ファイアウォールイベント
イベントに関する一般的なベストプラクティスについては、を参照してください。のイベントWorkload Security。
Workload Securityによって取得されたファイアウォールイベントを表示するには、 Events&Reports> Events> ファイアウォール Eventsにアクセスしてください。
ファイアウォールイベントのアイコン:
単一イベント
データ付き単一イベント
折りたたまれたイベント
データ付き折りたたみイベント
イベントの折りたたみは、同じ種類のイベントが数回続けて発生したときに実行されます。これによりディスク容量を節約でき、ログメカニズムに負荷をかけるDoS攻撃から防御することができます。
ファイアウォールイベントについて表示される情報
次の列はファイアウォールイベントページに表示できます。列をクリックして、テーブルに表示する列を選択できます
- 時間: イベントがコンピュータで発生した時間。
- Computer: このイベントが記録されたコンピュータ。コンピュータが削除されている場合、このエントリは [不明なコンピュータ] になります。
- Reason: このページのログエントリは、ファイアウォールルールまたはファイアウォールのステートフル設定によって生成されました。エントリがファイアウォールルールによって生成された場合、列のエントリの先頭には「ファイアウォールルール」が付き、その後にファイアウォールルールの名前が続きます。それ以外の場合、列エントリには、ログエントリを生成したファイアウォールステートフル設定が表示されます。
- タグ: このイベントに適用されているイベントタグ。
- 処理: ファイアウォールルールまたはファイアウォールのステートフル設定によって実行された処理。処理には、許可、拒否、強制的に許可、ログのみがあります。
- Rank: ランク付けシステムは、侵入防御イベントとファイアウォールイベントの重要性を数値化する方法を提供します。資産の値をコンピュータに割り当て、重大度の値を侵入防御ルールとファイアウォールルールに割り当てることで、イベントの重要度 (ランク) は、2 つの値を掛け合わせて計算されます。これにより、侵入防御イベントまたはファイアウォールイベントを表示するときに、イベントをランク順に並べ替えることができます。
- 方向: 影響を受けたパケットの方向(受信または送信)。
- インタフェース: パケットが移動していたインタフェースのMACアドレス。
- Frame Type: 対象のパケットのフレームタイプ。指定できる値は
IPV4IPV6ARPREVARPおよびOther: XXXXです。XXXXはフレームタイプの4桁の16進コードを表します。 - Protocol: 使用可能な値は、
ICMPICMPV6IGMPGGPTCPPUPUDPIDPNDRAWTCP+UDPおよびOther: nnnです。nnnは3桁の10進数を表します。 - フラグ: フラグがパケットに設定されました。
- 送信元IP: パケットの送信元IP。
- 送信元MAC: パケットの送信元MACアドレス。
- 送信元ポート: パケットの送信元ポート。
- 送信先IP: パケットの送信先IP。
- 宛先MACアドレス: パケットの宛先MACアドレス。
- 送信先ポート: パケットの送信先ポート。
- パケットサイズ: パケットのサイズ(バイト)。
- 繰り返しカウント: イベントが連続して繰り返された回数。
- 時間 (マイクロ秒): コンピュータ上でイベントが発生した時間 (マイクロ秒)。
- イベントの起点: Workload Security コンポーネント。イベントの発生元です。
- ユーザ名: パケットを生成したユーザの名前。
ユーザ名 はコントロールリリースの一部であり、プレビューにあります。関連するコンテンツは変更される可能性があります。 { .preview }
以下の列も利用可能です。これらは、バージョン12 FR以降のエージェントで保護されたコンピューター上のコンテナからトリガーされるイベントの情報を表示します
- インタフェースの種類: コンテナインタフェースの種類。
- コンテナ名: イベントが発生したコンテナの名前。
- コンテナID: イベントが発生したコンテナのコンテナIDです。
- イメージ名: イベントが発生したコンテナの作成に使用されたイメージ名。
- RepoDigest: コンテナイメージを識別する一意の通知です。
- プロセス名: イベントの原因となった(コンテナからの)プロセスの名前。
Log-only ルールは、問題のパケットが 拒否 ルール、またはそれを除外する 許可 ルールによってその後停止されなかった場合にのみ、ログ エントリを生成します。これら 2 つのルールのいずれかによってパケットが停止された場合、これらのルールは ログ専用 ルールではなく、ログ エントリを生成します。後続のルールがパケットを停止しない場合、ログ専用ルールによってエントリが生成されます。
リストをフィルタしてユーザ名のイベントを検索する
ユーザ名はインデックス化されておらず、キーワードで検索することはできませんのでご注意ください。
高度な検索を使用するには、検索 > 高度な検索を開く をクリックします。
複数の検索パラメータを適用するには、検索フィールドの右側にある+をクリックします。検索の準備ができたら、リクエストを送信をクリックします。
ユーザ名はインデックスされておらず、高度な検索は最初の5,000件のレコードに限定されることに注意してください。
ファイアウォールイベント一覧
| ID | イベント | コメント |
| 100 | セッション情報なし | 既存の接続に関連付けられていないパケットを受信しました。 |
| 101 | 不正なフラグ |
パケットに設定されたフラグが無効でした。このイベントは、現在の接続 (存在する場合) のコンテキスト内で意味をなさないフラグ、または無意味な組み合わせのフラグであることを示しています。 接続コンテキストを評価するにはファイアウォールステートフル設定がオンに設定されている必要があります。 |
| 102 | 不正なシーケンス | シーケンス番号が無効なパケットまたはデータサイズが範囲外のパケットが検出されました。 |
| 103 | 不正なACK | 確認応答番号が無効なパケットが検出されました。 |
| 104 | 内部エラー | |
| 105 | CEフラグ | パケットに輻輳フラグが設定されており、ポリシーの回避対策設定で、[TCP Congestion Flags] プロパティが [ログ] または [拒否] に設定されているカスタム設定が使用されている。回避策を設定するを参照してください。 |
| 106 | 不正なIP | パケットの送信元IPが無効です。 |
| 107 | 不正なIPデータグラム長 | IPヘッダで指定されている長さよりも短いIPデータグラム長です。 |
| 108 | フラグメント化 | フラグメント化されたパケットが検出され、受信したフラグメント化されたパケットを拒否するようにIPパケットインスペクションが設定されています。 |
| 109 | 不正なフラグメントオフセット | |
| 110 | 最初のフラグメントが最小サイズ未満 |
フラグメント化されたパケットが検出されました。最初のフラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。 パケットヘッダに次の設定が指定されている場合、パケットは破棄されます。
このイベントが発生しないようにするには、ポリシーのネットワークエンジンの詳細設定で、[最小フラグメントサイズ] プロパティの値を小さくするか、0に設定してこの検査をオフにします。コンピュータエディタとポリシーエディタの設定の「ネットワークエンジンの詳細オプション」を参照してください。 |
| 111 | 範囲外のフラグメント | フラグメント化されたパケットシーケンスに指定されているオフセットが、データグラムの最大サイズ範囲を超えています。 |
| 112 | 最小オフセット値以下のフラグメント | フラグメント化されたパケットが検出されました。フラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。 |
| 113 | IPv6パケット | IPv6パケットが検出され、IPv6ブロックが有効になっています。 [ネットワークエンジンの詳細オプション] の [AgentとApplianceバージョン9以降でIPv6をブロックする] プロパティを参照してください (「コンピュータエディタとポリシーエディタの設定」を参照)。 |
| 114 | 受信接続の上限 | 受信接続数が最大許容数を超えました。「TCPパケットインスペクション」の「TCPステートフルインスペクションを有効にする」プロパティを参照してください。 |
| 115 | 送信接続の上限 | 送信接続数が、許可されている最大接続数を超えました。 「 TCPパケットインスペクション」の「TCPステートフル検査を有効にする」プロパティを参照してください。 |
| 116 | SYN送信の上限 | 単一コンピュータからのハーフオープン接続数がファイアウォールステートフル設定に指定された数を超えています。「TCPパケットインスペクション」の「単一コンピュータからのハーフオープン接続数の上限」プロパティを参照してください。 |
| 118 | 不明なIPバージョン | IPv4またはIPv6以外のIPパケットが検出されました。 |
| 119 | 不正なパケット情報 | |
| 120 | 内部エンジンエラー | システムメモリの不足。システムリソースを追加してこの問題を修正します。 |
| 121 | 許可されていないUDP応答 | コンピュータに許可されていない受信UDPパケットは拒否されます。 |
| 122 | 許可されていないICMP応答 | ファイアウォールステートフル設定でICMPステートフルが有効になっています。いずれの「強制的に許可」ルールにも一致しない未許可のパケットを受信しました。 |
| 123 | ポリシーで未許可 | パケットはいずれの「許可」ルールまたは「強制的に許可」ルールにも一致しないため黙示的に拒否されます。 |
| 124 | 不正なポートコマンド | FTP制御チャネルのデータストリームで無効なFTPポートコマンドが検出されました。 |
| 125 | SYN Cookieエラー | SYN Cookieの保護メカニズムでエラーが発生しました。 |
| 126 | 不正なデータオフセット | データオフセットパラメータが無効です。 |
| 127 | IPヘッダなし | パケットIPヘッダが無効または不完全です。 |
| 128 | 読み取り不能なイーサネットヘッダ | このイーサネットフレームに含まれるデータがイーサネットヘッダよりも少なくなっています。 |
| 129 | 未定義 | |
| 130 | 送信元および送信先IPが同一 | 送信元IPと送信先IPが同じです。 |
| 131 | 不正なTCPヘッダ長 | |
| 132 | 読み取り不能なプロトコルヘッダ | 読み取り不能なTCP、UDP、またはICMPヘッダがパケットに含まれています。 |
| 133 | 読み取り不能なIPv4ヘッダ | 読み取り不能なIPv4ヘッダがパケットに含まれています。 |
| 134 | 不明なIPバージョン | IPバージョンを認識できません。 |
| 135 | 不正なアダプタ設定 | 無効なアダプタ設定を受信しました。 |
| 136 | 重複しているフラグメント | このパケットのフラグメントは以前に送信されたフラグメントと重複しています。 |
| 138 | 切断された接続上のパケット | すでに切断された接続に属するパケットを受信しました。 |
| 139 | 再送の破棄 |
ネットワークエンジンは、同じTCP接続ですでに受信したデータと重複しているが、すでに受信したデータとは一致しないTCPパケットを検出しました。ネットワークエンジンは、エンジンの接続バッファにキューイングされていたパケットデータと、再送信されたパケット内のデータを比較します。 ネットワークエンジンは、処理するTCP接続ごとにデータストリームを順番に再構築します。受信パケットのシーケンス番号と長さにより、このデータストリームの特定の領域が決まります。ログの注記用フィールドは、TCPストリームで変更した次のコンテンツの場所を示します。prev-full、prev-part、next-full、およびnext-part。
|
| 140 | 未定義 | |
| 141 | ポリシーで未許可 (オープンポート) | |
| 142 | 新しい接続の開始 | |
| 143 | 無効なチェックサム | |
| 144 | 無効なフック | |
| 145 | IPペイロードがゼロ | |
| 146 | IPv6ソースがマルチキャスト | |
| 147 | 無効なIPv6アドレス | |
| 148 | 最小サイズ以下のIPv6のフラグメント | |
| 149 | 無効なトランスポートヘッダ長 | |
| 150 | メモリ不足 | |
| 151 | 最大TCP接続数 | TCP 接続の最大数を超えています。「最大TCP接続数を増やす」を参照してください。 |
| 152 | 最大UDP接続数 | |
| 200 | リージョンサイズの超過 | リージョン (編集リージョン、URIなど) が閉じられずに、バッファの最大許容サイズ (7570バイト) を超えました。これは、通常、データがプロトコルに適合していないために発生します。 |
| 201 | メモリ不足 | リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。 |
| 202 | 編集回数の超過 | パケットの単一リージョンにおける最大編集回数 (32回) を超えました。 |
| 203 | 編集範囲の超過 | リージョンのサイズを最大許容サイズ (8,188バイト) よりも増やそうとする編集が試行されました。 |
| 204 | パケットの最大一致数を超過 | パケット内でパターンに一致する地点が2,048箇所を超えています。この制限に達するパケットは通常ガベージパケットまたは回避パケットであるため、エラーが返されて接続が破棄されます。 |
| 205 | エンジンのコールスタック数の超過 | |
| 206 | ランタイムエラー | ランタイムエラーです。 |
| 207 | パケットの読み込みエラー | パケットデータの読み込み中に発生した低レベルの問題です。 |
| 257 | Fail-Open: 拒否 (ログに記録) | 破棄する必要のあるパケットを記録し、Fail-Open機能がオンでインラインモードの場合には記録しません。 |
| 300 | サポートされていない暗号化 | 不明またはサポートされていない暗号化スイートが要求されました。 |
| 301 | マスターキーの生成エラー | マスターシークレットから、暗号化キー、MACシークレット、および初期化ベクタを生成できません。 |
| 302 | レコードレイヤメッセージ (準備ができていません) | SSL状態エンジンで、セッションの初期化前にSSLレコードが検出されました。 |
| 303 | ハンドシェークメッセージ (準備ができていません) | SSL状態エンジンで、ハンドシェークのネゴシエーション後にハンドシェークメッセージが検出されました。 |
| 304 | ハンドシェークメッセージの障害 | 適切にフォーマットされたハンドシェークメッセージが、誤った順序で検出されました。 |
| 305 | メモリの割り当てエラー | リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。 |
| 306 | サポートされていないSSLバージョン | クライアントがSSL V2バージョンのネゴシエーションを試行しました。 |
| 307 | プレマスターキーの復号時のエラー | ClientKeyExchangeメッセージからプレマスターシークレットを復号化できません。 |
| 308 | クライアントによるロールバックの試行 | クライアントが、ClientHelloメッセージに指定されたバージョンより古いバージョンのSSLプロトコルへのロールバックを試行しました。 |
| 309 | 更新エラー | キャッシュされたセッションキーでSSLセッションが要求されましたが、該当するセッションキーが見つかりませんでした。 |
| 310 | 鍵の交換エラー | サーバが一時的に生成されたキーを使用してSSLセッションを確立しようとしています。 |
| 311 | SSLキー交換の上限を超過 | キー交換の同時要求数が上限を超えました。 |
| 312 | 鍵サイズの超過 | マスターの秘密鍵がプロトコルIDで指定されたサイズを超えています。 |
| 313 | ハンドシェーク内の不正なパラメータ | ハンドシェークプロトコルのデコード中に無効または不正な値が検出されました。 |
| 314 | 利用可能なセッションなし | |
| 315 | 未サポートの圧縮方法 | |
| 316 | サポートされていないアプリケーション層プロトコル | 不明、またはサポートされていないSSLアプリケーション層プロトコルが要求されました。 |
| 385 | Fail-Open: 拒否 (ログに記録) | 破棄する必要のあるパケットを記録し、Fail-Open機能がオンでタップモードの場合には記録しません。 |
| 500 | URIパスの深さが超過 | 区切り文字「/」が多すぎます。パスの深さは最大100です。 |
| 501 | 無効なトラバーサル | ルートより上位に「../」を使用しようとしました。 |
| 502 | URIに使用できない文字 | URIに無効な文字が使用されています。 |
| 503 | 不完全なUTF8シーケンス | UTF8シーケンスの途中でURIが終了しました。 |
| 504 | 無効なUTF8の符号化 | 無効または規定外のエンコードが試行されました。 |
| 505 | 無効な16進の符号化 | %nnのnnが16進数ではありません。 |
| 506 | URIパス長の超過 | パス長が512文字を超えています。 |
| 507 | 不正な文字の使用 | 無効な文字を使用しています。 |
| 508 | 二重デコードの攻撃コード | 二重デコードの攻撃コードです (%25xx、%25%xxdなど)。 |
| 700 | 不正なBase64コンテンツ | Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。 |
| 710 | 破損したDeflate/GZIPコンテンツ | Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。 |
| 711 | 不完全なDeflate/GZIPコンテンツ | 不完全なDeflate/GZIPコンテンツです |
| 712 | Deflate/GZIPチェックサムエラー | Deflate/GZIPチェックサムエラーです。 |
| 713 | 未サポートのDeflate/GZIP辞書 | サポートされていないDeflate/GZIP辞書です。 |
| 714 | サポートされていないGZIPヘッダ形式/方法 | サポートされていないGZIPヘッダ形式または方法です。 |
| 801 | プロトコルデコード検索の上限を超過 | プロトコルデコードルールには検索またはPDUオブジェクトの制限が定義されていますが、オブジェクトを見つける前に制限に達しました。 |
| 802 | プロトコルデコードの制約エラー | プロトコルデコードルールによってデコードされたデータが、プロトコルコンテンツの制約を満たしていません。 |
| 803 | プロトコルデコードエンジンの内部エラー | |
| 804 | プロトコルデコードの構造の超過 | プロトコルデコードルールで、型の最大ネスト深度 (16) を超える型定義とパケットコンテンツが検出されました。 |
| 805 | プロトコルデコードのスタックエラー | ルールのプログラミングエラーが原因で、反復が発生したか、またはネストされたプロシージャコールが使用されようとしました。 |
| 806 | データの無限ループエラー | |
| 10002 | ゼロシーケンスでのログの理由のリセット | シーケンス番号がゼロのTCPリセット (RST) パケットが複数送信されました。 |