ファイアウォールイベント

イベントに関する一般的なベストプラクティスについては、を参照してください。のイベントWorkload Security

Workload Securityによって取得されたファイアウォールイベントを表示するには、 Events&Reports> Events> ファイアウォール Eventsにアクセスしてください。

ファイアウォールイベントのアイコン:

  • 単一イベント
  • データ付き単一イベント
  • 折りたたみイベント
  • データ付き折りたたみイベント

イベントの折りたたみは、同じ種類のイベントが数回続けて発生したときに実行されます。これによりディスク容量を節約でき、ログメカニズムに負荷をかけるDoS攻撃から防御することができます。

ファイアウォールイベントで表示される情報

[ファイアウォールイベント] 画面には次の列が表示されます。[列]をクリックすると、表に表示する列を選択できます。

  • 時間: イベントがコンピュータで発生した時間。
  • コンピュータ: このイベントがログに記録されたコンピュータです。(コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
  • 理由: このページのログエントリは、ファイアウォールルールまたはファイアウォールのステートフルな設定によって生成されます。エントリがファイアウォールルールによって生成された場合、列エントリには、「ファイアウォールルール:」と表示され、続いてファイアウォールルールの名前が表示されます。それ以外の場合、列エントリには、ログエントリを生成したファイアウォールステートフル設定の内容が表示されます。
  • タグ: このイベントに適用されているイベントタグ。
  • 処理: ファイアウォールルールまたはファイアウォールのステートフル設定によって実行された処理。処理には、許可、拒否、強制的に許可、ログのみがあります。
  • ランク: ランキングシステムは、侵入防御およびファイアウォールイベントの重要性を数値化する方法を提供します。コンピュータに「資産評価」を割り当て、侵入防御ルールとファイアウォールルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。これによって、侵入防御イベントまたはファイアウォールイベントを表示するときに、イベントをランクでソートできます。
  • 方向: 影響を受けたパケットの方向(受信または送信)。
  • インタフェース: パケットが移動していたインタフェースのMACアドレス。
  • フレームタイプ: 問題のパケットのフレームタイプ。値は、[IPV4]、[IPV6]、[ARP]、[REVARP]、および [その他:XXXX] (XXXXはフレームの種類を示す4桁の16進コード) のいずれかになります。
  • プロトコル: 値は、[ICMP]、[ICMPV6]、[IGMP]、[GGP]、[TCP]、[PUP]、[UDP]、[IDP]、[ND]、[RAW]、[TCP+UDP]、および [その他: nnn] (nnnは、3桁の10進値) のいずれかになります。
  • フラグ: フラグがパケットに設定されました。
  • 送信元IP: パケットの送信元IP。
  • 送信元MAC: パケットの送信元MACアドレス。
  • 送信元ポート: パケットの送信元ポート。
  • 送信先IP: パケットの送信先IP。
  • 宛先MACアドレス: パケットの宛先MACアドレス。
  • 送信先ポート: パケットの送信先ポート。
  • パケットサイズ: パケットのサイズ(バイト)。
  • 繰り返しカウント: イベントが連続して繰り返された回数。
  • 時間 (マイクロ秒): コンピュータ上でイベントが発生した時間 (マイクロ秒)。
  • イベントの起点: Workload Security コンポーネント。イベントの発生元です。

次の列も使用できます。Deep Security Agent 12 FR以上で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。

  • インタフェースの種類: コンテナインタフェースの種類。
  • コンテナ名: イベントが発生したコンテナの名前。
  • コンテナID: イベントが発生したコンテナのコンテナIDです。
  • イメージ名: イベントが発生したコンテナの作成に使用されたイメージ名。
  • RepoDigest: コンテナイメージを識別する一意の通知です。
  • プロセス名: イベントの原因となった(コンテナからの)プロセスの名前。

ログのみルールは、対象のパケットが、拒否ルールまたはそのパケットを除外する許可ルールによって、それ以降に停止されない場合にログエントリのみを生成します。この2つのルールのいずれかによってパケットが停止される場合は、ログのみルールではなく、これらのルールがログエントリを生成します。以降のルールでパケットを停止しない場合は、ログのみルールがエントリを生成します。

ファイアウォールイベント一覧

ID イベント 備考
100 セッション情報なし 既存の接続に関連付けられていないパケットを受信しました。
101 不正なフラグ

パケットに設定されたフラグが無効です。このイベントは、現在の接続 (存在する場合) のコンテキスト内で意味をなさないフラグ、または無意味な組み合わせのフラグであることを示しています。

接続コンテキストを評価するには「ファイアウォールステートフル設定」がオンになっている必要があります。

102 不正なシーケンス シーケンス番号が無効なパケットまたはデータサイズが範囲外のパケットが検出されました。
103 不正なACK 確認応答番号が無効なパケットが検出されました。
104 内部エラー  
105 CEフラグ パケットに輻輳フラグが設定されていたり、ポリシーの回避技術対策でTCP輻輳フラグプロパティがログまたは拒否に設定されているカスタム設定を使用したりしています(「回避技術対策の設定」を参照)。
106 不正なIP パケットの送信元IPが無効です。
107 不正なIPデータグラム長 IPヘッダで指定されている長さよりも短いIPデータグラム長です。
108 フラグメント化 フラグメント化されたパケットが検出されました。フラグメント化されたパケットは許可されていません。
109 不正なフラグメントオフセット  
110 最初のフラグメントが最小サイズ未満

フラグメント化されたパケットが検出されました。最初のフラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。

パケットヘッダに次の設定が指定されている場合、パケットは破棄されます。

  • フラグメントオフセット= 0(フラグメントはパケット内の最初のフラグメントです)
  • 合計長(合計ヘッダー長の最大)< 120バイト(初期設定で許可される最小フラグメントサイズ)

このイベントの再発を防止するには、最小フラグメントサイズプロパティの値を低くするようにポリシーのネットワークエンジンの詳細設定を行うか、この監視をオフにするように0に設定します(「コンピュータおよびポリシーエディタの設定」の「ネットワークエンジンの詳細オプション」を参照)。

111 範囲外のフラグメント フラグメント化されたパケットシーケンスに指定されているオフセットが、データグラムの最大サイズ範囲を超えています。
112 最小オフセット値以下のフラグメント フラグメント化されたパケットが検出されました。フラグメントのサイズがTCPパケット (データなし) のサイズよりも小さくなっています。
113 IPv6パケット IPv6パケットが検出されました。IPv6ブロックが有効になっています。「ネットワークエンジンの詳細オプション」の「バージョン9以降のAgentとApplianceでIPv6をブロック」プロパティ (「コンピュータおよびポリシーエディタの設定」を参照) を参照してください。
114 受信接続の上限 受信接続数が最大許容数を超えました。「TCPパケットインスペクション」の「TCPステートフルインスペクションを有効にする」プロパティを参照してください。
115 送信接続の上限 送信接続数が最大許容数を超えていました。 「TCPパケットインスペクション」の「TCPステートフルインスペクションを有効にする」プロパティを参照してください。
116 SYN送信の上限 単一コンピュータからのハーフオープン接続数がファイアウォールステートフル設定に指定された数を超えています。「TCPパケットインスペクション」の「単一コンピュータからのハーフオープン接続数の上限」プロパティを参照してください。
118 不明なIPバージョン IPv4またはIPv6以外のIPパケットが検出されました。
119 不正なパケット情報  
120 内部エンジンエラー システムメモリの不足。システムリソースを追加してこの問題を修正します。
121 許可されていないUDP応答 コンピュータに許可されていない受信UDPパケットは拒否されます。
122 許可されていないICMP応答 ファイアウォールステートフル設定でICMPステートフルが有効になっています。いずれの「強制的に許可」ルールにも一致しない未許可のパケットを受信しました。
123 ポリシーで未許可 パケットはいずれの「許可」ルールまたは「強制的に許可」ルールにも一致しないため黙示的に拒否されます。
124 不正なポートコマンド FTP制御チャネルのデータストリームで無効なFTPポートコマンドが検出されました。
125 SYN Cookieエラー SYN Cookieの保護メカニズムでエラーが発生しました。
126 不正なデータオフセット データオフセットパラメータが無効です。
127 IPヘッダなし パケットIPヘッダが無効または不完全です。
128 読み取り不能なイーサネットヘッダ このイーサネットフレームに含まれるデータがイーサネットヘッダよりも少なくなっています。
129 未定義  
130 送信元および送信先IPが同一 送信元IPと送信先IPが同じです。
131 不正なTCPヘッダ長  
132 読み取り不能なプロトコルヘッダ 読み取り不能なTCP、UDP、またはICMPヘッダがパケットに含まれています。
133 読み取り不能なIPv4ヘッダ 読み取り不能なIPv4ヘッダがパケットに含まれています。
134 不明なIPバージョン IPバージョンを認識できません。
135 不正なアダプタ設定 無効なアダプタ設定を受信しました。
136 重複しているフラグメント このパケットのフラグメントは以前に送信されたフラグメントと重複しています。
138 切断された接続上のパケット すでに切断された接続に属するパケットを受信しました。
139 再送の破棄

ネットワークエンジンが、同じTCP接続ですでに受信したデータと重複しているTCPパケットを検出しましたが、すでに受信したデータと一致しません。(ネットワークエンジンは、エンジンの接続バッファ内にキューイングされたパケットデータと、再送信されたパケット内のデータを比較します。)

ネットワークエンジンは、処理するTCP接続ごとにデータストリームを順番に再構築します。受信パケットのシーケンス番号と長さにより、このデータストリームの特定の領域が決まります。ログの注記用フィールドは、TCPストリームで変更した次のコンテンツの場所を示します。prev-full、prev-part、next-full、およびnext-part。

  • 「prev-full」と「prev-part」: 変更領域は、順番に整理されたデータストリームの再送信パケットをすぐに処理するパケット内にあります。「prev-full」は、変更された領域が、シーケンス化されたデータストリーム内の再送パケットの直前のパケットに完全に含まれていることを示します。それ以外の場合の注記は「prev-part」です。
  • 「next-full」と「next-part」: 変更領域は、順番に整理されたデータストリームの再送信パケットのすぐ後に続くパケット内にあります。「next-full」は、変更された領域が、シーケンス化されたデータストリーム内の再送信パケットの直後のパケットに完全に含まれていることを示します。それ以外の場合の注記は「next-part」です。
140 未定義  
141 ポリシーで未許可 (オープンポート)  
142 新しい接続の開始  
143 無効なチェックサム  
144 無効なフック  
145 IPペイロードがゼロ  
146 IPv6ソースがマルチキャスト  
147 無効なIPv6アドレス  
148 最小サイズ以下のIPv6のフラグメント  
149 無効なトランスポートヘッダ長  
150 メモリ不足  
151 最大TCP接続数 TCP 接続の最大数を超えています。「最大TCP接続数を増やす」を参照してください。
152 最大UDP接続数  
200 リージョンサイズの超過 リージョン (編集リージョン、URIなど) が閉じられずに、バッファの最大許容サイズ (7570バイト) を超えました。これは、通常、データがプロトコルに適合していないために発生します。
201 メモリ不足 リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。
202 編集回数の超過 パケットの単一リージョンにおける最大編集回数 (32回) を超えました。
203 編集範囲の超過 リージョンのサイズを最大許容サイズ (8,188バイト) よりも増やそうとする編集が試行されました。
204 パケットの最大一致数を超過 パケット内でパターンに一致する地点が2,048箇所を超えています。この制限に達するパケットは通常ガベージパケットまたは回避パケットであるため、エラーが返されて接続が破棄されます。
205 エンジンのコールスタック数の超過  
206 ランタイムエラー ランタイムエラーです。
207 パケットの読み込みエラー パケットデータの読み込み中に発生した低レベルの問題です。
257 Fail-Open: 拒否 (ログに記録) 破棄する必要のあるパケットを記録し、Fail-Open機能がオンでインラインモードの場合には記録しません。
300 サポートされていない暗号化 不明またはサポートされていない暗号化スイートが要求されました。
301 マスターキーの生成エラー マスターシークレットから、暗号化キー、MACシークレット、および初期化ベクタを生成できません。
302 レコードレイヤメッセージ (準備ができていません) SSL状態エンジンで、セッションの初期化前にSSLレコードが検出されました。
303 ハンドシェークメッセージ (準備ができていません) SSL状態エンジンで、ハンドシェークのネゴシエーション後にハンドシェークメッセージが検出されました。
304 ハンドシェークメッセージの障害 適切にフォーマットされたハンドシェークメッセージが、誤った順序で検出されました。
305 メモリの割り当てエラー リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続によってバッファ (最大2,048) や一致リソース (最大128) が一度に要求された場合、1つのIPパケットにおける一致数 (最大2,048) を超過した場合、または単にシステムのメモリが不足した場合に発生することがあります。
306 サポートされていないSSLバージョン クライアントがSSL V2バージョンのネゴシエーションを試行しました。
307 プレマスターキーの復号時のエラー ClientKeyExchangeメッセージからプレマスターシークレットを復号できません。
308 クライアントによるロールバックの試行 クライアントが、ClientHelloメッセージに指定されたバージョンより古いバージョンのSSLプロトコルへのロールバックを試行しました。
309 更新エラー キャッシュされたセッションキーでSSLセッションが要求されましたが、該当するセッションキーが見つかりませんでした。
310 鍵の交換エラー サーバが一時的に生成されたキーを使用してSSLセッションを確立しようとしています。
311 SSLキー交換の上限を超過 キー交換の同時要求数が上限を超えました。
312 鍵サイズの超過 マスターの秘密鍵がプロトコルIDで指定されたサイズを超えています。
313 ハンドシェーク内の不正なパラメータ ハンドシェークプロトコルのデコード中に無効または不正な値が検出されました。
314 利用可能なセッションなし  
315 未サポートの圧縮方法  
316 サポートされていないアプリケーション層プロトコル 不明、またはサポートされていないSSLアプリケーション層プロトコルが要求されました。
385 Fail-Open: 拒否 (ログに記録) 破棄する必要のあるパケットを記録し、Fail-Open機能がオンでタップモードの場合には記録しません。
500 URIパスの深さが超過 区切り文字「/」が多すぎます。パスの深さは最大100です。
501 無効なトラバーサル ルートより上位に「../」を使用しようとしました。
502 URIに使用できない文字 URIに無効な文字が使用されています。
503 不完全なUTF8シーケンス UTF8シーケンスの途中でURIが終了しました。
504 無効なUTF8の符号化 無効または規定外のエンコードが試行されました。
505 無効な16進の符号化 %nnのnnが16進数ではありません。
506 URIパス長の超過 パス長が512文字を超えています。
507 不正な文字の使用 無効な文字を使用しています。
508 二重デコードの攻撃コード 二重デコードの攻撃コードです (%25xx、%25%xxdなど)。
700 不正なBase64コンテンツ Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
710 破損したDeflate/GZIPコンテンツ Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
711 不完全なDeflate/GZIPコンテンツ 不完全なDeflate/GZIPコンテンツです
712 Deflate/GZIPチェックサムエラー Deflate/GZIPチェックサムエラーです。
713 未サポートのDeflate/GZIP辞書 サポートされていないDeflate/GZIP辞書です。
714 サポートされていないGZIPヘッダ形式/方法 サポートされていないGZIPヘッダ形式または方法です。
801 プロトコルデコード検索の上限を超過 プロトコルデコードルールには検索またはPDUオブジェクトの制限が定義されていますが、オブジェクトを見つける前に制限に達しました。
802 プロトコルデコードの制約エラー プロトコルデコードルールによってデコードされたデータが、プロトコルコンテンツの制約を満たしていません。
803 プロトコルデコードエンジンの内部エラー  
804 プロトコルデコードの構造の超過 プロトコルデコードルールで、型の最大ネスト深度 (16) を超える型定義とパケットコンテンツが検出されました。
805 プロトコルデコードのスタックエラー ルールのプログラミングエラーが原因で、反復が発生したか、またはネストされたプロシージャコールが使用されようとしました。
806 データの無限ループエラー