Amazon SNSに公開されると、イベントは文字列としてエンコードされたJSONオブジェクトの配列としてSNS Messageに送信されます。配列内の各オブジェクトは1つのイベントです。
有効なプロパティはイベントの種類によって異なります。例えば、MajorVirusTypeはWorkload Security不正プログラム対策イベントにのみ有効なプロパティであり、システムイベントなどには適用されません。有効なプロパティ値は各プロパティによって異なります。例については、JSON形式のイベント例を参照してください。
イベントプロパティ値を使用して、SNSトピックに公開されるイベントをフィルタリングできます。詳細については、JSON形式のSNS構成を参照してください。

有効なイベントプロパティ

次の表では、イベントのプロパティについて説明します。
一部のイベントには、イベントの種類に通常適用されるすべてのプロパティがないことに注意してください。
プロパティ名
説明
適用されるイベントの種類
ACRulesetID
整数
イベントが検出されたコンピュータに適用されたアプリケーションコントロールルールセットの一意の識別子。
アプリケーションコントロールイベント
処理
文字列 (列挙)
アプリケーションコントロールイベントに対して実行された処理には、ルールによってブロックされたソフトウェアの実行、(検出のみモードのため) 許可された未認識ソフトウェアの実行、またはブロックされた未認識ソフトウェアの実行などがあります。
アプリケーションコントロールイベント
処理
整数 (列挙)
ファイアウォールイベントに対して実行された処理。Detect Onlyの値は、ルールが有効になっていた場合に何が起こったかを示します。0=不明、1=拒否、6=ログのみ、0x81=Detect Only: 拒否。
ファイアウォールイベント
処理
整数 (列挙)
侵入防御イベントに対して実行された処理。0=不明、1=拒否、2=リセット、3=挿入、4=削除、5=置換、6=ログのみ、0x81=検出のみ: 拒否、0x82=検出のみ: リセット、0x83=検出のみ: 挿入、0x84=検出のみ: 削除、0x85=検出のみ: 置換。
侵入防御イベント
ActionBy
文字列
イベントを実行したWorkload Securityユーザの名前、またはイベントがユーザによって生成されていない場合はシステム。
システムイベント
ActionReasonDesc
文字列
処理がブロックされた理由。
アプリケーションコントロールイベント
ActionString
文字列
処理の文字列への変換。
ファイアウォール イベント、 侵入防御 イベント
AdministratorID
整数
アクションを実行したWorkload Securityユーザの一意の識別子。システムによって生成されたイベントであり、ユーザによって生成されたものではない場合、識別子はありません。
システムイベント
AggregationType
整数 (列挙)
アプリケーションコントロールイベントが繰り返し発生したかどうか。AggregationTypeが0でない場合、発生回数はRepeatCountにあります。0=集約されていない、1=ファイル名、パス、イベントタイプに基づいて集約、2=イベントタイプに基づいて集約
アプリケーションコントロールイベント
AMTarget
文字列
不正プログラムが影響を与えようとしていたファイル、プロセス、またはレジストリキー (該当する場合)。不正プログラムが複数に影響を与えようとしていた場合、このフィールドには複数と表示されます。
不正プログラム対策 イベント
AMTargetCount
整数
ターゲットファイルの数。
不正プログラム対策 イベント
AMTargetType
整数
この不正プログラムが影響を及ぼそうとしていたシステムリソースの種類の数値コード。説明バージョンについては、「AMTargetTypeString」を参照してください。0 =不明、1 =プロセス、2 =レジストリ、3 =ファイルシステム、4 =起動、5 =攻撃コード、6 = API、7 =メモリ、8 =ネットワーク接続、9 =未分類
不正プログラム対策 イベント
AMTargetTypeString
文字列
この不正プログラムが操作を試みたシステムリソースの種類。ファイルシステム、プロセス、Windowsレジストリなどです。
不正プログラム対策 イベント
ATSEDDetectionLevel
整数
ドキュメントの脆弱性攻撃からの保護の検出レベル。
不正プログラム対策 イベント
ApplicationType
文字列
侵入防御ルールに関連付けられたネットワークアプリケーションの種類の名前 (該当する場合)。
侵入防御イベント
BehaviorRuleId
文字列
内部不正プログラムのケース追跡の挙動監視ルールIDです。
不正プログラム対策 イベント
BehaviorType
文字列
検出された挙動監視イベントの種類。
不正プログラム対策 イベント
BlockReason
整数 (列挙)
処理に応じた実行理由。0=不明、1=ルールによってブロック、2=承認されていないためブロック
アプリケーションコントロールイベント
Change
整数 (列挙)
変更監視イベントにおいて、ファイル、プロセス、レジストリキーなどにどのような変更が行われたか。1=作成、2=更新、3=削除、4=名前変更。
変更監視 イベント
ChangeString
文字列
変更監視イベントにおいて、ファイル、プロセス、レジストリキーなどにどのような変更が行われたか: 作成、更新、削除、または名前変更。
変更監視 イベント
CloudOneAccountID
文字列
Cloud One アカウントのID。
すべての種類のイベント
CommandLine
文字列
対象プロセスが実行したコマンド。
不正プログラム対策 イベント
ContainerID
文字列
イベントが発生したコンテナのID。
不正プログラム対策イベント、侵入防御イベント、ファイアウォールイベント
ContainerImageName
文字列
不正プログラムが検出されたDockerコンテナのイメージ名。
不正プログラム対策 イベント
ContainerName
文字列
イベントが発生したコンテナの名前。
不正プログラム対策イベント、侵入防御イベント、ファイアウォールイベント
CreationTime
文字列 (日付)
感染ファイルの作成日時。
不正プログラム対策 イベント
Cve
文字列
Common Vulnerabilities and Exposuresのいずれかでプロセスの動作が特定された場合のCVE情報。
不正プログラム対策 イベント
DataIndex
整数
パケットデータの一意のID。
侵入防御イベント
説明
文字列
エンティティに対して行われた変更 (作成、削除、アップデート) の説明と変更された属性に関する詳細。
変更監視 イベント
説明
文字列
イベントの内容を示す簡単な説明。
システムイベント
DestinationIP
文字列 (IP)
パケットの送信先のIPアドレス。
ファイアウォール イベント、 侵入防御 イベント
DestinationMAC
文字列 (MAC)
パケットの送信先のMACアドレス。
ファイアウォール イベント、 侵入防御 イベント
DestinationPort
整数
パケットが送信されたネットワークポート番号
ファイアウォール イベント、 侵入防御 イベント
DetectionCategory
整数 (列挙)
Webレピュテーションイベントの検出カテゴリ。12=ユーザ定義、13=カスタム、91=グローバル。
Webレピュテーションイベント
DetectOnly
ブール
イベントが返されたときに [検出のみ] フラグがオンだったかどうか。trueの場合、URLへのアクセスが検出されましたが、ブロックはされていません。
Webレピュテーションイベント
方向
整数 (列挙)
ネットワークパケットの方向。0=受信、1=送信。
ファイアウォール イベント、 侵入防御 イベント
DirectionString
文字列
方向の文字列への変換。
ファイアウォール イベント、 侵入防御 イベント
DriverTime
整数
ドライバで記録されたログ生成時刻。
ファイアウォール イベント、 侵入防御 イベント
EndLogDate
文字列 (日付)
繰り返しイベントの最後のログ日付。繰り返されなかったイベントには存在しません。
ファイアウォール イベント、 侵入防御 イベント
EngineType
整数
不正プログラム対策エンジンの種類。
不正プログラム対策 イベント
EngineVersion
文字列
不正プログラム対策エンジンのバージョン。
不正プログラム対策 イベント
EntityType
文字列 (列挙)
変更監視イベントが該当するエンティティの種類: Directory、File、Group、InstalledSoftware、Port、Process、RegistryKey、RegistryValue、Service、User、またはWql
変更監視 イベント
ErrorCode
整数
不正プログラム検索イベントのエラーコード。0以外の場合、検索に失敗したことを示しており、検索処理および検索結果のフィールドに詳細が表示されます。
不正プログラム対策 イベント
EventID
整数
非推奨。代わりにUniqueIDを使用してください。このフィールドの値は、2021年1月1日以降は常に0になります。
すべての種類のイベント
EventType
文字列 (列挙)
イベントの種類。次のいずれか: SystemEvent, PacketLog, PayloadLog, AntiMalwareEvent, WebReputationEvent, IntegrityEvent, LogInspectionEvent, AppControlEvent.
すべての種類のイベント
FileName
文字列
許可またはブロックされたソフトウェアのファイル名 (例: script.sh)。フルパスはパスに分かれています。
アプリケーションコントロールイベント
FileSHA1
文字列
感染ファイルのfilesha1(セキュアハッシュアルゴリズム1の結果)。
不正プログラム対策 イベント
FileSize
整数
許可またはブロックされたソフトウェアのファイルサイズ
アプリケーションコントロールイベント
フラグ
文字列
ネットワークパケットから記録されたフラグ (スペース区切りの文字列のリスト)。
ファイアウォール イベント、 侵入防御 イベント
Flow
整数 (列挙)
ネットワーク接続フロー。有効な値: -1=利用不可、0=接続フロー、1=リバースフロー
ファイアウォール イベント、 侵入防御 イベント
FlowString
文字列
フローの文字列への変換。
ファイアウォール イベント、 侵入防御 イベント
ForwardedSrc
配列(バイト)
転送されたパケットの送信元情報
侵入防御イベント
Frame
整数 (列挙)
フレームの種類。-1=不明、2048=IP、2054=ARP、32821=REVARP、33169=NETBEUI、0x86DD=IPv6
ファイアウォール イベント、 侵入防御 イベント
FrameString
文字列
Frameの内容を示す文字列。
ファイアウォール イベント、 侵入防御 イベント
GroupID
文字列
ソフトウェアの起動を試みたユーザアカウントのグループID (存在する場合)、例えば0。
アプリケーションコントロールイベント
GroupName
文字列
ソフトウェアの起動を試みたユーザアカウントのグループ名 (存在する場合)、例えばroot。
アプリケーションコントロールイベント
HostAgentVersion
文字列
イベントが検出されたコンピュータを保護していたエージェントのバージョン。
アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
HostAgentGUID
文字列
Workload Securityで有効化された場合のエージェントのグローバル一意識別子(GUID)。
不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
HostAssetValue
整数
イベントが生成された時点のコンピュータの資産評価。
不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostCloudType
文字列
Deep Security Agentがホストされているクラウドサービスプロバイダ。
不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
HostGUID
文字列
Deep Security Agentのグローバル一意識別子(GUID)。
不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
HostGroupID
整数
イベントが検出されたコンピュータが属するコンピュータグループの一意の識別子。
アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
HostGroupName
文字列
イベントが検出されたコンピュータが属するコンピュータグループの名前。コンピュータグループ名は一意とは限らないことに注意してください。
アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
HostID
整数
イベントが発生したコンピュータの一意の識別子。
不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostInstanceID
文字列
イベントが検出されたコンピュータのクラウドインスタンスID。このプロパティは、Cloud Connectorと同期されたコンピュータにのみ設定されます。
アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
HostLastIPUsed
文字列 (IP)
Deep Security Managerとの通信時にエージェントからアップデートされた最新のIPアドレス。
不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
ホスト名
文字列
イベントが生成されたコンピュータのホスト名。
不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostOS
文字列
イベントが検出されたコンピュータのOS。
不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostOwnerID
文字列
イベントが検出されたコンピュータのクラウドアカウントID。このプロパティは、クラウドコネクタと同期されたコンピュータにのみ設定されます。
アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
HostSecurityPolicyID
整数
イベントが検出されたコンピュータに適用された Workload Security ポリシーの一意の識別子。
不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostSecurityPolicyName
文字列
イベントが検出されたコンピュータに適用された Workload Security ポリシーの名前。セキュリティポリシー名は一意とは限らないことに注意してください。
不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostVCUUID
文字列
イベントが適用されるコンピュータのvCenter UUID (特定された場合)。
アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
ImageDigest
文字列
コンテナイメージの識別に使用されるデータの一意の概要。
侵入防御イベント、 ファイアウォールイベント
ImageID
文字列
イベントが発生した Docker コンテナのイメージID
侵入防御イベント
ImageName
文字列
イベントが発生したコンテナの作成に使用されたイメージ名。
侵入防御イベント、 ファイアウォールイベント
InfectedFilePath
文字列
不正プログラム検出で見つかった感染ファイルのパス。
不正プログラム対策 イベント
InfectionSource
文字列
不正プログラム感染元のコンピュータの名前 (特定された場合)。
不正プログラム対策 イベント
Interface
文字列 (MAC)
パケットを送信または受信するネットワークインタフェースのMACアドレス。
ファイアウォール イベント、 侵入防御 イベント
InterfaceType
文字列
コンテナインタフェースの種類。0 =物理インタフェースは、 Workload Security、1 =すべての仮想インタフェース、7 =不明なタイプ(通常はホストインタフェース)で個別に制御できるホストに属します。
侵入防御イベント、 ファイアウォールイベント
IPDatagramLength
整数
IPデータグラムの長さ。
侵入防御イベント
IsHash
文字列
ファイルの変更後のSHA-1コンテンツハッシュ (16進エンコード)。
変更監視 イベント
Key
文字列
整合性イベントが参照しているファイルまたはレジストリキー。
変更監視 イベント
LogDate
文字列 (日付)
イベントが記録された日時。エージェント生成イベント (ファイアウォール、IPSなど) については、イベントがWorkload Securityによって受信された時ではなく、エージェントによって記録された時の日時です。
すべての種類のイベント
MajorVirusType
整数 (列挙)
検出された不正プログラムの分類。0=ジョーク、1=トロイの木馬、2=ウイルス、3=テスト、4=スパイウェア、5=パッカー、6=一般的なプログラム、7=その他
不正プログラム対策 イベント
MajorVirusTypeString
文字列
MajorVirusTypeの内容を示す文字列。
不正プログラム対策 イベント
MalwareName
文字列
検出された不正プログラムの名前。
不正プログラム対策 イベント
MalwareType
整数 (列挙)
検出された不正プログラムの種類。1=一般不正プログラム、2=スパイウェア。一般不正プログラムイベントにはInfectedFilePathがありますが、スパイウェアイベントにはありません。
不正プログラム対策 イベント
ManagerNodeID
整数
イベントが生成された Workload Security ノードの一意の識別子。
システムイベント
ManagerNodeName
文字列
イベントが生成された Workload Security ノードの名前。
システムイベント
MD5
文字列
ソフトウェアのMD5チェックサム (ハッシュ) (ある場合)。
アプリケーションコントロールイベント
Mitre
文字列
MITER攻撃のシナリオのいずれかでプロセスの動作が特定された場合のMITRE情報。
不正プログラム対策 イベント
ModificationTime
文字列 (日付)
感染ファイルの変更日時。
不正プログラム対策 イベント
Note
配列(バイト)
イベントが発生したパケットに関するエンコードされたメモ。
侵入防御イベント
Number
整数
システムイベントには、イベントを識別する追加のIDがあります。Workload Securityでは、このプロパティはイベントIDとして表示されます。
システムイベント
Operation
整数 (列挙)
0=不明、1= 検出のみモードのため許可、2=ブロック
アプリケーションコントロール
OperationDesc
文字列
操作値を説明します
アプリケーションコントロールイベント
Origin
整数 (列挙)
イベントの生成元。-1 =不明、0 =Agent、3 =Workload Security
すべての種類のイベント
OriginString
文字列
Originの内容を示す判読可能な文字列。
すべての種類のイベント
OSSEC_Action
文字列
OSSECの処理
セキュリティログ監視 イベント
OSSEC_Command
文字列
OSSECのコマンド
セキュリティログ監視 イベント
OSSEC_Data
文字列
OSSECのデータ
セキュリティログ監視 イベント
OSSEC_Description
文字列
OSSECの説明
セキュリティログ監視 イベント
OSSEC_DestinationIP
文字列
OSSECの送信先IP
セキュリティログ監視 イベント
OSSEC_DestinationPort
文字列
OSSECの送信先ポート
セキュリティログ監視 イベント
OSSEC_DestinationUser
文字列
OSSECの送信先ユーザ
セキュリティログ監視 イベント
OSSEC_FullLog
文字列
OSSECの完全なログ
セキュリティログ監視 イベント
OSSEC_Groups
文字列
OSSECグループの結果 (例: syslog,authentication_failure)
セキュリティログ監視 イベント
OSSEC_Hostname
文字列
OSSECのホスト名。これはログエントリから読み取られたホストの名前であり、イベントが生成されたホストの名前と同じとは限りません。
セキュリティログ監視 イベント
OSSEC_ID
文字列
OSSECのID
セキュリティログ監視 イベント
OSSEC_Level
整数 (列挙)
OSSECのレベル。0~15の整数。0~3=重要度: 低、4~7=重要度: 中、8~11=重要度: 高、12~15=重要度: 重大。
セキュリティログ監視 イベント
OSSEC_Location
文字列
OSSECの場所
セキュリティログ監視 イベント
OSSEC_Log
文字列
OSSECのログ
セキュリティログ監視 イベント
OSSEC_ProgramName
文字列
OSSECのプログラム名
セキュリティログ監視 イベント
OSSEC_Protocol
文字列
OSSECのプロトコル
セキュリティログ監視 イベント
OSSEC_RuleID
整数
OSSECのルールID
セキュリティログ監視 イベント
OSSEC_SourceIP
整数
OSSECの送信元IP
セキュリティログ監視 イベント
OSSEC_SourcePort
整数
OSSECの送信元ポート
セキュリティログ監視 イベント
OSSEC_SourceUser
整数
OSSECの送信元ユーザ
セキュリティログ監視 イベント
OSSEC_Status
整数
OSSECのステータス
セキュリティログ監視 イベント
OSSEC_SystemName
整数
OSSECのシステム名
セキュリティログ監視 イベント
OSSEC_URL
整数
OSSECのURL
セキュリティログ監視 イベント
PacketData
整数
取り込まれたパケットデータの16進エンコード (パケットデータを取り込むようにルールで設定されている場合)。
侵入防御イベント
PacketSize
整数
ネットワークパケットのサイズ。
ファイアウォールイベント
パス
文字列
許可またはブロックされたソフトウェアファイルのディレクトリパス (例: /usr/bin/)。ファイル名はFileNameで別に指定されています。
アプリケーションコントロールイベント
PatternVersion
整数 (列挙)
不正プログラム検出パターンファイルのバージョン。
不正プログラム対策 イベント
PayloadFlags
整数
侵入防御フィルタフラグ。次のフラグ値を含むビットマスク値: 1 - データ切り捨て - データをログに記録できませんでした。2 - ログオーバーフロー - このログの後にログがオーバーフローしました。4 - 抑制 - このログの後にログ数のしきい値が抑制されました。8 - データあり - パケットデータが格納されています。16 - 参照データ - 以前にログに記録されたデータを参照しています。
侵入防御イベント
PodID
文字列
ポッド一意のID(UID)
侵入防御イベント、 ファイアウォールイベント
PosInBuffer
整数
イベントをトリガしたデータのパケット内の位置。
侵入防御イベント
PosInStream
整数
イベントをトリガしたデータのストリーム内の位置。
侵入防御イベント
プロセス
文字列
イベントを生成したプロセスの名前 (該当する場合)。
変更監視 イベント
プロセス
文字列
検出された挙動監視イベントのプロセス名。
不正プログラム対策 イベント
ProcessID
整数
イベントを生成したプロセスの識別子 (PID) (該当する場合)。
アプリケーションコントロールイベント、 侵入防御イベント、 ファイアウォールイベント
ProcessName
文字列
イベントを生成したプロセスの名前 (例: /usr/bin/bash) が利用可能な場合。
アプリケーションコントロールイベント、 侵入防御イベント、 ファイアウォールイベント
プロトコル
整数 (列挙)
ネットワークプロトコルのID。-1=不明、1=ICMP、2=IGMP、3=GGP、6=TCP、12=PUP、17=UDP、22=IDP、58=ICMPv6、77=ND、255=RAW
ファイアウォール イベント、 侵入防御 イベント
プロトコル
整数
ファイル検索プロトコルの数値。0 =ローカルファイル
不正プログラム対策 イベント
ProtocolString
文字列
Protocolの内容を示す文字列。
ファイアウォール イベント、 侵入防御 イベント
ランク
整数
イベントのランク。コンピュータに割り当てられている資産評価に、この重要度のイベントに対して設定されている重要度の値を掛けた数値です。
変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
理由
文字列
イベントをトリガーしたWorkload Securityルールまたは構成オブジェクトの名前、または (FirewallとIPSの場合) イベントがルールによってトリガーされなかった場合のステータスから文字列へのマッピング。アプリケーションコントロールの場合、ReasonはNoneになることがあります。代わりにBlockReasonを参照してください。
ファイアウォール, 侵入防御, 変更監視, セキュリティログ監視, 不正プログラム対策および アプリケーションコントロール イベント
RepeatCount
整数
このイベントが繰り返し発生した回数。1の場合は、イベントが1回だけ確認され、その後に繰り返されていないことを示しています。
ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
Risk
整数 (列挙)
アクセスしたURLのリスクレベル: 変換後。2=不審、3=非常に不審、4=危険、5=未評価、6=管理者によるブロック
Webレピュテーションイベント
RiskLevel
整数
URLの生のリスクレベルは0から100までです。URLがブロックルールによってブロックされた場合は表示されません。
Webレピュテーションイベント
RiskString
文字列
Riskの内容を示す文字列。
Webレピュテーションイベント
ScanAction1
整数
検索アクション1。検索アクション1と2、および検索結果アクション1と2とErrorCodeが組み合わさって、単一のsummaryScanResultを形成します。
不正プログラム対策 イベント
ScanAction2
整数
検索処理2。
不正プログラム対策 イベント
ScanResultAction1
整数
検索結果処理1。
不正プログラム対策 イベント
ScanResultAction2
整数
検索結果処理2。
不正プログラム対策 イベント
ScanResultString
文字列
不正プログラム検索の結果を示す文字列。ScanAction 1と2、ScanActionResult 1と2、およびErrorCodeの組み合わせです。
不正プログラム対策 イベント
ScanType
整数 (列挙)
イベントを生成した不正プログラム検索の種類。0=リアルタイム、1=手動、2=予約、3=クイック検索
不正プログラム対策 イベント
ScanTypeString
文字列
ScanTypeの内容を示す文字列。
不正プログラム対策 イベント
重要度
整数
1=情報、2=警告、3=エラー
システムイベント
重要度
整数 (列挙)
1=低、2=中、3=高、4=重大
変更監視 イベント、 侵入防御 イベント
SeverityString
文字列
Severityの内容を示す判読可能な文字列。
システムイベント、 変更監視 イベント、 侵入防御 イベント
SeverityString
文字列
OSSEC_Levelの内容を示す判読可能な文字列。
セキュリティログ監視 イベント
SHA1
文字列
ソフトウェアのSHA-1チェックサム (ハッシュ) (ある場合)。
アプリケーションコントロールイベント
SHA256
文字列
ソフトウェアのSHA-256チェックサム (ハッシュ) (ある場合)。
アプリケーションコントロールイベント
SourceIP
文字列 (IP)
パケットの送信元IPアドレス。
ファイアウォール イベント、 侵入防御 イベント
SourceMAC
文字列 (MAC)
パケットの送信元MACアドレス。
ファイアウォール イベント、 侵入防御 イベント
SourcePort
整数
パケットのネットワーク送信元ポート番号。
ファイアウォール イベント、 侵入防御 イベント
ステータス
整数
このイベントが特定のファイアウォールルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: 123=ポリシーで未許可
ファイアウォールイベント
ステータス
整数
このイベントが特定の侵入防御ルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: -504=無効なUTF8の符号化
侵入防御イベント
タグ
文字列
イベントに適用されたタグのコンマ区切りリスト。このリストには、イベントが生成された際に自動的に適用されるタグのみを含めることができます。
すべての種類のイベント
TagSetID
整数
イベントに適用されたタグのグループの識別子。
すべての種類のイベント
TargetID
整数
イベントの対象の一意の識別子。この識別子は、テナント内の同じ種類の対象では一意ですが、異なる種類の対象では同じになる場合があります。たとえば、コンピュータとポリシーの対象IDがどちらも10になることがあります。
システムイベント
TargetIP
文字列 (IP)
Webレピュテーションイベントの生成時にアクセスしていたIPアドレス。
Webレピュテーションイベント
TargetName
文字列
イベントの対象の名前。システムイベントの対象は、コンピュータ、ポリシー、ユーザ、ロール、タスクなど、さまざまです。
システムイベント
TargetType
文字列
イベントの対象の種類。
システムイベント
TenantGUID
文字列
イベントに関連付けられたテナントのグローバル一意識別子(GUID)。
すべての種類のイベント
TenantID
整数
イベントに関連付けられたテナントの一意の識別子。
すべての種類のイベント
TenantName
文字列
イベントに関連付けられたテナントの名前。
すべての種類のイベント
ThreadID
文字列
イベントを発生させた(コンテナからの)スレッドのID。
侵入防御イベント、 ファイアウォールイベント
Title
文字列
イベントのタイトル。
システムイベント
UniqueID
整数
イベントのグローバル一意識別子。すべてのプラットフォーム、サービス、およびストレージの種類でイベントを一意に識別するフィールドです。
すべての種類のイベント
URL
文字列 (URL)
イベントの生成時にアクセスしていたURL。
Webレピュテーションイベント
ユーザ
文字列
変更監視イベントの対象となったユーザアカウント (特定された場合)。
変更監視 イベント
UserID
文字列
ソフトウェアの起動を試みたユーザアカウントのユーザ識別子 (UID)、例えば0。
アプリケーションコントロールイベント
UserName
文字列
不正プログラム対策 イベントの場合、イベントをトリガしたユーザアカウント名です。
アプリケーションコントロールイベントの場合、これはソフトウェアの起動を試みたユーザアカウントのユーザ名 (例: root) です。
不正プログラム対策 イベント、 アプリケーションコントロール イベント

イベントプロパティのデータタイプ

JSONとして転送されるイベントでは、通常は他のデータタイプのエンコードに文字列が使用されます。
データタイプ
説明
配列(バイト)
JSON array、バイト値で構成されます。
ブール
JSONのtrueまたはfalseです。
整数
JSON int。Workload Securityのイベントでは、浮動小数点数は出力されません。
イベント内の整数は32ビットを超えることがあります。イベント処理用のコードでこの整数を処理できることを確認してください。たとえば、JavaScriptのNumberデータタイプは、32ビットを超える整数を安全に処理できません。
整数 (列挙)
JSON int、列挙された値のセットに制限されています。
文字列
JSON 文字列.
文字列 (日付)
JSON string、日付と時刻はパターンYYYY-MM-DDThh:mm:ss.sssZ (ISO 8601) でフォーマットされます。Zはタイムゾーンを示します。sssはサブ秒の3桁です。日付と時刻のフォーマットに関するW3Cノートも参照してください。
文字列 (IP)
JSON string、IPv4またはIPv6アドレスとしてフォーマットされたもの。
文字列 (MAC)
JSON string、ネットワークMACアドレスとしてフォーマット。
文字列 (URL)
JSON string、URLとしてフォーマット。
文字列 (列挙)
JSON string、列挙された値のセットに制限されています。

JSON形式のイベントの例

以下はシステムイベントの例です:
{
  "Type" :            "Notification",
  "MessageId" :       "123abc-123-123-123-123abc",
  "TopicArn" :        "arn:aws:sns:us-west-2:123456789:DS_Events",
  "Message" :         "[
                        {
                          "ActionBy":"System",
                          "CloudOneAccountID": "012345678900"
                          "Description":"Alert: New Pattern Update is Downloaded and Available\\nSeverity: Warning\",
                          "EventID":6813,
                          "EventType":"SystemEvent",
                          "LogDate":"2018-12-04T15:54:24.086Z",
                          "ManagerNodeID":123,
                          "ManagerNodeName":"job7-123",
                          "Number":192,
                          "Origin":3,
                          "OriginString":"Manager",
                          "Severity":1,
                          "SeverityString":"Info",
                          "Tags":"\",
                          "TargetID":1,
                          "TargetName":"ec2-12-123-123-123.us-west-2.compute.amazonaws.com",
                          "TargetType":"Host",
                          "TenantID":123,
                          "TenantName":"Umbrella Corp.",
                          "Title":"Alert Ended"
                          "UniqueID": "2e447b1889e712340f6d071cebd92ea9"
                        }
                      ]",
  "Timestamp" :       "2018-12-04T15:54:25.130Z",
  "SignatureVersion" : "1",
  "Signature" :       "500PER10NG5!gnaTURE==",
  "SigningCertURL" :  "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
  "UnsubscribeURL" :  "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}
以下は不正プログラム対策イベントの例です。
{
  "Type" :            "Notification",
  "MessageId" :       "123abc-123-123-123-123abc",
  "TopicArn" :        "arn:aws:sns:us-west-2:123456789:DS_Events",
  "Message" :         "[
                        {
                          "AMTarget": "VDSO memory",
                          "AMTargetCount": 1,
                          "AMTargetType": 7,
                          "AMTargetTypeString": "Memory",
                          "ATSEDetectionLevel": 0,
                          "BehaviorRuleId": "DIRTYCOW_MADVISE_EXPL",
                          "BehaviorType": "Exploit_Detection",
                          "CloudOneAccountID": "012345678900"
                          "CommandLine": "/tmp/demo -f esiv [xxxx]",
                          "Cve": "CVE-2016-5195",
                          "ErrorCode": 0,
                          "EventID": 1179519,
                          "EventType": "AntiMalwareEvent",
                          "FileSHA1": "CEF4644713633C0864D4283FEFA0CE174D48F115",
                          "HostAgentGUID": "FF8162DF-4CB5-B158-DE42-EBD52967FCF7",
                          "HostAgentVersion": "20.0.0.1685",
                          "HostGUID": "9089E800-41D3-2CA9-FF0B-3A30A42ED650",
                          "HostID": 38,
                          "HostLastIPUsed": "172.31.21.47",
                          "HostOS": "Red Hat Enterprise 7 (64 bit) (3.10.0-957.12.2.el7.x86_64)",
                          "HostSecurityPolicyID": 11,
                          "HostSecurityPolicyName": "Linux_AM_Sensor",
                          "Hostname": "ec2-3-131-151-239.us-east-2.compute.amazonaws.com",
                          "InfectedFilePath": "/tmp/demo",
                          "LogDate": "2021-01-07T10:32:11.000Z",
                          "MajorVirusType": 14,
                          "MajorVirusTypeString": "Suspicious Activity",
                          "MalwareName": "TM_MALWARE_BEHAVIOR",
                          "MalwareType": 4,
                          "Mitre": "T1068",
                          "Origin": 0,
                          "OriginString": "Agent",
                          "PatternVersion": "1.2.1189",
                          "Process": "testsys_m64",
                          "Protocol": 0,
                          "Reason": "Default Real-Time Scan Configuration",
                          "ScanAction1": 1,
                          "ScanAction2": 0,
                          "ScanResultAction1": 0,
                          "ScanResultAction2": 0,
                          "ScanResultString": "Passed",
                          "ScanType": 0,
                          "ScanTypeString": "Real Time",
                          "Tags": "",
                          "TenantGUID": "",
                          "TenantID": 0,
                          "TenantName": "Primary",
                          "UniqueID": "2e447b1889e712340f6d071cebd92ea9"
                          "UserName": "root"  
                        }
                      ]",
  "Timestamp" :       "2018-12-04T15:57:50.833Z",
  "SignatureVersion" : "1",
  "Signature" :       "500PER10NG5!gnaTURE==",
  "SigningCertURL" :  "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
  "UnsubscribeURL" :  "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}
複数のウイルス検出イベントが各SNSメッセージに含まれることがあります。