Vulnerability ProtectionDeep Securityでは、syslogサーバに次の形式でイベントを転送できます。
syslogメッセージは、[システムイベント] タブで選択したイベントについてのみ送信されます。それ以外のイベントタイプのsyslog通知については、ポリシーエディタまたはコンピュータエディタで設定できます。
次の手順は、Vulnerability ProtectionDeep Securityからログを受信するための、Red Hat Enterprise Linux 6または7でのrsyslogの設定方法を示しています。
vi /etc/rsyslog.conf rsyslog.confの先頭付近にある次の行をコメント解除します。変更前のコードは、次のとおりです。#$ModLoad imudp
#$UDPServerRun 514
#$ModLoad imtcp
#$InputTCPServerRun 514
変更後のコードは、次のとおりです。$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
rsyslog.confの末尾に、次の2行を追加します。
#Save Vulnerability ProtectionDeep Security Manager logs to VPM.logDSM.logLocal4.* /var/log/VPM.logDSM.log
Local4を別の値に置き換える必要があります。touch /var/log/VPM.logDSM.log」と入力して、/var/log/VPM.logDSM.logファイルを作成します。service rsyslog restart systemctl restart rsyslog
Syslogが機能すると、/var/log/VPM.logDSM.log にログが記録されます。
次の手順は、Vulnerability ProtectionDeep Securityからログを受信するための、Red Hat Enterprise LinuxでのSyslogの設定方法を示しています。
vi /etc/syslog.conf
syslog.confの末尾に、次の2行を追加します。
#Save Vulnerability ProtectionDeep Security Manager logs to VPM.logDSM.log Local4.* /var/log/VPM.logDSM.log Local4を別の値に置き換える必要があります。touch /var/log/VPM.logDSM.log」と入力して、/var/log/VPM.logDSM.logファイルを作成します。
vi /etc/sysconfig/syslog
SYSLOGD_OPTIONS」の行を編集して、オプションに「-r」を追加します。
/etc/init.d/syslog restart
Syslogが機能すると、 /var/log/VPM.logDSM.log にログが記録されます。
すべての管理下のコンピュータからSyslogコンピュータにログが送信されるようにVulnerability ProtectionDeep Security Managerを設定したり、個々のコンピュータを別々に設定したりできます。
すべての管理下のコンピュータでSyslogが使用されるようにManagerを設定するには、次の手順を実行します。
これで、すべての既存および新規のコンピュータが初期設定でリモートSyslogを使用するようにVulnerability ProtectionDeep Security Managerを設定しました。
Syslogメッセージの送信元には、2つのオプションがあります。1つ目のオプション ([直接転送する]) は、AgentまたはVirtual Applianceからメッセージをリアルタイムで直接送信します。2つ目のオプション ([Manager経由でリレーする]) は、ハートビートでイベントを収集した後、Managerからsyslogメッセージを送信します。送信元の数に基づいて送信先がライセンス許可する場合は、Managerから送信するオプションを選択することが望ましいです。
SyslogメッセージがManagerから送信される場合は、いくつかの違いがあります。元のホスト名 (イベントのソース) を維持するため、新しい拡張 (「dvc」または「dvchost」) が使われます。「dvc」はホスト名がIPv4アドレスの場合、「dvchost」はホスト名がIPv6アドレスの場合に使用されます。また、イベントがタグ付けされている場合は、拡張「TrendMicroDsTags」が使用されます (これは、自動タグ付けが実行されている場合にのみ適用されます。Managerによって収集された場合にのみイベントがsyslog経由で転送されるためです)。Managerを通じてリレーされるログには、製品名が「Vulnerability ProtectionDeep Security Agent」と表示されますが、バージョンはManagerのバージョンになっています。
すべてのCEFイベントには、イベントの元のソースを判断するためのdvc=IPv4アドレスまたはdvchost=ホスト名 (またはIPv6アドレス) が含まれています。この拡張はVirtual ApplianceやManagerから送信されるイベントに重要なものです。ここでは、Syslogメッセージの送信者はイベントの発信元ではないためです。
この初期設定は、特定のポリシーに対して、および個々のコンピュータでオーバーライドできます。個々のコンピュータで初期設定をオーバーライドするには、設定するコンピュータを見つけ、[詳細]→[設定] に進んで [SIEM] タブをクリックします。この設定は、コンピュータ上の他の多くの設定と同様に、初期設定を継承するように設定することも、オーバーライドすることもできます。このコンピュータで継承可能な初期設定をオーバーライドするよう設定するには、[イベントの転送先] オプションを選択して別のsyslogサーバの詳細を入力するか、ログを一切転送しないようにします。ポリシーの設定をオーバーライドする場合も、同じ手順に従います。
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
Vulnerability ProtectionDeep Security ManagerとVulnerability ProtectionDeep Security Agentのどちらからのログエントリかを判断するには、「デバイス製品 (Device Product)」フィールドを確認します。
CEFログエントリのサンプル: Jan 18 11:07:53 vpmhostdsmhost CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Manager|<DSM version>2.0|600|Administrator Signed In|4|suser=Master...
イベントをトリガしたルールの種類を判断するには、「署名ID (Signature ID)」フィールドと「名前 (Name)」フィールドを確認します。
ログエントリのサンプル: Mar 19 15:19:15 chrisds7 CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Agent|<DSA version>2.0|123|Out Of Allowed Policy|5|cn1=1...
次の「署名ID (Signature ID)」の値は、トリガされたイベントの種類を示します。
| 署名ID | 説明 |
| 10 | カスタム侵入防御ルール |
| 20 | ログのみのファイアウォールルール |
| 21 | 拒否のファイアウォールルール |
| 30 | カスタム変更監視ルール |
| 40 | カスタムセキュリティログ監視ルール |
| 100-7499 | システムイベント |
| 100-199 | ポリシーで未許可のファイアウォールルール |
| 200-299 | 侵入防御システム (IPS) の内部エラー |
| 300-399 | SSLイベント |
| 500-899 | 侵入防御の正規化イベント |
| 1,000,000-1,999,999 | トレンドマイクロが提供する侵入防御ルール。署名ID (Signature ID) は、侵入防御ルールIDと同一です。 |
| 2,000,000-2,999,999 | トレンドマイクロが提供する変更監視ルール。署名ID (Signature ID) は、変更監視ルールID + 1,000,000です。 |
| 3,000,000-3,999,999 | トレンドマイクロが提供するセキュリティログ監視ルール。署名ID (Signature ID) は、セキュリティログ監視ルールID + 2,000,000です。 |
| 4,000,000-4,999,999 |
トレンドマイクロの不正プログラム対策イベント用に予約済み。現在は、以下の署名IDのみが使用されています。
|
| 5,000,000-5,999,999 | トレンドマイクロのWebレピュテーションイベント用に予約済み。現在は、以下の署名IDのみが使用されています。
|
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEF 2.0ログエントリのサンプル (DSMシステムイベントログのサンプル): LEEF:2.0|Trend Micro|Vulnerability ProtectionDeep Security Manager|9.6.2007|192|cat=System name=Alert Ended desc=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning sev=3 src=10.201.114.164 usrName=System msg=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning TrendMicroDsTenant=Primary
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリのサンプル: CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Manager|<DSM version>2.0|600|User Signed In|3|src=10.52.116.160 suser=admin target=admin msg=User signed in from fe80:0:0:0:2d02:9870:beaa:fd41
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEF 2.0ログエントリのサンプル: LEEF:2.0|Trend Micro|Vulnerability ProtectionDeep Security Manager|9.6.2007|192|cat=System name=Alert Ended desc=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning sev=3 src=10.201.114.164 usrName=System msg=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning TrendMicroDsTenant=Primary
| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| src | src | Source IP Address | 送信元のVulnerability ProtectionDeep Security ManagerのIPアドレス。 | src=10.52.116.23 |
| suser | usrName | Source User | 送信元のVulnerability ProtectionDeep Security Managerのユーザアカウント。 | suser=MasterAdmin |
| target | target | Target Entity | イベントの対象のエンティティ。イベントの対象は、Vulnerability ProtectionDeep Security Managerまたはコンピュータにログインした管理者アカウントである可能性があります。 | target=MasterAdmin target=server01 |
| targetID | targetID | Target Entity ID | Managerで追加される識別子。 | targetID=1 |
| targetType | targetType | Target Entity Type | イベントの対象のエンティティの種類。 | targetType=Host |
| msg | msg | Details | システムイベントの詳細。イベントの詳細な説明が含まれる場合があります。 | msg=User password incorrect for username MasterAdmin on an attempt to sign in from 127.0.0.1 msg=A Scan for Recommendations on computer (localhost) has completed... |
| TrendMicroDsTags | TrendMicroDsTags | Event Tags | イベントに割り当てられたDeep Securityのイベントタグ | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant Name | Deep Securityのテナント | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityのテナントID | TrendMicroDsTenantId=0 |
| なし | sev | Severity | イベントの重要度。最も低い重要度は1、高い重要度は10です。 | sev=3 |
| なし | cat | Category | イベントのカテゴリ | cat=System |
| なし | name | Name | イベント名 | name=Alert Ended |
| なし | desc | Description | イベントの説明 | desc:Alert: CPU Warning Threshold Exceeded |
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリのサンプル: CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Agent|<DSA version>2.0|20|Log for TCP Port 80|0|cn1=1 cn1Label=Host ID dvc=hostname act=Log dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.147 out=1019 cs3=DF MF cs3Label=Fragmentation Bits proto=TCP spt=49617 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP Flags cnt=1 TrendMicroDsPacketData=AFB...
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEFログエントリのサンプル: LEEF:2.0|Trend Micro|Vulnerability ProtectionDeep Security Manager|9.6.2007|21|cat=Firewall name=Remote Domain Enforcement (Split Tunnel) desc=Remote Domain Enforcement (Split Tunnel) sev=5 cn1=37 cn1Label=Host ID dvchost=laptop_adaggs TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=Deny dstMAC=67:BF:1B:2F:13:EE srcMAC=78:FD:E7:07:9F:2C TrendMicroDsFrameType=IP src=10.0.110.221 dst=105.152.185.81 out=177 cs3= cs3Label=Fragmentation Bits proto=UDP srcPort=23 dstPort=445 cnt=1
| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| act | act | Action | ファイアウォールルールによる処理。値は、LogまたはDenyです。ルールまたはネットワークエンジンがタップモードで動作している場合、処理の値の前に「IDS:」が付きます。 | act=Log act=Deny |
| cn1 | cn1 | Host Identifier | 特定のSyslogイベントからAgentコンピュータを一意に識別するのに使用できる、Agentコンピュータの内部識別子。 | cn1=113 |
| cn1Label | cn1Label | Host ID | フィールドcn1のフレンドリ名のラベル。 | cn1Label=Host ID |
| cnt | cnt | Repeat Count | このイベントが連続して繰り返された回数。 | cnt=8 |
| cs2 | cs2 | TCP Flags | (TCPプロトコルの場合のみ) TCPフラグバイトの後には、[URG]、[ACK]、[PSH]、[RST]、[SYN]、[FIN] の各フィールドが続きます。このフラグバイトは、TCPヘッダが設定されている場合に存在する可能性があります。[Manager経由でリレーする] を選択した場合は、この拡張の出力にはフラグ名のみが含まれます。 | cs2=0x10 ACK cs2=0x14 ACK RST |
| cs2Label | cs2Label | TCP Flags | フィールドcs2のフレンドリ名のラベル。 | cs2Label=TCP Flags |
| cs3 | cs3 | Packet Fragmentation Information | [DF] フィールドは、「IP Don't Fragment」ビットが設定されている場合に存在します。[MF] フィールドは、「IP More Fragments」ビットが設定されている場合に存在します。 | cs3=DF cs3=MF cs3=DF MF |
| cs3Label | cs3Label | Fragmentation Bits | フィールドcs3のフレンドリ名のラベル。 | cs3Label=Fragmentation Bits |
| cs4 | cs4 | ICMP Type and Code | (ICMPプロトコルの場合のみ) 単一のスペースで区切って個別の順序で格納されているICMPタイプとコード。 | cs4=11 0 cs4=8 0 |
| cs4Label | cs4Label | ICMP | フィールドcs4のフレンドリ名のラベル。 | cs4Label=ICMP Type and Code |
| dmac | dstMAC | Destination MAC Address | 送信先コンピュータのネットワークインタフェースMACアドレス。 | dmac= 00:0C:29:2F:09:B3 |
| dpt | dstPort | Destination Port | (TCPプロトコルおよびUDPプロトコルの場合のみ) 送信先コンピュータの接続ポート。 | dpt=80 dpt=135 |
| dst | dst | Destination IP Address | 送信先コンピュータのIPアドレス。 | dst=192.168.1.102 dst=10.30.128.2 |
| in | in | Inbound Bytes Read | (受信接続の場合のみ) 読み取られた受信バイト数。 | in=137 in=21 |
| out | out | Outbound Bytes Read | (送信接続の場合のみ) 読み取られた送信バイト数。 | out=216 out=13 |
| proto | proto | Transport protocol | 使用する接続転送プロトコルの名前。 | proto=tcp proto=udp proto=icmp |
| smac | srcMAC | Source MAC Address | 送信元コンピュータのネットワークインタフェースMACアドレス。 | smac= 00:0E:04:2C:02:B3 |
| spt | srcPort | Source Port | (TCPプロトコルおよびUDPプロトコルの場合のみ) 送信元コンピュータの接続ポート。 | spt=1032 spt=443 |
| src | src | Source IP Address | 送信元コンピュータのIPアドレス。 | src=192.168.1.105 src=10.10.251.231 |
| TrendMicroDsFrameType | TrendMicroDsFrameType | Ethernet frame type | 接続のイーサネットフレームの種類。 | TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI |
| TrendMicroDsPacketData | TrendMicroDsPacketData | Packet data | (パケットデータを含めるように設定されている場合) パケットデータのBase64でエンコードされたコピー。等号はエスケープされます。たとえば、「\=」のようになります。この拡張は [Manager経由でリレーする] オプションを選択したときには含まれません。 | TrendMicroDsPacketData=AA...BA\= |
| dvc | dvc | Device address | cn1のIPv4アドレス。アドレスがIPv4の場合、dvcを使用します。アドレスがIPv6またはホスト名の場合は、dvchostを使用します。 | dvc=10.1.144.199 |
| dvchost | dvchost | Device host name | cn1のIPv6アドレスまたはホスト名。アドレスがIPv6またはホスト名の場合、dvchostを使用します。アドレスがIPv4の場合は、dvcを使用します。 | dvchost=laptop_adaggs |
| TrendMicroDsTags | TrendMicroDsTags | Event Tags | イベントに割り当てられたDeep Securityのイベントタグ | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant Name | Deep Securityのテナント | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityのテナントID | TrendMicroDsTenantId=0 |
| なし | sev | Severity | イベントの重要度。最も低い重要度は1、高い重要度は10です。 | sev=5 |
| なし | cat | Category | カテゴリ | cat=Firewall |
| なし | name | Name | イベント名 | name=Remote Domain Enforcement (Split Tunnel) |
| なし | desc | Description | イベントの説明。ファイアウォールイベントにはイベントの説明がないため、イベント名を使用します。 | desc=Remote Domain Enforcement (Split Tunnel) |
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリのサンプル: CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Agent|<DSA version>2.0|1001111|Test Intrusion Prevention Rule|3|cn1=1 cn1Label=Host ID dvchost=hostname dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.105 out=1093 cs3=DF MF cs3Label=Fragmentation Bits proto=TCP spt=49786 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP Flags cnt=1 act=IDS:Reset cn3=10 cn3Label=Intrusion Prevention Packet Position cs5=10 cs5Label=Intrusion Prevention Stream Position cs6=8 cs6Label=Intrusion Prevention Flags TrendMicroDsPacketData=R0VUIC9zP3...
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEFログエントリのサンプル: LEEF:2.0|Trend Micro|Vulnerability ProtectionDeep Security Manager|9.6.2007|1000940|cat=Intrusion Prevention name=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities desc=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities sev=10 cn1=6 cn1Label=Host ID dvchost=exch01 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 dstMAC=55:C0:A8:55:FF:41 srcMAC=CA:36:42:B1:78:3D TrendMicroDsFrameType=IP src=10.0.251.84 dst=56.19.41.128 out=166 cs3= cs3Label=Fragmentation Bits proto=ICMP srcPort=0 dstPort=0 cnt=1 act=IDS:Reset cn3=0 cn3Label=DPI Packet Position cs5=0 cs5Label=DPI Stream Position cs6=0 cs6Label=DPI Flags
| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| act | act | Action | 侵入防御ルールによる処理。値は、Block、Reset、またはLogのいずれかです。ルールまたはネットワークエンジンが検出のみモードで動作している場合、処理の値の前に「IDS:」が付きます (Deep Securityバージョン7.5 SP1以前に作成されたIPSルールでは、Insert、Replace、Deleteも実行することができましたが、現在これらの処理は実行されません。これらの処理の実行を試みる古いIPSルールが実行された場合、ルールが検出のみモードで適用されたことを示すイベントが記録されます)。 | act=Block |
| cn1 | cn1 | Host Identifier | 特定のSyslogイベントからAgentコンピュータを一意に識別するのに使用できる、Agentコンピュータの内部識別子。 | cn1=113 |
| cn1Label | cn1Label | Host ID | フィールドcn1のフレンドリ名のラベル。 | cn1Label=Host ID |
| cn3 | cn3 | Intrusion Prevention Packet Position | イベントをトリガしたデータのパケット内の位置。 | cn3=37 |
| cn3Label | cn3Label | Intrusion Prevention Packet Position | フィールドcn3のフレンドリ名のラベル。 | cn3Label=Intrusion Prevention Packet Position |
| cnt | cnt | Repeat Count | このイベントが連続して繰り返された回数。 | cnt=8 |
| cs1 | cs1 | Intrusion Prevention Filter Note | (オプション) DPIルールに関連する短いバイナリまたはテキストによる備考を含めることのできる注記用フィールド。注記用フィールドの値がすべて印刷可能なASCII文字の場合、値はテキストとしてログに記録され、スペース (空白文字) はアンダースコアに変換されます。バイナリデータが含まれる場合は、Base64エンコードを使用してログに記録されます。 | cs1=Drop_data |
| cs1Label | cs1Label | Intrusion Prevention Note | フィールドcs1のフレンドリ名のラベル。 | cs1Label=Intrusion Prevention Note |
| cs2 | cs2 | TCP Flags | (TCPプロトコルの場合のみ) TCPフラグバイトの後には、[URG]、[ACK]、[PSH]、[RST]、[SYN]、[FIN] の各フィールドが続きます。このフラグバイトは、TCPヘッダが設定されている場合に存在する可能性があります。 | cs2=0x10 ACK cs2=0x14 ACK RST |
| cs2Label | cs2Label | TCP Flags | フィールドcs2のフレンドリ名のラベル。 | cs2Label=TCP Flags |
| cs3 | cs3 | Packet Fragmentation Information | [DF] フィールドは、「IP Don't Fragment」ビットが設定されている場合に存在します。[MF] フィールドは、「IP More Fragments」ビットが設定されている場合に存在します。 | cs3=DF cs3=MF cs3=DF MF |
| cs3Label | cs3Label | Fragmentation Bits | フィールドcs3のフレンドリ名のラベル。 | cs3Label=Fragmentation Bits |
| cs4 | cs4 | ICMP Type and Code | (ICMPプロトコルの場合のみ) 単一のスペースで区切って個別の順序で格納されているICMPタイプとコード。 | cs4=11 0 cs4=8 0 |
| cs4Label | cs4Label | ICMP | フィールドcs4のフレンドリ名のラベル。 | cs4Label=ICMP Type and Code |
| cs5 | cs5 | Intrusion Prevention Stream Position | イベントをトリガしたデータのストリーム内の位置。 | cs5=128 cs5=20 |
| cs5Label | cs5Label | Intrusion Prevention Stream Position | フィールドcs5のフレンドリ名のラベル。 | cs5Label=Intrusion Prevention Stream Position |
| cs6 | cs6 | Intrusion Prevention Filter Flags | 次のフラグの値の合計値。 1 - Data truncated - データをログに記録できませんでした。 2 - Log Overflow - このログの後、ログがオーバーフローしました。 4 - Suppressed - このログの後、ログのしきい値が抑制されました。 8 - Have Data - パケットデータが含まれます。 16 - Reference Data - 以前にログに記録されたデータを参照します。 |
1 (Data truncated) と8 (Have Data) の組み合わせの例: cs6=9 |
| cs6Label | cs6Label | Intrusion Prevention Flags | フィールドcs6のフレンドリ名のラベル。 | cs6=Intrusion Prevention Filter Flags |
| dmac | dstMAC | Destination MAC Address | 送信先コンピュータのネットワークインタフェースMACアドレス。 | dmac= 00:0C:29:2F:09:B3 |
| dpt | dstPort | Destination Port | (TCPプロトコルおよびUDPプロトコルの場合のみ) 送信先コンピュータの接続ポート。 | dpt=80 dpt=135 |
| dst | dst | Destination IP Address | 送信先コンピュータのIPアドレス。 | dst=192.168.1.102 dst=10.30.128.2 |
| in | in | Inbound Bytes Read | (受信接続の場合のみ) 読み取られた受信バイト数。 | in=137 in=21 |
| out | out | Outbound Bytes Read | (送信接続の場合のみ) 読み取られた送信バイト数。 | out=216 out=13 |
| proto | proto | Transport protocol | 使用する接続転送プロトコルの名前。 | proto=tcp proto=udp proto=icmp |
| smac | srcMAC | Source MAC Address | 送信元コンピュータのネットワークインタフェースMACアドレス。 | smac= 00:0E:04:2C:02:B3 |
| spt | srcPort | Source Port | (TCPプロトコルおよびUDPプロトコルの場合のみ) 送信元コンピュータの接続ポート。 | spt=1032 spt=443 |
| src | src | Source IP Address | 送信元コンピュータのIPアドレス。 | src=192.168.1.105 src=10.10.251.231 |
| TrendMicroDsFrameType | TrendMicroDsFrameType | Ethernet frame type | 接続のイーサネットフレームの種類。 | TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI |
| TrendMicroDsPacketData | TrendMicroDsPacketData | Packet data | (パケットデータを含めるように設定されている場合) パケットデータのBase64でエンコードされたコピー。等号はエスケープされます。たとえば、「\=」のようになります。この拡張は [Manager経由でリレーする] オプションを選択したときには含まれません。 | TrendMicroDsPacketData=AA...BA\= |
| dvc | dvc | Device address | cn1のIPv4アドレス。アドレスがIPv4の場合、dvcを使用します。アドレスがIPv6またはホスト名の場合は、dvchostを使用します。 | dvc=10.1.144.199 |
| dvchost | dvchost | Device host name | cn1のIPv6アドレスまたはホスト名。アドレスがIPv6またはホスト名の場合、dvchostを使用します。アドレスがIPv4の場合は、dvcを使用します。 | dvchost=exch01 |
| TrendMicroDsTags | TrendMicroDsTags | Event tags | イベントに割り当てられたDeep Securityのイベントタグ | TrendMicroDsTags=Suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant name | Deep Securityのテナント名 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityのテナントID | TrendMicroDsTenantId=0 |
| なし | sev | Severity | イベントの重要度。最も低い重要度は1、高い重要度は10です。 | sev=10 |
| なし | cat | Category | カテゴリ | cat=Intrusion Prevention |
| なし | name | Name | イベント名 | name=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities |
| なし | desc | Description | イベントの説明。侵入防御イベントにはイベントの説明がないため、イベント名を使用します。 | desc=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities |
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリのサンプル: CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Agent|<DSA version>|3002795|Microsoft Windows Events|8|cn1=1 cn1Label=Host ID dvchost=hostname cs1Label=LI Description cs1=Multiple Windows Logon Failures fname=Security src=127.0.0.1 duser=(no user) shost=WIN-RM6HM42G65V msg=WinEvtLog Security:AUDIT_FAILURE(4625): Microsoft-Windows-Security-Auditing:(no user):no domain:WIN-RM6HM42G65V:An account failed to log on.Subject: ..
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEFログエントリのサンプル: LEEF:2.0|Trend Micro|Deep Security Manager|9.6.2007|3003486|cat=Log Inspection name=Mail Server - MDaemon desc=Server Shutdown. sev=3 cn1=37 cn1Label=Host ID dvchost=laptop_adaggs TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 cs1=Server Shutdown. cs1Label=LI Description fname= shost= msg=
| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| cn1 | cn1 | Host Identifier | 特定のSyslogイベントからAgentコンピュータを一意に識別するのに使用できる、Agentコンピュータの内部識別子。 | cn1=113 |
| cn1Label | cn1Label | Host ID | フィールドcn1のフレンドリ名のラベル。 | cn1Label=Host ID |
| cs1 | cs1 | Specific Sub-Rule | このイベントをトリガしたセキュリティログ監視のサブルール。 | cs1=Multiple Windows audit failure events |
| cs1Label | cs1Label | LI Description | フィールドcs1のフレンドリ名のラベル。 | cs1Label=LI Description |
| duser | duser | User Information | (解析可能なユーザ名が存在する場合) ログエントリを記録した対象ユーザの名前。 | duser=(no user) duser=NETWORK SERVICE |
| fname | fname | Target entity | セキュリティログ監視ルールの対象のエンティティ。監視対象のログファイルが含まれます。 | fname=Application fname=C:\Program Files\CMS\logs\server0.log |
| msg | msg | Details | セキュリティログ監視イベントの詳細。検出されたログイベントの詳細な説明が含まれる場合があります。 | msg=WinEvtLog:Application:AUDIT_FAILURE(20187): pgEvent:(no user): no domain: SERVER01:Remote login failure for user 'xyz' |
| shost | shost | Source Hostname | 送信元コンピュータのホスト名。 | shost=webserver01.corp.com |
| src | src | Source IP Address | 送信元コンピュータのIPアドレス。 | src=192.168.1.105 src=10.10.251.231 |
| dvc | dvc | Device address | cn1のIPv4アドレス。アドレスがIPv4の場合、dvcを使用します。アドレスがIPv6またはホスト名の場合は、dvchostを使用します。 | dvc=10.1.144.199 |
| dvchost | dvchost | Device host name | cn1のIPv6アドレスまたはホスト名。アドレスがIPv6またはホスト名の場合、dvchostを使用します。アドレスがIPv4の場合は、dvcを使用します。 | dvchost=laptop_adaggs |
| TrendMicroDsTags | TrendMicroDsTags | Events tags | イベントに割り当てられたDeep Securityのイベントタグ | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant name | Deep Securityのテナント | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityのテナントID | TrendMicroDsTenantId=0 |
| なし | sev | Severity | イベントの重要度。最も低い重要度は1、高い重要度は10です。 | sev=3 |
| なし | cat | Category | カテゴリ | cat=Log Inspection |
| なし | name | Name | イベント名 | name=Mail Server - MDaemon |
| なし | desc | Description | イベントの説明 | desc=Server Shutdown |
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリのサンプル: CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Agent|<DSA version>|30|New Integrity Monitoring Rule|6|cn1=1 cn1Label=Host ID dvchost=hostname act=updated filePath=c:\\windows\\message.dll msg=lastModified,sha1,size
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEFログエントリのサンプル: LEEF:2.0|Trend Micro|Deep Security Manager|9.6.2007|2002779|cat=Integrity Monitor name=Microsoft Windows - System file modified desc=Microsoft Windows - System file modified sev=8 cn1=37 cn1Label=Host ID dvchost=laptop_adaggs TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=updated
| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| act | act | Action | 変更監視ルールによって検出される処理。値は、created、updated、detected、またはrenamedのいずれかです。 | act=created act=deleted |
| cn1 | cn1 | Host Identifier | 特定のSyslogイベントからAgentコンピュータを一意に識別するのに使用できる、Agentコンピュータの内部識別子。 | cn1=113 |
| cn1Label | cn1Label | Host ID | フィールドcn1のフレンドリ名のラベル。 | cn1Label=Host ID |
| filePath | filePath | Target Entity | 変更監視ルールの対象のエンティティ。監視対象のログファイルが含まれます。 | filePath=C:\WINDOWS\system32\drivers\etc\hosts |
| msg | msg | Attribute changes | (「updated」処理の場合のみ) 変更された属性名のリスト。 [Manager経由でリレーする] を選択した場合、すべてのイベント処理の種類に完全な説明が含まれます。 |
msg=lastModified,sha1,size |
| oldfilePath | oldfilePath | Old target entity | (「renamed」処理の場合のみ) filePathフィールドに記録された新しいエンティティに名前変更された、以前の変更監視ルールの対象のエンティティ。 | oldFilePath=C:\WINDOWS\system32\logfiles\ds_agent.log |
| dvc | dvc | Device address | cn1のIPv4アドレス。アドレスがIPv4の場合、dvcを使用します。アドレスがIPv6またはホスト名の場合は、dvchostを使用します。 | dvc=10.1.144.199 |
| dvchost | dvchost | Device host name | cn1のIPv6アドレスまたはホスト名。アドレスがIPv6またはホスト名の場合、dvchostを使用します。アドレスがIPv4の場合は、dvcを使用します。 | dvchost=laptop_adaggs |
| TrendMicroDsTags | TrendMicroDsTags | Events tags | イベントに割り当てられたDeep Securityのイベントタグ | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant name | Deep Securityのテナント | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityのテナントID | TrendMicroDsTenantId=0 |
| なし | sev | Severity | イベントの重要度。最も低い重要度は1、高い重要度は10です。 | sev=8 |
| なし | cat | Category | カテゴリ | cat=Integrity Monitor |
| なし | name | Name | イベント名 | name=Microsoft Windows - System file modified |
| なし | desc | Description | イベントの説明。変更監視イベントにはイベントの説明がないため、イベント名を使用します。 | desc=Microsoft Windows - System file modified |
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリのサンプル: CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Agent|<DSA version>|4000000|Eicar_test_file|6|cn1=1 cn1Label=Host ID dvchost=hostname cn2=205 cn2Label=Quarantine File Size filePath=C:\\Users\\trend\\Desktop\\eicar.txt act=Delete msg=Realtime
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEFログエントリのサンプル: LEEF:2.0|Trend Micro|Deep Security Manager|9.6.2007|4000010|cat=Anti-Malware name=SPYWARE_KEYL_ACTIVE desc=SPYWARE_KEYL_ACTIVE sev=6 cn1=45 cn1Label=Host ID dvchost=laptop_mneil TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 cs3=C:\\Windows\\System32\\certreq.exe cs3Label=Infected Resource cs4=10 cs4Label=Resource Type cs5=50 cs5Label=Risk Level act=Clean msg=Realtime
| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| cn1 | cn1 | Host Identifier | 特定のSyslogイベントからAgentコンピュータを一意に識別するのに使用できる、Agentコンピュータの内部識別子。 | cn1=1 |
| cn1Label | cn1Label | Host ID | フィールドcn1のフレンドリ名のラベル。 | cn1Label=Host ID |
| cn2 | cn2 | File Size | 隔離ファイルのサイズ。この拡張は、Agent/Applianceから [直接転送する] を選択した場合にのみ含まれます。 | cn2=100 |
| cn2Label | cn2Label | File Size | フィールドcn2のフレンドリ名のラベル。 | cn2Label=Quarantine File Size |
| filepath | filepath | Filepath | 対象ファイルの場所。 | filePath=C:\\virus\\ei1.txt |
| act | act | Action | 不正プログラム対策エンジンによって実行される処理。値には、Deny Access、Quarantine、Delete、Pass、Clean、Unspecifiedがあります。 | act=Clean act=Pass |
| msg | msg | Message | 検索の種類。値には、Realtime、Scheduled、Manualがあります。 | msg=Realtime msg=Scheduled |
| dvc | dvc | Device address | cn1のIPv4アドレス。アドレスがIPv4の場合、dvcを使用します。アドレスがIPv6またはホスト名の場合は、dvchostを使用します。 | dvc=10.1.144.199 |
| dvchost | dvchost | Device host name | cn1のIPv6アドレスまたはホスト名。アドレスがIPv6またはホスト名の場合、dvchostを使用します。アドレスがIPv4の場合は、dvcを使用します。 | dvchost=laptop_mneil |
| TrendMicroDsTags | TrendMicroDsTags | Events tags | イベントに割り当てられたDeep Securityのイベントタグ | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant name | Deep Securityのテナント | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityのテナントID | TrendMicroDsTenantId=0 |
| なし | sev | Severity | イベントの重要度。最も低い重要度は1、高い重要度は10です。 | sev=6 |
| なし | cat | Category | カテゴリ | cat=Anti-Malware |
| なし | name | Name | イベント名 | name=SPYWARE_KEYL_ACTIVE |
| なし | desc | Description | イベントの説明。不正プログラム対策イベントにはイベントの説明がないため、イベント名を使用します。 | desc=SPYWARE_KEYL_ACTIVE |
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリのサンプル: CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Agent|<DSA version>|5000000|WebReputation|5|cn1=1 cn1Label=Host ID dvchost=hostname request=site.com msg=Blocked By Admin
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEFログエントリのサンプル: LEEF:2.0|Trend Micro|Deep Security Manager|9.6.2007|5000000|cat=Web Reputation name=WebReputation desc=WebReputation sev=6 cn1=3 cn1Label=Host ID dvchost=hr_data2 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 request=http://yw.olx5x9ny.org.it/HvuauRH/eighgSS.htm msg=Suspicious
| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| cn1 | cn1 | Host Identifier | 特定のSyslogイベントからAgentコンピュータを一意に識別するのに使用できる、Agentコンピュータの内部識別子。 | cn1=1 |
| cn1Label | cn1Label | Host ID | フィールドcn1のフレンドリ名のラベル。 | cn1Label=Host ID |
| request | request | Request | 要求のURL。 | request=site.com |
| msg | msg | Message | 処理の種類。値には、Realtime、Scheduled、Manualがあります。 | msg=Realtime msg=Scheduled |
| dvc | dvc | Device address | cn1のIPv4アドレス。アドレスがIPv4の場合、dvcを使用します。アドレスがIPv6またはホスト名の場合は、dvchostを使用します。 | dvc=10.1.144.199 |
| dvchost | dvchost | Device host name | cn1のIPv6アドレスまたはホスト名。アドレスがIPv6またはホスト名の場合、dvchostを使用します。アドレスがIPv4の場合は、dvcを使用します。 | dvchost=hr_data2 |
| TrendMicroDsTags | TrendMicroDsTags | Events tags | イベントに割り当てられたDeep Securityのイベントタグ | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant name | Deep Securityのテナント | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityのテナントID | TrendMicroDsTenantId=0 |
| なし | sev | Severity | イベントの重要度。最も低い重要度は1、高い重要度は10です。 | sev=6 |
| なし | cat | Category | カテゴリ | cat=Web Reputation |
| なし | name | Name | イベント名 | name=WebReputation |
| なし | desc | Description | イベントの説明。Webレピュテーションイベントにはイベントの説明がないため、イベント名を使用します。 | desc=WebReputation |