イベント詳細ページの表示
イベントページに記録されたネットワークイベントに関する追加のメタデータと詳細を表示することができます。どのようなメタデータが表示されるかは、作成されたネットワーク要求のタイプや ACL ルールの構成など、いくつかの要因によって異なります。たとえば、DNS イベントには DNS 固有の詳細が表示され、TLS イベントには TLS 固有の詳細が表示されます。同じく、ACL ルールによるネットワーク保護が有効になっている場合も、追加のメタデータが表示されます。ネットワークイベントを他のコンソールユーザーと共有して、ユーザーがアクセスしようとした宛先の監査や調査をすることができます。コンソールユーザーが共有イベントを表示するには、適切な権限が必要です。
をクリックすると、イベントへのリンクがコピーされます。
をクリックすると、イベントへのリンクがコピーされます。ログに記録されたネットワークイベントは、次のデータフィルターを使用したフィルタリングができます。
フィルター | 説明 |
|---|---|
イベントの概要 | |
イベントID | これは、テナントのネットワークイベントに対する一意の識別子です。 |
ソース | これは、イベント中にエンドポイントトンネルに割り当てられたプライベートゲートウェイ IP です。 |
ソースポート | これは宛先のポート番号です。 |
DNS クエリ名 | これは、 CylanceGATEWAY エージェントがクエリした DNS サーバーのリソース要求(RR)名です。 |
DNS クエリタイプ | これは、DNS サーバーに送信された DNS クエリのタイプ(A、AAAA、SRV レコードなど)です。 |
移行先 | 宛先 IP アドレスは常に含まれています。また該当する場合は、ネットワークサービス名やホスト名が表示されることもあります。 |
宛先ポート | これは、アクセスされていた宛先のポートです。 |
プロトコル | これは、ネットワークイベントが宛先へのアクセスに使用したプロトコル(レイヤ 4)です。プロトコルは UDP または TCP です。 |
アプリプロトコル | これは、通信に使用された TLS や DNS などのプロトコル(レイヤ 6 または 7)です。 |
ネットワークルート | これによりトラフィックは、トラフィックのルーティングに使用されたパブリックまたはプライベート接続として提供されます。プライベート接続の場合、 CylanceGATEWAY Connector が識別されます。 |
開始時刻(UTC) | これは、ネットワークアクティビティの通信が開始された時刻です。時刻は UTC で表示されます。 |
終了時刻(UTC) | これは、ネットワークアクティビティの通信が終了した時刻です。時刻は UTC で表示されます。 |
転送済み | これは、宛先と CylanceGATEWAY エージェントの間で交換されたバイト数を示します。ここに表示されるのは、サーバーおよび CylanceGATEWAY エージェントにアップロードとダウンロードされた合計バイト数です。 |
パケットフロー | これは、宛先と CylanceGATEWAY エージェントの間で送信されたパケットの数です。 |
ユーザー | これは、ネットワークイベントが関連付けられているユーザー名です。ネットワークイベントは、ユーザーの Active
Directory ユーザー名と表示名によるフィルタリングができます。イベントページをエクスポートする場合、ユーザー名のみがエクスポートされます。ユーザー名をクリックすると、当該ユーザーに関連付けられているイベントを表示できます。 |
プラットフォーム | これは、ネットワークアクティビティの開始に使用されたデバイスです(Android、iOS、macOS、Windows など)。 |
機種 | これはデバイスのモデルです( iPhone 、Samsung Galaxy 、Google Pixel など)。 |
デバイス | これは、ユーザーの macOS または Windows デバイスのホスト名です(example.com など)。 |
アクション | これにより、ネットワーク保護設定と環境に指定した ACL ルールに基づいて、ネットワークイベントが許可されるかブロックされるかが判定されます。アクションの追加情報は、アクションのセクションに含まれています。 |
アクション | |
接続フェーズ | これは、アクセス試行プロパティを各 ACL ルールの条件および宛先と比較した際の評価フェーズです。ACL ルールに対して評価されたフェーズ(DNS ルックアップ、接続試行、TLS ハンドシェイク時など)が 1 つまたは複数表示されます。 |
時刻(UTC) | これは、ACL ルールによってネットワークアクティビティが評価された時刻です。時刻は UTC で表示されます。 |
適用ルール | これは、ACL ルールの各種フェーズでの評価時に適用された ACL ルールの名前です。 |
アクション | これは、評価済みフェーズに対してアクションが許可されたかブロックされたかを示します。 |
アラート | |
種類 | これは、関連付けられたネットワーク保護レベルの指定を基にしてネットワークアクティビティによってトリガーされた異常を特定しています。サポートされている異常の詳細については、「ネットワークアクティビティの表示」を参照してください。 |
時刻(UTC) | これは、ネットワークアクティビティがアラートをトリガーした時刻です。時刻は UTC で表示されます。 |
カテゴリ | これは、アラートをトリガーした異常です。異常の詳細については、「ネットワークアクティビティの表示」を参照してください。 |
署名 | これは、ネットワークイベントによってトリガーされた署名の異常です。 |
転送済み | |
ダウンロード済み | これは、宛先から CylanceGATEWAY エージェントに送信されたデータの合計バイト数です。異常なダウンロード量は、窃盗の試行や悪意あるソフトウェアのデバイスへのインストールが行われた可能性を示します。 |
アップロード済み | これは、サーバーの宛先から CylanceGATEWAY エージェントに送信されたデータの合計バイト数です。異常なアップロード量は、窃盗の試行や悪意あるソフトウェアのデバイスへのインストールが行われた可能性を示します。 |
TLS | |
TLS バージョン | これは、宛先への接続に使用された TLS プロトコルのバージョンです。 |
クライアントALPN | これは、宛先から CylanceGATEWAY エージェントに送信された ALPN ヘッダー情報です。 |
サーバーALPN | これは、宛先から CylanceGATEWAY エージェントに送信されたヘッダー情報です。 |
SNI | これは、 CylanceGATEWAY エージェントが接続を試行した宛先のホスト名です。 |
発行者 | これは、宛先によって提示された証明書です。 |
サブジェクト | これは、ACL ルールに関連して、さまざまなフェーズ(DNS ルックアップ、接続確立、TLS ハンドシェイクなど)での評価時に適用されたルールの名前です。 |
発効日 | これは、それ以前は証明書が無効な日付です。 |
失効日 | これは、それ以後は証明書が無効な日付です。 |