このページのトピック
ファイアウォールイベント
イベントに関する一般的なベストプラクティスについては、を参照してください。のイベントWorkload Security。
Workload Securityによって取得されたファイアウォールイベントを表示するには、 Events&Reports> Events> ファイアウォール Eventsにアクセスしてください。
ファイアウォールイベントのアイコン:
単一イベント
データ付き単一イベント
折りたたみイベント
データ付き折りたたみイベント
イベントの折りたたみは、同じ種類のイベントが数回続けて発生したときに実行されます。これによりディスク容量を節約でき、ログメカニズムに負荷をかけるDoS攻撃から防御することができます。
ファイアウォールイベントで表示される情報
[ファイアウォールイベント] 画面には次の列が表示されます。[列]をクリックすると、表に表示する列を選択できます。
- 時間: イベントがコンピュータで発生した時間。
- コンピュータ: このイベントがログに記録されたコンピュータです。(コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
- 理由: このページのログエントリは、ファイアウォールルールまたはファイアウォールのステートフルな設定によって生成されます。エントリがファイアウォールルールによって生成された場合、列エントリには、「ファイアウォールルール:」と表示され、続いてファイアウォールルールの名前が表示されます。それ以外の場合、列エントリには、ログエントリを生成したファイアウォールステートフル設定の内容が表示されます。
- タグ: このイベントに適用されているイベントタグ。
- 処理: ファイアウォールルールまたはファイアウォールのステートフル設定によって実行された処理。処理には、許可、拒否、強制的に許可、ログのみがあります。
- ランク: ランキングシステムは、侵入防御およびファイアウォールイベントの重要性を数値化する方法を提供します。コンピュータに「資産評価」を割り当て、侵入防御ルールとファイアウォールルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。これによって、侵入防御イベントまたはファイアウォールイベントを表示するときに、イベントをランクでソートできます。
- 方向: 影響を受けたパケットの方向(受信または送信)。
- インタフェース: パケットが移動していたインタフェースのMACアドレス。
- フレームタイプ: 問題のパケットのフレームタイプ。値は、[IPV4]、[IPV6]、[ARP]、[REVARP]、および [その他:XXXX] (XXXXはフレームの種類を示す4桁の16進コード) のいずれかになります。
- プロトコル: 値は、[ICMP]、[ICMPV6]、[IGMP]、[GGP]、[TCP]、[PUP]、[UDP]、[IDP]、[ND]、[RAW]、[TCP+UDP]、および [その他: nnn] (nnnは、3桁の10進値) のいずれかになります。
- フラグ: フラグがパケットに設定されました。
- 送信元IP: パケットの送信元IP。
- 送信元MAC: パケットの送信元MACアドレス。
- 送信元ポート: パケットの送信元ポート。
- 送信先IP: パケットの送信先IP。
- 宛先MACアドレス: パケットの宛先MACアドレス。
- 送信先ポート: パケットの送信先ポート。
- パケットサイズ: パケットのサイズ(バイト)。
- 繰り返しカウント: イベントが連続して繰り返された回数。
- 時間 (マイクロ秒): コンピュータ上でイベントが発生した時間 (マイクロ秒)。
- イベントの起点: Workload Security コンポーネント。イベントの発生元です。
次の列も使用できます。エージェントのバージョン12FR以降で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。
- インタフェースの種類: コンテナインタフェースの種類。
- コンテナ名: イベントが発生したコンテナの名前。
- コンテナID: イベントが発生したコンテナのコンテナIDです。
- イメージ名: イベントが発生したコンテナの作成に使用されたイメージ名。
- RepoDigest: コンテナイメージを識別する一意の通知です。
- プロセス名: イベントの原因となった(コンテナからの)プロセスの名前。
ログのみルールは、対象のパケットが、拒否ルールまたはそのパケットを除外する許可ルールによって、それ以降に停止されない場合にログエントリのみを生成します。この2つのルールのいずれかによってパケットが停止される場合は、ログのみルールではなく、これらのルールがログエントリを生成します。以降のルールでパケットを停止しない場合は、ログのみルールがエントリを生成します。
ファイアウォールイベント一覧
| ID | イベント | 備考 |
| 100 | セッション情報なし | 既存の接続に関連付けられていないパケットを受信しました。 |
| 101 | 不正なフラグ |
パケットに設定されたフラグが無効です。このイベントは、現在の接続 (存在する場合) のコンテキスト内で意味をなさないフラグ、または無意味な組み合わせのフラグであることを示しています。 接続コンテキストを評価するには「ファイアウォールステートフル設定」がオンになっている必要があります。 |
| 102 | 不正なシーケンス | シーケンス番号が無効なパケットまたはデータサイズが範囲外のパケットが検出されました。 |
| 103 | 不正なACK | 確認応答番号が無効なパケットが検出されました。 |
| 104 | 内部エラー | |
| 105 | CEフラグ | パケットに輻輳フラグが設定されていたり、ポリシーの回避技術対策でTCP輻輳フラグプロパティがログまたは拒否に設定されているカスタム設定を使用したりしています(「回避技術対策の設定」を参照)。 |
| 106 | 不正なIP | パケットの送信元IPが無効です。 |
| 107 | 不正なIPデータグラム長 | IPヘッダで指定されている長さよりも短いIPデータグラム長です。 |
| 108 | フラグメント化 | フラグメント化されたパケットが検出され、受信したフラグメント化されたパケットを拒否するようにIPパケットインスペクションが設定されています。 |
| 109 | 不正なフラグメントオフセット | |
| 110 | 最初のフラグメントが最小サイズ未満 |
フラグメント化されたパケットが検出されました。最初のフラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。 パケットヘッダに次の設定が指定されている場合、パケットは破棄されます。
このイベントの再発を防止するには、最小フラグメントサイズプロパティの値を低くするようにポリシーのネットワークエンジンの詳細設定を行うか、この監視をオフにするように0に設定します(「コンピュータおよびポリシーエディタの設定」の「ネットワークエンジンの詳細オプション」を参照)。 |
| 111 | 範囲外のフラグメント | フラグメント化されたパケットシーケンスに指定されているオフセットが、データグラムの最大サイズ範囲を超えています。 |
| 112 | 最小オフセット値以下のフラグメント | フラグメント化されたパケットが検出されました。フラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。 |
| 113 | IPv6パケット | IPv6パケットが検出されました。IPv6ブロックが有効になっています。「ネットワークエンジンの詳細オプション」の「バージョン9以降のAgentとApplianceでIPv6をブロック」プロパティ (「コンピュータおよびポリシーエディタの設定」を参照) を参照してください。 |
| 114 | 受信接続の上限 | 受信接続数が最大許容数を超えました。「TCPパケットインスペクション」の「TCPステートフルインスペクションを有効にする」プロパティを参照してください。 |
| 115 | 送信接続の上限 | 送信接続数が最大許容数を超えていました。 「TCPパケットインスペクション」の「TCPステートフルインスペクションを有効にする」プロパティを参照してください。 |
| 116 | SYN送信の上限 | 単一コンピュータからのハーフオープン接続数がファイアウォールステートフル設定に指定された数を超えています。「TCPパケットインスペクション」の「単一コンピュータからのハーフオープン接続数の上限」プロパティを参照してください。 |
| 118 | 不明なIPバージョン | IPv4またはIPv6以外のIPパケットが検出されました。 |
| 119 | 不正なパケット情報 | |
| 120 | 内部エンジンエラー | システムメモリの不足。システムリソースを追加してこの問題を修正します。 |
| 121 | 許可されていないUDP応答 | コンピュータに許可されていない受信UDPパケットは拒否されます。 |
| 122 | 許可されていないICMP応答 | ファイアウォールステートフル設定でICMPステートフルが有効になっています。いずれの「強制的に許可」ルールにも一致しない未許可のパケットを受信しました。 |
| 123 | ポリシーで未許可 | パケットはいずれの「許可」ルールまたは「強制的に許可」ルールにも一致しないため黙示的に拒否されます。 |
| 124 | 不正なポートコマンド | FTP制御チャネルのデータストリームで無効なFTPポートコマンドが検出されました。 |
| 125 | SYN Cookieエラー | SYN Cookieの保護メカニズムでエラーが発生しました。 |
| 126 | 不正なデータオフセット | データオフセットパラメータが無効です。 |
| 127 | IPヘッダなし | パケットIPヘッダが無効または不完全です。 |
| 128 | 読み取り不能なイーサネットヘッダ | このイーサネットフレームに含まれるデータがイーサネットヘッダよりも少なくなっています。 |
| 129 | 未定義 | |
| 130 | 送信元および送信先IPが同一 | 送信元IPと送信先IPが同じです。 |
| 131 | 不正なTCPヘッダ長 | |
| 132 | 読み取り不能なプロトコルヘッダ | 読み取り不能なTCP、UDP、またはICMPヘッダがパケットに含まれています。 |
| 133 | 読み取り不能なIPv4ヘッダ | 読み取り不能なIPv4ヘッダがパケットに含まれています。 |
| 134 | 不明なIPバージョン | IPバージョンを認識できません。 |
| 135 | 不正なアダプタ設定 | 無効なアダプタ設定を受信しました。 |
| 136 | 重複しているフラグメント | このパケットのフラグメントは以前に送信されたフラグメントと重複しています。 |
| 138 | 切断された接続上のパケット | すでに切断された接続に属するパケットを受信しました。 |
| 139 | 再送の破棄 |
ネットワークエンジンが、同じTCP接続ですでに受信したデータと重複しているTCPパケットを検出しましたが、すでに受信したデータと一致しません。(ネットワークエンジンは、エンジンの接続バッファ内にキューイングされたパケットデータと、再送信されたパケット内のデータを比較します。) ネットワークエンジンは、処理するTCP接続ごとにデータストリームを順番に再構築します。受信パケットのシーケンス番号と長さにより、このデータストリームの特定の領域が決まります。ログの注記用フィールドは、TCPストリームで変更した次のコンテンツの場所を示します。prev-full、prev-part、next-full、およびnext-part。
|
| 140 | 未定義 | |
| 141 | ポリシーで未許可 (オープンポート) | |
| 142 | 新しい接続の開始 | |
| 143 | 無効なチェックサム | |
| 144 | 無効なフック | |
| 145 | IPペイロードがゼロ | |
| 146 | IPv6ソースがマルチキャスト | |
| 147 | 無効なIPv6アドレス | |
| 148 | 最小サイズ以下のIPv6のフラグメント | |
| 149 | 無効なトランスポートヘッダ長 | |
| 150 | メモリ不足 | |
| 151 | 最大TCP接続数 | TCP 接続の最大数を超えています。「最大TCP接続数を増やす」を参照してください。 |
| 152 | 最大UDP接続数 | |
| 200 | リージョンサイズの超過 | リージョン (編集リージョン、URIなど) が閉じられずに、バッファの最大許容サイズ (7570バイト) を超えました。これは、通常、データがプロトコルに適合していないために発生します。 |
| 201 | メモリ不足 | リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。 |
| 202 | 編集回数の超過 | パケットの単一リージョンにおける最大編集回数 (32回) を超えました。 |
| 203 | 編集範囲の超過 | リージョンのサイズを最大許容サイズ (8,188バイト) よりも増やそうとする編集が試行されました。 |
| 204 | パケットの最大一致数を超過 | パケット内でパターンに一致する地点が2,048箇所を超えています。この制限に達するパケットは通常ガベージパケットまたは回避パケットであるため、エラーが返されて接続が破棄されます。 |
| 205 | エンジンのコールスタック数の超過 | |
| 206 | ランタイムエラー | ランタイムエラーです。 |
| 207 | パケットの読み込みエラー | パケットデータの読み込み中に発生した低レベルの問題です。 |
| 257 | Fail-Open: 拒否 (ログに記録) | 破棄する必要のあるパケットを記録し、Fail-Open機能がオンでインラインモードの場合には記録しません。 |
| 300 | サポートされていない暗号化 | 不明またはサポートされていない暗号化スイートが要求されました。 |
| 301 | マスターキーの生成エラー | マスターシークレットから、暗号化キー、MACシークレット、および初期化ベクタを生成できません。 |
| 302 | レコードレイヤメッセージ (準備ができていません) | SSL状態エンジンで、セッションの初期化前にSSLレコードが検出されました。 |
| 303 | ハンドシェークメッセージ (準備ができていません) | SSL状態エンジンで、ハンドシェークのネゴシエーション後にハンドシェークメッセージが検出されました。 |
| 304 | ハンドシェークメッセージの障害 | 適切にフォーマットされたハンドシェークメッセージが、誤った順序で検出されました。 |
| 305 | メモリの割り当てエラー | リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。 |
| 306 | サポートされていないSSLバージョン | クライアントがSSL V2バージョンのネゴシエーションを試行しました。 |
| 307 | プレマスターキーの復号時のエラー | ClientKeyExchangeメッセージからプレマスターシークレットを復号できません。 |
| 308 | クライアントによるロールバックの試行 | クライアントが、ClientHelloメッセージに指定されたバージョンより古いバージョンのSSLプロトコルへのロールバックを試行しました。 |
| 309 | 更新エラー | キャッシュされたセッションキーでSSLセッションが要求されましたが、該当するセッションキーが見つかりませんでした。 |
| 310 | 鍵の交換エラー | サーバが一時的に生成されたキーを使用してSSLセッションを確立しようとしています。 |
| 311 | SSLキー交換の上限を超過 | キー交換の同時要求数が上限を超えました。 |
| 312 | 鍵サイズの超過 | マスターの秘密鍵がプロトコルIDで指定されたサイズを超えています。 |
| 313 | ハンドシェーク内の不正なパラメータ | ハンドシェークプロトコルのデコード中に無効または不正な値が検出されました。 |
| 314 | 利用可能なセッションなし | |
| 315 | 未サポートの圧縮方法 | |
| 316 | サポートされていないアプリケーション層プロトコル | 不明、またはサポートされていないSSLアプリケーション層プロトコルが要求されました。 |
| 385 | Fail-Open: 拒否 (ログに記録) | 破棄する必要のあるパケットを記録し、Fail-Open機能がオンでタップモードの場合には記録しません。 |
| 500 | URIパスの深さが超過 | 区切り文字「/」が多すぎます。パスの深さは最大100です。 |
| 501 | 無効なトラバーサル | ルートより上位に「../」を使用しようとしました。 |
| 502 | URIに使用できない文字 | URIに無効な文字が使用されています。 |
| 503 | 不完全なUTF8シーケンス | UTF8シーケンスの途中でURIが終了しました。 |
| 504 | 無効なUTF8の符号化 | 無効または規定外のエンコードが試行されました。 |
| 505 | 無効な16進の符号化 | %nnのnnが16進数ではありません。 |
| 506 | URIパス長の超過 | パス長が512文字を超えています。 |
| 507 | 不正な文字の使用 | 無効な文字を使用しています。 |
| 508 | 二重デコードの攻撃コード | 二重デコードの攻撃コードです (%25xx、%25%xxdなど)。 |
| 700 | 不正なBase64コンテンツ | Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。 |
| 710 | 破損したDeflate/GZIPコンテンツ | Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。 |
| 711 | 不完全なDeflate/GZIPコンテンツ | 不完全なDeflate/GZIPコンテンツです |
| 712 | Deflate/GZIPチェックサムエラー | Deflate/GZIPチェックサムエラーです。 |
| 713 | 未サポートのDeflate/GZIP辞書 | サポートされていないDeflate/GZIP辞書です。 |
| 714 | サポートされていないGZIPヘッダ形式/方法 | サポートされていないGZIPヘッダ形式または方法です。 |
| 801 | プロトコルデコード検索の上限を超過 | プロトコルデコードルールには検索またはPDUオブジェクトの制限が定義されていますが、オブジェクトを見つける前に制限に達しました。 |
| 802 | プロトコルデコードの制約エラー | プロトコルデコードルールによってデコードされたデータが、プロトコルコンテンツの制約を満たしていません。 |
| 803 | プロトコルデコードエンジンの内部エラー | |
| 804 | プロトコルデコードの構造の超過 | プロトコルデコードルールで、型の最大ネスト深度 (16) を超える型定義とパケットコンテンツが検出されました。 |
| 805 | プロトコルデコードのスタックエラー | ルールのプログラミングエラーが原因で、反復が発生したか、またはネストされたプロシージャコールが使用されようとしました。 |
| 806 | データの無限ループエラー | |
| 10002 | ゼロシーケンスでのログの理由のリセット | シーケンス番号がゼロのTCPリセット (RST) パケットが複数送信されました。 |