FMC 7.0 以降にて Unified Event Viewer という機能が追加されています。従来の FMC では実現できなかった Connection Event や Intrusion Event などの数種類のイベントの同時確認や、リアルタイムに最新イベントを確認すること、イベントを CSV 形式で簡単にエクスポートすることが本機能にて実現できます。本記事ではこの Unified Event Viewer の使い方についてご案内します。

• FMC GUI > Analysis > Unified Event を選択します
• デフォルトだと Unified Event にアクセスした時刻から一時間前までのイベントを表示させます。以下の例は 2023-01-25 20:44:42 にアクセスした際の画面です。

• Event Type 列より Connection や Intrusion のように数種類のイベントが同時に確認できます。
• 右上の Go Live を選択するとリアルタイムのイベント検知が確認できます。元に戻したい場合は Live を選択します。

• 特定の時間帯のイベントを確認したい場合、Go Live 左にある時間帯の箇所を選択するとカレンダーが表示されますので、こちらから確認可能です。

• フィルターを行いたい場合、Select と表示されてる箇所を選択すれば様々な要素で検索することが可能です。

• 確認したいイベントをクリックするとハイライトされ、関連するイベントも同時にハイライトされます。

• 確認したいイベントの左のアイコンをクリックすると詳細が表示されます

• Time 左にあるアイコンをクリックすれば、確認したいイベントの項目をカスタマイズ可能です。

• CSV 形式でこのレポートをエクスポートしたい場合、左上のダウンロードアイコンをクリックします。

• 以下のように CSV 形式で確認することが可能です。

$ head unified-events.csv | cut -d ',' -f1-7
"Time","Event Type","Action","Reason","Source IP","Destination IP","Source Port / ICMP Type"
"2023-01-25 20:44:41","Connection","Allow","","10.70.225.52","192.168.45.4","3 (Destination Unreachable) / icmp"
"2023-01-25 20:44:41","Connection","Allow","","10.104.16.203","192.168.45.4","3 (Destination Unreachable) / icmp"
"2023-01-25 20:44:37","Connection","Allow","","192.168.45.111","185.125.190.49","60214 / tcp"
"2023-01-25 20:44:25","Intrusion","Dropped","","192.168.45.111","1.150.0.30","50036 / tcp"
"2023-01-25 20:44:21","Connection","Allow","","192.168.45.111","185.125.190.48","41454 / tcp"
"2023-01-25 20:44:17","Connection","Block","Intrusion Block","192.168.45.111","1.150.0.30","50036 / tcp"
"2023-01-25 20:44:13","Connection","Allow","","192.168.45.111","185.125.190.18","37640 / tcp"
"2023-01-25 20:44:09","Connection","Allow","","192.168.45.111","34.122.121.32","44078 / tcp"
"2023-01-25 20:44:07","Connection","Allow","","192.168.45.111","1.150.0.30","8 (Echo Request) / icmp"

以下の情報も参考にしてください。

• Working with the Unified Event Viewer - Firepower Management Center Configuration Guide, Version 7.0