シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

FireSIGHTのイベント表示のチューニング例

  

FireSIGHTのイベント表示は、様々なチューニングが可能です。  以下に、そのチューニング例を示します。 なお、本ドキュメントは、FireSIGHT バージョン 5.4.1を元に検証、作成しております。

  

1. 過去イベントの表示

画面右の時計アイコンをクリック

 

以下画面に遷移するので、任意の開始時間(Start Time)と、終了時間(End Time)を選択し、Applyを押下。 本例では Start Timeを1年前に設定します

  

以下のように過去1年のイベントを確認できます

  

  

2. Workflowの変更

イベントを様々な角度から評価するためのワークフローが、事前に複数定義されています。 例えば、Intrusion Events の場合、デフォルトは、Events By Priority and Classfication です。 このワークフローの変更には、switch workflow をクリックします

  

以下がポップアップしますので、本例では 宛先毎のイベントの確認のため、Events to Destinations を選択します

  

以下画面に遷移し、各イベントの宛先IPとカウント数を確認できます

  

ワークフローについて より詳しくは、以下を参照してください

FireSIGHT 5.4.1: Understanding and Using Workflows (英語)
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Workflows.html

FireSIGHT 5.3.1: ワークフローの概要と使用 (日本語)
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Workflows.html?bid=0900e4b18404e36b

  

  

3. Domain名の表示

イベントのトリガーとなった 送信元、もしくは宛先の ホストIPアドレスに、Domain名を併記し表示が可能です。 これは、FireSIGHTが、IPアドレスを逆引きで解決し、表示します

本機能の利用には、まず System > Local > Configuration に移動し、Management Interfaces ページで、DNSサーバの登録が必要です

  
次に、admin > Event View Settings に移動し、Resolve all IP addresses if possible をチェックします

  

設定変更後、イベントのIPアドレス情報に、可能な限り、Domain名が併記されるようになります

バージョン履歴
改訂番号
2/2
最終更新:
‎08-31-2017 07:09 PM
更新者:
 
寄稿者: