このページのトピック
侵入防御イベント
イベントに関する一般的なベストプラクティスについては、Workload Securityのイベントを参照してください。
Workload Securityによってキャプチャされた侵入防止イベントを確認するには、 イベントとレポート> イベント > 侵入防御イベントにアクセスしてください。
侵入防御イベントで表示される情報
[侵入防御イベント] 画面には次の列が表示されます。[列] をクリックして、表に表示する列を選択することができます。
- 時刻: コンピュータ上でイベントが発生した時刻。
- コンピュータ: このイベントのログが記録されたコンピュータ(コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
- 理由:このイベントに関連付けられている侵入防止ルール。
- タグ:イベントに添付されたタグ。
- アプリケーションの種類:このイベントの原因となった侵入防止ルールに関連付けられているアプリケーションの種類。
- 処理: 侵入防御ルールが実行した処理 (ブロックまたはリセット)。ルールが 検出のみモードの場合、処理は [検出のみ] になります。- ランク: ランキングシステムでは、侵入防御およびファイアウォールイベントの重要度を数値化できます。コンピュータに「資産評価」を割り当て、侵入防御ルールとファイアウォールルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。これによって、侵入防御イベントまたはファイアウォールイベントを表示するときに、イベントをランクでソートできます。
- 重要度:侵入防御ルールの重要度の値。
- 方向:パケットの方向(受信または送信)。
- フロー:このイベントを発生させたパケットが、侵入防御ルールで監視されているトラフィックの方向(「接続フロー」)か、「逆方向」(「逆方向フロー」)であるかどうかを示します。
- インタフェース:パケットが通過したインタフェースのMACアドレス。
- フレームタイプ:問題のパケットのフレームタイプ。値は、[IPV4]、[IPV6]、[ARP]、[REVARP]、および [その他:XXXX] (XXXXはフレームの種類を示す4桁の16進コード) のいずれかになります。
- プロトコル:「ICMP」、「ICMPV6」、「IGMP」、「GGP」、「TCP」、「PUP」、「UDP」、「IDP」、「ND」、「RAW」、「TCP + UDP」、および「その他:nnn」です.nnnは3桁の10進値を表します。
- フラグ:パケットにフラグが設定されています。
- 送信元IP:パケットの送信元IPです。
- 送信元MAC:パケットの送信元MACアドレス。
- 送信元ポート:パケットの送信元ポート。
- 送信IP:パケットの送信先IPアドレス。
- 送信MAC:パケットの送信先MACアドレス。
- 送信ポート:パケットの送信先ポート。
- パケットサイズ:パケットのサイズ(バイト)。
- 繰り返しカウント:イベントが連続して繰り返された回数です。
- 時間(マイクロ秒):コンピュータでイベントが発生した時間(マイクロ秒)。
- イベントの発生元: Workload Security コンポーネント。イベントの発生元です。
次の列も使用できます。エージェントのバージョン12FR以降で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。
- インタフェースの種類:コンテナインタフェースの種類。
- コンテナ名:イベントが発生したコンテナの名前。
- コンテナID:イベントが発生したコンテナのコンテナIDです。
- イメージ名:イベントが発生したコンテナの作成に使用されたイメージ名です。
- RepoDigest:コンテナイメージを識別する一意の通知です。
- プロセス名:イベントの原因となった(コンテナからの)プロセスの名前。
侵入防御イベントの追加情報の表示
侵入防御 イベントをエクスポートする場合、エクスポートされたデータには上記のフィールドと追加フィールドが含まれますが、これらのフィールドは Workload Security コンソールには表示されません。唯一の例外は Severity フィールドで、CSVファイルでは使用できません。
- Note:CVEコードなど、イベントに意味のある文字列。
- 終了時刻:パケットが最後に確認された時刻。
- バッファ内位置:パケット内の位置。
- ストリーム内の位置:TCP / IPストリーム内のパケットの位置。
- データフラグ:データフラグの値の詳細については、次の表を参照してください。
| コード | フラグ | 備考 |
| 0x01 | dataTruncated | データをログに記録できなかったことを示します。 |
| 0x02 | logOverflow | このエントリの後にログがオーバーフローしました。 |
| 0x04 | suppressed | このエントリの後にしきい値の抑制が発生したことをログに記録します。 |
| 0x08 | haveData | パケットデータがログに記録されます。 |
| 0x10 | refData | DataIdがログに記録されます。パケットペイロードはこのイベントに記録されません。ペイロードは、0x08フラグと同じデータインデックスを持つイベントでのみログに記録されます。 |
| 0x20 | haveRawPkt | データは完全な生のパケットです。 |
- Data Index:パケットデータの一意のID(dataId)。dataIdが同じレコードはすべて同じパケットのものです。
- Data:パケットのペイロード。
- Original IP(XFF):クライアントの元のIPアドレスを表示します。このフィールドのデータを取得するには、ルール 1006450-Enable X-Forwarded-For HTTP Header Loggingを有効にします。
次のフィールドも使用できます。エージェントのバージョン12FR以降で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。
- プロセスID:コンテナによって報告されたプロセスID。
- スレッドID:コンテナによって報告されたスレッドID。
- Image ID:コンテナイメージのローカルID。
- Pod ID:Pod ID(該当する場合)。
侵入防御イベント一覧
| ID | イベント | 備考 |
| 200 | リージョンサイズの超過 | リージョン (編集リージョン、URIなど) が閉じられずに、バッファの最大許容サイズ (7570バイト) を超えました。これは、通常、データがプロトコルに適合していないために発生します。 |
| 201 | メモリ不足 | リソースがなくなったため、パケットを適切に処理できませんでした。これは、同時接続数が多すぎるか、またはシステムのメモリが不足していることが原因である可能性があります。 |
| 202 | 編集回数の超過 | パケットの単一リージョンにおける最大編集回数 (32回) を超えました。 |
| 203 | 編集範囲の超過 | リージョンのサイズを最大許容サイズ (8,188バイト) よりも増やそうとする編集が試行されました。 |
| 204 | パケットの最大一致数を超過 | パケット内でパターンに一致する地点が2,048箇所を超えています。この制限に達するパケットは通常ガベージパケットまたは回避パケットであるため、エラーが返されて接続が破棄されます。 |
| 205 | エンジンのコールスタック数の超過 | |
| 206 | ランタイムエラー | ランタイムエラーです。 |
| 207 | パケットの読み込みエラー | パケットデータの読み込み中に発生した低レベルの問題です。 |
| 258 | Fail-Open: リセット | リセットする必要のある接続を記録し、Fail-Open機能がオンでインラインモードの場合には記録しません。 |
| 300 | サポートされていない暗号化 | 不明またはサポートされていない暗号化スイートが要求されました。 |
| 301 | マスターキーの生成エラー | マスターシークレットから、暗号化キー、MACシークレット、および初期化ベクタを生成できません。 |
| 302 | レコードレイヤメッセージ (準備ができていません) | SSL状態エンジンで、セッションの初期化前にSSLレコードが検出されました。 |
| 303 | ハンドシェークメッセージ (準備ができていません) | SSL状態エンジンで、ハンドシェークのネゴシエーション後にハンドシェークメッセージが検出されました。 |
| 304 | ハンドシェークメッセージの障害 | 適切にフォーマットされたハンドシェークメッセージが、誤った順序で検出されました。 |
| 305 | メモリの割り当てエラー | リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続が一度に行われた場合、または単にシステムのメモリが不足した場合に発生することがあります。 |
| 306 | サポートされていないSSLバージョン | クライアントがSSL V2バージョンのネゴシエーションを試行しました。 |
| 307 | プレマスターキーの復号時のエラー | ClientKeyExchangeメッセージからプレマスターシークレットを復号できません。 |
| 308 | クライアントによるロールバックの試行 | クライアントが、ClientHelloメッセージに指定されたバージョンより古いバージョンのSSLプロトコルへのロールバックを試行しました。 |
| 309 | 更新エラー | キャッシュされたセッションキーでSSLセッションが要求されましたが、該当するセッションキーが見つかりませんでした。 |
| 310 | 鍵の交換エラー | サーバが一時的に生成されたキーを使用してSSLセッションを確立しようとしています。 |
| 311 | SSLキー交換の上限を超過 | キー交換の同時要求数が上限を超えました。 |
| 312 | 鍵サイズの超過 | マスターの秘密鍵がプロトコルIDで指定されたサイズを超えています。 |
| 313 | ハンドシェーク内の不正なパラメータ | ハンドシェークプロトコルのデコード中に無効または不正な値が検出されました。 |
| 314 | 利用可能なセッションなし | |
| 315 | 未サポートの圧縮方法 | |
| 316 | サポートされていないアプリケーション層プロトコル | 不明、またはサポートされていないSSLアプリケーション層プロトコルが要求されました。 |
| 386 | Fail-Open: リセット | リセットする必要のある接続を記録し、Fail-Open機能がオンでタップモードの場合には記録しません。 |
| 500 | URIパスの深さが超過 | 区切り文字「/」が多すぎます。パスの深さは最大100です。 |
| 501 | 無効なトラバーサル | ルートより上位に「../」を使用しようとしました。 |
| 502 | URIに使用できない文字 | URIに無効な文字が使用されています。 |
| 503 | 不完全なUTF8シーケンス | UTF8シーケンスの途中でURIが終了しました。 |
| 504 | 無効なUTF8の符号化 | 無効または規定外のエンコードが試行されました。 |
| 505 | 無効な16進の符号化 | %nnのnnが16進数ではありません。 |
| 506 | URIパス長の超過 | パス長が512文字を超えています。 |
| 507 | 不正な文字の使用 | 無効な文字を使用しています。 |
| 508 | 二重デコードの攻撃コード | 二重デコードの攻撃コードです (%25xx、%25%xxdなど)。 |
| 700 | 不正なBase64コンテンツ | Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。 |
| 710 | 破損したDeflate/GZIPコンテンツ | Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。 |
| 711 | 不完全なDeflate/GZIPコンテンツ | 不完全なDeflate/GZIPコンテンツです |
| 712 | Deflate/GZIPチェックサムエラー | Deflate/GZIPチェックサムエラーです。 |
| 713 | 未サポートのDeflate/GZIP辞書 | サポートされていないDeflate/GZIP辞書です。 |
| 714 | サポートされていないGZIPヘッダ形式/方法 | サポートされていないGZIPヘッダ形式または方法です。 |
| 801 | プロトコルデコード検索の上限を超過 | プロトコルデコードルールには検索またはPDUオブジェクトの制限が定義されていますが、オブジェクトを見つける前に制限に達しました。 |
| 802 | プロトコルデコードの制約エラー | プロトコルデコードルールによってデコードされたデータが、プロトコルコンテンツの制約を満たしていません。 |
| 803 | プロトコルデコードエンジンの内部エラー | |
| 804 | プロトコルデコードの構造の超過 | プロトコルデコードルールで、型の最大ネスト深度 (16) を超える型定義とパケットコンテンツが検出されました。 |
| 805 | プロトコルデコードのスタックエラー | ルールのプログラミングエラーが原因で、反復が発生したか、またはネストされたプロシージャコールが使用されようとしました。 |
| 806 | データの無限ループエラー |