イベント詳細ページの表示

イベントページに記録されたネットワークイベントに関する追加のメタデータと詳細を表示することができます。どのようなメタデータが表示されるかは、作成されたネットワーク要求のタイプや ACL ルールの構成など、いくつかの要因によって異なります。たとえば、DNS イベントには DNS 固有の詳細が表示され、TLS イベントには TLS 固有の詳細が表示されます。同じく、ACL ルールによるネットワーク保護が有効になっている場合も、追加のメタデータが表示されます。ネットワークイベントを他のコンソールユーザーと共有して、ユーザーがアクセスしようとした宛先の監査や調査をすることができます。コンソールユーザーが共有イベントを表示するには、適切な権限が必要です。共有アイコン をクリックすると、イベントへのリンクがコピーされます。

ログに記録されたネットワークイベントは、次のデータフィルターを使用したフィルタリングができます。 

フィルター 説明

イベントの概要

イベントID

これは、テナントのネットワークイベントに対する一意の識別子です。   

ソース IP

これは、イベント中にエンドポイントトンネルに割り当てられたプライベートゲートウェイ IP です。

ソースポート

これは宛先のポート番号です。

DNS クエリ名

これは、Gateway エージェントがクエリした DNS サーバーのリソース要求(RR)名です。

DNS クエリタイプ

これは、DNS サーバーに送信された DNS クエリのタイプ(A、AAAA、TXT、SRV レコードなど)です。

移行先

これは、イベントの宛先です。宛先 IP アドレスは常に含まれています。また該当する場合は、ネットワークサービス名やホスト名が表示されることもあります。

宛先ポート

これは、アクセスされていた宛先のポートです。

プライベート NAT ソース IP

このイベントがいずれかのプライベートネットワークに向かって Gateway Connector から離れたときの、イベントのソース IP アドレスです。ソース IP が使用できないか、機能が有効になっていない場合、フィルターにより、「不明」と表示されます。 

重要: Gateway Connector システム時刻が正確であることを確認する必要があります。Gateway Connector システム時刻が正確なシステム時刻を維持していない場合、コネクタによって報告される NAT 詳細が Protect Backend 内のネットワークイベントと一致しないことがあります。デフォルトでは、Gateway Connector は、Ubuntu のタイムサーバー(ntp.ubuntu.com サーバー)を時刻同期に使用します。または、カスタム NTP サーバーを指定できます。Ubuntu タイムサーバーを使用する場合は、そのタイムサーバーがプライベートネットワークからアクセスできることを確認してください。詳細については、「CylanceGATEWAY Connector の設定」を参照してください。

Gateway Connector は、更新された NAT 詳細を 1 分ごとに[イベント詳細]画面に送信します。

この機能はデフォルトで有効になっています。Endpoint Defense コンソールのイベント詳細ページにプライベート NAT ソースの詳細が表示されない場合は、最新の Gateway Connector をインストールしてコネクタを再起動したことを確認します。

プライベート NAT ソースポート

このイベントがいずれかのプライベートネットワークに向かって Gateway Connector から離れたときの、イベントのソース IP ポートです。ポート番号が使用できないか、機能が有効になっていない場合、フィルターにより、「不明」と表示されます。

この機能はデフォルトで有効になっています。Endpoint Defense コンソールのイベント詳細ページにプライベート NAT ソースの詳細が表示されない場合は、最新の Gateway Connector をインストールしてコネクタを再起動したことを確認します。

Arctic Wolf ソース IP

このイベントが Protect Backend から離れたときの、イベントの IP アドレスです。この Arctic Wolf ソース IP は Gateway トンネルを使用しないフロー(セーフモードなど)では使用できません。

トンネル ソース IP

Gateway トンネルに到達したときに Protect Backend に表示されるエンドポイントの IP アドレスです。

プロトコル

これは、ネットワークイベントが宛先へのアクセスに使用したプロトコル(レイヤ 4)です。プロトコルは UDP または TCP です。

アプリプロトコル

これは、通信に使用された TLS、DNS、HTTP などのプロトコル(レイヤ 6 または 7)です。 

アクセスタイプ

これは、ネットワークイベントが宛先へのアクセスに使用したアクセスタイプ(セーフモードやゲートウェイトンネルなど)です。

ネットワークルート

これによりトラフィックは、トラフィックのルーティングに使用されたパブリックまたはプライベート接続として提供されます。プライベート接続の場合は、コネクタグループ名および各 Gateway Connector でフィルタリングできます。

コネクタ

これは、ネットワークイベントが関連付けられている Gateway Connector です。コネクタに関する詳細を表示するには、コネクタ名をクリックします。

カテゴリ

これは、イベントに適用されるカテゴリです。たとえば、Gateway が宛先を悪意のある脅威を含んでいる可能性があるものとして識別した場合、カテゴリに「動的リスク」が表示されることがあります。動的リスクカテゴリの詳細については、セットアップガイドの「ネットワーク保護の構成」を参照してください。宛先は、それに含まれるコンテンツに基づいて、「コンピュータおよび情報技術」などに分類される場合もあります。宛先コンテンツのカテゴリの詳細については、セットアップガイドの「宛先コンテンツのカテゴリ」を参照してください。

サブカテゴリ

これは、宛先に関連付けられているカテゴリのネットワークトラフィックサブカテゴリの説明です。カテゴリが動的リスクである場合に表示されるサブカテゴリの詳細については、セットアップガイドの「ネットワーク保護の構成」を参照してください。カテゴリが宛先コンテンツのカテゴリの 1 つである場合に表示されるサブカテゴリの詳細については、セットアップガイドの「宛先コンテンツのカテゴリ」を参照してください。

開始時刻(UTC)

これは、ネットワークアクティビティの通信が開始された時刻です。時刻は UTC で表示されます。

終了時刻(UTC)

これは、ネットワークアクティビティの通信が終了した時刻です。時刻は UTC で表示されます。

PID

これは、DNS 要求を開始したプロセスの数値プロセス ID です。PID は、エージェントがセーフモードで有効になっているときに、Windows または macOS デバイスによって報告されます。

パス名

これは、プロセスが実行された実行可能ファイルへのパスです。これは通常、svchost.exe へのパスとして表示されます。このパスは 1024 文字に切り捨てられます。このパスは、セーフモードで有効になっているときに、Windows または macOS デバイスによって報告されます。

転送済み

これは、宛先と Gateway エージェントの間で交換されたバイト数を示します。ここに表示されるのは、サーバーおよび Gateway エージェントにアップロードとダウンロードされた合計バイト数です。

パケットフロー

これは、宛先と Gateway エージェントの間で送信されたパケットの数です。

ユーザー

これは、ネットワークイベントが関連付けられているユーザー名です。ネットワークイベントは、ユーザーの Active Directory ユーザー名と表示名によるフィルタリングができます。イベントページをエクスポートする場合、ユーザー名のみがエクスポートされます。ユーザー名をクリックすると、当該ユーザーに関連付けられているイベントを表示できます。

OS

これは、ネットワークアクティビティの開始に使用されたデバイスです(AndroidiOSmacOSWindows など)。

機種

これはデバイスのモデルです(iPhoneSamsung GalaxyGoogle Pixel など)。

デバイス

これは、ユーザーの macOS または Windows デバイスのホスト名です(example.com など)。

アクション

これにより、ネットワーク保護設定と環境に指定した ACL ルールに基づいて、ネットワークイベントが許可されるかブロックされるかが判定されます。アクションの追加情報は、アクションのセクションに含まれています。

アクション

接続フェーズ

これは、アクセス試行プロパティを各 ACL ルールの条件および宛先と比較した際の評価フェーズです。ACL ルールに対して評価されたフェーズ(DNS ルックアップ、接続試行、TLS ハンドシェイク時など)が 1 つまたは複数表示されます。

時刻(UTC)

これは、ACL ルールによってネットワークアクティビティが評価された時刻です。時刻は UTC で表示されます。

適用ルール

これは、ACL ルールの各種フェーズでの評価時に適用された ACL ルールの名前です。

アクション

これは、評価済みフェーズに対してアクションが許可されたかブロックされたかを示します。

アラート

種類

これは、関連付けられたネットワーク保護レベルの指定を基にしてネットワークアクティビティによってトリガーされた異常を特定しています。サポートされている異常の詳細については、「ネットワークアクティビティの表示」を参照してください。

時刻(UTC)

これは、ネットワークアクティビティがアラートをトリガーした時刻です。時刻は UTC で表示されます。

カテゴリ

これは、アラートをトリガーした異常です。異常の詳細については、「ネットワークアクティビティの表示」を参照してください。

署名

これは、ネットワークイベントによってトリガーされた署名の異常です。 

転送済み

ダウンロード済み

これは、宛先から Gateway エージェントに送信されたデータの合計バイト数です。

アップロード済み

これは、サーバーの宛先から Gateway エージェントに送信されたデータの合計バイト数です。

TLS

TLS バージョン

これは、宛先への接続に使用された TLS プロトコルのバージョンです。

クライアントALPN

これは、宛先から Gateway エージェントに送信された ALPN ヘッダー情報です。

サーバーALPN

これは、宛先から Gateway エージェントに送信されたヘッダー情報です。

SNI

これは、Gateway エージェントが接続を試行した宛先のホスト名です。

発行者

これは、宛先によって提示された証明書です。

サブジェクト

これは、ACL ルールに関連して、さまざまなフェーズ(DNS ルックアップ、接続確立、TLS ハンドシェイクなど)での評価時に適用されたルールの名前です。

発効日

これは、それ以前は証明書が無効な日付です。

失効日

これは、それ以後は証明書が無効な日付です。

HTTP イベント
これにより、分析および脅威ハンティングのための、元のプレーンテキストの暗号化されていない HTTP フローが報告されます。HTTP フローは復号化されないことに注意してください。要求および応答詳細の概要には、次の要求および応答詳細が含まれます。
  • HTTP メソッドおよび要求 URL(URI)
  • ユーザーエージェント
  • コンテンツタイプヘッダー
  • HTTP ステータスコード
総数のイベントのうち、最初の 3 つの HTTP イベントが表示されます。バッジには、イベント用に記録されたイベントの総数が表示されます。[すべての HTTP イベント]をクリックすると、[イベントの概要]ページにすべてのイベントが表示されます。各イベントをクリックすると、ヘッダー情報など、詳細が表示されます。現時点では、HTTP イベント内で検索およびフィルタリングできません。HTTP の詳細は、次の制限によって切り捨てられます。
  • ヘッダー名には、最大 64 バイトを表示
  • ヘッダー値には、最大 512 バイトを表示
  • 方向ごとの合計ヘッダーサイズ(名前、ボディなど)には、最大 4096 バイトを表示
  • 要求および応答ボディには、最大 512 バイトを表示 
  • 要求および応答は、デフォルトでは Base64 エンコード。ユーザーは、デコードされたボディを表示 

DNS

これは、DNS クエリと、イベントに関連付けられているすべての応答の詳細を報告します。要求および応答詳細の概要には、次の要求および応答詳細が含まれます。

  • 要求の詳細
    • クエリ名:これは、Gateway エージェントがクエリした DNS サーバーのリソース要求(RR)名です。
    • クエリタイプ:これは、DNS サーバーに送信された DNS クエリのタイプ(A、AAAA、TXT、SRV レコードなど)です。
  • 応答の詳細
    • リソースレコード名:Gateway エージェントからのクエリに応答する DNS サーバーの名前です。
    • リソースレコードタイプ:DNS サーバーに送信された DNS 応答のタイプ(A など)です。
    • リソースデータ:応答を返す DNS サーバーのアドレスです。
    • TTL:要求されたリソースデータの有効期間(秒単位)です。

DNS クエリの応答の総数がバッジに表示されます。