JSON形式のイベント
Amazon SNSに公開される際、イベントは文字列にエンコードされるJSONオブジェクトの配列として、SNS Message
で送信されます。配列内の各オブジェクトが1つのイベントです。
有効なプロパティはイベントの種類によって異なります。たとえば、 MajorVirusType
は Workload Security不正プログラム対策 イベントに対してのみ有効なプロパティで、システムイベントなどでは無効です。有効なプロパティ値はプロパティごとに異なります。例については、「JSON形式のイベントの例」を参照してください。
イベントプロパティ値は、SNSトピックに公開されるイベントをフィルタする際に使用できます。詳細については、「JSON形式でのSNS設定」を参照してください。
有効なイベントプロパティ
次の表では、イベントのプロパティについて説明します。
一部のイベントには、イベントの種類に通常適用されるすべてのプロパティがないことに注意してください。
プロパティ名 | データタイプ | 説明 | 適用されるイベントの種類 |
---|---|---|---|
ACRulesetID | 整数 | イベントが検出されたコンピュータに適用されたアプリケーションコントロールルールセットの一意の識別子。 | アプリケーションコントロールイベント |
Action | 文字列 (列挙) | アプリケーションコントロールイベントに対して実行された処理。「ソフトウェアの実行をルールでブロック」、「承認されていないソフトウェアの実行を許可」(検出のみモードのため)、「承認されていないソフトウェアの実行をブロック」など。 | アプリケーションコントロールイベント |
Action | 整数 (列挙) | ファイアウォールイベントに対して実行された処理。[検出のみ] の値は、ルールが有効になっていた場合に実行されたであろう処理を示します。0=不明、1=拒否、6=ログのみ、0x81=検出のみ: 拒否。 | ファイアウォールイベント |
Action | 整数 (列挙) | 侵入防御イベントに対して実行された処理。0=不明、1=拒否、2=リセット、3=挿入、4=削除、5=置換、6=ログのみ、0x81=検出のみ: 拒否、0x82=検出のみ: リセット、0x83=検出のみ: 挿入、0x84=検出のみ: 削除、0x85=検出のみ: 置換。 | 侵入防御イベント |
ActionBy | 文字列 | イベントを実行した Workload Security ユーザの名前。イベントがユーザによって生成されなかった場合は「システム」 | システムイベント |
ActionReasonDesc | 文字列 | 処理がブロックされた理由。 | アプリケーションコントロールイベント |
ActionString | 文字列 | 処理の文字列への変換。 | ファイアウォールイベント、侵入防御イベント |
AdministratorID | 整数 | アクションを実行した Workload Security ユーザの一意の識別子。ユーザではなくシステムによって生成されたイベントには、識別子は割り当てられません。 | システムイベント |
AggregationType | 整数 (列挙) | アプリケーションコントロールイベントが繰り返し発生したかどうか。「AggregationType」が「0」以外の場合、発生回数が「RepeatCount」に入ります。0=未集計、1=ファイル名、パス、およびイベントの種類に基づいた集計、2=イベントの種類に基づいた集計 | アプリケーションコントロールイベント |
AMTarget | 文字列 | 不正プログラムが操作を試みた対象のファイル、プロセス、またはレジストリキー (ある場合)。不正プログラムの対象が複数に及ぶ場合、このフィールドの値は「Multiple」になります。 | 不正プログラム対策イベント |
AMTargetCount | 整数 | ターゲットファイルの数。 | 不正プログラム対策イベント |
AMTargetType | 整数 | この不正プログラムが影響を及ぼそうとしていたシステムリソースの種類の数値コード。説明バージョンについては、「AMTargetTypeString」を参照してください。0 =不明、1 =プロセス、2 =レジストリ、3 =ファイルシステム、4 =起動、5 =攻撃コード、6 = API、7 =メモリ、8 =ネットワーク接続、9 =未分類 | 不正プログラム対策イベント |
AMTargetTypeString | 文字列 | この不正プログラムが操作を試みたシステムリソースの種類。ファイルシステム、プロセス、Windowsレジストリなどです。 | 不正プログラム対策イベント |
ATSEDDetectionLevel | 整数 | ドキュメントの脆弱性攻撃からの保護の検出レベル。 | 不正プログラム対策イベント |
ApplicationType | 文字列 | 侵入防御ルールに関連付けられたネットワークアプリケーションの種類の名前 (該当する場合)。 | 侵入防御イベント |
BehaviorRuleId | 文字列 | 内部不正プログラムのケース追跡の挙動監視ルールIDです。 | 不正プログラム対策イベント |
BehaviorType | 文字列 | 検出された挙動監視イベントの種類。 | 不正プログラム対策イベント |
BlockReason | 整数 (列挙) | 処理に応じた実行理由。0=不明、1=ルールによってブロック、2=承認されていないためブロック | アプリケーションコントロールイベント |
Change | 整数 (列挙) | 変更監視イベントでファイル、プロセス、レジストリキーなどに対して行われた変更の種類。1=作成、2=アップデート、3=削除、4=拡張子変更。 | 変更監視イベント |
ChangeString | 文字列 | 変更監視イベントのファイル、プロセス、レジストリキーなどに加えられた変更の種類:作成、更新、削除、または名前変更 | 変更監視イベント |
CloudOneAccountID | 文字列 | Cloud One アカウントのID。 | すべての種類のイベント |
CommandLine | 文字列 | 対象プロセスが実行したコマンド。 | 不正プログラム対策イベント |
ContainerID | 文字列 | イベントが発生したコンテナのID。 | 不正プログラム対策イベント、侵入防御イベント、ファイアウォールイベント |
ContainerImageName | 文字列 | 不正プログラムが検出されたDockerコンテナのイメージ名。 | 不正プログラム対策イベント |
ContainerName | 文字列 | イベントが発生したコンテナの名前。 | 不正プログラム対策イベント、侵入防御イベント、ファイアウォールイベント |
CreationTime | 文字列 (日付) | 感染ファイルの作成日時。 | 不正プログラム対策イベント |
Cve | 文字列 | Common Vulnerabilities and Exposuresのいずれかでプロセスの動作が特定された場合のCVE情報。 | 不正プログラム対策イベント |
DataIndex | 整数 | パケットデータの一意のID。 | 侵入防御イベント |
Description | 文字列 | エンティティに対して行われた変更 (作成、削除、アップデート) の説明と変更された属性に関する詳細。 | 変更監視イベント |
Description | 文字列 | イベントの内容を示す簡単な説明。 | システムイベント |
DestinationIP | 文字列 (IP) | パケットの送信先のIPアドレス。 | ファイアウォールイベント、侵入防御イベント |
DestinationMAC | 文字列 (MAC) | パケットの送信先のMACアドレス。 | ファイアウォールイベント、侵入防御イベント |
DestinationPort | 整数 | パケットの送信先のネットワークポート番号。 | ファイアウォールイベント、侵入防御イベント |
DetectionCategory | 整数 (列挙) | Webレピュテーションイベントの検出カテゴリ。12=ユーザ定義、13=カスタム、91=グローバル。 | Webレピュテーションイベント |
DetectOnly | ブール | イベントが返されたときに [検出のみ] フラグがオンだったかどうか。trueの場合、URLへのアクセスが検出されましたが、ブロックはされていません。 | Webレピュテーションイベント |
Direction | 整数 (列挙) | ネットワークパケットの方向。0=受信、1=送信。 | ファイアウォールイベント、侵入防御イベント |
DirectionString | 文字列 | 方向の文字列への変換。 | ファイアウォールイベント、侵入防御イベント |
DriverTime | 整数 | ドライバで記録されたログ生成時刻。 | ファイアウォールイベント、侵入防御イベント |
EndLogDate | 文字列 (日付) | 繰り返し発生したイベントについての最終ログ日付。繰り返し発生したイベント以外に対しては表示されません。 | ファイアウォールイベント、侵入防御イベント |
EngineType | 整数 | 不正プログラム対策エンジンの種類。 | 不正プログラム対策イベント |
EngineVersion | 文字列 | 不正プログラム対策エンジンのバージョン。 | 不正プログラム対策イベント |
EntityType | 文字列 (列挙) | 変更監視イベントが該当するエンティティの種類: Directory、File、Group、InstalledSoftware、Port、Process、RegistryKey、RegistryValue、Service、User、またはWql | 変更監視イベント |
ErrorCode | 整数 | 不正プログラム検索イベントのエラーコード。0以外の場合、検索に失敗したことを示しており、検索処理および検索結果のフィールドに詳細が表示されます。 | 不正プログラム対策イベント |
EventID | 整数 | 非推奨。代わりにUniqueIDを使用してください。このフィールドの値は、2021年1月1日以降は常に0になります。 | すべての種類のイベント |
EventType | 文字列 (列挙) | イベントの種類。次のいずれかです: 「SystemEvent」、「PacketLog」、「PayloadLog」、「AntiMalwareEvent」、「WebReputationEvent」、「IntegrityEvent」、「LogInspectionEvent」、「AppControlEvent」。 | すべての種類のイベント |
FileName | 文字列 | 「script.sh」など、許可またはブロックされたソフトウェアのファイル名(フルパスは「Path」内に分けられています)。 | アプリケーションコントロールイベント |
FileSHA1 | 文字列 | 感染ファイルのfilesha1(セキュアハッシュアルゴリズム1の結果)。 | 不正プログラム対策イベント |
FileSize | 整数 | 許可またはブロックされたソフトウェアのファイルサイズ | アプリケーションコントロールイベント |
Flags | 文字列 | ネットワークパケットから記録されたフラグ (スペース区切りの文字列のリスト)。 | ファイアウォールイベント、侵入防御イベント |
Flow | 整数 (列挙) | ネットワーク接続フロー。有効な値: -1=利用不可、0=接続フロー、1=リバースフロー | ファイアウォールイベント、侵入防御イベント |
FlowString | 文字列 | フローの文字列への変換。 | ファイアウォールイベント、侵入防御イベント |
ForwardedSrc | 配列(バイト) | 転送されたパケットの送信元情報 | 侵入防御イベント |
Frame | 整数 (列挙) | フレームの種類。-1=不明、2048=IP、2054=ARP、32821=REVARP、33169=NETBEUI、0x86DD=IPv6 | ファイアウォールイベント、侵入防御イベント |
FrameString | 文字列 | Frameの内容を示す文字列。 | ファイアウォールイベント、侵入防御イベント |
GroupID | 文字列 | 「0」など、ソフトウェアを起動しようとしたユーザアカウントのグループID (ある場合)。 | アプリケーションコントロールイベント |
GroupName | 文字列 | 「root」など、ソフトウェアを起動しようとしたユーザアカウントのグループ名 (ある場合)。 | アプリケーションコントロールイベント |
HostAgentVersion | 文字列 | イベントが検出されたコンピュータを保護していたエージェントのバージョン。 | アプリケーションコントロールイベント、不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
HostAgentGUID | 文字列 | Workload Securityで有効化された場合のエージェントのグローバル一意識別子(GUID)。 | 不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント |
HostAssetValue | 整数 | イベントが生成された時点のコンピュータの資産評価。 | 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント |
HostCloudType | 文字列 | Deep Security Agentがホストされているクラウドサービスプロバイダ。 | 不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント |
HostGUID | 文字列 | Deep Security Agentのグローバル一意識別子(GUID)。 | 不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント |
HostGroupID | 整数 | イベントが検出されたコンピュータが属するコンピュータグループの一意の識別子。 | アプリケーションコントロールイベント、不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
HostGroupName | 文字列 | イベントが検出されたコンピュータが属するコンピュータグループの名前。コンピュータグループ名は一意とは限らないことに注意してください。 | アプリケーションコントロールイベント、不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント |
HostID | 整数 | イベントが発生したコンピュータの一意の識別子。 | 不正プログラム対策イベント、 Webレピュテーションイベント、 変更監視イベント、 セキュリティログ監視イベント、 ファイアウォールイベント、 侵入防御イベント、 アプリケーションコントロールイベント |
HostInstanceID | 文字列 | イベントが検出されたコンピュータのクラウドインスタンスID。このプロパティは、クラウドコネクタと同期されたコンピュータに対してのみ設定されます。 | アプリケーションコントロールイベント、 不正プログラム対策イベント、 Webレピュテーションイベント、 変更監視イベント、 セキュリティログ監視イベント、 ファイアウォールイベント、 侵入防御イベント |
HostLastIPUsed | 文字列 (IP) | Deep Security Managerとの通信時にエージェントからアップデートされた最新のIPアドレス。 | 不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント |
Hostname | 文字列 | イベントが生成されたコンピュータのホスト名。 | 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント |
HostOS | 文字列 | イベントが検出されたコンピュータのOS。 | 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント |
HostOwnerID | 文字列 | イベントが検出されたコンピュータのクラウドアカウントID。このプロパティは、クラウドコネクタと同期されたコンピュータに対してのみ設定されます。 | アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント |
HostSecurityPolicyID | 整数 | イベントが検出されたコンピュータに適用された Workload Security ポリシーの一意の識別子。 | 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント |
HostSecurityPolicyName | 文字列 | イベントが検出されたコンピュータに適用された Workload Security ポリシーの名前。セキュリティポリシー名は一意とは限らないことに注意してください。 | 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント |
HostVCUUID | 文字列 | イベントが適用されるコンピュータのvCenter UUID (特定された場合)。 | アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント |
ImageDigest | 文字列 | コンテナイメージの識別に使用されるデータの一意の概要。 | 侵入防御イベント、 ファイアウォールイベント |
ImageID | 文字列 | イベントが発生した Docker コンテナのイメージID | 侵入防御イベント |
ImageName | 文字列 | イベントが発生したコンテナの作成に使用されたイメージ名。 | 侵入防御イベント、 ファイアウォールイベント |
InfectedFilePath | 文字列 | 不正プログラム検出で見つかった感染ファイルのパス。 | 不正プログラム対策 イベント |
InfectionSource | 文字列 | 不正プログラム感染元のコンピュータの名前 (特定された場合)。 | 不正プログラム対策 イベント |
Interface | 文字列 (MAC) | パケットを送信または受信するネットワークインタフェースのMACアドレス。 | ファイアウォール イベント、 侵入防御 イベント |
InterfaceType | 文字列 | コンテナインタフェースの種類。0 =物理インタフェースは、 Workload Security、1 =すべての仮想インタフェース、7 =不明なタイプ(通常はホストインタフェース)で個別に制御できるホストに属します。 | 侵入防御イベント、 ファイアウォールイベント |
IPDatagramLength | 整数 | IPデータグラムの長さ。 | 侵入防御イベント |
IsHash | 文字列 | ファイルの変更後のSHA-1コンテンツハッシュ (16進エンコード)。 | 変更監視 イベント |
Key | 文字列 | 整合性イベントが参照しているファイルまたはレジストリキー。 | 変更監視 イベント |
LogDate | 文字列 (日付) | イベントが記録された日時。エージェントで生成されたイベント(ファイアウォール、IPSなど)の場合は、イベントがエージェントで記録された時刻であり、 Workload Securityでイベントが受信された時刻ではありません。 | すべての種類のイベント |
MajorVirusType | 整数 (列挙) | 検出された不正プログラムの分類。0=ジョーク、1=トロイの木馬、2=ウイルス、3=テスト、4=スパイウェア、5=パッカー、6=一般的なプログラム、7=その他 | 不正プログラム対策 イベント |
MajorVirusTypeString | 文字列 | MajorVirusTypeの内容を示す文字列。 | 不正プログラム対策 イベント |
MalwareName | 文字列 | 検出された不正プログラムの名前。 | 不正プログラム対策 イベント |
MalwareType | 整数 (列挙) | 検出された不正プログラムの種類。1=一般的な不正プログラム、2=スパイウェア。一般的な不正プログラムの場合はInfectedFilePathが表示され、スパイウェアの場合は表示されません。 | 不正プログラム対策 イベント |
ManagerNodeID | 整数 | イベントが生成された Workload Security ノードの一意の識別子。 | システムイベント |
ManagerNodeName | 文字列 | イベントが生成された Workload Security ノードの名前。 | システムイベント |
MD5 | 文字列 | ソフトウェアのMD5チェックサム (ハッシュ) (ある場合)。 | アプリケーションコントロールイベント |
Mitre | 文字列 | MITER攻撃のシナリオのいずれかでプロセスの動作が特定された場合のMITRE情報。 | 不正プログラム対策 イベント |
ModificationTime | 文字列 (日付) | 感染ファイルの変更日時。 | 不正プログラム対策 イベント |
Note | 配列(バイト) | イベントが発生したパケットに関するエンコードされたメモ。 | 侵入防御イベント |
Number | 整数 | システムイベントにイベントを識別する追加IDが指定されています。Workload Securityでは、このプロパティは「イベントID」として表示されます。 | システムイベント |
Operation | 整数 (列挙) | 0=不明、1= 検出のみモードのため許可、2=ブロック | アプリケーションコントロール |
OperationDesc | 文字列 | 操作の値を示します。 | アプリケーションコントロールイベント |
Origin | 整数 (列挙) | イベントの生成元。-1 =不明、0 =Agent、3 =Workload Security | すべての種類のイベント |
OriginString | 文字列 | Originの内容を示す判読可能な文字列。 | すべての種類のイベント |
OSSEC_Action | 文字列 | OSSECの処理 | セキュリティログ監視 イベント |
OSSEC_Command | 文字列 | OSSECのコマンド | セキュリティログ監視 イベント |
OSSEC_Data | 文字列 | OSSECのデータ | セキュリティログ監視 イベント |
OSSEC_Description | 文字列 | OSSECの説明 | セキュリティログ監視 イベント |
OSSEC_DestinationIP | 文字列 | OSSECの送信先IP | セキュリティログ監視 イベント |
OSSEC_DestinationPort | 文字列 | OSSECの送信先ポート | セキュリティログ監視 イベント |
OSSEC_DestinationUser | 文字列 | OSSECの送信先ユーザ | セキュリティログ監視 イベント |
OSSEC_FullLog | 文字列 | OSSECの完全なログ | セキュリティログ監視 イベント |
OSSEC_Groups | 文字列 | OSSECのグループの結果 (例: syslog,authentication_failure) | セキュリティログ監視 イベント |
OSSEC_Hostname | 文字列 | OSSECのホスト名。これはログエントリから読み取られたホストの名前であり、イベントが生成されたホストの名前と同じとは限りません。 | セキュリティログ監視 イベント |
OSSEC_ID | 文字列 | OSSECのID | セキュリティログ監視 イベント |
OSSEC_Level | 整数 (列挙) | OSSECのレベル。0~15の整数。0~3=重要度: 低、4~7=重要度: 中、8~11=重要度: 高、12~15=重要度: 重大。 | セキュリティログ監視 イベント |
OSSEC_Location | 文字列 | OSSECの場所 | セキュリティログ監視 イベント |
OSSEC_Log | 文字列 | OSSECのログ | セキュリティログ監視 イベント |
OSSEC_ProgramName | 文字列 | OSSECのプログラム名 | セキュリティログ監視 イベント |
OSSEC_Protocol | 文字列 | OSSECのプロトコル | セキュリティログ監視 イベント |
OSSEC_RuleID | 整数 | OSSECのルールID | セキュリティログ監視 イベント |
OSSEC_SourceIP | 整数 | OSSECの送信元IP | セキュリティログ監視 イベント |
OSSEC_SourcePort | 整数 | OSSECの送信元ポート | セキュリティログ監視 イベント |
OSSEC_SourceUser | 整数 | OSSECの送信元ユーザ | セキュリティログ監視 イベント |
OSSEC_Status | 整数 | OSSECのステータス | セキュリティログ監視 イベント |
OSSEC_SystemName | 整数 | OSSECのシステム名 | セキュリティログ監視 イベント |
OSSEC_URL | 整数 | OSSECのURL | セキュリティログ監視 イベント |
PacketData | 整数 | 取り込まれたパケットデータの16進エンコード (パケットデータを取り込むようにルールで設定されている場合)。 | 侵入防御イベント |
PacketSize | 整数 | ネットワークパケットのサイズ。 | ファイアウォールイベント |
Path | 文字列 | 「/usr/bin/」など、許可またはブロックされたソフトウェアファイルのディレクトリパス(ファイル名は「FileName」内に分けられています)。 | アプリケーションコントロールイベント |
PatternVersion | 整数 (列挙) | 不正プログラム検出パターンファイルのバージョン。 | 不正プログラム対策 イベント |
PayloadFlags | 整数 | 侵入防御フィルタフラグ。次のフラグ値を含むビットマスク値: 1 - データ切り捨て - データをログに記録できませんでした。2 - ログオーバーフロー - このログの後にログがオーバーフローしました。4 - 抑制 - このログの後にログ数のしきい値が抑制されました。8 - データあり - パケットデータが格納されています。16 - 参照データ - 以前にログに記録されたデータを参照しています。 | 侵入防御イベント |
PodID | 文字列 | ポッド一意のID(UID) | 侵入防御イベント、 ファイアウォールイベント |
PosInBuffer | 整数 | イベントをトリガしたデータのパケット内の位置。 | 侵入防御イベント |
PosInStream | 整数 | イベントをトリガしたデータのストリーム内の位置。 | 侵入防御イベント |
Process | 文字列 | イベントを生成したプロセスの名前 (該当する場合)。 | 変更監視 イベント |
Process | 文字列 | 検出された挙動監視イベントのプロセス名。 | 不正プログラム対策 イベント |
ProcessID | 整数 | イベントを生成したプロセスの識別子 (PID) (該当する場合)。 | アプリケーションコントロールイベント、 侵入防御イベント、 ファイアウォールイベント |
ProcessName | 文字列 | 「/usr/bin/bash」など、イベントを生成したプロセスの名前 (該当する場合)。 | アプリケーションコントロールイベント、 侵入防御イベント、 ファイアウォールイベント |
Protocol | 整数 (列挙) | ネットワークプロトコルのID。-1=不明、1=ICMP、2=IGMP、3=GGP、6=TCP、12=PUP、17=UDP、22=IDP、58=ICMPv6、77=ND、255=RAW | ファイアウォール イベント、 侵入防御 イベント |
Protocol | 整数 | ファイル検索プロトコルの数値。0 =ローカルファイル | 不正プログラム対策 イベント |
ProtocolString | 文字列 | Protocolの内容を示す文字列。 | ファイアウォール イベント、 侵入防御 イベント |
Rank | 整数 | イベントのランク。コンピュータに割り当てられている資産評価に、この重要度のイベントに対して設定されている重要度の値を掛けた数値です。 | 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント |
Reason | 文字列 | イベントをトリガした Workload Securityルールまたは設定オブジェクトの名前、または( ファイアウォール および 侵入防御の場合)イベントがルールによってトリガされなかった場合の[ステータス]から[文字列]へのマッピング。アプリケーションコントロールでは、「Reason」が「なし」になる場合があります。その場合は、代わりに「BlockReason」を参照してください。 | ファイアウォール, 侵入防御, 変更監視, セキュリティログ監視, 不正プログラム対策および アプリケーションコントロール イベント |
RepeatCount | 整数 | このイベントが繰り返し発生した回数。1の場合は、イベントが1回だけ確認され、その後に繰り返されていないことを示しています。 | ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント |
Risk | 整数 (列挙) | アクセスしたURLのリスクレベル: 変換後。2=不審、3=非常に不審、4=危険、5=未評価、6=管理者によるブロック | Webレピュテーションイベント |
RiskLevel | 整数 | URLのリスクレベル: 変換前 (0~100)。URLがブロックルールによってブロックされた場合は表示されません。 | Webレピュテーションイベント |
RiskString | 文字列 | Riskの内容を示す文字列。 | Webレピュテーションイベント |
ScanAction1 | 整数 | 検索処理1。検索処理1& 2および検索結果の処理1& 2とErrorCodeを組み合わせて1つの「summaryScanResult」を形成します。 | 不正プログラム対策 イベント |
ScanAction2 | 整数 | 検索処理2。 | 不正プログラム対策 イベント |
ScanResultAction1 | 整数 | 検索結果処理1。 | 不正プログラム対策 イベント |
ScanResultAction2 | 整数 | 検索結果処理2。 | 不正プログラム対策 イベント |
ScanResultString | 文字列 | 不正プログラム検索の結果を示す文字列。ScanAction 1と2、ScanActionResult 1と2、およびErrorCodeの組み合わせです。 | 不正プログラム対策 イベント |
ScanType | 整数 (列挙) | イベントを生成した不正プログラム検索の種類。0=リアルタイム、1=手動、2=予約、3=クイック検索 | 不正プログラム対策 イベント |
ScanTypeString | 文字列 | ScanTypeの内容を示す文字列。 | 不正プログラム対策 イベント |
Severity | 整数 | 1=情報、2=警告、3=エラー | システムイベント |
Severity | 整数 (列挙) | 1=低、2=中、3=高、4=重大 | 変更監視 イベント、 侵入防御 イベント |
SeverityString | 文字列 | Severityの内容を示す判読可能な文字列。 | システムイベント、 変更監視 イベント、 侵入防御 イベント |
SeverityString | 文字列 | OSSEC_Levelの内容を示す判読可能な文字列。 | セキュリティログ監視 イベント |
SHA1 | 文字列 | ソフトウェアのSHA-1チェックサム (ハッシュ) (ある場合)。 | アプリケーションコントロールイベント |
SHA256 | 文字列 | ソフトウェアのSHA-256チェックサム (ハッシュ) (ある場合)。 | アプリケーションコントロールイベント |
SourceIP | 文字列 (IP) | パケットの送信元IPアドレス。 | ファイアウォール イベント、 侵入防御 イベント |
SourceMAC | 文字列 (MAC) | パケットの送信元MACアドレス。 | ファイアウォール イベント、 侵入防御 イベント |
SourcePort | 整数 | パケットのネットワーク送信元ポート番号。 | ファイアウォール イベント、 侵入防御 イベント |
Status | 整数 | このイベントが特定のファイアウォールルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: 123=ポリシーで未許可 | ファイアウォールイベント |
Status | 整数 | このイベントが特定の侵入防御ルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: -504=無効なUTF8の符号化 | 侵入防御イベント |
Tags | 文字列 | イベントに適用されているタグのカンマ区切りのリスト。このリストには、イベントの生成時に自動的に適用されるタグのみが含まれます。 | すべての種類のイベント |
TagSetID | 整数 | イベントに適用されたタグのグループの識別子。 | すべての種類のイベント |
TargetID | 整数 | イベントの対象の一意の識別子。この識別子は、テナント内の同じ種類の対象では一意ですが、異なる種類の対象では同じになる場合があります。たとえば、コンピュータとポリシーの対象IDがどちらも10になることがあります。 | システムイベント |
TargetIP | 文字列 (IP) | Webレピュテーションイベントの生成時にアクセスしていたIPアドレス。 | Webレピュテーションイベント |
TargetName | 文字列 | イベントの対象の名前。システムイベントの対象は、コンピュータ、ポリシー、ユーザ、ロール、タスクなど、さまざまです。 | システムイベント |
TargetType | 文字列 | イベントの対象の種類。 | システムイベント |
TenantGUID | 文字列 | イベントに関連付けられたテナントのグローバル一意識別子(GUID)。 | すべての種類のイベント |
TenantID | 整数 | イベントに関連付けられたテナントの一意の識別子。 | すべての種類のイベント |
TenantName | 文字列 | イベントに関連付けられたテナントの名前。 | すべての種類のイベント |
ThreadID | 文字列 | イベントを発生させた(コンテナからの)スレッドのID。 | 侵入防御イベント、 ファイアウォールイベント |
Title | 文字列 | イベントのタイトル。 | システムイベント |
UniqueID | 整数 | イベントのグローバル一意識別子。すべてのプラットフォーム、サービス、およびストレージの種類でイベントを一意に識別するフィールドです。 | すべての種類のイベント |
URL | 文字列 (URL) | イベントの生成時にアクセスしていたURL。 | Webレピュテーションイベント |
User | 文字列 | 変更監視イベントの対象となったユーザアカウント (特定された場合)。 | 変更監視 イベント |
UserID | 文字列 | 「0」など、ソフトウェアを起動しようとしたユーザアカウントのユーザID (UID) (ある場合)。 | アプリケーションコントロールイベント |
UserName | 文字列 |
不正プログラム対策 イベントの場合、イベントをトリガしたユーザアカウント名です。 アプリケーションコントロールイベントの場合、「root」など、ソフトウェアを起動しようとしたユーザアカウントのユーザ名(存在する場合)です。 |
不正プログラム対策 イベント、 アプリケーションコントロール イベント |
イベントプロパティのデータタイプ
JSONとして転送されるイベントでは、通常は他のデータタイプのエンコードに文字列が使用されます。
データタイプ | 説明 |
---|---|
配列(バイト) | バイト値で構成されるJSON array 。 |
ブール | JSON true またはfalse 。 |
整数 |
JSON イベント内の整数は32ビットを超えることがあります。イベント処理用のコードでこの整数を処理できることを確認してください。たとえば、JavaScriptの |
整数 (列挙) | JSON int 。一連の列挙値に限定されます。 |
文字列 | JSON string . |
文字列 (日付) | JSON string 。日時として、YYYY-MM-DDThh:mm:ss.sssZのパターン (ISO 8601) で形式設定されています。「Z」はタイムゾーンです。「sss」は1秒未満の秒数を表す3桁です。W3Cの日付と時刻の形式に関する説明も参照してください。 |
文字列 (IP) | JSON string 。IPv4またはIPv6アドレスとして形式設定されています。 |
文字列 (MAC) | JSON string 。ネットワークMACアドレスとして形式設定されています。 |
文字列 (URL) | JSON string 。URLとして形式設定されています。 |
文字列 (列挙) | JSON string 。一連の列挙値に限定されます。 |
JSON形式のイベントの例
システムイベント
{
"Type" : "Notification",
"MessageId" : "123abc-123-123-123-123abc",
"TopicArn" : "arn:aws:sns:us-west-2:123456789:DS_Events",
"Message" : "[
{
"ActionBy":"System",
"CloudOneAccountID": "012345678900"
"Description":"Alert: New Pattern Update is Downloaded and Available\\nSeverity: Warning\",
"EventID":6813,
"EventType":"SystemEvent",
"LogDate":"2018-12-04T15:54:24.086Z",
"ManagerNodeID":123,
"ManagerNodeName":"job7-123",
"Number":192,
"Origin":3,
"OriginString":"Manager",
"Severity":1,
"SeverityString":"Info",
"Tags":"\",
"TargetID":1,
"TargetName":"ec2-12-123-123-123.us-west-2.compute.amazonaws.com",
"TargetType":"Host",
"TenantID":123,
"TenantName":"Umbrella Corp.",
"Title":"Alert Ended"
"UniqueID": "2e447b1889e712340f6d071cebd92ea9"
}
]",
"Timestamp" : "2018-12-04T15:54:25.130Z",
"SignatureVersion" : "1",
"Signature" : "500PER10NG5!gnaTURE==",
"SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
"UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}
不正プログラム対策 イベント
各SNS Message
には、複数のウイルス検出イベントを含めることができます。
簡潔にするために、繰り返されるイベントのプロパティは省略されています。
{
"Type" : "Notification",
"MessageId" : "123abc-123-123-123-123abc",
"TopicArn" : "arn:aws:sns:us-west-2:123456789:DS_Events",
"Message" : "[
{
"AMTarget": "VDSO memory",
"AMTargetCount": 1,
"AMTargetType": 7,
"AMTargetTypeString": "Memory",
"ATSEDetectionLevel": 0,
"BehaviorRuleId": "DIRTYCOW_MADVISE_EXPL",
"BehaviorType": "Exploit_Detection",
"CloudOneAccountID": "012345678900"
"CommandLine": "/tmp/demo -f esiv [xxxx]",
"Cve": "CVE-2016-5195",
"ErrorCode": 0,
"EventID": 1179519,
"EventType": "AntiMalwareEvent",
"FileSHA1": "CEF4644713633C0864D4283FEFA0CE174D48F115",
"HostAgentGUID": "FF8162DF-4CB5-B158-DE42-EBD52967FCF7",
"HostAgentVersion": "20.0.0.1685",
"HostGUID": "9089E800-41D3-2CA9-FF0B-3A30A42ED650",
"HostID": 38,
"HostLastIPUsed": "172.31.21.47",
"HostOS": "Red Hat Enterprise 7 (64 bit) (3.10.0-957.12.2.el7.x86_64)",
"HostSecurityPolicyID": 11,
"HostSecurityPolicyName": "Linux_AM_Sensor",
"Hostname": "ec2-3-131-151-239.us-east-2.compute.amazonaws.com",
"InfectedFilePath": "/tmp/demo",
"LogDate": "2021-01-07T10:32:11.000Z",
"MajorVirusType": 14,
"MajorVirusTypeString": "Suspicious Activity",
"MalwareName": "TM_MALWARE_BEHAVIOR",
"MalwareType": 4,
"Mitre": "T1068",
"Origin": 0,
"OriginString": "Agent",
"PatternVersion": "1.2.1189",
"Process": "testsys_m64",
"Protocol": 0,
"Reason": "Default Real-Time Scan Configuration",
"ScanAction1": 1,
"ScanAction2": 0,
"ScanResultAction1": 0,
"ScanResultAction2": 0,
"ScanResultString": "Passed",
"ScanType": 0,
"ScanTypeString": "Real Time",
"Tags": "",
"TenantGUID": "",
"TenantID": 0,
"TenantName": "Primary",
"UniqueID": "2e447b1889e712340f6d071cebd92ea9"
"UserName": "root"
}
]",
"Timestamp" : "2018-12-04T15:57:50.833Z",
"SignatureVersion" : "1",
"Signature" : "500PER10NG5!gnaTURE==",
"SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
"UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}