JSON形式のイベント

Amazon SNSに公開される際、イベントは文字列にエンコードされるJSONオブジェクトの配列として、SNS Messageで送信されます。配列内の各オブジェクトが1つのイベントです。

有効なプロパティはイベントの種類によって異なります。たとえば、 MajorVirusType は Workload Security不正プログラム対策 イベントに対してのみ有効なプロパティで、システムイベントなどでは無効です。有効なプロパティ値はプロパティごとに異なります。例については、「JSON形式のイベントの例」を参照してください。

イベントプロパティ値は、SNSトピックに公開されるイベントをフィルタする際に使用できます。詳細については、「JSON形式でのSNS設定」を参照してください。

有効なイベントプロパティ

イベントによっては、その種類のイベントに通常適用されるプロパティの一部を備えていない場合があります。

プロパティ名 データタイプ 説明 適用されるイベントの種類
Action 文字列 (列挙) アプリケーションコントロールイベントに対して実行された処理。「ソフトウェアの実行をルールでブロック」、「承認されていないソフトウェアの実行を許可」(検出のみモードのため)、「承認されていないソフトウェアの実行をブロック」など。 アプリケーションコントロールイベント
Action 整数 (列挙) ファイアウォールイベントに対して実行された処理。[検出のみ] の値は、ルールが有効になっていた場合に実行されたであろう処理を示します。0=不明、1=拒否、6=ログのみ、0x81=検出のみ: 拒否。 ファイアウォールイベント
Action 整数 (列挙) 侵入防御 イベントに対して実行された処理。0=不明、1=拒否、2=リセット、3=挿入、4=削除、5=置換、6=ログのみ、0x81=検出のみ: 拒否、0x82=検出のみ: リセット、0x83=検出のみ: 挿入、0x84=検出のみ: 削除、0x85=検出のみ: 置換。 侵入防御 イベント
ActionBy 文字列 イベントを実行した Workload Security ユーザの名前。イベントがユーザによって生成されなかった場合は「システム」です。 システムイベント
ActionString 文字列 処理の文字列への変換。 ファイアウォール イベント、 侵入防御 イベント
AdministratorID 整数 アクションを実行した Workload Security ユーザの一意の識別子。ユーザではなくシステムによって生成されたイベントには、識別子は割り当てられません。 システムイベント
AggregationType 整数 (列挙) アプリケーションコントロールイベントが繰り返し発生したかどうか。「AggregationType」が「0」以外の場合、発生回数が「RepeatCount」に入ります。0=未集計、1=ファイル名、パス、およびイベントの種類に基づいた集計、2=イベントの種類に基づいた集計 アプリケーションコントロールイベント
ApplicationType 文字列 侵入防御ルールに関連付けられたネットワークアプリケーションの種類の名前 (該当する場合)。 侵入防御 イベント
BlockReason 整数 (列挙) 処理に応じた実行理由。0=不明、1=ルールによってブロック、2=承認されていないためブロック アプリケーションコントロールイベント
Change 整数 (列挙) 変更監視イベントでファイル、プロセス、レジストリキーなどに対して行われた変更の種類。1=作成、2=アップデート、3=削除、4=拡張子変更。 変更監視 イベント
ContainerID 文字列 イベントが発生したコンテナのIDです。 不正プログラム対策 イベント、 侵入防御 イベント、 ファイアウォール イベント
ContainerImageName 文字列 不正プログラムが検出されたDockerコンテナのイメージ名。 不正プログラム対策 イベント
ContainerName 文字列 イベントが発生したコンテナの名前。 不正プログラム対策 イベント、 侵入防御 イベント、 ファイアウォール イベント
Description 文字列 エンティティに対して行われた変更 (作成、削除、アップデート) の説明と変更された属性に関する詳細。 変更監視 イベント
Description 文字列 イベントの内容を示す簡単な説明。 システムイベント
DestinationIP 文字列 (IP) パケットの送信先のIPアドレス。 ファイアウォール イベント、 侵入防御 イベント
DestinationMAC 文字列 (MAC) パケットの送信先のMACアドレス。 ファイアウォール イベント、 侵入防御 イベント
DestinationPort 整数 パケットの送信先のネットワークポート番号 ファイアウォール イベント、 侵入防御 イベント
DetectionCategory 整数 (列挙) Webレピュテーションイベントの検出カテゴリ。12=ユーザ定義、13=カスタム、91=グローバル。 Webレピュテーションイベント
DetectOnly ブール イベントが返されたときに [検出のみ] フラグがオンだったかどうか。trueの場合、URLへのアクセスが検出されましたが、ブロックはされていません。 Webレピュテーションイベント
Direction 整数 (列挙) ネットワークパケットの方向。0=受信、1=送信。 ファイアウォール イベント、 侵入防御 イベント
DirectionString 文字列 方向の文字列への変換。 ファイアウォール イベント、 侵入防御 イベント
DriverTime 整数 ドライバで記録されたログ生成時刻。 ファイアウォール イベント、 侵入防御 イベント
EndLogDate 文字列 (日付) 繰り返し発生したイベントについての最終ログ日付。繰り返し発生したイベント以外に対しては表示されません。 ファイアウォール イベント、 侵入防御 イベント
EngineType 整数 不正プログラム対策エンジンの種類。 不正プログラム対策 イベント
EngineVersion 文字列 不正プログラム対策エンジンのバージョン。 不正プログラム対策 イベント
EntityType 文字列 (列挙) 変更監視イベントが該当するエンティティの種類: Directory、File、Group、InstalledSoftware、Port、Process、RegistryKey、RegistryValue、Service、User、またはWql 変更監視 イベント
ErrorCode 整数 不正プログラム検索イベントのエラーコード。0以外の場合、検索に失敗したことを示しており、検索処理および検索結果のフィールドに詳細が表示されます。 不正プログラム対策 イベント
EventID 整数 イベントの識別子。識別子は同じ種類のイベントでは一意ですが、種類が異なるイベントでは同じになる場合があります。たとえば、EventTypeがファイアウォールとIPSのイベントのEventIDがどちらも1になることがあります。イベントID、イベントタイプ、およびテナントIDの組み合わせは、 Workload Securityでイベントを完全に一意に識別するために必要です。このプロパティは、 Workload Securityのシステムイベントの「イベントID」プロパティに関連しないことに注意してください。 すべての種類のイベント
EventType 文字列 (列挙) イベントの種類。次のいずれかです: 「SystemEvent」、「PacketLog」、「PayloadLog」、「AntiMalwareEvent」、「WebReputationEvent」、「IntegrityEvent」、「LogInspectionEvent」、「AppControlEvent」。 すべての種類のイベント
FileName 文字列 「script.sh」など、許可またはブロックされたソフトウェアのファイル名(フルパスは「Path」内に分けられています)。 アプリケーションコントロールイベント
Flags 文字列 ネットワークパケットから記録されたフラグ (スペース区切りの文字列のリスト)。 ファイアウォール イベント、 侵入防御 イベント
Flow 整数 (列挙) ネットワーク接続フロー。有効な値: -1=利用不可、0=接続フロー、1=リバースフロー ファイアウォール イベント、 侵入防御 イベント
FlowString 文字列 フローの文字列への変換。 ファイアウォール イベント、 侵入防御 イベント
Frame 整数 (列挙) フレームの種類。-1=不明、2048=IP、2054=ARP、32821=REVARP、33169=NETBEUI、0x86DD=IPv6 ファイアウォール イベント、 侵入防御 イベント
FrameString 文字列 Frameの内容を示す文字列。 ファイアウォール イベント、 侵入防御 イベント
GroupID 文字列 「0」など、ソフトウェアを起動しようとしたユーザアカウントのグループID (ある場合)。 アプリケーションコントロールイベント
GroupName 文字列 「root」など、ソフトウェアを起動しようとしたユーザアカウントのグループ名 (ある場合)。 アプリケーションコントロールイベント
HostAgentVersion 文字列 イベントが検出されたコンピュータを保護していたDeep Security Agentのバージョン。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
HostAgentGUID 文字列 Workload Securityで有効化されたDeep Security Agentのグローバル一意識別子(GUID)。 アプリケーションコントロールイベント
HostAssetValue 整数 イベントが生成された時点のコンピュータの資産評価。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostGroupID 整数 イベントが検出されたコンピュータが属するコンピュータグループの一意の識別子。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
HostGroupName 文字列 イベントが検出されたコンピュータが属するコンピュータグループの名前。コンピュータグループ名は一意とは限らないことに注意してください。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
HostID 整数 イベントが発生したコンピュータの一意の識別子。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostInstanceID 文字列 イベントが検出されたコンピュータのクラウドインスタンスID。このプロパティは、クラウドコネクタと同期されたコンピュータに対してのみ設定されます。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
Hostname 文字列 イベントが生成されたコンピュータのホスト名。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostOS 文字列 イベントが検出されたコンピュータのOS。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostOwnerID 文字列 イベントが検出されたコンピュータのクラウドアカウントID。このプロパティは、クラウドコネクタと同期されたコンピュータに対してのみ設定されます。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
HostSecurityPolicyID 整数 イベントが検出されたコンピュータに適用された Workload Security ポリシーの一意の識別子。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostSecurityPolicyName 文字列 イベントが検出されたコンピュータに適用された Workload Security ポリシーの名前。セキュリティポリシー名は一意とは限らないことに注意してください。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostVCUUID 文字列 イベントが適用されるコンピュータのvCenter UUID (特定された場合)。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
ImageDigest 文字列 コンテナイメージを識別する一意の通知です。 侵入防御 イベント、 ファイアウォール イベント
ImageName 文字列 イベントが発生したコンテナの作成に使用されたイメージ名。 侵入防御 イベント、 ファイアウォール イベント
InfectedFilePath 文字列 不正プログラム検出で見つかった感染ファイルのパス。 不正プログラム対策 イベント
InfectionSource 文字列 不正プログラム感染元のコンピュータの名前 (特定された場合)。 不正プログラム対策 イベント
Interface 文字列 (MAC) パケットを送信または受信するネットワークインタフェースのMACアドレス。 ファイアウォール イベント、 侵入防御 イベント
InterfaceType 文字列 コンテナインタフェースの種類。0 =物理インタフェースは、 Workload Security、1 =すべての仮想インタフェース、7 =不明なタイプ(通常はホストインタフェース)で個別に制御できるホストに属します。 侵入防御 イベント、 ファイアウォール イベント
IPDatagramLength 整数 IPデータグラムの長さ。 侵入防御 イベント
IsHash 文字列 ファイルの変更後のSHA-1コンテンツハッシュ (16進エンコード)。 変更監視 イベント
Key 文字列 整合性イベントが参照しているファイルまたはレジストリキー。 変更監視 イベント
LogDate 文字列 (日付) イベントが記録された日時。イベントは Workload Securityによって受信されたときにイベントは、エージェントがいない記録されたときのDeep Securityエージェントが生成したイベント(ファイアウォール、IPSなど), の時間があります。 すべての種類のイベント
MajorVirusType 整数 (列挙) 検出された不正プログラムの分類。0=ジョーク、1=トロイの木馬、2=ウイルス、3=テスト、4=スパイウェア、5=パッカー、6=一般的なプログラム、7=その他 不正プログラム対策 イベント
MajorVirusTypeString 文字列 MajorVirusTypeの内容を示す文字列。 不正プログラム対策 イベント
MalwareName 文字列 検出された不正プログラムの名前。 不正プログラム対策 イベント
MalwareType 整数 (列挙) 検出された不正プログラムの種類。1=一般的な不正プログラム、2=スパイウェア。一般的な不正プログラムの場合はInfectedFilePathが表示され、スパイウェアの場合は表示されません。 不正プログラム対策 イベント
ManagerNodeID 整数 イベントが生成された Workload Security ノードの一意の識別子。 システムイベント
ManagerNodeName 文字列 イベントが生成された Workload Security ノードの名前。 システムイベント
MD5 文字列 ソフトウェアのMD5チェックサム (ハッシュ) (ある場合)。 アプリケーションコントロールイベント
Number 整数 システムイベントにイベントを識別する追加IDが指定されています。 Workload Securityでは、このプロパティは「イベントID」として表示されます。 システムイベント
Operation 整数 (列挙) 0=不明、1= 検出のみモードのため許可、2=ブロック アプリケーションコントロール
Origin 整数 (列挙) イベントの生成元。-1 =不明、0 = Deep Security Agent、3 =Workload Security すべての種類のイベント
OriginString 文字列 Originの内容を示す判読可能な文字列。 すべての種類のイベント
OSSEC_Action 文字列 OSSECの処理 セキュリティログ監視 イベント
OSSEC_Command 文字列 OSSECのコマンド セキュリティログ監視 イベント
OSSEC_Data 文字列 OSSECのデータ セキュリティログ監視 イベント
OSSEC_Description 文字列 OSSECの説明 セキュリティログ監視 イベント
OSSEC_DestinationIP 文字列 OSSECの送信先IP セキュリティログ監視 イベント
OSSEC_DestinationPort 文字列 OSSECの送信先ポート セキュリティログ監視 イベント
OSSEC_DestinationUser 文字列 OSSECの送信先ユーザ セキュリティログ監視 イベント
OSSEC_FullLog 文字列 OSSECの完全なログ セキュリティログ監視 イベント
OSSEC_Groups 文字列 OSSECのグループの結果 (例: syslog,authentication_failure) セキュリティログ監視 イベント
OSSEC_Hostname 文字列 OSSECのホスト名。これはログエントリから読み取られたホストの名前であり、イベントが生成されたホストの名前と同じとは限りません。 セキュリティログ監視 イベント
OSSEC_ID 文字列 OSSECのID セキュリティログ監視 イベント
OSSEC_Level 整数 (列挙) OSSECのレベル。0~15の整数。0~3=重要度: 低、4~7=重要度: 中、8~11=重要度: 高、12~15=重要度: 重大。 セキュリティログ監視 イベント
OSSEC_Location 文字列 OSSECの場所 セキュリティログ監視 イベント
OSSEC_Log 文字列 OSSECのログ セキュリティログ監視 イベント
OSSEC_ProgramName 文字列 OSSECのプログラム名 セキュリティログ監視 イベント
OSSEC_Protocol 文字列 OSSECのプロトコル セキュリティログ監視 イベント
OSSEC_RuleID 整数 OSSECのルールID セキュリティログ監視 イベント
OSSEC_SourceIP 整数 OSSECの送信元IP セキュリティログ監視 イベント
OSSEC_SourcePort 整数 OSSECの送信元ポート セキュリティログ監視 イベント
OSSEC_SourceUser 整数 OSSECの送信元ユーザ セキュリティログ監視 イベント
OSSEC_Status 整数 OSSECのステータス セキュリティログ監視 イベント
OSSEC_SystemName 整数 OSSECのシステム名 セキュリティログ監視 イベント
OSSEC_URL 整数 OSSECのURL セキュリティログ監視 イベント
PacketData 整数 取り込まれたパケットデータの16進エンコード (パケットデータを取り込むようにルールで設定されている場合)。 侵入防御 イベント
PacketSize 整数 ネットワークパケットのサイズ。 ファイアウォールイベント
Path 文字列 「/usr/bin/」など、許可またはブロックされたソフトウェアファイルのディレクトリパス(ファイル名は「FileName」内に分けられています)。 アプリケーションコントロールイベント
PatternVersion 整数 (列挙) 不正プログラム検出パターンファイルのバージョン。 不正プログラム対策 イベント
PayloadFlags 整数 侵入防御フィルタフラグ。次のフラグ値を含むビットマスク値: 1 - データ切り捨て - データをログに記録できませんでした。2 - ログオーバーフロー - このログの後にログがオーバーフローしました。4 - 抑制 - このログの後にログ数のしきい値が抑制されました。8 - データあり - パケットデータが格納されています。16 - 参照データ - 以前にログに記録されたデータを参照しています。 侵入防御 イベント
PodID 文字列 ポッド一意のID(UID) 侵入防御 イベント、 ファイアウォール イベント
PosInBuffer 整数 イベントをトリガしたデータのパケット内の位置。 侵入防御 イベント
PosInStream 整数 イベントをトリガしたデータのストリーム内の位置。 侵入防御 イベント
Process 文字列 イベントを生成したプロセスの名前 (該当する場合)。 変更監視 イベント
ProcessID 整数 イベントを生成したプロセスの識別子 (PID) (該当する場合)。 アプリケーションコントロール イベント、 侵入防御 イベント、 ファイアウォール イベント
ProcessName 文字列 「/usr/bin/bash」など、イベントを生成したプロセスの名前 (該当する場合)。 アプリケーションコントロール イベント、 侵入防御 イベント、 ファイアウォール イベント
Protocol 整数 (列挙) ネットワークプロトコルのID。-1=不明、1=ICMP、2=IGMP、3=GGP、6=TCP、12=PUP、17=UDP、22=IDP、58=ICMPv6、77=ND、255=RAW ファイアウォール イベント、 侵入防御 イベント
ProtocolString 文字列 Protocolの内容を示す文字列。 ファイアウォール イベント、 侵入防御 イベント
Rank 整数 イベントのランク。コンピュータに割り当てられている資産評価に、この重要度のイベントに対して設定されている重要度の値を掛けた数値です。 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
Reason 文字列 イベントをトリガした Workload Securityルールまたは設定オブジェクトの名前、または( ファイアウォール および 侵入防御の場合)イベントがルールによってトリガされなかった場合の[ステータス]から[文字列]へのマッピング。アプリケーションコントロールでは、「Reason」が「なし」になる場合があります。その場合は、代わりに「BlockReason」を参照してください。 ファイアウォール、侵入防御、整合性監視、不正プログラム対策、および アプリケーションコントロール イベント
RepeatCount 整数 このイベントが繰り返し発生した回数。1の場合は、イベントが1回だけ確認され、その後に繰り返されていないことを示しています。 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
Risk 整数 (列挙) アクセスしたURLのリスクレベル: 変換後。2=不審、3=非常に不審、4=危険、5=未評価、6=管理者によるブロック Webレピュテーションイベント
RiskLevel 整数 URLのリスクレベル: 変換前 (0~100)。URLがブロックルールによってブロックされた場合は表示されません。 Webレピュテーションイベント
RiskString 文字列 Riskの内容を示す文字列。 Webレピュテーションイベント
ScanAction1 整数 検索処理1。検索処理1& 2および検索結果の処理1& 2とErrorCodeを組み合わせて1つの「summaryScanResult」を形成します。 不正プログラム対策 イベント
ScanAction2 整数 検索処理2。 不正プログラム対策 イベント
ScanResultAction1 整数 検索結果処理1。 不正プログラム対策 イベント
ScanResultAction2 整数 検索結果処理2。 不正プログラム対策 イベント
ScanResultString 文字列 不正プログラム検索の結果を示す文字列。ScanAction 1と2、ScanActionResult 1と2、およびErrorCodeの組み合わせです。 不正プログラム対策 イベント
ScanType 整数 (列挙) イベントを生成した不正プログラム検索の種類。0=リアルタイム、1=手動、2=予約、3=クイック検索 不正プログラム対策 イベント
ScanTypeString 文字列 ScanTypeの内容を示す文字列。 不正プログラム対策 イベント
重要度 整数 1=情報、2=警告、3=エラー システムイベント
Severity 整数 (列挙) 1=低、2=中、3=高、4=重大 変更監視 イベント、 侵入防御 イベント
SeverityString 文字列 Severityの内容を示す判読可能な文字列。 システムイベント、 変更監視 イベント、 侵入防御 イベント
SeverityString 文字列 OSSEC_Levelの内容を示す判読可能な文字列。 セキュリティログ監視 イベント
SHA1 文字列 ソフトウェアのSHA-1チェックサム (ハッシュ) (ある場合)。 アプリケーションコントロールイベント
SHA256pacteracontextmathced 文字列 ソフトウェアのSHA-256チェックサム (ハッシュ) (ある場合)。 アプリケーションコントロールイベント
SourceIP 文字列 (IP) パケットの送信元IPアドレス。 ファイアウォール イベント、 侵入防御 イベント
SourceMAC 文字列 (MAC) パケットの送信元MACアドレス。 ファイアウォール イベント、 侵入防御 イベント
SourcePort 整数 パケットのネットワーク送信元ポート番号。 ファイアウォール イベント、 侵入防御 イベント
Status 整数 このイベントが特定のファイアウォールルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: 123=ポリシーで未許可 ファイアウォールイベント
Status 整数 このイベントが特定の侵入防御ルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: -504=無効なUTF8の符号化 侵入防御 イベント
Tags 文字列 イベントに適用されているタグのカンマ区切りのリスト。このリストには、イベントの生成時に自動的に適用されるタグのみが含まれます。 すべての種類のイベント
TagSetID 整数 イベントに適用されたタグのグループの識別子。 すべての種類のイベント
TargetID 整数 イベントの対象の一意の識別子。この識別子は、テナント内の同じ種類の対象では一意ですが、異なる種類の対象では同じになる場合があります。たとえば、コンピュータとポリシーの対象IDがどちらも10になることがあります。 システムイベント
TargetIP 文字列 (IP) Webレピュテーションイベントの生成時にアクセスしていたIPアドレス。 Webレピュテーションイベント
TargetName 文字列 イベントの対象の名前。システムイベントの対象は、コンピュータ、ポリシー、ユーザ、ロール、タスクなど、さまざまです。 システムイベント
TargetType 文字列 イベントの対象の種類。 システムイベント
TenantID 整数 イベントに関連付けられたテナントの一意の識別子。 すべての種類のイベント
TenantName 文字列 イベントに関連付けられたテナントの名前。 すべての種類のイベント
ThreadID 文字列 イベントを発生させた(コンテナからの)スレッドのID。 侵入防御 イベント、 ファイアウォール イベント
Title 文字列 イベントのタイトル。 システムイベント
URL 文字列 (URL) イベントの生成時にアクセスしていたURL。 Webレピュテーションイベント
User 文字列 変更監視イベントの対象となったユーザアカウント (特定された場合)。 変更監視 イベント
UserID 文字列 「0」など、ソフトウェアを起動しようとしたユーザアカウントのユーザID (UID) (ある場合)。 アプリケーションコントロールイベント
UserName 文字列 「root」など、ソフトウェアを起動しようとしたユーザアカウントのユーザ名 (ある場合)。 アプリケーションコントロールイベント

イベントプロパティのデータタイプ

JSONとして転送されるイベントでは、通常は他のデータタイプのエンコードに文字列が使用されます。

データタイプ 説明
ブール JSON trueまたはfalse
整数

JSON int.Workload Security では、イベント内の浮動小数点数は出力されません。

イベント内の整数は32ビットを超えることがあります。イベント処理用のコードでこの整数を処理できることを確認してください。たとえば、JavaScriptのNumberデータタイプは、32ビットを超える整数を安全に処理できません

整数 (列挙) JSON int。一連の列挙値に限定されます。
文字列 JSON string.
文字列 (日付) JSON string。日時として、YYYY-MM-DDThh:mm:ss.sssZのパターン (ISO 8601) で形式設定されています。「Z」はタイムゾーンです。「sss」は1秒未満の秒数を表す3桁です。W3Cの日付と時刻の形式に関する説明も参照してください。
文字列 (IP) JSON string。IPv4またはIPv6アドレスとして形式設定されています。
文字列 (MAC) JSON string。ネットワークMACアドレスとして形式設定されています。
文字列 (URL) JSON string。URLとして形式設定されています。
文字列 (列挙) JSON string。一連の列挙値に限定されます。

JSON形式のイベントの例

システムイベント

{
  "Type" :            "Notification",
  "MessageId" :       "123abc-123-123-123-123abc",
  "TopicArn" :        "arn:aws:sns:us-west-2:123456789:DS_Events",
  "Message" :         "[
                        {
                          "ActionBy":"System",
                          "Description":"Alert: New Pattern Update is Downloaded and Available\\nSeverity: Warning\",
                          "EventID":6813,
                          "EventType":"SystemEvent",
                          "LogDate":"2018-12-04T15:54:24.086Z",
                          "ManagerNodeID":123,
                          "ManagerNodeName":"job7-123",
                          "Number":192,
                          "Origin":3,
                          "OriginString":"Manager",
                          "Severity":1,
                          "SeverityString":"Info",
                          "Tags":"\",
                          "TargetID":1,
                          "TargetName":"ec2-12-123-123-123.us-west-2.compute.amazonaws.com",
                          "TargetType":"Host",
                          "TenantID":123,
                          "TenantName":"Umbrella Corp.",
                          "Title":"Alert Ended"
                        }
                      ]",
  "Timestamp" :       "2018-12-04T15:54:25.130Z",
  "SignatureVersion" : "1",
  "Signature" :       "500PER10NG5!gnaTURE==",
  "SigningCertURL" :  "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
  "UnsubscribeURL" :  "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}

不正プログラム対策 イベント

各SNS Messageに複数のウイルス検出イベントを含めることができます(簡略化のため、次の例では繰り返されるイベントプロパティを省略し、「...」で示しています)。

{
  "Type" :            "Notification",
  "MessageId" :       "123abc-123-123-123-123abc",
  "TopicArn" :        "arn:aws:sns:us-west-2:123456789:DS_Events",
  "Message" :         "[
                        {
                          "AMTargetTypeString":"N/A",
                          "ATSEDetectionLevel":0,
                          "CreationTime":"2018-12-04T15:57:18.000Z",
                          "EngineType":1207959848,
                          "EngineVersion":"10.0.0.1040",
                          "ErrorCode":0,
                          "EventID":1,
                          "EventType":"AntiMalwareEvent",
                          "HostAgentGUID":"4A5BF25A-4446-DD8B-DFB7-564C275F5F6B",
                          "HostAgentVersion":"11.1.0.163",
                          "HostID":1,
                          "HostOS":"Amazon Linux (64 bit) (4.14.62-65.117.amzn1.x86_64)",
                          "HostSecurityPolicyID":3,
                          "HostSecurityPolicyName":"PolicyA",
                          "Hostname":"ec2-12-123-123-123.us-west-2.compute.amazonaws.com",
                          "InfectedFilePath":"/tmp/eicar_1543939038890.txt",
                          "LogDate":"2018-12-04T15:57:19.000Z",
                          "MajorVirusType":2,
                          "MajorVirusTypeString":"Virus",
                          "MalwareName":"Eicar_test_file",
                          "MalwareType":1,
                          "ModificationTime":"2018-12-04T15:57:18.000Z",
                          "Origin":0,
                          "OriginString":"Agent",
                          "PatternVersion":"14.665.00",
                          "Protocol":0,
                          "Reason":"Default Real-Time Scan Configuration",
                          "ScanAction1":4,
                          "ScanAction2":3,
                          "ScanResultAction1":-81,
                          "ScanResultAction2":0,
                          "ScanResultString":"Quarantined",
                          "ScanType":0,
                          "ScanTypeString":"Real Time",
                          "Tags":"\",
                          "TenantID":123,
                          "TenantName":"Umbrella Corp."},
                        {
                          "AMTargetTypeString":"N/A",
                          "ATSEDetectionLevel":0,
                          "CreationTime":"2018-12-04T15:57:21.000Z",
                          ...},
                        {
                          "AMTargetTypeString":"N/A",
                          "ATSEDetectionLevel":0,
                          "CreationTime":"2018-12-04T15:57:29.000Z",
                          ...
                        }
                      ]",
  "Timestamp" :       "2018-12-04T15:57:50.833Z",
  "SignatureVersion" : "1",
  "Signature" :       "500PER10NG5!gnaTURE==",
  "SigningCertURL" :  "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
  "UnsubscribeURL" :  "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}