目次

JSON形式のイベント

Amazon SNSに公開される際、イベントは文字列にエンコードされるJSONオブジェクトの配列として、SNS Messageで送信されます。配列内の各オブジェクトが1つのイベントです。

有効なプロパティはイベントの種類によって異なります。たとえば、 MajorVirusType は Workload Security不正プログラム対策 イベントに対してのみ有効なプロパティで、システムイベントなどでは無効です。有効なプロパティ値はプロパティごとに異なります。例については、「JSON形式のイベントの例」を参照してください。

イベントプロパティ値は、SNSトピックに公開されるイベントをフィルタする際に使用できます。詳細については、「JSON形式でのSNS設定」を参照してください。

有効なイベントプロパティ

次の表では、イベントのプロパティについて説明します。

一部のイベントには、イベントの種類に通常適用されるすべてのプロパティがないことに注意してください。

プロパティ名 データタイプ 説明 適用されるイベントの種類
ACRulesetID 整数 イベントが検出されたコンピュータに適用されたアプリケーションコントロールルールセットの一意の識別子。 アプリケーションコントロールイベント
Action 文字列 (列挙) アプリケーションコントロールイベントに対して実行された処理。「ソフトウェアの実行をルールでブロック」、「承認されていないソフトウェアの実行を許可」(検出のみモードのため)、「承認されていないソフトウェアの実行をブロック」など。 アプリケーションコントロールイベント
Action 整数 (列挙) ファイアウォールイベントに対して実行された処理。[検出のみ] の値は、ルールが有効になっていた場合に実行されたであろう処理を示します。0=不明、1=拒否、6=ログのみ、0x81=検出のみ: 拒否。 ファイアウォールイベント
Action 整数 (列挙) 侵入防御イベントに対して実行された処理。0=不明、1=拒否、2=リセット、3=挿入、4=削除、5=置換、6=ログのみ、0x81=検出のみ: 拒否、0x82=検出のみ: リセット、0x83=検出のみ: 挿入、0x84=検出のみ: 削除、0x85=検出のみ: 置換。 侵入防御イベント
ActionBy 文字列 イベントを実行した Workload Security ユーザの名前。イベントがユーザによって生成されなかった場合は「システム」 システムイベント
ActionReasonDesc 文字列 処理がブロックされた理由。 アプリケーションコントロールイベント
ActionString 文字列 処理の文字列への変換。 ファイアウォールイベント、侵入防御イベント
AdministratorID 整数 アクションを実行した Workload Security ユーザの一意の識別子。ユーザではなくシステムによって生成されたイベントには、識別子は割り当てられません。 システムイベント
AggregationType 整数 (列挙) アプリケーションコントロールイベントが繰り返し発生したかどうか。「AggregationType」が「0」以外の場合、発生回数が「RepeatCount」に入ります。0=未集計、1=ファイル名、パス、およびイベントの種類に基づいた集計、2=イベントの種類に基づいた集計 アプリケーションコントロールイベント
AMTarget 文字列 不正プログラムが操作を試みた対象のファイル、プロセス、またはレジストリキー (ある場合)。不正プログラムの対象が複数に及ぶ場合、このフィールドの値は「Multiple」になります。 不正プログラム対策イベント
AMTargetCount 整数 ターゲットファイルの数。 不正プログラム対策イベント
AMTargetType 整数 この不正プログラムが影響を及ぼそうとしていたシステムリソースの種類の数値コード。説明バージョンについては、「AMTargetTypeString」を参照してください。0 =不明、1 =プロセス、2 =レジストリ、3 =ファイルシステム、4 =起動、5 =攻撃コード、6 = API、7 =メモリ、8 =ネットワーク接続、9 =未分類 不正プログラム対策イベント
AMTargetTypeString 文字列 この不正プログラムが操作を試みたシステムリソースの種類。ファイルシステム、プロセス、Windowsレジストリなどです。 不正プログラム対策イベント
ATSEDDetectionLevel 整数 ドキュメントの脆弱性攻撃からの保護の検出レベル。 不正プログラム対策イベント
ApplicationType 文字列 侵入防御ルールに関連付けられたネットワークアプリケーションの種類の名前 (該当する場合)。 侵入防御イベント
BehaviorRuleId 文字列 内部不正プログラムのケース追跡の挙動監視ルールIDです。 不正プログラム対策イベント
BehaviorType 文字列 検出された挙動監視イベントの種類。 不正プログラム対策イベント
BlockReason 整数 (列挙) 処理に応じた実行理由。0=不明、1=ルールによってブロック、2=承認されていないためブロック アプリケーションコントロールイベント
Change 整数 (列挙) 変更監視イベントでファイル、プロセス、レジストリキーなどに対して行われた変更の種類。1=作成、2=アップデート、3=削除、4=拡張子変更。 変更監視イベント
ChangeString 文字列 変更監視イベントのファイル、プロセス、レジストリキーなどに加えられた変更の種類:作成、更新、削除、または名前変更 変更監視イベント
CloudOneAccountID 文字列 Cloud One アカウントのID。 すべての種類のイベント
CommandLine 文字列 対象プロセスが実行したコマンド。 不正プログラム対策イベント
ContainerID 文字列 イベントが発生したコンテナのID。 不正プログラム対策イベント、侵入防御イベント、ファイアウォールイベント
ContainerImageName 文字列 不正プログラムが検出されたDockerコンテナのイメージ名。 不正プログラム対策イベント
ContainerName 文字列 イベントが発生したコンテナの名前。 不正プログラム対策イベント、侵入防御イベント、ファイアウォールイベント
CreationTime 文字列 (日付) 感染ファイルの作成日時。 不正プログラム対策イベント
Cve 文字列 Common Vulnerabilities and Exposuresのいずれかでプロセスの動作が特定された場合のCVE情報。 不正プログラム対策イベント
DataIndex 整数 パケットデータの一意のID。 侵入防御イベント
Description 文字列 エンティティに対して行われた変更 (作成、削除、アップデート) の説明と変更された属性に関する詳細。 変更監視イベント
Description 文字列 イベントの内容を示す簡単な説明。 システムイベント
DestinationIP 文字列 (IP) パケットの送信先のIPアドレス。 ファイアウォールイベント、侵入防御イベント
DestinationMAC 文字列 (MAC) パケットの送信先のMACアドレス。 ファイアウォールイベント、侵入防御イベント
DestinationPort 整数 パケットの送信先のネットワークポート番号 ファイアウォールイベント、侵入防御イベント
DetectionCategory 整数 (列挙) Webレピュテーションイベントの検出カテゴリ。12=ユーザ定義、13=カスタム、91=グローバル。 Webレピュテーションイベント
DetectOnly ブール イベントが返されたときに [検出のみ] フラグがオンだったかどうか。trueの場合、URLへのアクセスが検出されましたが、ブロックはされていません。 Webレピュテーションイベント
Direction 整数 (列挙) ネットワークパケットの方向。0=受信、1=送信。 ファイアウォールイベント、侵入防御イベント
DirectionString 文字列 方向の文字列への変換。 ファイアウォールイベント、侵入防御イベント
DriverTime 整数 ドライバで記録されたログ生成時刻。 ファイアウォールイベント、侵入防御イベント
EndLogDate 文字列 (日付) 繰り返し発生したイベントについての最終ログ日付。繰り返し発生したイベント以外に対しては表示されません。 ファイアウォールイベント、侵入防御イベント
EngineType 整数 不正プログラム対策エンジンの種類。 不正プログラム対策イベント
EngineVersion 文字列 不正プログラム対策エンジンのバージョン。 不正プログラム対策イベント
EntityType 文字列 (列挙) 変更監視イベントが該当するエンティティの種類: Directory、File、Group、InstalledSoftware、Port、Process、RegistryKey、RegistryValue、Service、User、またはWql 変更監視イベント
ErrorCode 整数 不正プログラム検索イベントのエラーコード。0以外の場合、検索に失敗したことを示しており、検索処理および検索結果のフィールドに詳細が表示されます。 不正プログラム対策イベント
EventID 整数 非推奨。代わりにUniqueIDを使用してください。このフィールドの値は、2021年1月1日以降は常に0になります。 すべての種類のイベント
EventType 文字列 (列挙) イベントの種類。次のいずれかです: 「SystemEvent」、「PacketLog」、「PayloadLog」、「AntiMalwareEvent」、「WebReputationEvent」、「IntegrityEvent」、「LogInspectionEvent」、「AppControlEvent」。 すべての種類のイベント
FileName 文字列 「script.sh」など、許可またはブロックされたソフトウェアのファイル名(フルパスは「Path」内に分けられています)。 アプリケーションコントロールイベント
FileSHA1 文字列 感染ファイルのfilesha1(セキュアハッシュアルゴリズム1の結果)。 不正プログラム対策イベント
FileSize 整数 許可またはブロックされたソフトウェアのファイルサイズ アプリケーションコントロールイベント
Flags 文字列 ネットワークパケットから記録されたフラグ (スペース区切りの文字列のリスト)。 ファイアウォールイベント、侵入防御イベント
Flow 整数 (列挙) ネットワーク接続フロー。有効な値: -1=利用不可、0=接続フロー、1=リバースフロー ファイアウォールイベント、侵入防御イベント
FlowString 文字列 フローの文字列への変換。 ファイアウォールイベント、侵入防御イベント
ForwardedSrc 配列(バイト) 転送されたパケットの送信元情報 侵入防御イベント
Frame 整数 (列挙) フレームの種類。-1=不明、2048=IP、2054=ARP、32821=REVARP、33169=NETBEUI、0x86DD=IPv6 ファイアウォールイベント、侵入防御イベント
FrameString 文字列 Frameの内容を示す文字列。 ファイアウォールイベント、侵入防御イベント
GroupID 文字列 「0」など、ソフトウェアを起動しようとしたユーザアカウントのグループID (ある場合)。 アプリケーションコントロールイベント
GroupName 文字列 「root」など、ソフトウェアを起動しようとしたユーザアカウントのグループ名 (ある場合)。 アプリケーションコントロールイベント
HostAgentVersion 文字列 イベントが検出されたコンピュータを保護していたエージェントのバージョン。 アプリケーションコントロールイベント、不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
HostAgentGUID 文字列 Workload Securityで有効化された場合のエージェントのグローバル一意識別子(GUID)。 不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
HostAssetValue 整数 イベントが生成された時点のコンピュータの資産評価。 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
HostCloudType 文字列 Deep Security Agentがホストされているクラウドサービスプロバイダ。 不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
HostGUID 文字列 Deep Security Agentのグローバル一意識別子(GUID)。 不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
HostGroupID 整数 イベントが検出されたコンピュータが属するコンピュータグループの一意の識別子。 アプリケーションコントロールイベント、不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
HostGroupName 文字列 イベントが検出されたコンピュータが属するコンピュータグループの名前。コンピュータグループ名は一意とは限らないことに注意してください。 アプリケーションコントロールイベント、不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
HostID 整数 イベントが発生したコンピュータの一意の識別子。 不正プログラム対策イベント、 Webレピュテーションイベント、 変更監視イベント、 セキュリティログ監視イベント、 ファイアウォールイベント、 侵入防御イベント、 アプリケーションコントロールイベント
HostInstanceID 文字列 イベントが検出されたコンピュータのクラウドインスタンスID。このプロパティは、クラウドコネクタと同期されたコンピュータに対してのみ設定されます。 アプリケーションコントロールイベント、 不正プログラム対策イベント、 Webレピュテーションイベント、 変更監視イベント、 セキュリティログ監視イベント、 ファイアウォールイベント、 侵入防御イベント
HostLastIPUsed 文字列 (IP) Deep Security Managerとの通信時にエージェントからアップデートされた最新のIPアドレス。 不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
Hostname 文字列 イベントが生成されたコンピュータのホスト名。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostOS 文字列 イベントが検出されたコンピュータのOS。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostOwnerID 文字列 イベントが検出されたコンピュータのクラウドアカウントID。このプロパティは、クラウドコネクタと同期されたコンピュータに対してのみ設定されます。 アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
HostSecurityPolicyID 整数 イベントが検出されたコンピュータに適用された Workload Security ポリシーの一意の識別子。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostSecurityPolicyName 文字列 イベントが検出されたコンピュータに適用された Workload Security ポリシーの名前。セキュリティポリシー名は一意とは限らないことに注意してください。 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
HostVCUUID 文字列 イベントが適用されるコンピュータのvCenter UUID (特定された場合)。 アプリケーションコントロール イベント、 不正プログラム対策 イベント、 Webレピュテーション イベント、 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
ImageDigest 文字列 コンテナイメージの識別に使用されるデータの一意の概要。 侵入防御イベント、 ファイアウォールイベント
ImageID 文字列 イベントが発生した Docker コンテナのイメージID 侵入防御イベント
ImageName 文字列 イベントが発生したコンテナの作成に使用されたイメージ名。 侵入防御イベント、 ファイアウォールイベント
InfectedFilePath 文字列 不正プログラム検出で見つかった感染ファイルのパス。 不正プログラム対策 イベント
InfectionSource 文字列 不正プログラム感染元のコンピュータの名前 (特定された場合)。 不正プログラム対策 イベント
Interface 文字列 (MAC) パケットを送信または受信するネットワークインタフェースのMACアドレス。 ファイアウォール イベント、 侵入防御 イベント
InterfaceType 文字列 コンテナインタフェースの種類。0 =物理インタフェースは、 Workload Security、1 =すべての仮想インタフェース、7 =不明なタイプ(通常はホストインタフェース)で個別に制御できるホストに属します。 侵入防御イベント、 ファイアウォールイベント
IPDatagramLength 整数 IPデータグラムの長さ。 侵入防御イベント
IsHash 文字列 ファイルの変更後のSHA-1コンテンツハッシュ (16進エンコード)。 変更監視 イベント
Key 文字列 整合性イベントが参照しているファイルまたはレジストリキー。 変更監視 イベント
LogDate 文字列 (日付) イベントが記録された日時。エージェントで生成されたイベント(ファイアウォール、IPSなど)の場合は、イベントがエージェントで記録された時刻であり、 Workload Securityでイベントが受信された時刻ではありません。 すべての種類のイベント
MajorVirusType 整数 (列挙) 検出された不正プログラムの分類。0=ジョーク、1=トロイの木馬、2=ウイルス、3=テスト、4=スパイウェア、5=パッカー、6=一般的なプログラム、7=その他 不正プログラム対策 イベント
MajorVirusTypeString 文字列 MajorVirusTypeの内容を示す文字列。 不正プログラム対策 イベント
MalwareName 文字列 検出された不正プログラムの名前。 不正プログラム対策 イベント
MalwareType 整数 (列挙) 検出された不正プログラムの種類。1=一般的な不正プログラム、2=スパイウェア。一般的な不正プログラムの場合はInfectedFilePathが表示され、スパイウェアの場合は表示されません。 不正プログラム対策 イベント
ManagerNodeID 整数 イベントが生成された Workload Security ノードの一意の識別子。 システムイベント
ManagerNodeName 文字列 イベントが生成された Workload Security ノードの名前。 システムイベント
MD5 文字列 ソフトウェアのMD5チェックサム (ハッシュ) (ある場合)。 アプリケーションコントロールイベント
Mitre 文字列 MITER攻撃のシナリオのいずれかでプロセスの動作が特定された場合のMITRE情報。 不正プログラム対策 イベント
ModificationTime 文字列 (日付) 感染ファイルの変更日時。 不正プログラム対策 イベント
Note 配列(バイト) イベントが発生したパケットに関するエンコードされたメモ。 侵入防御イベント
Number 整数 システムイベントにイベントを識別する追加IDが指定されています。Workload Securityでは、このプロパティは「イベントID」として表示されます。 システムイベント
Operation 整数 (列挙) 0=不明、1= 検出のみモードのため許可、2=ブロック アプリケーションコントロール
OperationDesc 文字列 操作の値を示します。 アプリケーションコントロールイベント
Origin 整数 (列挙) イベントの生成元。-1 =不明、0 =Agent、3 =Workload Security すべての種類のイベント
OriginString 文字列 Originの内容を示す判読可能な文字列。 すべての種類のイベント
OSSEC_Action 文字列 OSSECの処理 セキュリティログ監視 イベント
OSSEC_Command 文字列 OSSECのコマンド セキュリティログ監視 イベント
OSSEC_Data 文字列 OSSECのデータ セキュリティログ監視 イベント
OSSEC_Description 文字列 OSSECの説明 セキュリティログ監視 イベント
OSSEC_DestinationIP 文字列 OSSECの送信先IP セキュリティログ監視 イベント
OSSEC_DestinationPort 文字列 OSSECの送信先ポート セキュリティログ監視 イベント
OSSEC_DestinationUser 文字列 OSSECの送信先ユーザ セキュリティログ監視 イベント
OSSEC_FullLog 文字列 OSSECの完全なログ セキュリティログ監視 イベント
OSSEC_Groups 文字列 OSSECのグループの結果 (例: syslog,authentication_failure) セキュリティログ監視 イベント
OSSEC_Hostname 文字列 OSSECのホスト名。これはログエントリから読み取られたホストの名前であり、イベントが生成されたホストの名前と同じとは限りません。 セキュリティログ監視 イベント
OSSEC_ID 文字列 OSSECのID セキュリティログ監視 イベント
OSSEC_Level 整数 (列挙) OSSECのレベル。0~15の整数。0~3=重要度: 低、4~7=重要度: 中、8~11=重要度: 高、12~15=重要度: 重大。 セキュリティログ監視 イベント
OSSEC_Location 文字列 OSSECの場所 セキュリティログ監視 イベント
OSSEC_Log 文字列 OSSECのログ セキュリティログ監視 イベント
OSSEC_ProgramName 文字列 OSSECのプログラム名 セキュリティログ監視 イベント
OSSEC_Protocol 文字列 OSSECのプロトコル セキュリティログ監視 イベント
OSSEC_RuleID 整数 OSSECのルールID セキュリティログ監視 イベント
OSSEC_SourceIP 整数 OSSECの送信元IP セキュリティログ監視 イベント
OSSEC_SourcePort 整数 OSSECの送信元ポート セキュリティログ監視 イベント
OSSEC_SourceUser 整数 OSSECの送信元ユーザ セキュリティログ監視 イベント
OSSEC_Status 整数 OSSECのステータス セキュリティログ監視 イベント
OSSEC_SystemName 整数 OSSECのシステム名 セキュリティログ監視 イベント
OSSEC_URL 整数 OSSECのURL セキュリティログ監視 イベント
PacketData 整数 取り込まれたパケットデータの16進エンコード (パケットデータを取り込むようにルールで設定されている場合)。 侵入防御イベント
PacketSize 整数 ネットワークパケットのサイズ。 ファイアウォールイベント
Path 文字列 「/usr/bin/」など、許可またはブロックされたソフトウェアファイルのディレクトリパス(ファイル名は「FileName」内に分けられています)。 アプリケーションコントロールイベント
PatternVersion 整数 (列挙) 不正プログラム検出パターンファイルのバージョン。 不正プログラム対策 イベント
PayloadFlags 整数 侵入防御フィルタフラグ。次のフラグ値を含むビットマスク値: 1 - データ切り捨て - データをログに記録できませんでした。2 - ログオーバーフロー - このログの後にログがオーバーフローしました。4 - 抑制 - このログの後にログ数のしきい値が抑制されました。8 - データあり - パケットデータが格納されています。16 - 参照データ - 以前にログに記録されたデータを参照しています。 侵入防御イベント
PodID 文字列 ポッド一意のID(UID) 侵入防御イベント、 ファイアウォールイベント
PosInBuffer 整数 イベントをトリガしたデータのパケット内の位置。 侵入防御イベント
PosInStream 整数 イベントをトリガしたデータのストリーム内の位置。 侵入防御イベント
Process 文字列 イベントを生成したプロセスの名前 (該当する場合)。 変更監視 イベント
Process 文字列 検出された挙動監視イベントのプロセス名。 不正プログラム対策 イベント
ProcessID 整数 イベントを生成したプロセスの識別子 (PID) (該当する場合)。 アプリケーションコントロールイベント、 侵入防御イベント、 ファイアウォールイベント
ProcessName 文字列 「/usr/bin/bash」など、イベントを生成したプロセスの名前 (該当する場合)。 アプリケーションコントロールイベント、 侵入防御イベント、 ファイアウォールイベント
Protocol 整数 (列挙) ネットワークプロトコルのID。-1=不明、1=ICMP、2=IGMP、3=GGP、6=TCP、12=PUP、17=UDP、22=IDP、58=ICMPv6、77=ND、255=RAW ファイアウォール イベント、 侵入防御 イベント
Protocol 整数 ファイル検索プロトコルの数値。0 =ローカルファイル 不正プログラム対策 イベント
ProtocolString 文字列 Protocolの内容を示す文字列。 ファイアウォール イベント、 侵入防御 イベント
Rank 整数 イベントのランク。コンピュータに割り当てられている資産評価に、この重要度のイベントに対して設定されている重要度の値を掛けた数値です。 変更監視 イベント、 セキュリティログ監視 イベント、 ファイアウォール イベント、 侵入防御 イベント
Reason 文字列 イベントをトリガした Workload Securityルールまたは設定オブジェクトの名前、または( ファイアウォール および 侵入防御の場合)イベントがルールによってトリガされなかった場合の[ステータス]から[文字列]へのマッピング。アプリケーションコントロールでは、「Reason」が「なし」になる場合があります。その場合は、代わりに「BlockReason」を参照してください。 ファイアウォール, 侵入防御, 変更監視, セキュリティログ監視, 不正プログラム対策および アプリケーションコントロール イベント
RepeatCount 整数 このイベントが繰り返し発生した回数。1の場合は、イベントが1回だけ確認され、その後に繰り返されていないことを示しています。 ファイアウォール イベント、 侵入防御 イベント、 アプリケーションコントロール イベント
Risk 整数 (列挙) アクセスしたURLのリスクレベル: 変換後。2=不審、3=非常に不審、4=危険、5=未評価、6=管理者によるブロック Webレピュテーションイベント
RiskLevel 整数 URLのリスクレベル: 変換前 (0~100)。URLがブロックルールによってブロックされた場合は表示されません。 Webレピュテーションイベント
RiskString 文字列 Riskの内容を示す文字列。 Webレピュテーションイベント
ScanAction1 整数 検索処理1。検索処理1& 2および検索結果の処理1& 2とErrorCodeを組み合わせて1つの「summaryScanResult」を形成します。 不正プログラム対策 イベント
ScanAction2 整数 検索処理2。 不正プログラム対策 イベント
ScanResultAction1 整数 検索結果処理1。 不正プログラム対策 イベント
ScanResultAction2 整数 検索結果処理2。 不正プログラム対策 イベント
ScanResultString 文字列 不正プログラム検索の結果を示す文字列。ScanAction 1と2、ScanActionResult 1と2、およびErrorCodeの組み合わせです。 不正プログラム対策 イベント
ScanType 整数 (列挙) イベントを生成した不正プログラム検索の種類。0=リアルタイム、1=手動、2=予約、3=クイック検索 不正プログラム対策 イベント
ScanTypeString 文字列 ScanTypeの内容を示す文字列。 不正プログラム対策 イベント
Severity 整数 1=情報、2=警告、3=エラー システムイベント
Severity 整数 (列挙) 1=低、2=中、3=高、4=重大 変更監視 イベント、 侵入防御 イベント
SeverityString 文字列 Severityの内容を示す判読可能な文字列。 システムイベント、 変更監視 イベント、 侵入防御 イベント
SeverityString 文字列 OSSEC_Levelの内容を示す判読可能な文字列。 セキュリティログ監視 イベント
SHA1 文字列 ソフトウェアのSHA-1チェックサム (ハッシュ) (ある場合)。 アプリケーションコントロールイベント
SHA256 文字列 ソフトウェアのSHA-256チェックサム (ハッシュ) (ある場合)。 アプリケーションコントロールイベント
SourceIP 文字列 (IP) パケットの送信元IPアドレス。 ファイアウォール イベント、 侵入防御 イベント
SourceMAC 文字列 (MAC) パケットの送信元MACアドレス。 ファイアウォール イベント、 侵入防御 イベント
SourcePort 整数 パケットのネットワーク送信元ポート番号。 ファイアウォール イベント、 侵入防御 イベント
Status 整数 このイベントが特定のファイアウォールルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: 123=ポリシーで未許可 ファイアウォールイベント
Status 整数 このイベントが特定の侵入防御ルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: -504=無効なUTF8の符号化 侵入防御イベント
Tags 文字列 イベントに適用されているタグのカンマ区切りのリスト。このリストには、イベントの生成時に自動的に適用されるタグのみが含まれます。 すべての種類のイベント
TagSetID 整数 イベントに適用されたタグのグループの識別子。 すべての種類のイベント
TargetID 整数 イベントの対象の一意の識別子。この識別子は、テナント内の同じ種類の対象では一意ですが、異なる種類の対象では同じになる場合があります。たとえば、コンピュータとポリシーの対象IDがどちらも10になることがあります。 システムイベント
TargetIP 文字列 (IP) Webレピュテーションイベントの生成時にアクセスしていたIPアドレス。 Webレピュテーションイベント
TargetName 文字列 イベントの対象の名前。システムイベントの対象は、コンピュータ、ポリシー、ユーザ、ロール、タスクなど、さまざまです。 システムイベント
TargetType 文字列 イベントの対象の種類。 システムイベント
TenantGUID 文字列 イベントに関連付けられたテナントのグローバル一意識別子(GUID)。 すべての種類のイベント
TenantID 整数 イベントに関連付けられたテナントの一意の識別子。 すべての種類のイベント
TenantName 文字列 イベントに関連付けられたテナントの名前。 すべての種類のイベント
ThreadID 文字列 イベントを発生させた(コンテナからの)スレッドのID。 侵入防御イベント、 ファイアウォールイベント
Title 文字列 イベントのタイトル。 システムイベント
UniqueID 整数 イベントのグローバル一意識別子。すべてのプラットフォーム、サービス、およびストレージの種類でイベントを一意に識別するフィールドです。 すべての種類のイベント
URL 文字列 (URL) イベントの生成時にアクセスしていたURL。 Webレピュテーションイベント
User 文字列 変更監視イベントの対象となったユーザアカウント (特定された場合)。 変更監視 イベント
UserID 文字列 「0」など、ソフトウェアを起動しようとしたユーザアカウントのユーザID (UID) (ある場合)。 アプリケーションコントロールイベント
UserName 文字列

不正プログラム対策 イベントの場合、イベントをトリガしたユーザアカウント名です。

アプリケーションコントロールイベントの場合、「root」など、ソフトウェアを起動しようとしたユーザアカウントのユーザ名(存在する場合)です。

不正プログラム対策 イベント、 アプリケーションコントロール イベント

イベントプロパティのデータタイプ

JSONとして転送されるイベントでは、通常は他のデータタイプのエンコードに文字列が使用されます。

データタイプ 説明
配列(バイト) バイト値で構成されるJSON array
ブール JSON trueまたはfalse
整数

JSON int.Workload Security では、イベント内の浮動小数点数は出力されません。

イベント内の整数は32ビットを超えることがあります。イベント処理用のコードでこの整数を処理できることを確認してください。たとえば、JavaScriptのNumberデータタイプは、32ビットを超える整数を安全に処理できません

整数 (列挙) JSON int。一連の列挙値に限定されます。
文字列 JSON string.
文字列 (日付) JSON string。日時として、YYYY-MM-DDThh:mm:ss.sssZのパターン (ISO 8601) で形式設定されています。「Z」はタイムゾーンです。「sss」は1秒未満の秒数を表す3桁です。W3Cの日付と時刻の形式に関する説明も参照してください。
文字列 (IP) JSON string。IPv4またはIPv6アドレスとして形式設定されています。
文字列 (MAC) JSON string。ネットワークMACアドレスとして形式設定されています。
文字列 (URL) JSON string。URLとして形式設定されています。
文字列 (列挙) JSON string。一連の列挙値に限定されます。

JSON形式のイベントの例

システムイベント

{
  "Type" :            "Notification",
  "MessageId" :       "123abc-123-123-123-123abc",
  "TopicArn" :        "arn:aws:sns:us-west-2:123456789:DS_Events",
  "Message" :         "[
                        {
                          "ActionBy":"System",
                          "CloudOneAccountID": "012345678900"
                          "Description":"Alert: New Pattern Update is Downloaded and Available\\nSeverity: Warning\",
                          "EventID":6813,
                          "EventType":"SystemEvent",
                          "LogDate":"2018-12-04T15:54:24.086Z",
                          "ManagerNodeID":123,
                          "ManagerNodeName":"job7-123",
                          "Number":192,
                          "Origin":3,
                          "OriginString":"Manager",
                          "Severity":1,
                          "SeverityString":"Info",
                          "Tags":"\",
                          "TargetID":1,
                          "TargetName":"ec2-12-123-123-123.us-west-2.compute.amazonaws.com",
                          "TargetType":"Host",
                          "TenantID":123,
                          "TenantName":"Umbrella Corp.",
                          "Title":"Alert Ended"
                          "UniqueID": "2e447b1889e712340f6d071cebd92ea9"
                        }
                      ]",
  "Timestamp" :       "2018-12-04T15:54:25.130Z",
  "SignatureVersion" : "1",
  "Signature" :       "500PER10NG5!gnaTURE==",
  "SigningCertURL" :  "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
  "UnsubscribeURL" :  "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}

不正プログラム対策 イベント

各SNS Messageには、複数のウイルス検出イベントを含めることができます。

簡潔にするために、繰り返されるイベントのプロパティは省略されています。

{
  "Type" :            "Notification",
  "MessageId" :       "123abc-123-123-123-123abc",
  "TopicArn" :        "arn:aws:sns:us-west-2:123456789:DS_Events",
  "Message" :         "[
                        {
                          "AMTarget": "VDSO memory",
                          "AMTargetCount": 1,
                          "AMTargetType": 7,
                          "AMTargetTypeString": "Memory",
                          "ATSEDetectionLevel": 0,
                          "BehaviorRuleId": "DIRTYCOW_MADVISE_EXPL",
                          "BehaviorType": "Exploit_Detection",
                          "CloudOneAccountID": "012345678900"
                          "CommandLine": "/tmp/demo -f esiv [xxxx]",
                          "Cve": "CVE-2016-5195",
                          "ErrorCode": 0,
                          "EventID": 1179519,
                          "EventType": "AntiMalwareEvent",
                          "FileSHA1": "CEF4644713633C0864D4283FEFA0CE174D48F115",
                          "HostAgentGUID": "FF8162DF-4CB5-B158-DE42-EBD52967FCF7",
                          "HostAgentVersion": "20.0.0.1685",
                          "HostGUID": "9089E800-41D3-2CA9-FF0B-3A30A42ED650",
                          "HostID": 38,
                          "HostLastIPUsed": "172.31.21.47",
                          "HostOS": "Red Hat Enterprise 7 (64 bit) (3.10.0-957.12.2.el7.x86_64)",
                          "HostSecurityPolicyID": 11,
                          "HostSecurityPolicyName": "Linux_AM_Sensor",
                          "Hostname": "ec2-3-131-151-239.us-east-2.compute.amazonaws.com",
                          "InfectedFilePath": "/tmp/demo",
                          "LogDate": "2021-01-07T10:32:11.000Z",
                          "MajorVirusType": 14,
                          "MajorVirusTypeString": "Suspicious Activity",
                          "MalwareName": "TM_MALWARE_BEHAVIOR",
                          "MalwareType": 4,
                          "Mitre": "T1068",
                          "Origin": 0,
                          "OriginString": "Agent",
                          "PatternVersion": "1.2.1189",
                          "Process": "testsys_m64",
                          "Protocol": 0,
                          "Reason": "Default Real-Time Scan Configuration",
                          "ScanAction1": 1,
                          "ScanAction2": 0,
                          "ScanResultAction1": 0,
                          "ScanResultAction2": 0,
                          "ScanResultString": "Passed",
                          "ScanType": 0,
                          "ScanTypeString": "Real Time",
                          "Tags": "",
                          "TenantGUID": "",
                          "TenantID": 0,
                          "TenantName": "Primary",
                          "UniqueID": "2e447b1889e712340f6d071cebd92ea9"
                          "UserName": "root"  
                        }
                      ]",
  "Timestamp" :       "2018-12-04T15:57:50.833Z",
  "SignatureVersion" : "1",
  "Signature" :       "500PER10NG5!gnaTURE==",
  "SigningCertURL" :  "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
  "UnsubscribeURL" :  "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}