目次

ファイアウォールイベント

イベントに関する一般的なベストプラクティスについては、を参照してください。のイベントWorkload Security

Workload Securityによって取得されたファイアウォールイベントを表示するには、 Events&Reports> Events> ファイアウォール Eventsにアクセスしてください。

ファイアウォールイベントのアイコン:

  • 単一イベントアイコン 単一イベント
  • データアイコンのある単一のイベント データ付き単一イベント
  • 折りたたみイベントアイコン 折りたたみイベント
  • データアイコンのある折りたたみイベント データ付き折りたたみイベント

イベントの折りたたみは、同じ種類のイベントが数回続けて発生したときに実行されます。これによりディスク容量を節約でき、ログメカニズムに負荷をかけるDoS攻撃から防御することができます。

ファイアウォールイベントについて表示される情報

これらの列は、[ファイアウォールイベント] ページに表示できます。 [ Columns ] をクリックして、テーブルに表示する列を選択できます。

  • 時間: イベントがコンピュータで発生した時間。
  • Computer: このイベントが記録されたコンピュータ。コンピュータが削除されている場合、このエントリは [不明なコンピュータ] になります。
  • Reason: このページのログエントリは、ファイアウォールルールまたはファイアウォールのステートフル設定によって生成されました。エントリがファイアウォールルールによって生成された場合、列のエントリの先頭には「ファイアウォールルール」が付き、その後にファイアウォールルールの名前が続きます。それ以外の場合、列エントリには、ログエントリを生成したファイアウォールステートフル設定が表示されます。
  • タグ: このイベントに適用されているイベントタグ。
  • 処理: ファイアウォールルールまたはファイアウォールのステートフル設定によって実行された処理。処理には、許可、拒否、強制的に許可、ログのみがあります。
  • Rank: ランク付けシステムは、侵入防御イベントとファイアウォールイベントの重要性を数値化する方法を提供します。資産の値をコンピュータに割り当て、重大度の値を侵入防御ルールとファイアウォールルールに割り当てることで、イベントの重要度 (ランク) は、2 つの値を掛け合わせて計算されます。これにより、侵入防御イベントまたはファイアウォールイベントを表示するときに、イベントをランク順に並べ替えることができます。
  • 方向: 影響を受けたパケットの方向(受信または送信)。
  • インタフェース: パケットが移動していたインタフェースのMACアドレス。
  • Frame Type: 対象のパケットのフレームタイプ。指定できる値は IPV4 IPV6 ARP REVARPおよび Other: XXXX です。 XXXX はフレームタイプの4桁の16進コードを表します。
  • Protocol: 使用可能な値は、 ICMP ICMPV6 IGMP GGP TCP PUP UDP IDP ND RAW TCP+UDPおよび Other: nnn です。 nnn は3桁の10進数を表します。
  • フラグ: フラグがパケットに設定されました。
  • 送信元IP: パケットの送信元IP。
  • 送信元MAC: パケットの送信元MACアドレス。
  • 送信元ポート: パケットの送信元ポート。
  • 送信先IP: パケットの送信先IP。
  • 宛先MACアドレス: パケットの宛先MACアドレス。
  • 送信先ポート: パケットの送信先ポート。
  • パケットサイズ: パケットのサイズ(バイト)。
  • 繰り返しカウント: イベントが連続して繰り返された回数。
  • 時間 (マイクロ秒): コンピュータ上でイベントが発生した時間 (マイクロ秒)。
  • イベントの起点: Workload Security コンポーネント。イベントの発生元です。

次の列も使用できます。エージェントのバージョン12FR以降で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。

  • インタフェースの種類: コンテナインタフェースの種類。
  • コンテナ名: イベントが発生したコンテナの名前。
  • コンテナID: イベントが発生したコンテナのコンテナIDです。
  • イメージ名: イベントが発生したコンテナの作成に使用されたイメージ名。
  • RepoDigest: コンテナイメージを識別する一意の通知です。
  • プロセス名: イベントの原因となった(コンテナからの)プロセスの名前。

Log-only ルールは、問題のパケットが 拒否 ルール、またはそれを除外する 許可 ルールによってその後停止されなかった場合にのみ、ログ エントリを生成します。これら 2 つのルールのいずれかによってパケットが停止された場合、これらのルールは ログ専用 ルールではなく、ログ エントリを生成します。後続のルールがパケットを停止しない場合、ログ専用ルールによってエントリが生成されます。

ファイアウォールイベント一覧

ID イベント 備考
100 セッション情報なし 既存の接続に関連付けられていないパケットを受信しました。
101 不正なフラグ

パケットに設定されたフラグが無効です。このイベントは、現在の接続 (存在する場合) のコンテキスト内で意味をなさないフラグ、または無意味な組み合わせのフラグであることを示しています。

接続コンテキストを評価するには「ファイアウォールステートフル設定」がオンになっている必要があります。

102 不正なシーケンス シーケンス番号が無効なパケットまたはデータサイズが範囲外のパケットが検出されました。
103 不正なACK 確認応答番号が無効なパケットが検出されました。
104 内部エラー  
105 CEフラグ パケットに輻輳フラグが設定されており、ポリシーの回避対策設定で、[TCP Congestion Flags] プロパティが [ログ] または [拒否] に設定されているカスタム設定が使用されている。回避策を設定するを参照してください。
106 不正なIP パケットの送信元IPが無効です。
107 不正なIPデータグラム長 IPヘッダで指定されている長さよりも短いIPデータグラム長です。
108 フラグメント化 フラグメント化されたパケットが検出され、受信したフラグメント化されたパケットを拒否するようにIPパケットインスペクションが設定されています。
109 不正なフラグメントオフセット  
110 最初のフラグメントが最小サイズ未満

フラグメント化されたパケットが検出されました。最初のフラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。

パケットヘッダに次の設定が指定されている場合、パケットは破棄されます。

  • フラグメントオフセット= 0(フラグメントはパケット内の最初のフラグメントです)
  • 合計長(合計ヘッダー長の最大)< 120バイト(初期設定で許可される最小フラグメントサイズ)

このイベントが発生しないようにするには、ポリシーのネットワークエンジンの詳細設定で、[最小フラグメントサイズ] プロパティの値を小さくするか、0に設定してこの検査をオフにします。コンピュータエディタとポリシーエディタの設定の「ネットワークエンジンの詳細オプション」を参照してください。

111 範囲外のフラグメント フラグメント化されたパケットシーケンスに指定されているオフセットが、データグラムの最大サイズ範囲を超えています。
112 最小オフセット値以下のフラグメント フラグメント化されたパケットが検出されました。フラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。
113 IPv6パケット IPv6パケットが検出され、IPv6ブロックが有効になっています。 [ネットワークエンジンの詳細オプション] の [AgentとApplianceバージョン9以降でIPv6をブロックする] プロパティを参照してください (「コンピュータエディタとポリシーエディタの設定」を参照)。
114 受信接続の上限 受信接続数が最大許容数を超えました。「TCPパケットインスペクション」の「TCPステートフルインスペクションを有効にする」プロパティを参照してください。
115 送信接続の上限 送信接続数が、許可されている最大接続数を超えました。 「 TCPパケットインスペクション」の「TCPステートフル検査を有効にする」プロパティを参照してください。
116 SYN送信の上限 単一コンピュータからのハーフオープン接続数がファイアウォールステートフル設定に指定された数を超えています。「TCPパケットインスペクション」の「単一コンピュータからのハーフオープン接続数の上限」プロパティを参照してください。
118 不明なIPバージョン IPv4またはIPv6以外のIPパケットが検出されました。
119 不正なパケット情報  
120 内部エンジンエラー システムメモリの不足。システムリソースを追加してこの問題を修正します。
121 許可されていないUDP応答 コンピュータに許可されていない受信UDPパケットは拒否されます。
122 許可されていないICMP応答 ファイアウォールステートフル設定でICMPステートフルが有効になっています。いずれの「強制的に許可」ルールにも一致しない未許可のパケットを受信しました。
123 ポリシーで未許可 パケットはいずれの「許可」ルールまたは「強制的に許可」ルールにも一致しないため黙示的に拒否されます。
124 不正なポートコマンド FTP制御チャネルのデータストリームで無効なFTPポートコマンドが検出されました。
125 SYN Cookieエラー SYN Cookieの保護メカニズムでエラーが発生しました。
126 不正なデータオフセット データオフセットパラメータが無効です。
127 IPヘッダなし パケットIPヘッダが無効または不完全です。
128 読み取り不能なイーサネットヘッダ このイーサネットフレームに含まれるデータがイーサネットヘッダよりも少なくなっています。
129 未定義  
130 送信元および送信先IPが同一 送信元IPと送信先IPが同じです。
131 不正なTCPヘッダ長  
132 読み取り不能なプロトコルヘッダ 読み取り不能なTCP、UDP、またはICMPヘッダがパケットに含まれています。
133 読み取り不能なIPv4ヘッダ 読み取り不能なIPv4ヘッダがパケットに含まれています。
134 不明なIPバージョン IPバージョンを認識できません。
135 不正なアダプタ設定 無効なアダプタ設定を受信しました。
136 重複しているフラグメント このパケットのフラグメントは以前に送信されたフラグメントと重複しています。
138 切断された接続上のパケット すでに切断された接続に属するパケットを受信しました。
139 再送の破棄

ネットワークエンジンは、同じTCP接続ですでに受信したデータと重複しているが、すでに受信したデータとは一致しないTCPパケットを検出しました。ネットワークエンジンは、エンジンの接続バッファにキューイングされていたパケットデータと、再送信されたパケット内のデータを比較します。

ネットワークエンジンは、処理するTCP接続ごとにデータストリームを順番に再構築します。受信パケットのシーケンス番号と長さにより、このデータストリームの特定の領域が決まります。ログの注記用フィールドは、TCPストリームで変更した次のコンテンツの場所を示します。prev-full、prev-part、next-full、およびnext-part。

  • 「prev-full」と「prev-part」: 変更領域は、順番に整理されたデータストリームの再送信パケットをすぐに処理するパケット内にあります。「prev-full」は、変更された領域が、シーケンス化されたデータストリーム内の再送パケットの直前のパケットに完全に含まれていることを示します。それ以外の場合の注記は「prev-part」です。
  • 「next-full」と「next-part」: 変更領域は、順番に整理されたデータストリームの再送信パケットのすぐ後に続くパケット内にあります。「next-full」は、変更された領域が、シーケンス化されたデータストリーム内の再送信パケットの直後のパケットに完全に含まれていることを示します。それ以外の場合の注記は「next-part」です。
140 未定義  
141 ポリシーで未許可 (オープンポート)  
142 新しい接続の開始  
143 無効なチェックサム  
144 無効なフック  
145 IPペイロードがゼロ  
146 IPv6ソースがマルチキャスト  
147 無効なIPv6アドレス  
148 最小サイズ以下のIPv6のフラグメント  
149 無効なトランスポートヘッダ長  
150 メモリ不足  
151 最大TCP接続数 TCP 接続の最大数を超えています。「最大TCP接続数を増やす」を参照してください。
152 最大UDP接続数  
200 リージョンサイズの超過 リージョン (編集リージョン、URIなど) が閉じられずに、バッファの最大許容サイズ (7570バイト) を超えました。これは、通常、データがプロトコルに適合していないために発生します。
201 メモリ不足 リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。
202 編集回数の超過 パケットの単一リージョンにおける最大編集回数 (32回) を超えました。
203 編集範囲の超過 リージョンのサイズを最大許容サイズ (8,188バイト) よりも増やそうとする編集が試行されました。
204 パケットの最大一致数を超過 パケット内でパターンに一致する地点が2,048箇所を超えています。この制限に達するパケットは通常ガベージパケットまたは回避パケットであるため、エラーが返されて接続が破棄されます。
205 エンジンのコールスタック数の超過  
206 ランタイムエラー ランタイムエラーです。
207 パケットの読み込みエラー パケットデータの読み込み中に発生した低レベルの問題です。
257 Fail-Open: 拒否 (ログに記録) 破棄する必要のあるパケットを記録し、Fail-Open機能がオンでインラインモードの場合には記録しません。
300 サポートされていない暗号化 不明またはサポートされていない暗号化スイートが要求されました。
301 マスターキーの生成エラー マスターシークレットから、暗号化キー、MACシークレット、および初期化ベクタを生成できません。
302 レコードレイヤメッセージ (準備ができていません) SSL状態エンジンで、セッションの初期化前にSSLレコードが検出されました。
303 ハンドシェークメッセージ (準備ができていません) SSL状態エンジンで、ハンドシェークのネゴシエーション後にハンドシェークメッセージが検出されました。
304 ハンドシェークメッセージの障害 適切にフォーマットされたハンドシェークメッセージが、誤った順序で検出されました。
305 メモリの割り当てエラー リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。
306 サポートされていないSSLバージョン クライアントがSSL V2バージョンのネゴシエーションを試行しました。
307 プレマスターキーの復号時のエラー ClientKeyExchangeメッセージからプレマスターシークレットを復号できません。
308 クライアントによるロールバックの試行 クライアントが、ClientHelloメッセージに指定されたバージョンより古いバージョンのSSLプロトコルへのロールバックを試行しました。
309 更新エラー キャッシュされたセッションキーでSSLセッションが要求されましたが、該当するセッションキーが見つかりませんでした。
310 鍵の交換エラー サーバが一時的に生成されたキーを使用してSSLセッションを確立しようとしています。
311 SSLキー交換の上限を超過 キー交換の同時要求数が上限を超えました。
312 鍵サイズの超過 マスターの秘密鍵がプロトコルIDで指定されたサイズを超えています。
313 ハンドシェーク内の不正なパラメータ ハンドシェークプロトコルのデコード中に無効または不正な値が検出されました。
314 利用可能なセッションなし  
315 未サポートの圧縮方法  
316 サポートされていないアプリケーション層プロトコル 不明、またはサポートされていないSSLアプリケーション層プロトコルが要求されました。
385 Fail-Open: 拒否 (ログに記録) 破棄する必要のあるパケットを記録し、Fail-Open機能がオンでタップモードの場合には記録しません。
500 URIパスの深さが超過 区切り文字「/」が多すぎます。パスの深さは最大100です。
501 無効なトラバーサル ルートより上位に「../」を使用しようとしました。
502 URIに使用できない文字 URIに無効な文字が使用されています。
503 不完全なUTF8シーケンス UTF8シーケンスの途中でURIが終了しました。
504 無効なUTF8の符号化 無効または規定外のエンコードが試行されました。
505 無効な16進の符号化 %nnのnnが16進数ではありません。
506 URIパス長の超過 パス長が512文字を超えています。
507 不正な文字の使用 無効な文字を使用しています。
508 二重デコードの攻撃コード 二重デコードの攻撃コードです (%25xx、%25%xxdなど)。
700 不正なBase64コンテンツ Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
710 破損したDeflate/GZIPコンテンツ Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
711 不完全なDeflate/GZIPコンテンツ 不完全なDeflate/GZIPコンテンツです
712 Deflate/GZIPチェックサムエラー Deflate/GZIPチェックサムエラーです。
713 未サポートのDeflate/GZIP辞書 サポートされていないDeflate/GZIP辞書です。
714 サポートされていないGZIPヘッダ形式/方法 サポートされていないGZIPヘッダ形式または方法です。
801 プロトコルデコード検索の上限を超過 プロトコルデコードルールには検索またはPDUオブジェクトの制限が定義されていますが、オブジェクトを見つける前に制限に達しました。
802 プロトコルデコードの制約エラー プロトコルデコードルールによってデコードされたデータが、プロトコルコンテンツの制約を満たしていません。
803 プロトコルデコードエンジンの内部エラー  
804 プロトコルデコードの構造の超過 プロトコルデコードルールで、型の最大ネスト深度 (16) を超える型定義とパケットコンテンツが検出されました。
805 プロトコルデコードのスタックエラー ルールのプログラミングエラーが原因で、反復が発生したか、またはネストされたプロシージャコールが使用されようとしました。
806 データの無限ループエラー  
10002 ゼロシーケンスでのログの理由のリセット シーケンス番号がゼロのTCPリセット (RST) パケットが複数送信されました。