
メモリの割り当てエラー
リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。
306
サポートされていないSSLバージョン
クライアントがSSL V2バージョンのネゴシエーションを試行しました。
307
プレマスターキーの復号時のエラー
ClientKeyExchangeメッセージからプレマスターシークレットを復号化できません。
308
クライアントによるロールバックの試行
クライアントが、ClientHelloメッセージに指定されたバージョンより古いバージョンのSSLプロトコルへのロールバックを試行しました。
309
更新エラー
キャッシュされたセッションキーでSSLセッションが要求されましたが、該当するセッションキーが見つかりませんでした。
310
鍵の交換エラー
サーバが一時的に生成されたキーを使用してSSLセッションを確立しようとしています。
311
SSLキー交換の上限を超過
キー交換の同時要求数が上限を超えました。
312
鍵サイズの超過
マスターの秘密鍵がプロトコルIDで指定されたサイズを超えています。
313
ハンドシェーク内の不正なパラメータ
ハンドシェークプロトコルのデコード中に無効または不正な値が検出されました。
314
利用可能なセッションなし
315
未サポートの圧縮方法
316
サポートされていないアプリケーション層プロトコル
不明、またはサポートされていないSSLアプリケーション層プロトコルが要求されました。
385
Fail-Open: 拒否 (ログに記録)
破棄する必要のあるパケットを記録し、Fail-Open機能がオンでタップモードの場合には記録しません。
500
URIパスの深さが超過
区切り文字「/」が多すぎます。パスの深さは最大100です。
501
無効なトラバーサル
ルートより上位に「../」を使用しようとしました。
502
URIに使用できない文字
URIに無効な文字が使用されています。
503
不完全なUTF8シーケンス
UTF8シーケンスの途中でURIが終了しました。
504
無効なUTF8の符号化
無効または規定外のエンコードが試行されました。
505
無効な16進の符号化
%nnのnnが16進数ではありません。
506
URIパス長の超過
パス長が512文字を超えています。
507
不正な文字の使用
無効な文字を使用しています。
508
二重デコードの攻撃コード
二重デコードの攻撃コードです (%25xx、%25%xxdなど)。
700
不正なBase64コンテンツ
Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
710
破損したDeflate/GZIPコンテンツ
Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
711
不完全なDeflate/GZIPコンテンツ
不完全なDeflate/GZIPコンテンツです
712
Deflate/GZIPチェックサムエラー
Deflate/GZIPチェックサムエラーです。
713
未サポートのDeflate/GZIP辞書
サポートされていないDeflate/GZIP辞書です。
714
サポートされていないGZIPヘッダ形式/方法
サポートされていないGZIPヘッダ形式または方法です。
801
プロトコルデコード検索の上限を超過
プロトコルデコードルールには検索またはPDUオブジェクトの制限が定義されていますが、オブジェクトを見つける前に制限に達しました。
802
プロトコルデコードの制約エラー
プロトコルデコードルールによってデコードされたデータが、プロトコルコンテンツの制約を満たしていません。
803
プロトコルデコードエンジンの内部エラー
804
プロトコルデコードの構造の超過
プロトコルデコードルールで、型の最大ネスト深度 (16) を超える型定義とパケットコンテンツが検出されました。
805
プロトコルデコードのスタックエラー
ルールのプログラミングエラーが原因で、反復が発生したか、またはネストされたプロシージャコールが使用されようとしました。
806
データの無限ループエラー
10002
ゼロシーケンスでのログの理由のリセット
シーケンス番号がゼロのTCPリセット (RST) パケットが複数送信されました。