目次

侵入防御イベント

イベントに関する一般的なベストプラクティスについては、Workload Securityのイベントを参照してください。

Workload Securityによってキャプチャされた侵入防止イベントを確認するには、 イベントとレポート> イベント > 侵入防御イベントにアクセスしてください。

侵入防御イベントについて表示される情報

[侵入防御イベント] 画面には次の列が表示されます。[列] をクリックして、表に表示する列を選択することができます。

  • 時刻: コンピュータ上でイベントが発生した時刻。
  • コンピュータ: このイベントが記録されたコンピュータ。コンピュータが削除されている場合、このエントリは「不明なコンピュータ」と表示されます。
  • 理由:このイベントに関連付けられている侵入防止ルール。
  • タグ:イベントに添付されたタグ。
  • アプリケーションの種類:このイベントの原因となった侵入防止ルールに関連付けられているアプリケーションの種類。
  • 処理: 侵入防御ルールが実行した処理 (ブロックまたはリセット)。ルールが 検出のみ モードの場合、処理の前に「検出のみ:)」が付きます。
  • ランク: ランク付けシステムは、侵入防御およびファイアウォールイベントの重要性を数値化する方法を提供します。資産の値をコンピュータに割り当て、重要度の値を侵入防御ルールとファイアウォールルールに割り当てることにより、イベントの重要度 (ランク) は、2 つの値を掛け合わせて計算されます。これにより、侵入防御またはファイアウォールのイベントを表示するときに、イベントをランク順に並べ替えることができます。
  • 重要度:侵入防御ルールの重要度の値。
  • 方向:パケットの方向(受信または送信)。
  • フロー: このイベントをトリガしたパケットが、侵入防御ルールによって監視されているトラフィックの方向に沿って送信されたか (接続フロー) または逆方向に送信されたか (リバースフロー) か。
  • インタフェース:パケットが通過したインタフェースのMACアドレス。
  • Frame Type: 対象のパケットのフレームタイプ。可能な値は、IPV4、IPV6、ARP、REVARP、およびその他: XXXXです。XXXXは、フレームタイプの4桁の16進コードを表します。
  • Protocol: 指定できる値は、ICMP、ICMPV6、IGMP、GGP、TCP、PUP、UDP、IDP、ND、RAW、TCP+UDP、およびその他: nnnです。nnnは3桁の10進数を表します。
  • フラグ:パケットにフラグが設定されています。
  • 送信元IP:パケットの送信元IPです。
  • 送信元MAC:パケットの送信元MACアドレス。
  • 送信元ポート:パケットの送信元ポート。
  • 送信IP:パケットの送信先IPアドレス。
  • 送信MAC:パケットの送信先MACアドレス。
  • 送信ポート:パケットの送信先ポート。
  • パケットサイズ:パケットのサイズ(バイト)。
  • 繰り返しカウント:イベントが連続して繰り返された回数です。
  • 時間(マイクロ秒):コンピュータでイベントが発生した時間(マイクロ秒)。
  • イベントの発生元: Workload Security コンポーネント。イベントの発生元です。

次の列も使用できます。エージェントのバージョン12FR以降で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。

  • インタフェースの種類:コンテナインタフェースの種類。
  • コンテナ名:イベントが発生したコンテナの名前。
  • コンテナID:イベントが発生したコンテナのコンテナIDです。
  • イメージ名:イベントが発生したコンテナの作成に使用されたイメージ名です。
  • RepoDigest:コンテナイメージを識別する一意の通知です。
  • プロセス名:イベントの原因となった(コンテナからの)プロセスの名前。

侵入防御イベントの追加情報の表示

侵入防御 イベントをエクスポートする場合、エクスポートされたデータには上記のフィールドと追加フィールドが含まれますが、これらのフィールドは Workload Security コンソールには表示されません。唯一の例外は Severity フィールドで、CSVファイルでは使用できません。

  • Note:CVEコードなど、イベントに意味のある文字列。
  • 終了時刻:パケットが最後に確認された時刻。
  • バッファ内位置:パケット内の位置。
  • ストリーム内の位置:TCP / IPストリーム内のパケットの位置。
  • データフラグ:データフラグの値の詳細については、次の表を参照してください。
コード フラグ 備考
0x01 dataTruncated データをログに記録できなかったことを示します。
0x02 logOverflow このエントリの後にログがオーバーフローしました。
0x04 suppressed このエントリの後にしきい値の抑制が発生したことをログに記録します。
0x08 haveData パケットデータがログに記録されます。
0x10 refData DataIdがログに記録されます。パケットペイロードはこのイベントに記録されません。ペイロードは、0x08フラグと同じデータインデックスを持つイベントでのみログに記録されます。
0x20 haveRawPkt データは完全な生のパケットです。
  • Data Index:パケットデータの一意のID(dataId)。dataIdが同じレコードはすべて同じパケットのものです。
  • Data:パケットのペイロード。
  • Original IP(XFF):クライアントの元のIPアドレスを表示します。このフィールドのデータを取得するには、ルール 1006450-Enable X-Forwarded-For HTTP Header Loggingを有効にします。

次のフィールドも使用できます。エージェントのバージョン12FR以降で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。

  • プロセスID:コンテナによって報告されたプロセスID。
  • スレッドID:コンテナによって報告されたスレッドID。
  • Image ID:コンテナイメージのローカルID。
  • Pod ID:Pod ID(該当する場合)。

侵入防御イベント

次の表に、すべての侵入防御イベントを示します。

ID イベント 備考
200 リージョンサイズの超過 リージョン (編集リージョン、URIなど) が閉じられずに、バッファの最大許容サイズ (7570バイト) を超えました。これは、通常、データがプロトコルに適合していないために発生します。
201 メモリ不足 リソースがなくなったため、パケットを適切に処理できませんでした。これは、同時接続数が多すぎるか、またはシステムのメモリが不足していることが原因である可能性があります。
202 編集回数の超過 パケットの単一リージョンにおける最大編集回数 (32回) を超えました。
203 編集範囲の超過 リージョンのサイズを最大許容サイズ (8,188バイト) よりも増やそうとする編集が試行されました。
204 パケットの最大一致数を超過 パケット内でパターンに一致する地点が2,048箇所を超えています。この制限に達するパケットは通常ガベージパケットまたは回避パケットであるため、エラーが返されて接続が破棄されます。
205 エンジンのコールスタック数の超過
206 ランタイムエラー ランタイムエラーです。
207 パケットの読み込みエラー パケットデータの読み込み中に発生した低レベルの問題です。
258 Fail-Open: リセット リセットする必要のある接続を記録し、Fail-Open機能がオンでインラインモードの場合には記録しません。
300 サポートされていない暗号化 不明またはサポートされていない暗号化スイートが要求されました。
301 マスターキーの生成エラー マスターシークレットから、暗号化キー、MACシークレット、および初期化ベクタを生成できません。
302 レコードレイヤメッセージ (準備ができていません) SSL状態エンジンで、セッションの初期化前にSSLレコードが検出されました。
303 ハンドシェークメッセージ (準備ができていません) SSL状態エンジンで、ハンドシェークのネゴシエーション後にハンドシェークメッセージが検出されました。
304 ハンドシェークメッセージの障害 適切にフォーマットされたハンドシェークメッセージが、誤った順序で検出されました。
305 メモリの割り当てエラー リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続が一度に行われた場合、または単にシステムのメモリが不足した場合に発生することがあります。
306 サポートされていないSSLバージョン クライアントがSSL V2バージョンのネゴシエーションを試行しました。
307 プレマスターキーの復号時のエラー ClientKeyExchangeメッセージからプレマスターシークレットを復号できません。
308 クライアントによるロールバックの試行 クライアントが、ClientHelloメッセージに指定されたバージョンより古いバージョンのSSLプロトコルへのロールバックを試行しました。
309 更新エラー キャッシュされたセッションキーでSSLセッションが要求されましたが、該当するセッションキーが見つかりませんでした。
310 鍵の交換エラー サーバが一時的に生成されたキーを使用してSSLセッションを確立しようとしています。
311 SSLキー交換の上限を超過 キー交換の同時要求数が上限を超えました。
312 鍵サイズの超過 マスターの秘密鍵がプロトコルIDで指定されたサイズを超えています。
313 ハンドシェーク内の不正なパラメータ ハンドシェークプロトコルのデコード中に無効または不正な値が検出されました。
314 利用可能なセッションなし
315 未サポートの圧縮方法
316 サポートされていないアプリケーション層プロトコル 不明、またはサポートされていないSSLアプリケーション層プロトコルが要求されました。
386 Fail-Open: リセット リセットする必要のある接続を記録し、Fail-Open機能がオンでタップモードの場合には記録しません。
500 URIパスの深さが超過 区切り文字「/」が多すぎます。パスの深さは最大100です。
501 無効なトラバーサル ルートより上位に「../」を使用しようとしました。
502 URIに使用できない文字 URIに無効な文字が使用されています。
503 不完全なUTF8シーケンス UTF8シーケンスの途中でURIが終了しました。
504 無効なUTF8の符号化 無効または規定外のエンコードが試行されました。
505 無効な16進の符号化 %nnのnnが16進数ではありません。
506 URIパス長の超過 パス長が512文字を超えています。
507 不正な文字の使用 無効な文字を使用しています。
508 二重デコードの攻撃コード 二重デコードの攻撃コードです (%25xx、%25%xxdなど)。
700 不正なBase64コンテンツ Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
710 破損したDeflate/GZIPコンテンツ Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
711 不完全なDeflate/GZIPコンテンツ 不完全なDeflate/GZIPコンテンツです
712 Deflate/GZIPチェックサムエラー Deflate/GZIPチェックサムエラーです。
713 未サポートのDeflate/GZIP辞書 サポートされていないDeflate/GZIP辞書です。
714 サポートされていないGZIPヘッダ形式/方法 サポートされていないGZIPヘッダ形式または方法です。
801 プロトコルデコード検索の上限を超過 プロトコルデコードルールには検索またはPDUオブジェクトの制限が定義されていますが、オブジェクトを見つける前に制限に達しました。
802 プロトコルデコードの制約エラー プロトコルデコードルールによってデコードされたデータが、プロトコルコンテンツの制約を満たしていません。
803 プロトコルデコードエンジンの内部エラー
804 プロトコルデコードの構造の超過 プロトコルデコードルールで、型の最大ネスト深度 (16) を超える型定義とパケットコンテンツが検出されました。
805 プロトコルデコードのスタックエラー ルールのプログラミングエラーが原因で、反復が発生したか、またはネストされたプロシージャコールが使用されようとしました。
806 データの無限ループエラー