セキュリティログ監視ルールを作成する

Vulnerability ProtectionDeep Securityのセキュリティログ監視モジュールでは、OSとアプリケーションのログを収集して分析し、何千ものログエントリに含まれている重要なセキュリティイベントを識別できます。これらのイベントをセキュリティ情報/イベント管理 (SIEM) システムまたは中央のログサーバに送信して、関連付け、レポート、およびアーカイブに使用できます。また、すべてのイベントはVulnerability ProtectionDeep Security Managerでまとめて安全に収集されます。

Vulnerability ProtectionDeep Securityのセキュリティログ監視モジュールでは、次の処理が可能です。

PCI DSSログ監視の要件を満たす。
不審な動作を検出する。
さまざまなOSとアプリケーションを含む異種環境でイベントを収集する。
エラーなどのイベントや情報イベント (ディスクがいっぱいである、サービスの開始/停止など) を表示する。
管理者のアクティビティ (管理者のログイン/ログアウト、アカウントのロックアウト、ポリシーの変更など) の監査証跡を作成して維持する。

Vulnerability ProtectionDeep Securityのセキュリティログ監視では、次に示すさまざまな方法で、重要なセキュリティイベントの収集が自動的に行われます。

推奨設定の検索: 推奨設定の検索では、検索対象のサーバに対して、セキュリティログ監視ルール (Windowsのセキュリティログ監視ルールやUNIXのセキュリティログ監視ルールなど) を推奨します。
初期設定のセキュリティログ監視ルール: Vulnerability ProtectionDeep Securityには、さまざまなOSとアプリケーションに対応した、定義済みの多数のルールが用意されています。
自動タグ付け: セキュリティログ監視イベントは、ログファイル構造内でのグループに基づいて「自動でタグ付け」されます。これにより、Vulnerability ProtectionDeep Security Manager内のセキュリティログ監視イベントの処理が簡略化および自動化されます。

セキュリティログ監視モジュールは、指定されたログファイルをリアルタイムで監視し、そのファイルに対する変更が発生した場合に処理します。一定の期間無効になっていたAgentが有効に戻った場合、セキュリティログ監視モジュールはログファイルに対する変更を検出しません(ベースラインを作成し、指定されたファイルとシステムコンポーネントを定期的に検索して、それらをベースラインと比較する変更監視モジュールとは異なります)。

Vulnerability ProtectionDeep Securityには多数の一般的なOSおよびアプリケーション用のセキュリティログ監視ルールが用意されていますが、独自のカスタムルールを作成することもできます。カスタムルールを作成する場合は、「基本ルール」テンプレートを使用するか、または新しいルールをXMLで記述できます。ここでは、セキュリティログ監視ルールの言語について説明し、カスタムルールの例を示します。既存のセキュリティログ監視ルールのプロパティの説明については、セキュリティログ監視ルールのドキュメントおよび「参照」セクションの「セキュリティログ監視ルールの確認」を参照してください。

セキュリティログ監視プロセス

デコーダ

セキュリティログ監視ルールは、変更を監視するファイルのリストおよびトリガするルール用の条件のセットで構成されています。セキュリティログ監視エンジンが監視対象のログファイルで変更を検出すると、その変更はデコーダによって解析されます。デコーダは、rawログエントリを解析して次のフィールドを生成します。

log: イベントのメッセージセクション
full_log: イベント全体
location: ログの生成元
hostname: イベント発生元のホスト名
program_name: プログラム名。イベントのSyslogヘッダから取得されます。
srcip: イベント内の送信元のIPアドレス
dstip: イベント内の送信先のIPアドレス
srcport: イベント内の送信元のポート
dstport: イベント内の送信先のポート
protocol: イベント内のプロトコル
action: イベント内で実行された処理
srcuser: イベント内の送信元のユーザ
dstuser: イベント内の送信先のユーザ
id: イベントからのIDとしてデコードされたID
status: イベント内のデコードされたステータス
command: イベント内で呼び出されるコマンド
url: イベント内のURL
data: イベントから抽出される追加データ
systemname: イベント内のシステム名

ルールは、このデコードされたデータを確認して、ルールで定義された条件に一致する情報を検索します。

一致する項目の重要度レベルが十分に高い場合は、次のいずれかの処理を実行できます。

アラートの発令 (セキュリティログ監視ルールの [プロパティ] 画面の [オプション] タブで設定できます)
イベントのSyslogへの書き込み ([管理]→[システム設定]→[SIEM] タブの [システムイベント通知] エリアで設定できます)
イベントのDeep Security Managerへの送信 (ポリシーまたはコンピュータエディタの [設定]→[SIEM] タブの [セキュリティログ監視イベントの転送 (Agent/Applianceから)] エリアで設定できます)

セキュリティログ監視ルール

セキュリティログ監視エンジンは、コンピュータのログエントリにセキュリティログ監視ルールを適用して、それらのエントリでセキュリティログ監視イベントを生成する必要があるかどうかを判断します。

1つのセキュリティログ監視ルールには複数のサブルールを含めることができます。これらのサブルールには、アトミックとコンポジットという2つの種類があります。アトミックルールは1つのイベントを評価し、コンポジットルールは複数のイベントを確認して、頻度、繰り返し、およびイベント間の相関関係を評価できます。

アトミックルール

グループ

各ルールまたはルールのグループは、<group></group> エレメント内に定義する必要があります。属性名には、このグループに追加するルールを含めてください。次の例では、Syslogとsshdのルールをグループに含めています。

<group name="syslog,sshd,">
</group>

グループ名の末尾にカンマが付いていることに注意してください。末尾のカンマは、<if_group></if_group> タグを使用して、このルールに別のサブルールを条件付きで追加する場合に必要です。

セキュリティログ監視ルールのセットがAgentに送信されると、そのAgent上のセキュリティログ監視エンジンは割り当てられた各ルールからXMLデータを取得し、基本的に1つの長いセキュリティログ監視ルールにアセンブルします。一部のグループ定義は、トレンドマイクロによるすべてのセキュリティログ監視ルールで共通です。そのため、トレンドマイクロには「Default Rules Configuration」と呼ばれるルールがあります。このルールはこれらのグループを定義し、常に他のトレンドマイクロのルールとともに割り当てられます(割り当てるルールに「Default Rules Configuration」ルールを選択しない場合は、「Default Rules Configuration」ルールが自動的に割り当てられることを知らせる通知が表示されます)。独自のセキュリティログ監視ルールを作成し、他のトレンドマイクロによるルールを割り当てずにそのルールをコンピュータに割り当てる場合は、作成した新しいルールに「Default Rules Configuration」ルールの内容をコピーするか、コンピュータに対する「Default Rules Configuration」ルールの割り当ても選択する必要があります。

ルール、ID、およびレベル

グループには必要な数のルールを含めることができます。ルールは、<rule></rule> エレメントを使用して定義されます。ルールには少なくとも2つの属性 (idおよびlevel) が必要です。idは、署名の一意の識別子です。levelは、アラートの重要度です。次の例では、ルールIDとレベルの異なる、2つのルールが作成されます。

<group name="syslog,sshd,">
	<rule id="100120" level="5">
	</rule>
	<rule id="100121" level="6">
	</rule>
</group>

カスタムルールには、100,000以上のID値を指定する必要があります。

<group></group> タグを使用すると、親グループ内に追加のサブグループを定義できます。このサブグループは、次の表に示す任意のグループを参照できます。

グループの種類	グループ名	説明
攻撃の予兆	connection_attempt web_scan recon	接続の試行 Web検索一般的な検索
認証制御	authentication_success authentication_failed invalid_login login_denied authentication_failures adduser account_changed	成功失敗無効ログイン拒否複数の失敗ユーザアカウントの追加ユーザアカウントの変更または削除
攻撃/悪用	automatic_attack exploit_attempt invalid_access spam multiple_spam sql_injection attack virus	ワーム (対象を指定しない攻撃) 攻撃コードのパターン無効なアクセススパム複数のスパムメッセージ SQLインジェクション一般的な攻撃ウイルスの検出
アクセス管理	access_denied access_allowed unknown_resource firewall_drop multiple_drops client_misconfig client_error	アクセス拒否アクセス許可存在しないリソースへのアクセスファイアウォールによるドロップ複数のファイアウォールによるドロップクライアントの誤った設定クライアントエラー
ネットワーク制御	new_host ip_spoof	新しいホストの検出可能性のあるARPスプーフィング
システム監視	service_start system_error system_shutdown logs_cleared invalid_request promisc policy_changed config_changed low_diskspace time_changed	サービスの開始システムエラー停止ログのクリア無効な要求インタフェースのプロミスキャスモードへの切り替えポリシーの変更設定の変更ディスク容量が少ない時刻の変更

イベントの自動タグ付けが有効な場合は、イベントにグループ名のラベルが付けられます。トレンドマイクロが提供するセキュリティログ監視ルールは、変換テーブルを利用して、グループ名をユーザがわかりやすい形式に変更します。そのため、たとえば、「login_denied」は「ログイン拒否」と表示されます。カスタムルールのリストには、ルール内に表示されるグループ名が表示されます。

説明

<description></description> タグを含めます。ルールがトリガされると、説明のテキストがイベントに表示されます。

<group name="syslog,sshd,">
	<rule id="100120" level="5">
		<group>authentication_success</group>
		<description>SSHD testing authentication success</description>
	</rule>
	<rule id="100121" level="6">
		<description>SSHD rule testing 2</description>
	</rule>
</group>

デコード形式

<decoded_as></decoded_as> タグでは、指定されたデコーダがログをデコードした場合にのみルールを適用するようにセキュリティログ監視エンジンを設定します。

<rule id="100123" level="5">
	<decoded_as>sshd</decoded_as>
	<description>Logging every decoded sshd message</description>
</rule>

使用可能なデコーダを表示するには、[セキュリティログ監視]→[セキュリティログ監視デコーダ] に進みます。[1002791-Default Log Decoders] を右クリックして、[プロパティ] を選択します。[設定] タブに進み、[デコーダの表示] をクリックします。

一致項目

特定の文字列をログで検索するには、<match></match> を使用します。Linuxのsshdのパスワードエラーログを次に示します。

 Jan 1 12:34:56 linux_server sshd[1231]:Failed password for invalid 
	user jsmith from 192.168.1.123 port 1799 ssh2

「Failed password」という文字列を検索するには、<match></match> タグを使用します。

<rule id="100124" level="5">
	<decoded_as>sshd</decoded_as>
	<match>^Failed password</match>
	<description>Failed SSHD password attempt</description>
</rule>

文字列の先頭を示す正規表現のカレット (^) に注意してください。「Failed password」がログの先頭にない場合でも、セキュリティログ監視デコーダはログを複数のセクションに分割します(上記の「デコーダ」を参照)。これらのセクションの1つは、ログ全体を示す「full_log」ではなく、ログのメッセージ部分を示す「log」です。

次の表は、サポートされている正規表現の構文を一覧表示しています。

正規表現の構文	説明
\w	A～Z、a～z、0～9の英数字1文字
\d	0～9の数字1文字
\s	単一のスペース (空白文字)
\t	単一のタブ
\p	()*+,-.:;<=>?[]
\W	\w以外
\D	\d以外
\S	\s以外
\.	任意の文字
+	上記のいずれかの1つ以上に一致 (たとえば、\w+、\d+)
*	上記のいずれかの0個以上に一致 (たとえば、\w、\d)
^	文字列の先頭 (^<任意の文字列>)
$	文字列の末尾 (<任意の文字列>$)
\|	複数の文字列間の「OR」

条件文

ルールの評価では、trueと評価される他のルールを条件とすることができます。<if_sid></if_sid> タグでは、タグで識別されたルールがtrueと評価された場合にのみこのサブルールを評価するようにセキュリティログ監視エンジンを設定します。次の例では、100123、100124、および100125の3つのルールを示します。<if_sid></if_sid> タグを使用して、ルール100124と100125がルール100123の子になるように変更されています。

<group name="syslog,sshd,">
	<rule id="100123" level="2">
		<decoded_as>sshd</decoded_as>
		<description>Logging every decoded sshd message</description>
	</rule>
	<rule id="100124" level="7">
		<if_sid>100123</if_sid>
		<match>^Failed password</match>
		<group>authentication_failure</group>
		<description>Failed SSHD password attempt</description>
	</rule>
	<rule id="100125" level="3">
		<if_sid>100123</if_sid>
		<match>^Accepted password</match>
		<group>authentication_success</group>
		<description>Successful SSHD password attempt</description>
	</rule>
</group>

評価の階層

<if_sid></if_sid> タグでは、基本的に階層型のルールセットを作成します。つまり、<if_sid></if_sid> タグをルールに含めることにより、そのルールは <if_sid></if_sid> タグで参照されるルールの子になります。ログにルールを適用する前に、セキュリティログ監視エンジンは <if_sid></if_sid> タグを評価して親子ルールの階層を作成します。

階層型の親子構造を使用すると、ルールの効率を向上させることができます。親ルールがtrueと評価されない場合、セキュリティログ監視エンジンはその親の子を無視します。

<if_sid></if_sid> タグを使用すると、まったく別のセキュリティログ監視ルール内のサブルールを参照できますが、後からルールを確認するのが非常に難しくなるため、この指定はお勧めしません。

次の表は、使用可能なアトミックルールの条件指定のオプションを一覧表示しています。

タグ	説明	備考
match	パターン	イベント (ログ) に対して照合される任意の文字列。
regex	正規表現	イベント (ログ) に対して照合される任意の正規表現。
decoded_as	文字列	事前一致する任意の文字列。
srcip	送信元のIPアドレス	送信元のIPアドレスとしてデコードされる任意のIPアドレス。IPアドレスを無効にするには、「!」を使用します。
dstip	送信先のIPアドレス	送信先のIPアドレスとしてデコードされる任意のIPアドレス。IPアドレスを無効にするには、「!」を使用します。
srcport	送信元のポート	任意の送信元のポート (形式の一致)。
dstport	送信先のポート	任意の送信先のポート (形式の一致)。
user	ユーザ名	ユーザ名としてデコードされる任意のユーザ名。
program_name	プログラム名	Syslogプロセス名からデコードされる任意のプログラム名。
hostname	システムのホスト名	Syslogのホスト名としてデコードされる任意のホスト名。
time	次の形式の時刻の範囲 hh:mm - hh:mmまたは hh:mm am - hh:mm pm	トリガするルールに対してイベントが発生する必要のある時刻の範囲。
weekday	曜日 (日曜、月曜、火曜など)	トリガするルールに対してイベントが発生する必要のある曜日。
id	ID	イベントからデコードされる任意のID。
url	URL	イベントからデコードされる任意のURL。

このルールを100125ルールに依存させるには、<if_sid>100125</if_sid> タグを使用します。このルールでは、成功したログインルールにすでに一致するsshdメッセージの確認のみが行われます。

<rule id="100127" level="10">
	<if_sid>100125</if_sid>
	<time>6 pm - 8:30 am</time>
	<description>Login outside business hours.</description>
	<group>policy_violation</group>
</rule>

ログエントリのサイズに関する制限

次の例では、maxsize属性を前の例に追加しています。この属性では、maxsizeよりも文字数が少ないルールの評価のみを行うようにセキュリティログ監視エンジンを設定します。

<rule id="100127" level="10" maxsize="2000">
	<if_sid>100125</if_sid>
	<time>6 pm - 8:30 am</time>
	<description>Login outside business hours.</description>
	<group>policy_violation</group>
</rule>

次の表は、使用可能なアトミックルールのツリーベースのオプションを一覧表示しています。

タグ	説明	備考
if_sid	ルールID	指定された署名IDに一致するルールの子ルールとしてこのルールを追加します。
if_group	グループID	指定されたグループに一致するルールの子ルールとしてこのルールを追加します。
if_level	ルールレベル	指定された重要度レベルに一致するルールの子ルールとしてこのルールを追加します。
description	文字列	ルールの説明。
info	文字列	ルールの追加情報。
cve	CVE番号	ルールに関連付ける任意のCommon Vulnerabilities and Exposures (CVE) 番号。
options	alert_by_email no_email_alert no_log	アラートの処理としてメール生成 (alert_by_email)、メール生成なし (no_email_alert)、またはログへの記録なし (no_log) のいずれかを指定する追加のルールオプション。

コンポジットルール

アトミックルールは、1つのログエントリを確認します。複数のエントリを関連付けるには、コンポジットルールを使用する必要があります。コンポジットルールは、現在のログを受信済みのログと照合します。コンポジットルールには、2つの追加オプションが必要です。frequencyオプションでは、ルールによってアラートが生成されるまでのイベント/パターンの発生回数を指定します。timeframeオプションでは、セキュリティログ監視エンジンがどのくらい前までさかのぼってログを検索する必要があるか (秒単位) をエンジンに通知します。すべてのコンポジットルールの構造は次のようになります。

<rule id="100130" level="10" frequency="x" timeframe="y">
</rule>

たとえば、10分以内にパスワードを5回間違えたら重要度の高いアラートを作成するコンポジットルールを作成できます。<if_matched_sid></if_matched_sid> タグを使用すると、アラートを作成する新しいルールに対して、目的の頻度および期間内にトリガする必要のあるルールを指定できます。次の例では、イベントの5つのインスタンスが発生したらトリガするようにfrequency属性が設定されています。また、timeframe属性で、期間が600秒に指定されています。

コンポジットルールが監視するその他のルールを定義する場合は、<if_matched_sid></if_matched_sid> タグが使用されます。

<rule id="100130" level="10" frequency="5" timeframe="600">
	<if_matched_sid>100124</if_matched_sid>
	<description>5 Failed passwords within 10 minutes</description>
</rule>

より詳細なコンポジットルールを作成するのに使用できるタグが他にもいくつかあります。このようなルールを使用すると、次の表に示すように、イベントの特定の部分が同じになるように指定できます。これにより、コンポジットルールを調整して誤判定を減らすことができます。

タグ	説明
same_source_ip	送信元のIPアドレスが同じになるように指定します。
same_dest_ip	送信先のIPアドレスが同じになるように指定します。
same_dst_port	送信先のポートが同じになるように指定します。
same_location	場所 (ホスト名またはAgent名) が同じになるように指定します。
same_user	デコードされるユーザ名が同じになるように指定します。
same_id	デコードされるIDが同じになるように指定します。

認証が失敗するたびにアラートを生成するようにコンポジットルールで指定するには、特定のルールIDを使用する代わりに、<if_matched_sid></if_matched_sid> タグを <if_matched_ group></if_matched_ group> タグに置き換えます。これにより、authentication_ failureなどのカテゴリを指定して、インフラストラクチャ全体での認証の失敗を検索できます。

<rule id="100130" level="10" frequency="5" timeframe="600">
	<if_matched_group>authentication_failure</if_matched_group>
	<same_source_ip />
	<description>5 Failed passwords within 10 minutes</description>
</rule>

<if_matched_sid></if_matched_sid> タグと <if_matched_group></if_matched_ group> タグの他にも、<if_matched_regex></if_matched_regex> タグを使用して、受信したログを検索する正規表現を指定することができます。

<rule id="100130" level="10" frequency="5" timeframe="600">
	<if_matched_regex>^Failed password</if_matched_regex>
	<same_source_ip />
	<description>5 Failed passwords within 10 minutes</description>
</rule>

実稼働環境での使用例

Vulnerability ProtectionDeep Securityには、数十種類の一般的なアプリケーションに対応した、多数の初期設定のセキュリティログ監視ルールが含まれています。新しいルールは、セキュリティアップデートを使用して定期的に追加できます。セキュリティログ監視ルールでサポートされるアプリケーションが増えても、サポート対象外のアプリケーションやカスタムアプリケーション用のカスタムルールを作成することが必要な場合があります。

ここでは、Microsoft SQLデータベースをデータリポジトリとして使用するMicrosoft Windows Server IIS .NETプラットフォームでホストされる、カスタムCMS (コンテンツ管理システム) の作成について説明します。

最初に、次に示すアプリケーションログの属性を特定します。

アプリケーションログを記録する場所
ログファイルのデコードに使用できるセキュリティログ監視デコーダ
ログファイルメッセージの一般的な形式

ここで示すカスタムCMSの例では、次のようになります。

Windowsイベントビューア
Windowsイベントログ (eventlog)
Windowsイベントログ形式 (次のコア属性を使用)
- ソース: CMS
- カテゴリ: なし
- イベント: <アプリケーションイベントID>

次に、アプリケーションの機能別にログイベントのカテゴリを特定し、そのカテゴリを監視用のカスケードグループの階層に分類します。監視対象のすべてのグループでイベントを発生させる必要はありません。一致する項目を条件文として使用できます。各グループについて、ルールで照合条件として使用できるログ形式の属性を特定します。これは、すべてのアプリケーションログの、ログイベントのパターンおよび自然分類を調べることによる逆の方法で実行できます。

たとえば、CMSアプリケーションは、セキュリティログ監視ルールの作成対象である次の機能をサポートします。

CMSアプリケーションログ (ソース: CMS)
- 認証 (イベント: 100～119)
  - ユーザログインの成功 (イベント: 100)
  - ユーザログインの失敗 (イベント: 101)
  - 管理者ログインの成功 (イベント: 105)
  - 管理者ログインの失敗 (イベント: 106)
- 一般エラー (種類: エラー)
  - データベースエラー (イベント: 200～205)
  - ランタイムエラー (イベント: 206～249)
- アプリケーション監査 (種類: 情報)
  - コンテンツ
    - 新しいコンテンツの追加 (イベント: 450～459)
    - 既存のコンテンツの変更 (イベント: 460～469)
    - 既存のコンテンツの削除 (イベント: 470～479)
  - 管理
    - ユーザ
      - 新しいユーザの作成 (イベント: 445～446)
      - 既存のユーザの削除 (イベント: 447～449)

これは、ルール作成に役立つ基本的な構造です。次に、Vulnerability ProtectionDeep Security Managerで新しいセキュリティログ監視ルールを作成します。

新しいCMSセキュリティログ監視ルールを作成するには

Vulnerability ProtectionDeep Security Managerで、[ポリシー]→[共通オブジェクト]→[ルール]→[セキュリティログ監視ルール] に進み、[新規]→[新しいセキュリティログ監視ルール…] をクリックして [新しいセキュリティログ監視ルールのプロパティ] 画面を表示します。
新しいルールの名前と説明を指定し、[コンテンツ] タブをクリックします。
新しいカスタムルールを作成する最も簡単な方法は、基本ルールテンプレートを使用することです。[基本ルール] オプションを選択します。
[ルールID] フィールドには、未使用のID番号 (100,000以上) が自動的に入力されます。これは、カスタムルール用に予約されたIDです。
[レベル] を [低 (0)] に設定します。
ルールに適切なグループ名を指定します。ここでは「cms」とします。
ルールの簡単な説明を入力します。

次に、[カスタム (XML)] オプションを選択します。「基本」ルール用に選択したオプションがXMLに変換されます。

次に、[ファイル] タブをクリックし、[ファイルの追加] ボタンをクリックして、ルールを適用するアプリケーションログファイルおよびログの種類を追加します。ここでは、「Application」、およびファイルの種類として「eventlog」を選択します。

eventlogは、Vulnerability ProtectionDeep Security固有のファイルの種類です。この場合、ログファイルの場所と名前を指定する必要はありません。その代わりに、Windowsイベントビューアに表示されるログの名前を入力してください。ファイルの種類がeventlogの場合の他のログの名前は、「Security」、「System」、「Internet Explorer」、またはWindowsイベントビューアに表示されるその他のセクションになる可能性があります。その他のファイルの種類の場合は、ログファイルの場所と名前が必要です(ファイル名の照合にはC/C++ strftime() 変換指定子を使用できます。その他の役立つ変換指定子については、以降の表を参照してください)。

[OK] をクリックして基本ルールを保存します。
作成された基本ルールのカスタム (XML) を使用すると、以前に特定されたログのグループに基づいて、グループへの新しいルールの追加を開始することができます。基本ルールの条件は初期ルールに設定します。次の例では、ソース属性が「CMS」のWindowsイベントログが、CMS基本ルールによって特定されています。
```
<group name="cms">
	<rule id="100000" level="0">
		<category>windows</category>
		<extra_data>^CMS</extra_data>
		<description>Windows events from source 'CMS' group messages.</description>
	</rule> 
```

次に、特定されたロググループから後続のルールを作成します。次の例では、認証とログインの成功および失敗を特定し、イベントIDごとにログを記録します。

<rule id="100001" level="0">
	<if_sid>100000</if_sid>
	<id>^100|^101|^102|^103|^104|^105|^106|^107|^108|^109|^110</id>
	<group>authentication</group>
	<description>CMS Authentication event.</description>
</rule>
 
<rule id="100002" level="0">
	<if_group>authentication</if_group>
	<id>100</id>
	<description>CMS User Login success event.</description>
</rule>

<rule id="100003" level="4">
	<if_group>authentication</if_group>
	<id>101</id>
	<group>authentication_failure</group>
	<description>CMS User Login failure event.</description>
</rule>

<rule id="100004" level="0">
	<if_group>authentication</if_group>
	<id>105</id>
	<description>CMS Administrator Login success event.</description>
</rule>

<rule id="100005" level="4">
	<if_group>authentication</if_group>
	<id>106</id>
	<group>authentication_failure</group>
	<description>CMS Administrator Login failure event.</description>
</rule>

次に、設定済みのルールを使用して、任意のコンポジットルールまたは相関ルールを追加します。次の例は、重要度の高いコンポジットルールを示しています。このルールは、ログインの失敗が10秒間に5回繰り返されたインスタンスに適用されます。
```
<rule id="100006" level="10" frequency="5" timeframe="10">
	<if_matched_group>authentication_failure</if_matched_group>
	<description>CMS Repeated Authentication Login failure event.</description>
</rule>
```

すべてのルールの重要度レベルが適切かどうかを確認します。たとえば、エラーログの重要度はレベル5以上でなければなりません。情報ルールの重要度は低くなります。
最後に、新しく作成されたルールを開き、[設定] タブをクリックして、カスタムルールのXMLをルールフィールドにコピーします。[適用] または [OK] をクリックして変更内容を保存します。

ポリシーまたはコンピュータにルールが割り当てられると、セキュリティログ監視エンジンは、指定されたログファイルの監視をすぐに開始します。

完成したカスタムCMSセキュリティログ監視ルール:

<group name="cms">

	<rule id="100000" level="0">
		<category>windows</category>
		<extra_data>^CMS</extra_data>
		<description>Windows events from source 'CMS' group messages.</description>
	</rule>

	<rule id="100001" level="0">
		<if_sid>100000</if_sid>
		<id>^100|^101|^102|^103|^104|^105|^106|^107|^108|^109|^110</id>
		<group>authentication</group>
		<description>CMS Authentication event.</description>
	</rule>
	 
	<rule id="100002" level="0">
		<if_group>authentication</if_group>
		<id>100</id>
		<description>CMS User Login success event.</description>
	</rule>
	 
	<rule id="100003" level="4">
		<if_group>authentication</if_group>
		<id>101</id>
		<group>authentication_failure</group>
		<description>CMS User Login failure event.</description>
	</rule>
	 
	<rule id="100004" level="0">
		<if_group>authentication</if_group>
		<id>105</id>
		<description>CMS Administrator Login success event.</description>
	</rule>
	 
	<rule id="100005" level="4">
		<if_group>authentication</if_group>
		<id>106</id>
		<group>authentication_failure</group>
		<description>CMS Administrator Login failure event.</description>
	</rule>
	 
	<rule id="100006" level="10" frequency="5" timeframe="10">
		<if_matched_group>authentication_failure</if_matched_group>
		<description>CMS Repeated Authentication Login failure event.</description>
	</rule>
	 
	<rule id="100007" level="5">
		<if_sid>100000</if_sid>
		<status>^ERROR</status>
		<description>CMS General error event.</description>
		<group>cms_error</group>
	</rule>
	 
	<rule id="100008" level="10">
		<if_group>cms_error</if_group>
		<id>^200|^201|^202|^203|^204|^205</id>
		<description>CMS Database error event.</description>
	</rule>
		
	<rule id="100009" level="10">
		<if_group>cms_error</if_group>
		<id>^206|^207|^208|^209|^230|^231|^232|^233|^234|^235|^236|^237|^238|
			^239^|240|^241|^242|^243|^244|^245|^246|^247|^248|^249</id>
		<description>CMS Runtime error event.</description>
	</rule>
	 
	<rule id="100010" level="0">
		<if_sid>100000</if_sid>
		<status>^INFORMATION</status>
		<description>CMS General informational event.</description>
		<group>cms_information</group>
	</rule>
	 
	<rule id="100011" level="5">
		<if_group>cms_information</if_group>
		<id>^450|^451|^452|^453|^454|^455|^456|^457|^458|^459</id>
		<description>CMS New Content added event.</description>
	</rule>
	
	<rule id="100012" level="5">
		<if_group>cms_information</if_group>
		<id>^460|^461|^462|^463|^464|^465|^466|^467|^468|^469</id>
		<description>CMS Existing Content modified event.</description>
	</rule>
	 
	<rule id="100013" level="5">
		<if_group>cms_information</if_group>
		<id>^470|^471|^472|^473|^474|^475|^476|^477|^478|^479</id>
		<description>CMS Existing Content deleted event.</description>
	</rule>
	 
	<rule id="100014" level="5">
		<if_group>cms_information</if_group>
		<id>^445|^446</id>
		<description>CMS User created event.</description>
	</rule>
 
	<rule id="100015" level="5">
		<if_group>cms_information</if_group>
		<id>^447|449</id>
		<description>CMS User deleted event.</description>
	</rule>
 
</group>

セキュリティログ監視ルールの重要度レベルと推奨される使用法

レベル	説明	備考
レベル0	無視され、処理は行われない	主に誤判定を回避するために使用されます。これらのルールは、他のすべてのルールより先に検索され、セキュリティとは無関係のイベントが含まれます。
レベル1	事前定義された使用法はなし	(備考はありません)
レベル2	システムの優先度の低い通知	セキュリティとは無関係のシステム通知またはステータスメッセージ。
レベル3	成功した/承認されたイベント	成功したログイン試行、ファイアウォールで許可されたイベントなど。
レベル4	システムの優先度の低いエラー	不正な設定または未使用のデバイス/アプリケーションに関連するエラー。セキュリティとは無関係であり、通常は初期設定のインストールまたはソフトウェアのテストが原因で発生します。
レベル5	ユーザによって生成されたエラー	パスワードの誤り、処理の拒否など。通常、これらのメッセージはセキュリティとは関係ありません。
レベル6	関連性の低い攻撃	システムに脅威を及ぼさないワームまたはウイルスを示します (Linuxサーバを攻撃するWindowsワームなど)。また、頻繁にトリガされるIDSイベントおよび一般的なエラーイベントも含まれます。
レベル7	事前定義された使用法はなし	(備考はありません)
レベル8	事前定義された使用法はなし	(備考はありません)
レベル9	無効なソースからのエラー	不明なユーザとしてのログインの試行または無効なソースからのログインの試行が含まれます。特にこのメッセージが繰り返される場合は、セキュリティとの関連性がある可能性があります。また、adminまたはrootアカウントに関するエラーも含まれます。
レベル10	ユーザによって生成された複数のエラー	複数回の不正なパスワードの指定、複数回のログインの失敗などが含まれます。攻撃を示す場合や、単にユーザが資格情報を忘れた可能性もあります。
レベル11	事前定義された使用法はなし	(備考はありません)
レベル12	重要度の高いイベント	システムやカーネルなどからのエラーまたは警告のメッセージが含まれます。特定のアプリケーションに対する攻撃を示す場合もあります。
レベル13	通常と異なるエラー (重要度: 高)	バッファオーバーフローの試行などの一般的な攻撃パターン、通常のSyslogメッセージ長の超過、または通常のURL文字列長の超過。
レベル14	重要度の高いセキュリティイベント	通常は、複数の攻撃ルールと攻撃の兆候の相関関係の結果。
レベル15	攻撃の成功	誤判定の可能性はほとんどありません。すぐに対処が必要です。

strftime() 変換指定子

指定子	説明
%a	曜日の省略名 (例: Thu)
%A	曜日の正式名 (例: Thursday)
%b	月の省略名 (例: Aug)
%B	月の正式名 (例: August)
%c	日時形式 (例: Thu Sep 22 12:23:45 2007)
%d	月初から数えた日 (01～31) (例: 20)
%H	24時間形式の時刻 (00～23) (例: 13)
%I	12時間形式の時刻 (00～12) (例: 02)
%j	年初から数えた日 (001～366) (例: 235)
%m	10進表記の月 (01～12) (例: 02)
%M	分 (00～59) (例: 12)
%p	AMまたはPMの指定 (例: AM)
%S	秒 (00～61) (例: 55)
%U	1週目の最初の日を最初の日曜とした場合の週番号 (00～53) (例: 52)
%w	日曜を0とした場合の10進表記の曜日 (0～6) (例: 2)
%W	1週目の最初の日を最初の月曜とした場合の週番号 (00～53) (例: 21)
%x	日付形式 (例: 02/24/79)
%X	時刻形式 (例: 04:12:51)
%y	年の末尾2桁 (00～99) (例: 76)
%Y	年 (例: 2008)
%Z	タイムゾーン名または省略形 (例: EST)
%%	%記号 (例: %)

詳細については、次のWebサイトを参照してください。

www.php.net/strftime
www.cplusplus.com/reference/clibrary/ctime/strftime.html