Threat Insightsを使用すると、Network Security Appliancesがブロックしているセキュリティイベントの種類の概要を表示できます。ダッシュボードには、過去1週間に管理されたすべての仮想Appliancesからのセキュリティイベントに関する統計が表示されます。
[Network → Threat Insights]ページに移動して、過去7日間のすべての管理対象仮想Appliancesからのすべてのセキュリティイベントの統計を表示します。データには、次のIPSイベントカテゴリが含まれます:
|
イベントのカテゴリ
|
説明
|
|
セキュリティポリシー
|
フィルターが戦略的なNetwork Securityの姿勢を強化するために何回トリガーされたかを示す統計情報です。これらのフィルターは、脆弱なメソッドやプロトコル
(SMBv1など) をブロックすることで脆弱性から防御したり、会社のPoliciesを強制するために使用できます。
|
|
調査
|
ネットワークの脆弱性をスキャンしようとする悪意のある試行が検出およびブロックされた回数。
|
|
脆弱性
|
ネットワーク内の脆弱性を攻撃コードで悪用しようとする試みをブロックした回数。
|
|
攻撃コード
|
ネットワークおよびシステムで既知の攻撃を利用しようとする試みがブロックされた回数。
|
|
不正プログラム
|
フィルターが不正プログラム、スパイウェア、ランサムウェアからネットワークを保護した回数。
|
|
トラフィックの正規化
|
異常なネットワークトラフィック (順序が異なるパケットやヘッダーが不完全なパケットなど) が検出され、ブロックされた回数。
|
さらに、IPS検出ブロックログ (送信元と宛先の両方) の上位5か国または地域を示す棒グラフは、ネットワーク内で最も多くのトラフィックイベントを引き起こしている地理的位置を特定するのに役立ちます。この洞察を活用して、問題のある国や地域を地理位置フィルタリングポリシーに追加することができます。詳細はこちら。
Threat Insightsはバージョン2020.13.0.10810以降のAppliancesでサポートされています。Threat Insightsは推奨されているため、データが閲覧可能であることを保証するために、Security
Event Sharingはデフォルトで有効になっています。共有を無効にするには、[Policy → Sync Management]に移動して[Security Event Sharing]を無効にしてください。