このコンテンツはオフライン用のローカルバージョンで、内容が古くなっている場合があります。最新のドキュメントを確認するには、https://help.deepsecurity.trendmicro.com/ja-jpにオンラインでアクセスしてください。
JSON SNS設定
Amazon SNSトピックへのイベントの転送を有効にする手順については、Amazon SNSでのイベントへのアクセスを参照してください。ここでは、JSON SNS設定を直接編集する場合の方法について詳しく説明します。
どのイベントをどのトピックに送信するかを定義するための設定言語は、AmazonのSNS向けポリシー言語に倣っています。このポリシー言語については、Amazonのドキュメントを参照してください。
設定は、イベントをトピックに公開するための条件を定義したJSON形式の特別なファイルで、次のような構文で記述されています。
{
"Version": "2014-09-24",
"Statement": [statement1, statement2, ...]
}
Version
Versionエレメントは、設定言語のバージョンを指定します。現在有効な値は、文字列「2014-09-24」のみです。
"Version":"2014-09-24",
Statement
Statementエレメントは、複数の文の配列です。それぞれの文は、所定の条件を満たした場合にイベントを送信するSNSトピックを示すJSONオブジェクトを指定します。
"Statement":[{...}, {...}, ...]
それぞれの文の形式は次のとおりです。
{
"Topic": "destination topic",
"Condition": {conditions event must meet to be published to the destination topic}
}
Topic
Topicエレメントには、発行先のSNSトピックのAmazon Resource Nameを指定する必要があります。
"Topic":"arn:aws:sns:us-east-1:012345678901:myTopic"
Condition
Conditionエレメントは最も複雑な部分で、イベントをトピックに公開する条件を指定します。それぞれの条件にキーと値のペアを複数含めることができ、各キーで複数値をサポートする条件もあります。条件で指定するキーには、イベントのプロパティの名前を使用します。
"Condition": {
"ConditionName": {
"key1": [value1, value2],
"key2": value3
},
"ConditionName2": {
"key3": [value4]
},
...
}
使用可能な条件の名前と構文を以下に示します。
Bool
Bool条件は、ブール値の照合を行います。該当するプロパティがあり、その値が指定したブール値と一致していれば、条件に一致するイベントとみなされます。該当するプロパティがあるものの、その値がブール値でない場合は、次のようにしてプロパティがテストされます。
- 数値0はfalseと評価されます。0以外の数値はtrueと評価されます。
- 空の文字列と文字列「false」および「0」はfalseと評価されます。それ以外の文字列はtrueと評価されます。
- それ以外の値を持つイベントのプロパティについては、値をブール値に変換できず、照合されません。
複数値の使用: ×
次の設定例では、「DetectOnly」プロパティの値がfalseである場合にイベントが公開されます。
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"Bool": {
"DetectOnly": false
}
}
}
]
}
Exists
Exists条件は、イベントにプロパティがあるかどうかをテストします。プロパティの値は考慮されません。
複数値の使用: ×
次の設定例では、「Severity」プロパティがあり、かつ「Title」プロパティがない場合にイベントが公開されます。
{ "Version":"2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"Exists": {
"Severity": true,
"Title": false
}
}
}
]
}
IpAddress
IpAddress条件は、イベントのプロパティの値がCIDR形式で指定したIPアドレス範囲に含まれるかどうか、または単一のIPアドレスに完全に一致するかどうかをテストします。
複数値の使用: ○
次の設定例では、「DestinationIP」プロパティのIPアドレスが64.23.0.0/16の範囲に含まれているか、216.104.20.189と一致する場合にイベントが公開されます。
{ "Version":"2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"IpAddress": {
"DestinationIP": ["64.23.0.0/16", "216.104.20.189"]
}
}
}
]
}
NotIpAddress
NotIpAddress条件は、イベントのプロパティの値が指定したいずれのIPアドレス範囲にも含まれないかどうかをテストします。
複数値の使用: ○
次の設定例では、「DestinationIP」プロパティのIPアドレスが10.0.0.0/8の範囲に含まれていない場合にイベントが公開されます。
{ "Version":"2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"NotIpAddress": {
"DestinationIP": "10.0.0.0/8"
}
}
}
]
}
NumericEquals
NumericEquals条件は、イベントのプロパティの数値が指定した1つ以上の値と等しいかどうかをテストします。該当するプロパティがあるものの、その値が数値でない場合は、次のようにしてプロパティがテストされます。
- 文字列は数値に変換されます。数値に変換できない文字列は照合されません。
- それ以外の値を持つイベントのプロパティについては、値を数値に変換できず、照合されません。
複数値の使用: ○
次の設定例では、「Protocol」プロパティの値が6または17である場合にイベントが公開されます。
{ "Version":"2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"NumericEquals": {
"Protocol": [6, 17]
}
}
}
]
}
NumericNotEquals
NumericNotEquals条件は、イベントのプロパティの数値が指定したいずれの値とも等しくないかどうかをテストします。
複数値の使用: ○
次の設定例では、「Protocol」プロパティの値が6以外で、かつ「Risk」プロパティの値が2または3以外である場合にイベントが公開されます。
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"NumericNotEquals": {
"Protocol": 6,
"Risk" : [2, 3]
}
}
}
]
}
NumericGreaterThan
NumericGreaterThan条件は、イベントのプロパティの数値が指定した値よりも大きいかどうかをテストします。該当するプロパティがあるものの、その値が数値でない場合は、前述のNumericEqualsと同じように数値に変換されます。
複数値の使用: ×
次の設定例では、「Protocol」プロパティの値が6よりも大きい場合にイベントが公開されます。
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"NumericGreaterThan": {
"Protocol": 6
}
}
}
]
}
NumericGreaterThanEquals
NumericGreaterThanEquals条件は、イベントのプロパティの数値が指定した値以上であるかをテストします。該当するプロパティがあるものの、その値が数値でない場合は、前述のNumericEqualsと同じように数値に変換されます。
複数値の使用: ×
次の設定例では、「Number」プロパティの値が600以上の場合にイベントが公開されます。
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"NumericGreaterThanEquals": {
"Number": 600
}
}
}
]
}
NumericLessThan
NumericLessThan条件は、イベントのプロパティの数値が指定した値よりも小さいかどうかをテストします。該当するプロパティがあるものの、その値が数値でない場合は、前述のNumericEqualsと同じように数値に変換されます。
複数値の使用: ×
次の設定例では、「Number」プロパティの値が1000よりも小さい場合にイベントが公開されます。
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"NumericLessThan": {
"Number": 1000
}
}
}
]
}
NumericLessThanEquals
NumericLessThanEquals条件は、イベントのプロパティの数値が指定した値以下であるかをテストします。該当するプロパティがあるものの、その値が数値でない場合は、前述のNumericEqualsと同じように数値に変換されます。
複数値の使用: ×
次の設定例では、「Number」プロパティの値が500以下の場合にイベントが公開されます。
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"NumericLessThanEquals": {
"Number": 500
}
}
}
]
}
StringEquals
StringEquals条件は、イベントのプロパティの文字列値が指定したいずれかの値と完全に一致するかどうかをテストします。
複数値の使用: ○
次の設定例では、「EventType」プロパティの値が「SystemEvent」と一致し、かつ「TargetType」プロパティの値が「User」または「Role」と一致する場合にイベントが公開されます。
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"StringEquals": {
"EventType": ["SystemEvent"],
"TargetType" : ["User", "Role"]
}
}
}
]
}
StringNotEquals
StringNotEquals条件は、イベントのプロパティの文字列値が指定したいずれの値にも一致しないかどうかをテストします。
複数値の使用: ○
次の設定例では、「EventType」プロパティの値が「PacketLog」と「IntegrityEvent」のいずれにも一致しない場合にイベントが公開されます。
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"StringNotEquals": {
"EventType": ["PacketLog", "IntegrityEvent"]
}
}
}
]
}
StringEqualsIgnoreCase
StringEqualsIgnoreCase条件は、StringEquals条件と同じ文字列の照合を行いますが、大文字と小文字が区別されません。
StringNotEqualsIgnoreCase
StringNotEqualsIgnoreCase条件は、StringNotEquals条件と同じ文字列の照合を行いますが、大文字と小文字が区別されません。
StringLike
StringLike条件は、イベントのプロパティの文字列値が指定したいずれかの値と一致するかどうかをテストします。この条件では、任意の数の文字と一致する「*」、任意の1文字と一致する「?」をワイルドカードとして使用できます。文字列の比較では大文字と小文字が区別されます。
複数値の使用: ○
次の設定例では、「Title」プロパティの値に「User」または「Role」という文字列が含まれる場合にイベントが公開されます。
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"StringLike": {
"Title": ["*User*", "*Role*"]
}
}
}
]
}
StringNotLike
StringNotLike条件は、イベントのプロパティの文字列値が指定したいずれの値にも一致しないかどうかをテストします。この条件では、任意の数の文字と一致する「*」、任意の1文字と一致する「?」をワイルドカードとして使用できます。文字列の比較では大文字と小文字が区別されます。
複数値の使用: ○
次の設定例では、「システム設定の保存」イベントを除くすべてのイベントが公開されます。
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"StringNotLike": {
"Title":"System Settings Saved"
}
}
}
]
}
次の設定例では、「Title」プロパティの値の先頭が「User」でなく、かつ末尾が「Created」でない場合にイベントが公開されます。
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"StringNotLike": {
"Title": ["User*", "*Created"]
}
}
}
]
}
イベントの説明
Amazon SNSに公開される際、イベントは文字列にエンコードされた単純なJSONオブジェクトとして送信されます。イベントのエレメントがオブジェクトのプロパティとして使用され、通常、プロパティの値は文字列または数値になります。ここでは、イベントのプロパティとその値について説明します。
イベントのデータタイプ
イベントのプロパティは、次の表のいずれかのデータタイプになります。
| データタイプ | 説明 |
|---|---|
| ブール |
JSONのtrueまたはfalseです。
|
| 整数 |
JSONのint値です。Deep Securityのイベントでは、浮動小数点数は出力されません。イベントの整数は32ビットの整数に収まるとは限らないことに注意してください。 |
| 整数 (列挙) |
JSONのint値です。限られた列挙値のうちのいずれかという制限があります。
|
| 文字列 |
JSONのstring値です。
|
| 文字列 (日付) |
JSONのstring値にエンコードされた日時です。日付は、ISO 8601の「YYYY-MM-DDThh:mm:ss.sssZ」の形式でエンコードされます。タイムゾーンを示す「Z」が必ず含まれ、秒は小数点以下3桁まで表現されます。このエンコードの詳細については、W3Cの日付と時刻の形式に関する説明を参照してください。
|
| 文字列 (IP) |
JSONのstring値にエンコードされたIPv4またはIPv6のアドレスです。
|
| 文字列 (MAC) |
JSONのstring値です。ネットワークMACアドレスを含むという制限があります。
|
| 文字列 (URL) |
JSONのstring値です。URLを含むという制限があります。
|
| 文字列 (列挙) |
JSONのstring値です。限られた列挙値のうちのいずれかという制限があります。
|
イベントのプロパティ
ここでは、イベントで使用されるすべてのプロパティについて説明します。それぞれ該当するイベントの種類を示していますが、その種類のイベントであっても、これらのすべてのプロパティが含まれるわけではないことに注意してください。場合によっては、プロパティが適用されず、JSONオブジェクトに含まれないこともあります。
| プロパティ名 | データタイプ | 説明 | 適用されるイベントの種類 |
|---|---|---|---|
| Action | 整数 (列挙) | 侵入防御イベントに対して実行された処理。0=不明、1=拒否、2=リセット、3=挿入、4=削除、5=置換、6=ログのみ、0x81=検出のみ: 拒否、0x82=検出のみ: リセット、0x83=検出のみ: 挿入、0x84=検出のみ: 削除、0x85=検出のみ: 置換。 | 侵入防御イベント |
| Action | 整数 (列挙) | ファイアウォールイベントに対して実行された処理。[検出のみ] の値は、ルールが有効になっていた場合に実行されたであろう処理を示します。0=不明、1=拒否、6=ログのみ、0x81=検出のみ: 拒否。 | ファイアウォールイベント |
| ActionBy | 文字列 | イベントを実行したDeep Security Managerユーザの名前。ユーザによって生成されたイベントでない場合は「システム」になります。 | システムイベント |
| ActionString | 文字列 | Actionの内容を示す変換された文字列。 | ファイアウォールイベント、侵入防御イベント |
| AdministratorID | 整数 | 処理を実行したDeep Securityユーザの一意の識別子。ユーザではなくシステムによって生成されたイベントには、識別子は割り当てられません。 | システムイベント |
| ApplicationType | 文字列 | 侵入防御ルールに関連付けられたアプリケーションの種類の名前 (該当する場合)。 | 侵入防御イベント |
| Change | 整数 (列挙) | 変更監視イベントでファイル、プロセス、レジストリキーなどに対して行われた変更の種類。1=作成、2=アップデート、3=削除、4=拡張子変更。 | 変更監視イベント |
| 説明 | 文字列 | エンティティに対して行われた変更 (作成、削除、アップデート) の説明と変更された属性に関する詳細。 | 変更監視イベント |
| 説明 | 文字列 | イベントの内容を示す簡単な説明。 | システムイベント |
| DestinationIP | 文字列 (IP) | パケットの送信先のIPアドレス。 | ファイアウォールイベント、侵入防御イベント |
| DestinationMAC | 文字列 (MAC) | パケットの送信先のMACアドレス。 | ファイアウォールイベント、侵入防御イベント |
| DestinationPort | 整数 | パケットの送信先のネットワークポート番号。 | ファイアウォールイベント、侵入防御イベント |
| DetectionCategory | 整数 (列挙) | Webレピュテーションイベントの検出カテゴリ。12=ユーザ定義、13=カスタム、91=グローバル。 | Webレピュテーションイベント |
| DetectOnly | ブール | イベントが返されたときに [検出のみ] フラグがオンだったかどうか。trueの場合、URLへのアクセスが検出されましたが、ブロックはされていません。 | Webレピュテーションイベント |
| Direction | 整数 (列挙) | ネットワークパケットの方向。0=受信、1=送信。 | ファイアウォールイベント、侵入防御イベント |
| DirectionString | 文字列 | Directionの内容を示す文字列。 | ファイアウォールイベント、侵入防御イベント |
| DriverTime | 整数 | ドライバで記録されたログ生成時刻。 | ファイアウォールイベント、侵入防御イベント |
| EndLogDate | 文字列 (日付) | 繰り返し発生したイベントについての最終ログ日付。繰り返し発生したイベント以外に対しては表示されません。 | ファイアウォールイベント、侵入防御イベント |
| EngineType | 整数 | 不正プログラム対策エンジンの種類。 | 不正プログラム対策イベント |
| EngineVersion | 文字列 | 不正プログラム対策エンジンのバージョン。 | 不正プログラム対策イベント |
| EntityType | 文字列 (列挙) | 変更監視イベントが該当するエンティティの種類。次のいずれかです: Directory、File、Group、InstalledSoftware、Port、Process、RegistryKey、RegistryValue、Service、User、Wql | 変更監視イベント |
| ErrorCode | 整数 | 不正プログラム検索イベントのエラーコード。0以外の場合、検索に失敗したことを示しており、検索処理および検索結果のフィールドに詳細が表示されます。 | 不正プログラム対策イベント |
| EventID | 整数 | イベントの識別子。識別子は同じ種類のイベントでは一意ですが、種類が異なるイベントでは同じになる場合があります。たとえば、EventTypeがファイアウォールとIPSのイベントのEventIDがどちらも1になることがあります。Deep Securityでイベントを完全に識別するには、EventID、EventType、およびTenantIDを組み合わせる必要があります。 | すべての種類のイベント |
| EventType | 文字列 (列挙) | イベントの種類。次のいずれかです: 「SystemEvent」、「PacketLog」、「PayloadLog」、「AntiMalwareEvent」、「WebReputationEvent」、「IntegrityEvent」、「LogInspectionEvent」。 | すべての種類のイベント |
| Flags | 文字列 | ネットワークパケットから記録されたフラグ (スペース区切りの文字列のリスト)。 | ファイアウォールイベント、侵入防御イベント |
| Flow | 整数 (列挙) | ネットワーク接続フロー。有効な値: -1=利用不可、0=接続フロー、1=リバースフロー | ファイアウォールイベント、侵入防御イベント |
| FlowString | 文字列 | Flowの内容を示す文字列。 | ファイアウォールイベント、侵入防御イベント |
| Frame | 整数 (列挙) | フレームの種類。-1=不明、2048=IP、2054=ARP、32821=REVARP、33169=NETBEUI、0x86DD=IPv6 | ファイアウォールイベント、侵入防御イベント |
| FrameString | 文字列 | Frameの内容を示す文字列。 | ファイアウォールイベント、侵入防御イベント |
| HostAgentVersion | 文字列 | イベントが検出されたコンピュータを保護しているAgentのバージョン。 | 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
| HostAssetValue | 整数 | イベントが生成された時点のコンピュータの資産評価。 | 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
| HostGroupID | 整数 | イベントが検出されたコンピュータが属するコンピュータグループの一意の識別子。 | 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
| HostGroupName | 文字列 | イベントが検出されたコンピュータが属するコンピュータグループの名前。コンピュータグループ名は一意とは限らないことに注意してください。 | 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
| HostID | 整数 | イベントが該当するコンピュータの一意の識別子。 | 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
| HostInstanceID | 文字列 | イベントが検出されたコンピュータのクラウドインスタンスID。このプロパティは、クラウドコネクタと同期されたコンピュータに対してのみ設定されます。 | 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
| Hostname | 文字列 | イベントが生成されたコンピュータの名前。 | 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
| HostOS | 文字列 | イベントが検出されたコンピュータで実行されているオペレーティングシステム。 | 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
| HostSecurityPolicyID | 整数 | イベントが検出されたコンピュータに適用されているセキュリティポリシーの一意の識別子。 | 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
| HostSecurityPolicyName | 文字列 | イベントが検出されたコンピュータに適用されているセキュリティポリシーの名前。セキュリティポリシー名は一意とは限らないことに注意してください。 | 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
| HostVCUUID | 文字列 | イベントが適用されるコンピュータのvCenter UUID (特定された場合)。 | 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
| InfectedFilePath | 文字列 | 不正プログラム検出で見つかった感染ファイルのパス。 | 不正プログラム対策イベント |
| InfectionSource | 文字列 | 不正プログラム感染元のコンピュータの名前 (特定された場合)。 | 不正プログラム対策イベント |
| Interface | 文字列 (MAC) | パケットを送信または受信するネットワークインタフェースのMACアドレス。 | ファイアウォールイベント、侵入防御イベント |
| IPDatagramLength | 整数 | IPデータグラムの長さ。 | 侵入防御イベント |
| IsHash | 文字列 | ファイルの変更後のSHA-1コンテンツハッシュ (16進エンコード)。 | 変更監視イベント |
| Key | 文字列 | 整合性イベントが参照しているファイルまたはレジストリキー。 | 変更監視イベント |
| LogDate | 文字列 (日付) | イベントが記録された日時。Agentで生成されたイベント (ファイアウォールやIPSなど) の場合は、イベントがDeep Security Managerに送信された日時ではなく、イベントがAgentで記録された日時です。 | すべての種類のイベント |
| MajorVirusType | 整数 (列挙) | 検出された不正プログラムの分類。0=ジョーク、1=トロイの木馬、2=ウイルス、3=テスト、4=スパイウェア、5=パッカー、6=一般的なプログラム、7=その他 | 不正プログラム対策イベント |
| MajorVirusTypeString | 文字列 | MajorVirusTypeの内容を示す文字列。 | 不正プログラム対策イベント |
| MalwareName | 文字列 | 検出された不正プログラムの名前。 | 不正プログラム対策イベント |
| MalwareType | 整数 (列挙) | 検出された不正プログラムの種類。1=一般的な不正プログラム、2=スパイウェア。一般的な不正プログラムの場合はInfectedFilePathが表示され、スパイウェアの場合は表示されません。 | 不正プログラム対策イベント |
| ManagerNodeID | 整数 | イベントが生成されたDeep Security Managerノードの一意の識別子。 | システムイベント |
| ManagerNodeName | 文字列 | イベントが生成されたDeep Security Managerノードの名前。 | システムイベント |
| Number | 整数 | イベントの番号。 | システムイベント |
| Origin | 整数 (列挙) | イベントの生成元。-1=不明、0=Agent、1=VMのゲストエージェント、2=Appliance、3=Deep Security Manager | すべての種類のイベント |
| OriginString | 文字列 | Originの内容を示す文字列。 | すべての種類のイベント |
| OSSEC_Action | 文字列 | OSSECの処理 | セキュリティログ監視イベント |
| OSSEC_Command | 文字列 | OSSECのコマンド | セキュリティログ監視イベント |
| OSSEC_Data | 文字列 | OSSECのデータ | セキュリティログ監視イベント |
| OSSEC_Description | 文字列 | OSSECの説明 | セキュリティログ監視イベント |
| OSSEC_DestinationIP | 文字列 | OSSECの送信先IP | セキュリティログ監視イベント |
| OSSEC_DestinationPort | 文字列 | OSSECの送信先ポート | セキュリティログ監視イベント |
| OSSEC_DestinationUser | 文字列 | OSSECの送信先ユーザ | セキュリティログ監視イベント |
| OSSEC_FullLog | 文字列 | OSSECの完全なログ | セキュリティログ監視イベント |
| OSSEC_Groups | 文字列 | OSSECのグループの結果 (例: syslog,authentication_failure) | セキュリティログ監視イベント |
| OSSEC_Hostname | 文字列 | OSSECのホスト名。これはログエントリから読み取られたホストの名前であり、イベントが生成されたホストの名前と同じとは限りません。 | セキュリティログ監視イベント |
| OSSEC_ID | 文字列 | OSSECのID | セキュリティログ監視イベント |
| OSSEC_Level | 整数 (列挙) | OSSECのレベル。0~15の整数。0~3=重要度: 低、4~7=重要度: 中、8~11=重要度: 高、12~15=重要度: 重大。 | セキュリティログ監視イベント |
| OSSEC_Location | 文字列 | OSSECの場所 | セキュリティログ監視イベント |
| OSSEC_Log | 文字列 | OSSECのログ | セキュリティログ監視イベント |
| OSSEC_ProgramName | 文字列 | OSSECのプログラム名 | セキュリティログ監視イベント |
| OSSEC_Protocol | 文字列 | OSSECのプロトコル | セキュリティログ監視イベント |
| OSSEC_RuleID | 整数 | OSSECのルールID | セキュリティログ監視イベント |
| OSSEC_SourceIP | 整数 | OSSECの送信元IP | セキュリティログ監視イベント |
| OSSEC_SourcePort | 整数 | OSSECの送信元ポート | セキュリティログ監視イベント |
| OSSEC_SourceUser | 整数 | OSSECの送信元ユーザ | セキュリティログ監視イベント |
| OSSEC_Status | 整数 | OSSECのステータス | セキュリティログ監視イベント |
| OSSEC_SystemName | 整数 | OSSECのシステム名 | セキュリティログ監視イベント |
| OSSEC_URL | 整数 | OSSECのURL | セキュリティログ監視イベント |
| PacketData | 整数 | 取り込まれたパケットデータの16進エンコード (パケットデータを取り込むようにルールで設定されている場合)。 | 侵入防御イベント |
| PacketSize | 整数 | ネットワークパケットのサイズ。 | ファイアウォールイベント |
| PatternVersion | 整数 (列挙) | 不正プログラム検出パターンファイルのバージョン。 | 不正プログラム対策イベント |
| PayloadFlags | 整数 | 侵入防御フィルタフラグ。次のフラグ値を含むビットマスク値: 1 - データ切り捨て - データをログに記録できませんでした。2 - ログオーバーフロー - このログの後にログがオーバーフローしました。4 - 抑制 - このログの後にログ数のしきい値が抑制されました。8 - データあり - パケットデータが格納されています。16 - 参照データ - 以前にログに記録されたデータを参照しています。 | 侵入防御イベント |
| PosInBuffer | 整数 | イベントをトリガしたデータのパケット内の位置。 | 侵入防御イベント |
| PosInStream | 整数 | イベントをトリガしたデータのストリーム内の位置。 | 侵入防御イベント |
| Process | 文字列 | イベントを生成したプロセスの名前 (該当する場合)。 | 変更監視イベント |
| Protocol | 整数 (列挙) | ネットワークプロトコルのID。-1=不明、1=ICMP、2=IGMP、3=GGP、6=TCP、12=PUP、17=UDP、22=IDP、58=ICMPv6、77=ND、255=RAW | ファイアウォールイベント、侵入防御イベント |
| ProtocolString | 文字列 | Protocolの内容を示す文字列。 | ファイアウォールイベント、侵入防御イベント |
| Rank | 整数 | イベントのランク。コンピュータに割り当てられている資産評価に、この重要度のイベントに対して設定されている重要度の値を掛けた数値です。 | 変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
| Reason | 文字列 | イベントを生成したファイアウォールルールの名前。ルール以外によって生成されたイベントの場合はステータスにマッピングされた文字列になります。 | ファイアウォールイベント |
| Reason | 文字列 | このイベントを生成した変更監視ルールの名前 (特定された場合)。 | 変更監視イベント |
| Reason | 文字列 | イベントを生成した不正プログラム対策設定の名前 (特定された場合)。 | 不正プログラム対策イベント |
| Reason | 文字列 | イベントを生成した侵入防御ルールの名前。ルール以外によって生成されたイベントの場合はステータスにマッピングされた文字列になります。 | 侵入防御イベント |
| RepeatCount | 整数 | このイベントが連続して繰り返された回数。1の場合は、イベントが1回だけ確認され、その後に繰り返されていないことを示しています。 | ファイアウォールイベント、侵入防御イベント |
| Risk | 整数 (列挙) | アクセスしたURLのリスクレベル: 変換後。2=不審、3=非常に不審、4=危険、5=未テスト、6=管理者によるブロック | Webレピュテーションイベント |
| RiskLevel | 整数 | URLのリスクレベル: 変換前 (0~100)。拒否リストに登録されているためにブロックされたURLについては表示されません。 | Webレピュテーションイベント |
| RiskString | 文字列 | Riskの内容を示す文字列。 | Webレピュテーションイベント |
| ScanAction1 | 整数 | 検索処理1。検索処理1と2、検索結果処理1と2、およびエラーコードの組み合わせによって1つの「summaryScanResult」が生成されます。 | 不正プログラム対策イベント |
| ScanAction2 | 整数 | 検索処理2。 | 不正プログラム対策イベント |
| ScanResultAction1 | 整数 | 検索結果処理1。 | 不正プログラム対策イベント |
| ScanResultAction2 | 整数 | 検索結果処理2。 | 不正プログラム対策イベント |
| ScanResultString | 文字列 | 不正プログラム検索の結果を示す文字列。ScanAction 1と2、ScanActionResult 1と2、およびErrorCodeの組み合わせです。 | 不正プログラム対策イベント |
| ScanType | 整数 (列挙) | イベントを生成した不正プログラム検索の種類。0=リアルタイム、1=手動、2=予約、3=クイック検索 | 不正プログラム対策イベント |
| ScanTypeString | 文字列 | ScanTypeの内容を示す文字列。 | 不正プログラム対策イベント |
| Severity | 整数 | 1=情報、2=警告、3=エラー | システムイベント |
| Severity | 整数 (列挙) | 1=低、2=中、3=高、4=重大 | 変更監視イベント、侵入防御イベント |
| SeverityString | 文字列 | Severityの内容を示す文字列。 | システムイベント、変更監視イベント、侵入防御イベント |
| SeverityString | 文字列 | OSSEC_Levelの内容を示す判読可能な文字列。 | セキュリティログ監視イベント |
| SourceIP | 文字列 (IP) | パケットの送信元のIPアドレス。 | ファイアウォールイベント、侵入防御イベント |
| SourceMAC | 文字列 (MAC) | パケットの送信元のMACアドレス。 | ファイアウォールイベント、侵入防御イベント |
| SourcePort | 整数 | パケットの送信元のネットワークポート番号。 | ファイアウォールイベント、侵入防御イベント |
| Status | 整数 | このイベントが特定のファイアウォールルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: 123=ポリシーで未許可 | ファイアウォールイベント |
| Status | 整数 | このイベントが特定の侵入防御ルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: -504=無効なUTF8の符号化 | 侵入防御イベント |
| Tags | 文字列 | イベントに適用されているタグのカンマ区切りのリスト。このリストには、イベントの生成時に自動的に適用されるタグのみが含まれます。 | すべての種類のイベント |
| TargetID | 整数 | イベントの対象の一意の識別子。この識別子は、テナント内の同じ種類の対象では一意ですが、異なる種類の対象では同じになる場合があります。たとえば、コンピュータとポリシーの対象IDがどちらも10になることがあります。 | システムイベント |
| TargetIP | 文字列 (IP) | Webレピュテーションイベントの生成時にアクセスしていたIPアドレス。 | Webレピュテーションイベント |
| TargetName | 文字列 | イベントの対象の名前。システムイベントの対象は、コンピュータ、ポリシー、ユーザ、ロール、タスクなど、さまざまです。 | システムイベント |
| TargetType | 文字列 | イベントの対象の種類。 | システムイベント |
| TenantID | 整数 | イベントを生成したテナントの一意の識別子。 | すべての種類のイベント |
| TenantName | 文字列 | イベントを生成したテナントの名前。 | すべての種類のイベント |
| Title | 文字列 | イベントのタイトル。 | システムイベント |
| URL | 文字列 (URL) | イベントの生成時にアクセスしていたURL。 | Webレピュテーションイベント |
| User | 文字列 | 変更監視イベントの対象となったユーザアカウント (特定された場合)。 | 変更監視イベント |
JSON形式のイベントの例
システムイベントの例を次に示します。
{
"ActionBy": "System",
"Description": "A request has been made to synchronize computers with Cloud Account: Amazon",
"EventID": 4947,
"EventType": "SystemEvent",
"LogDate": "2014-10-29T13:13:38.500Z",
"ManagerNodeID": 41,
"ManagerNodeName": "192.168.0.1",
"Number": 1906,
"Origin": 3,
"OriginString": "Manager",
"Severity": 1,
"SeverityString": "Info",
"Tags": "",
"TargetID": 1,
"TargetName": "Amazon - US East (Virginia)",
"TargetType": "Cloud",
"TenantID": 1984,
"TenantName": "Planet Express",
"Title": "Cloud Provider Synchronization Requested"
}
変更監視イベントの例を次に示します。
{
"Change": 4,
"ChangeString": "Renamed",
"Description": "No description is available.",
"EventID": 2187499,
"EventType": "IntegrityEvent",
"HostAgentVersion": "9.0.0.883",
"HostAssetValue": 1,
"HostGroupID": 2,
"HostGroupName": "Intranet",
"HostID": 2,
"Hostname": "hr_data2",
"HostOS": "Microsoft Windows Server 2008 R2",
"HostSecurityPolicyID": 9,
"HostSecurityPolicyName": "Windows Server 2008",
"Key": "C:\\Windows\\system32\\explorer.exe -\u003e C:\\Windows\\system32\\explorer2.exe",
"LogDate": "2014-10-29T13:18:08.380Z",
"Origin": 0,
"OriginString": "Agent",
"Process": "",
"Rank": 50,
"Reason": "1002777 - Microsoft Windows - System configuration file modified",
"Severity": 3,
"SeverityString": "High",
"Tags": "",
"TenantID": 0,
"TenantName": "Primary",
"Type": "File"
}
設定の例
ここでは、いくつかのシナリオに対するSNS設定の例を示します。
重大なすべての侵入防御イベントをSNSトピックに送信する
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"NumericEquals": {
"Severity": 4
},
"StringEquals" : {
"EventType" : "PayloadLog"
}
}
}
]
}
イベントごとに異なるSNSトピックに送信する
この例では、すべてのシステムイベントを1つのトピックに送信し、すべての変更監視イベントを別のトピックに送信します。
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:systemEventsTopic",
"Condition": {
"StringEquals" : {
"EventType" : "SystemEvent"
}
}
},
{
"Topic": "arn:aws:sns:us-east-1:012345678901:integrityTopic",
"Condition": {
"StringEquals" : {
"EventType" : "IntegrityEvent"
}
}
}
]
}
複数の文と複数の条件
同じSNSトピックに対して作成した複数の文は、「or」で結合されたものとして評価されます。1つの文に複数の条件が含まれている場合、それらの条件は「and」で結合されたものとして評価されます。
複数の文
間違った設定例を次に示します。最初の文で「System Settings Saved」以外のすべてのイベントを転送するよう指定し、2つ目の文ですべての「System Settings Saved」イベントを転送するよう指定しています。結果は、すべてのイベントが最初の文の条件または2つ目の文の条件に一致するため、すべてのイベントが転送されます。
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"StringNotLike" : {
"Title" : "System Settings Saved"
}
}
},
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"StringLike" : {
"Title" : "System Settings Saved"
}
}
}
]
}
複数の条件
間違った設定例をもう1つ示します。最初の条件で「System Settings Saved」以外のすべてのイベントを転送するよう指定し、2つ目の条件ですべての「System Settings Saved」イベントを転送するよう指定しています。結果は、どのイベントも最初の文の条件および2つ目の文の条件の両方には一致しないため、イベントは転送されません。
{
"Version": "2014-09-24",
"Statement": [
{
"Topic": "arn:aws:sns:us-east-1:012345678901:myTopic",
"Condition": {
"StringNotLike" : {
"Title" : "System Settings Saved"
},
"StringLike" : {
"Title" : "System Settings Saved"
}
}
}
]
}
