Amazon SNSに公開されると、イベントは文字列としてエンコードされたJSONオブジェクトの配列としてSNS
Messageに送信されます。配列内の各オブジェクトは1つのイベントです。有効なプロパティはイベントの種類によって異なります。例えば、
MajorVirusTypeはWorkload Security不正プログラム対策イベントにのみ有効なプロパティであり、システムイベントなどには適用されません。有効なプロパティ値は各プロパティによって異なります。例については、JSON形式のイベント例を参照してください。イベントプロパティ値を使用して、SNSトピックに公開されるイベントをフィルタリングできます。詳細については、JSON形式のSNS構成を参照してください。
有効なイベントプロパティ
次の表では、イベントのプロパティについて説明します。
一部のイベントには、イベントの種類に通常適用されるすべてのプロパティがないことに注意してください。
|
プロパティ名
|
説明
|
適用されるイベントの種類
|
|
|
ACRulesetID
|
整数
|
イベントが検出されたコンピュータに適用されたアプリケーションコントロールルールセットの一意の識別子。
|
アプリケーションコントロールイベント
|
|
処理
|
文字列 (列挙)
|
アプリケーションコントロールイベントに対して実行された処理には、ルールによってブロックされたソフトウェアの実行、(検出のみモードのため) 許可された未認識ソフトウェアの実行、またはブロックされた未認識ソフトウェアの実行などがあります。
|
アプリケーションコントロールイベント
|
|
処理
|
整数 (列挙)
|
ファイアウォールイベントに対して実行された処理。Detect Onlyの値は、ルールが有効になっていた場合に何が起こったかを示します。0=不明、1=拒否、6=ログのみ、0x81=Detect
Only: 拒否。
|
ファイアウォールイベント
|
|
処理
|
整数 (列挙)
|
侵入防御イベントに対して実行された処理。0=不明、1=拒否、2=リセット、3=挿入、4=削除、5=置換、6=ログのみ、0x81=検出のみ: 拒否、0x82=検出のみ:
リセット、0x83=検出のみ: 挿入、0x84=検出のみ: 削除、0x85=検出のみ: 置換。
|
侵入防御イベント
|
|
ActionBy
|
文字列
|
イベントを実行したWorkload Securityユーザの名前、またはイベントがユーザによって生成されていない場合はシステム。
|
システムイベント
|
|
ActionReasonDesc
|
文字列
|
処理がブロックされた理由。
|
アプリケーションコントロールイベント
|
|
ActionString
|
文字列
|
処理の文字列への変換。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
AdministratorID
|
整数
|
アクションを実行したWorkload Securityユーザの一意の識別子。システムによって生成されたイベントであり、ユーザによって生成されたものではない場合、識別子はありません。
|
システムイベント
|
|
AggregationType
|
整数 (列挙)
|
アプリケーションコントロールイベントが繰り返し発生したかどうか。AggregationTypeが0でない場合、発生回数はRepeatCountにあります。0=集約されていない、1=ファイル名、パス、イベントタイプに基づいて集約、2=イベントタイプに基づいて集約
|
アプリケーションコントロールイベント
|
|
AMTarget
|
文字列
|
不正プログラムが影響を与えようとしていたファイル、プロセス、またはレジストリキー (該当する場合)。不正プログラムが複数に影響を与えようとしていた場合、このフィールドには複数と表示されます。
|
不正プログラム対策 イベント
|
|
AMTargetCount
|
整数
|
ターゲットファイルの数。
|
不正プログラム対策 イベント
|
|
AMTargetType
|
整数
|
この不正プログラムが影響を及ぼそうとしていたシステムリソースの種類の数値コード。説明バージョンについては、「AMTargetTypeString」を参照してください。0
=不明、1 =プロセス、2 =レジストリ、3 =ファイルシステム、4 =起動、5 =攻撃コード、6 = API、7 =メモリ、8 =ネットワーク接続、9 =未分類
|
不正プログラム対策 イベント
|
|
AMTargetTypeString
|
文字列
|
この不正プログラムが操作を試みたシステムリソースの種類。ファイルシステム、プロセス、Windowsレジストリなどです。
|
不正プログラム対策 イベント
|
|
ATSEDDetectionLevel
|
整数
|
ドキュメントの脆弱性攻撃からの保護の検出レベル。
|
不正プログラム対策 イベント
|
|
ApplicationType
|
文字列
|
侵入防御ルールに関連付けられたネットワークアプリケーションの種類の名前 (該当する場合)。
|
侵入防御イベント
|
|
BehaviorRuleId
|
文字列
|
内部不正プログラムのケース追跡の挙動監視ルールIDです。
|
不正プログラム対策 イベント
|
|
BehaviorType
|
文字列
|
検出された挙動監視イベントの種類。
|
不正プログラム対策 イベント
|
|
BlockReason
|
整数 (列挙)
|
処理に応じた実行理由。0=不明、1=ルールによってブロック、2=承認されていないためブロック
|
アプリケーションコントロールイベント
|
|
Change
|
整数 (列挙)
|
変更監視イベントにおいて、ファイル、プロセス、レジストリキーなどにどのような変更が行われたか。1=作成、2=更新、3=削除、4=名前変更。
|
変更監視 イベント
|
|
ChangeString
|
文字列
|
変更監視イベントにおいて、ファイル、プロセス、レジストリキーなどにどのような変更が行われたか: 作成、更新、削除、または名前変更。
|
変更監視 イベント
|
|
CloudOneAccountID
|
文字列
|
Cloud One アカウントのID。
|
すべての種類のイベント
|
|
CommandLine
|
文字列
|
対象プロセスが実行したコマンド。
|
不正プログラム対策 イベント
|
|
ContainerID
|
文字列
|
イベントが発生したコンテナのID。
|
不正プログラム対策イベント、侵入防御イベント、ファイアウォールイベント
|
|
ContainerImageName
|
文字列
|
不正プログラムが検出されたDockerコンテナのイメージ名。
|
不正プログラム対策 イベント
|
|
ContainerName
|
文字列
|
イベントが発生したコンテナの名前。
|
不正プログラム対策イベント、侵入防御イベント、ファイアウォールイベント
|
|
CreationTime
|
文字列 (日付)
|
感染ファイルの作成日時。
|
不正プログラム対策 イベント
|
|
Cve
|
文字列
|
Common Vulnerabilities and Exposuresのいずれかでプロセスの動作が特定された場合のCVE情報。
|
不正プログラム対策 イベント
|
|
DataIndex
|
整数
|
パケットデータの一意のID。
|
侵入防御イベント
|
|
説明
|
文字列
|
エンティティに対して行われた変更 (作成、削除、アップデート) の説明と変更された属性に関する詳細。
|
変更監視 イベント
|
|
説明
|
文字列
|
イベントの内容を示す簡単な説明。
|
システムイベント
|
|
DestinationIP
|
文字列 (IP)
|
パケットの送信先のIPアドレス。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
DestinationMAC
|
文字列 (MAC)
|
パケットの送信先のMACアドレス。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
DestinationPort
|
整数
|
パケットが送信されたネットワークポート番号。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
DetectionCategory
|
整数 (列挙)
|
Webレピュテーションイベントの検出カテゴリ。12=ユーザ定義、13=カスタム、91=グローバル。
|
Webレピュテーションイベント
|
|
DetectOnly
|
ブール
|
イベントが返されたときに [検出のみ] フラグがオンだったかどうか。trueの場合、URLへのアクセスが検出されましたが、ブロックはされていません。
|
Webレピュテーションイベント
|
|
方向
|
整数 (列挙)
|
ネットワークパケットの方向。0=受信、1=送信。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
DirectionString
|
文字列
|
方向の文字列への変換。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
DriverTime
|
整数
|
ドライバで記録されたログ生成時刻。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
EndLogDate
|
文字列 (日付)
|
繰り返しイベントの最後のログ日付。繰り返されなかったイベントには存在しません。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
EngineType
|
整数
|
不正プログラム対策エンジンの種類。
|
不正プログラム対策 イベント
|
|
EngineVersion
|
文字列
|
不正プログラム対策エンジンのバージョン。
|
不正プログラム対策 イベント
|
|
EntityType
|
文字列 (列挙)
|
変更監視イベントが該当するエンティティの種類: Directory、File、Group、InstalledSoftware、Port、Process、RegistryKey、RegistryValue、Service、User、またはWql
|
変更監視 イベント
|
|
ErrorCode
|
整数
|
不正プログラム検索イベントのエラーコード。0以外の場合、検索に失敗したことを示しており、検索処理および検索結果のフィールドに詳細が表示されます。
|
不正プログラム対策 イベント
|
|
EventID
|
整数
|
非推奨。代わりにUniqueIDを使用してください。このフィールドの値は、2021年1月1日以降は常に0になります。
|
すべての種類のイベント
|
|
EventType
|
文字列 (列挙)
|
イベントの種類。次のいずれか: SystemEvent, PacketLog, PayloadLog, AntiMalwareEvent, WebReputationEvent,
IntegrityEvent, LogInspectionEvent, AppControlEvent.
|
すべての種類のイベント
|
|
FileName
|
文字列
|
許可またはブロックされたソフトウェアのファイル名 (例: script.sh)。フルパスはパスに分かれています。
|
アプリケーションコントロールイベント
|
|
FileSHA1
|
文字列
|
感染ファイルのfilesha1(セキュアハッシュアルゴリズム1の結果)。
|
不正プログラム対策 イベント
|
|
FileSize
|
整数
|
許可またはブロックされたソフトウェアのファイルサイズ
|
アプリケーションコントロールイベント
|
|
フラグ
|
文字列
|
ネットワークパケットから記録されたフラグ (スペース区切りの文字列のリスト)。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
Flow
|
整数 (列挙)
|
ネットワーク接続フロー。有効な値: -1=利用不可、0=接続フロー、1=リバースフロー
|
ファイアウォール イベント、 侵入防御 イベント
|
|
FlowString
|
文字列
|
フローの文字列への変換。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
ForwardedSrc
|
配列(バイト)
|
転送されたパケットの送信元情報
|
侵入防御イベント
|
|
Frame
|
整数 (列挙)
|
フレームの種類。-1=不明、2048=IP、2054=ARP、32821=REVARP、33169=NETBEUI、0x86DD=IPv6
|
ファイアウォール イベント、 侵入防御 イベント
|
|
FrameString
|
文字列
|
Frameの内容を示す文字列。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
GroupID
|
文字列
|
ソフトウェアの起動を試みたユーザアカウントのグループID (存在する場合)、例えば0。
|
アプリケーションコントロールイベント
|
|
GroupName
|
文字列
|
ソフトウェアの起動を試みたユーザアカウントのグループ名 (存在する場合)、例えばroot。
|
アプリケーションコントロールイベント
|
|
HostAgentVersion
|
文字列
|
イベントが検出されたコンピュータを保護していたエージェントのバージョン。
|
アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、
ファイアウォール イベント、 侵入防御 イベント
|
|
HostAgentGUID
|
文字列
|
Workload Securityで有効化された場合のエージェントのグローバル一意識別子(GUID)。
|
不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
|
|
HostAssetValue
|
整数
|
イベントが生成された時点のコンピュータの資産評価。
|
不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御
イベント、 アプリケーションコントロール イベント
|
|
HostCloudType
|
文字列
|
Deep Security Agentがホストされているクラウドサービスプロバイダ。
|
不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
|
|
HostGUID
|
文字列
|
Deep Security Agentのグローバル一意識別子(GUID)。
|
不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
|
|
HostGroupID
|
整数
|
イベントが検出されたコンピュータが属するコンピュータグループの一意の識別子。
|
アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、
ファイアウォール イベント、 侵入防御 イベント
|
|
HostGroupName
|
文字列
|
イベントが検出されたコンピュータが属するコンピュータグループの名前。コンピュータグループ名は一意とは限らないことに注意してください。
|
アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、
ファイアウォール イベント、 侵入防御 イベント
|
|
HostID
|
整数
|
イベントが発生したコンピュータの一意の識別子。
|
不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御
イベント、 アプリケーションコントロール イベント
|
|
HostInstanceID
|
文字列
|
イベントが検出されたコンピュータのクラウドインスタンスID。このプロパティは、Cloud Connectorと同期されたコンピュータにのみ設定されます。
|
アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、
ファイアウォール イベント、 侵入防御 イベント
|
|
HostLastIPUsed
|
文字列 (IP)
|
Deep Security Managerとの通信時にエージェントからアップデートされた最新のIPアドレス。
|
不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
|
|
ホスト名
|
文字列
|
イベントが生成されたコンピュータのホスト名。
|
不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御
イベント、 アプリケーションコントロール イベント
|
|
HostOS
|
文字列
|
イベントが検出されたコンピュータのOS。
|
不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御
イベント、 アプリケーションコントロール イベント
|
|
HostOwnerID
|
文字列
|
イベントが検出されたコンピュータのクラウドアカウントID。このプロパティは、クラウドコネクタと同期されたコンピュータにのみ設定されます。
|
アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、
ファイアウォール イベント、 侵入防御 イベント
|
|
HostSecurityPolicyID
|
整数
|
イベントが検出されたコンピュータに適用された Workload Security ポリシーの一意の識別子。
|
不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御
イベント、 アプリケーションコントロール イベント
|
|
HostSecurityPolicyName
|
文字列
|
イベントが検出されたコンピュータに適用された Workload Security ポリシーの名前。セキュリティポリシー名は一意とは限らないことに注意してください。
|
不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御
イベント、 アプリケーションコントロール イベント
|
|
HostVCUUID
|
文字列
|
イベントが適用されるコンピュータのvCenter UUID (特定された場合)。
|
アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、
ファイアウォール イベント、 侵入防御 イベント
|
|
ImageDigest
|
文字列
|
コンテナイメージの識別に使用されるデータの一意の概要。
|
侵入防御イベント、 ファイアウォールイベント
|
|
ImageID
|
文字列
|
イベントが発生した Docker コンテナのイメージID
|
侵入防御イベント
|
|
ImageName
|
文字列
|
イベントが発生したコンテナの作成に使用されたイメージ名。
|
侵入防御イベント、 ファイアウォールイベント
|
|
InfectedFilePath
|
文字列
|
不正プログラム検出で見つかった感染ファイルのパス。
|
不正プログラム対策 イベント
|
|
InfectionSource
|
文字列
|
不正プログラム感染元のコンピュータの名前 (特定された場合)。
|
不正プログラム対策 イベント
|
|
Interface
|
文字列 (MAC)
|
パケットを送信または受信するネットワークインタフェースのMACアドレス。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
InterfaceType
|
文字列
|
コンテナインタフェースの種類。0 =物理インタフェースは、 Workload Security、1 =すべての仮想インタフェース、7 =不明なタイプ(通常はホストインタフェース)で個別に制御できるホストに属します。
|
侵入防御イベント、 ファイアウォールイベント
|
|
IPDatagramLength
|
整数
|
IPデータグラムの長さ。
|
侵入防御イベント
|
|
IsHash
|
文字列
|
ファイルの変更後のSHA-1コンテンツハッシュ (16進エンコード)。
|
変更監視 イベント
|
|
Key
|
文字列
|
整合性イベントが参照しているファイルまたはレジストリキー。
|
変更監視 イベント
|
|
LogDate
|
文字列 (日付)
|
イベントが記録された日時。エージェント生成イベント (ファイアウォール、IPSなど) については、イベントがWorkload Securityによって受信された時ではなく、エージェントによって記録された時の日時です。
|
すべての種類のイベント
|
|
MajorVirusType
|
整数 (列挙)
|
検出された不正プログラムの分類。0=ジョーク、1=トロイの木馬、2=ウイルス、3=テスト、4=スパイウェア、5=パッカー、6=一般的なプログラム、7=その他
|
不正プログラム対策 イベント
|
|
MajorVirusTypeString
|
文字列
|
MajorVirusTypeの内容を示す文字列。
|
不正プログラム対策 イベント
|
|
MalwareName
|
文字列
|
検出された不正プログラムの名前。
|
不正プログラム対策 イベント
|
|
MalwareType
|
整数 (列挙)
|
検出された不正プログラムの種類。1=一般不正プログラム、2=スパイウェア。一般不正プログラムイベントにはInfectedFilePathがありますが、スパイウェアイベントにはありません。
|
不正プログラム対策 イベント
|
|
ManagerNodeID
|
整数
|
イベントが生成された Workload Security ノードの一意の識別子。
|
システムイベント
|
|
ManagerNodeName
|
文字列
|
イベントが生成された Workload Security ノードの名前。
|
システムイベント
|
|
MD5
|
文字列
|
ソフトウェアのMD5チェックサム (ハッシュ) (ある場合)。
|
アプリケーションコントロールイベント
|
|
Mitre
|
文字列
|
MITER攻撃のシナリオのいずれかでプロセスの動作が特定された場合のMITRE情報。
|
不正プログラム対策 イベント
|
|
ModificationTime
|
文字列 (日付)
|
感染ファイルの変更日時。
|
不正プログラム対策 イベント
|
|
Note
|
配列(バイト)
|
イベントが発生したパケットに関するエンコードされたメモ。
|
侵入防御イベント
|
|
Number
|
整数
|
システムイベントには、イベントを識別する追加のIDがあります。Workload Securityでは、このプロパティはイベントIDとして表示されます。
|
システムイベント
|
|
Operation
|
整数 (列挙)
|
0=不明、1= 検出のみモードのため許可、2=ブロック
|
アプリケーションコントロール
|
|
OperationDesc
|
文字列
|
操作値を説明します
|
アプリケーションコントロールイベント
|
|
Origin
|
整数 (列挙)
|
イベントの生成元。-1 =不明、0 =Agent、3 =Workload Security
|
すべての種類のイベント
|
|
OriginString
|
文字列
|
Originの内容を示す判読可能な文字列。
|
すべての種類のイベント
|
|
OSSEC_Action
|
文字列
|
OSSECの処理
|
セキュリティログ監視 イベント
|
|
OSSEC_Command
|
文字列
|
OSSECのコマンド
|
セキュリティログ監視 イベント
|
|
OSSEC_Data
|
文字列
|
OSSECのデータ
|
セキュリティログ監視 イベント
|
|
OSSEC_Description
|
文字列
|
OSSECの説明
|
セキュリティログ監視 イベント
|
|
OSSEC_DestinationIP
|
文字列
|
OSSECの送信先IP
|
セキュリティログ監視 イベント
|
|
OSSEC_DestinationPort
|
文字列
|
OSSECの送信先ポート
|
セキュリティログ監視 イベント
|
|
OSSEC_DestinationUser
|
文字列
|
OSSECの送信先ユーザ
|
セキュリティログ監視 イベント
|
|
OSSEC_FullLog
|
文字列
|
OSSECの完全なログ
|
セキュリティログ監視 イベント
|
|
OSSEC_Groups
|
文字列
|
OSSECグループの結果 (例: syslog,authentication_failure)
|
セキュリティログ監視 イベント
|
|
OSSEC_Hostname
|
文字列
|
OSSECのホスト名。これはログエントリから読み取られたホストの名前であり、イベントが生成されたホストの名前と同じとは限りません。
|
セキュリティログ監視 イベント
|
|
OSSEC_ID
|
文字列
|
OSSECのID
|
セキュリティログ監視 イベント
|
|
OSSEC_Level
|
整数 (列挙)
|
OSSECのレベル。0~15の整数。0~3=重要度: 低、4~7=重要度: 中、8~11=重要度: 高、12~15=重要度: 重大。
|
セキュリティログ監視 イベント
|
|
OSSEC_Location
|
文字列
|
OSSECの場所
|
セキュリティログ監視 イベント
|
|
OSSEC_Log
|
文字列
|
OSSECのログ
|
セキュリティログ監視 イベント
|
|
OSSEC_ProgramName
|
文字列
|
OSSECのプログラム名
|
セキュリティログ監視 イベント
|
|
OSSEC_Protocol
|
文字列
|
OSSECのプロトコル
|
セキュリティログ監視 イベント
|
|
OSSEC_RuleID
|
整数
|
OSSECのルールID
|
セキュリティログ監視 イベント
|
|
OSSEC_SourceIP
|
整数
|
OSSECの送信元IP
|
セキュリティログ監視 イベント
|
|
OSSEC_SourcePort
|
整数
|
OSSECの送信元ポート
|
セキュリティログ監視 イベント
|
|
OSSEC_SourceUser
|
整数
|
OSSECの送信元ユーザ
|
セキュリティログ監視 イベント
|
|
OSSEC_Status
|
整数
|
OSSECのステータス
|
セキュリティログ監視 イベント
|
|
OSSEC_SystemName
|
整数
|
OSSECのシステム名
|
セキュリティログ監視 イベント
|
|
OSSEC_URL
|
整数
|
OSSECのURL
|
セキュリティログ監視 イベント
|
|
PacketData
|
整数
|
取り込まれたパケットデータの16進エンコード (パケットデータを取り込むようにルールで設定されている場合)。
|
侵入防御イベント
|
|
PacketSize
|
整数
|
ネットワークパケットのサイズ。
|
ファイアウォールイベント
|
|
パス
|
文字列
|
許可またはブロックされたソフトウェアファイルのディレクトリパス (例: /usr/bin/)。ファイル名はFileNameで別に指定されています。
|
アプリケーションコントロールイベント
|
|
PatternVersion
|
整数 (列挙)
|
不正プログラム検出パターンファイルのバージョン。
|
不正プログラム対策 イベント
|
|
PayloadFlags
|
整数
|
侵入防御フィルタフラグ。次のフラグ値を含むビットマスク値: 1 - データ切り捨て - データをログに記録できませんでした。2 - ログオーバーフロー - このログの後にログがオーバーフローしました。4
- 抑制 - このログの後にログ数のしきい値が抑制されました。8 - データあり - パケットデータが格納されています。16 - 参照データ - 以前にログに記録されたデータを参照しています。
|
侵入防御イベント
|
|
PodID
|
文字列
|
ポッド一意のID(UID)
|
侵入防御イベント、 ファイアウォールイベント
|
|
PosInBuffer
|
整数
|
イベントをトリガしたデータのパケット内の位置。
|
侵入防御イベント
|
|
PosInStream
|
整数
|
イベントをトリガしたデータのストリーム内の位置。
|
侵入防御イベント
|
|
プロセス
|
文字列
|
イベントを生成したプロセスの名前 (該当する場合)。
|
変更監視 イベント
|
|
プロセス
|
文字列
|
検出された挙動監視イベントのプロセス名。
|
不正プログラム対策 イベント
|
|
ProcessID
|
整数
|
イベントを生成したプロセスの識別子 (PID) (該当する場合)。
|
アプリケーションコントロールイベント、 侵入防御イベント、 ファイアウォールイベント
|
|
ProcessName
|
文字列
|
イベントを生成したプロセスの名前 (例: /usr/bin/bash) が利用可能な場合。
|
アプリケーションコントロールイベント、 侵入防御イベント、 ファイアウォールイベント
|
|
プロトコル
|
整数 (列挙)
|
ネットワークプロトコルのID。-1=不明、1=ICMP、2=IGMP、3=GGP、6=TCP、12=PUP、17=UDP、22=IDP、58=ICMPv6、77=ND、255=RAW
|
ファイアウォール イベント、 侵入防御 イベント
|
|
プロトコル
|
整数
|
ファイル検索プロトコルの数値。0 =ローカルファイル
|
不正プログラム対策 イベント
|
|
ProtocolString
|
文字列
|
Protocolの内容を示す文字列。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
ランク
|
整数
|
イベントのランク。コンピュータに割り当てられている資産評価に、この重要度のイベントに対して設定されている重要度の値を掛けた数値です。
|
変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
|
|
理由
|
文字列
|
イベントをトリガーしたWorkload Securityルールまたは構成オブジェクトの名前、または (FirewallとIPSの場合) イベントがルールによってトリガーされなかった場合のステータスから文字列へのマッピング。アプリケーションコントロールの場合、ReasonはNoneになることがあります。代わりにBlockReasonを参照してください。
|
ファイアウォール, 侵入防御, 変更監視, セキュリティログ監視, 不正プログラム対策および アプリケーションコントロール イベント
|
|
RepeatCount
|
整数
|
このイベントが繰り返し発生した回数。1の場合は、イベントが1回だけ確認され、その後に繰り返されていないことを示しています。
|
ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
|
|
Risk
|
整数 (列挙)
|
アクセスしたURLのリスクレベル: 変換後。2=不審、3=非常に不審、4=危険、5=未評価、6=管理者によるブロック
|
Webレピュテーションイベント
|
|
RiskLevel
|
整数
|
URLの生のリスクレベルは0から100までです。URLがブロックルールによってブロックされた場合は表示されません。
|
Webレピュテーションイベント
|
|
RiskString
|
文字列
|
Riskの内容を示す文字列。
|
Webレピュテーションイベント
|
|
ScanAction1
|
整数
|
検索アクション1。検索アクション1と2、および検索結果アクション1と2とErrorCodeが組み合わさって、単一のsummaryScanResultを形成します。
|
不正プログラム対策 イベント
|
|
ScanAction2
|
整数
|
検索処理2。
|
不正プログラム対策 イベント
|
|
ScanResultAction1
|
整数
|
検索結果処理1。
|
不正プログラム対策 イベント
|
|
ScanResultAction2
|
整数
|
検索結果処理2。
|
不正プログラム対策 イベント
|
|
ScanResultString
|
文字列
|
不正プログラム検索の結果を示す文字列。ScanAction 1と2、ScanActionResult 1と2、およびErrorCodeの組み合わせです。
|
不正プログラム対策 イベント
|
|
ScanType
|
整数 (列挙)
|
イベントを生成した不正プログラム検索の種類。0=リアルタイム、1=手動、2=予約、3=クイック検索
|
不正プログラム対策 イベント
|
|
ScanTypeString
|
文字列
|
ScanTypeの内容を示す文字列。
|
不正プログラム対策 イベント
|
|
重要度
|
整数
|
1=情報、2=警告、3=エラー
|
システムイベント
|
|
重要度
|
整数 (列挙)
|
1=低、2=中、3=高、4=重大
|
変更監視 イベント、 侵入防御 イベント
|
|
SeverityString
|
文字列
|
Severityの内容を示す判読可能な文字列。
|
システムイベント、 変更監視 イベント、 侵入防御 イベント
|
|
SeverityString
|
文字列
|
OSSEC_Levelの内容を示す判読可能な文字列。
|
セキュリティログ監視 イベント
|
|
SHA1
|
文字列
|
ソフトウェアのSHA-1チェックサム (ハッシュ) (ある場合)。
|
アプリケーションコントロールイベント
|
|
SHA256
|
文字列
|
ソフトウェアのSHA-256チェックサム (ハッシュ) (ある場合)。
|
アプリケーションコントロールイベント
|
|
SourceIP
|
文字列 (IP)
|
パケットの送信元IPアドレス。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
SourceMAC
|
文字列 (MAC)
|
パケットの送信元MACアドレス。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
SourcePort
|
整数
|
パケットのネットワーク送信元ポート番号。
|
ファイアウォール イベント、 侵入防御 イベント
|
|
ステータス
|
整数
|
このイベントが特定のファイアウォールルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: 123=ポリシーで未許可
|
ファイアウォールイベント
|
|
ステータス
|
整数
|
このイベントが特定の侵入防御ルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: -504=無効なUTF8の符号化
|
侵入防御イベント
|
|
タグ
|
文字列
|
イベントに適用されたタグのコンマ区切りリスト。このリストには、イベントが生成された際に自動的に適用されるタグのみを含めることができます。
|
すべての種類のイベント
|
|
TagSetID
|
整数
|
イベントに適用されたタグのグループの識別子。
|
すべての種類のイベント
|
|
TargetID
|
整数
|
イベントの対象の一意の識別子。この識別子は、テナント内の同じ種類の対象では一意ですが、異なる種類の対象では同じになる場合があります。たとえば、コンピュータとポリシーの対象IDがどちらも10になることがあります。
|
システムイベント
|
|
TargetIP
|
文字列 (IP)
|
Webレピュテーションイベントの生成時にアクセスしていたIPアドレス。
|
Webレピュテーションイベント
|
|
TargetName
|
文字列
|
イベントの対象の名前。システムイベントの対象は、コンピュータ、ポリシー、ユーザ、ロール、タスクなど、さまざまです。
|
システムイベント
|
|
TargetType
|
文字列
|
イベントの対象の種類。
|
システムイベント
|
|
TenantGUID
|
文字列
|
イベントに関連付けられたテナントのグローバル一意識別子(GUID)。
|
すべての種類のイベント
|
|
TenantID
|
整数
|
イベントに関連付けられたテナントの一意の識別子。
|
すべての種類のイベント
|
|
TenantName
|
文字列
|
イベントに関連付けられたテナントの名前。
|
すべての種類のイベント
|
|
ThreadID
|
文字列
|
イベントを発生させた(コンテナからの)スレッドのID。
|
侵入防御イベント、 ファイアウォールイベント
|
|
Title
|
文字列
|
イベントのタイトル。
|
システムイベント
|
|
UniqueID
|
整数
|
イベントのグローバル一意識別子。すべてのプラットフォーム、サービス、およびストレージの種類でイベントを一意に識別するフィールドです。
|
すべての種類のイベント
|
|
URL
|
文字列 (URL)
|
イベントの生成時にアクセスしていたURL。
|
Webレピュテーションイベント
|
|
ユーザ
|
文字列
|
変更監視イベントの対象となったユーザアカウント (特定された場合)。
|
変更監視 イベント
|
|
UserID
|
文字列
|
ソフトウェアの起動を試みたユーザアカウントのユーザ識別子 (UID)、例えば0。
|
アプリケーションコントロールイベント
|
|
UserName
|
文字列
|
不正プログラム対策 イベントの場合、イベントをトリガしたユーザアカウント名です。
アプリケーションコントロールイベントの場合、これはソフトウェアの起動を試みたユーザアカウントのユーザ名 (例: root) です。
|
不正プログラム対策 イベント、 アプリケーションコントロール イベント
|
イベントプロパティのデータタイプ
JSONとして転送されるイベントでは、通常は他のデータタイプのエンコードに文字列が使用されます。
|
データタイプ
|
説明
|
|
配列(バイト)
|
JSON
array、バイト値で構成されます。 |
|
ブール
|
JSONの
trueまたはfalseです。 |
|
整数
|
JSON
int。Workload Securityのイベントでは、浮動小数点数は出力されません。イベント内の整数は32ビットを超えることがあります。イベント処理用のコードでこの整数を処理できることを確認してください。たとえば、JavaScriptのNumberデータタイプは、32ビットを超える整数を安全に処理できません。
|
|
整数 (列挙)
|
JSON
int、列挙された値のセットに制限されています。 |
|
文字列
|
JSON
文字列. |
|
文字列 (日付)
|
JSON
string、日付と時刻はパターンYYYY-MM-DDThh:mm:ss.sssZ (ISO 8601) でフォーマットされます。Zはタイムゾーンを示します。sssはサブ秒の3桁です。日付と時刻のフォーマットに関するW3Cノートも参照してください。 |
|
文字列 (IP)
|
JSON
string、IPv4またはIPv6アドレスとしてフォーマットされたもの。 |
|
文字列 (MAC)
|
JSON
string、ネットワークMACアドレスとしてフォーマット。 |
|
文字列 (URL)
|
JSON
string、URLとしてフォーマット。 |
|
文字列 (列挙)
|
JSON
string、列挙された値のセットに制限されています。 |
JSON形式のイベントの例
以下はシステムイベントの例です:
{
"Type" : "Notification",
"MessageId" : "123abc-123-123-123-123abc",
"TopicArn" : "arn:aws:sns:us-west-2:123456789:DS_Events",
"Message" : "[
{
"ActionBy":"System",
"CloudOneAccountID": "012345678900"
"Description":"Alert: New Pattern Update is Downloaded and Available\\nSeverity: Warning\",
"EventID":6813,
"EventType":"SystemEvent",
"LogDate":"2018-12-04T15:54:24.086Z",
"ManagerNodeID":123,
"ManagerNodeName":"job7-123",
"Number":192,
"Origin":3,
"OriginString":"Manager",
"Severity":1,
"SeverityString":"Info",
"Tags":"\",
"TargetID":1,
"TargetName":"ec2-12-123-123-123.us-west-2.compute.amazonaws.com",
"TargetType":"Host",
"TenantID":123,
"TenantName":"Umbrella Corp.",
"Title":"Alert Ended"
"UniqueID": "2e447b1889e712340f6d071cebd92ea9"
}
]",
"Timestamp" : "2018-12-04T15:54:25.130Z",
"SignatureVersion" : "1",
"Signature" : "500PER10NG5!gnaTURE==",
"SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
"UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}
以下は不正プログラム対策イベントの例です。
{
"Type" : "Notification",
"MessageId" : "123abc-123-123-123-123abc",
"TopicArn" : "arn:aws:sns:us-west-2:123456789:DS_Events",
"Message" : "[
{
"AMTarget": "VDSO memory",
"AMTargetCount": 1,
"AMTargetType": 7,
"AMTargetTypeString": "Memory",
"ATSEDetectionLevel": 0,
"BehaviorRuleId": "DIRTYCOW_MADVISE_EXPL",
"BehaviorType": "Exploit_Detection",
"CloudOneAccountID": "012345678900"
"CommandLine": "/tmp/demo -f esiv [xxxx]",
"Cve": "CVE-2016-5195",
"ErrorCode": 0,
"EventID": 1179519,
"EventType": "AntiMalwareEvent",
"FileSHA1": "CEF4644713633C0864D4283FEFA0CE174D48F115",
"HostAgentGUID": "FF8162DF-4CB5-B158-DE42-EBD52967FCF7",
"HostAgentVersion": "20.0.0.1685",
"HostGUID": "9089E800-41D3-2CA9-FF0B-3A30A42ED650",
"HostID": 38,
"HostLastIPUsed": "172.31.21.47",
"HostOS": "Red Hat Enterprise 7 (64 bit) (3.10.0-957.12.2.el7.x86_64)",
"HostSecurityPolicyID": 11,
"HostSecurityPolicyName": "Linux_AM_Sensor",
"Hostname": "ec2-3-131-151-239.us-east-2.compute.amazonaws.com",
"InfectedFilePath": "/tmp/demo",
"LogDate": "2021-01-07T10:32:11.000Z",
"MajorVirusType": 14,
"MajorVirusTypeString": "Suspicious Activity",
"MalwareName": "TM_MALWARE_BEHAVIOR",
"MalwareType": 4,
"Mitre": "T1068",
"Origin": 0,
"OriginString": "Agent",
"PatternVersion": "1.2.1189",
"Process": "testsys_m64",
"Protocol": 0,
"Reason": "Default Real-Time Scan Configuration",
"ScanAction1": 1,
"ScanAction2": 0,
"ScanResultAction1": 0,
"ScanResultAction2": 0,
"ScanResultString": "Passed",
"ScanType": 0,
"ScanTypeString": "Real Time",
"Tags": "",
"TenantGUID": "",
"TenantID": 0,
"TenantName": "Primary",
"UniqueID": "2e447b1889e712340f6d071cebd92ea9"
"UserName": "root"
}
]",
"Timestamp" : "2018-12-04T15:57:50.833Z",
"SignatureVersion" : "1",
"Signature" : "500PER10NG5!gnaTURE==",
"SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
"UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}
複数のウイルス検出イベントが各SNS
メッセージに含まれることがあります。