イベントに関する一般的なベストプラクティスについては、Workload Securityのイベントを参照してください。
Workload Securityによってキャプチャされた侵入防御イベントを確認するには、[イベントとレポート][イベント][侵入防御イベント]にアクセスしてください。

侵入防御イベントについて表示される情報

これらの列はIPSイベントページに表示できます。[列]をクリックして、テーブルに表示する列を選択できます。
  • 日時: イベントがコンピュータで発生した時刻。
  • コンピュータ: このイベントが記録されたコンピュータ。コンピュータが削除された場合、このエントリは「不明なコンピュータ」と表示されます。
  • 理由: このイベントに関連するIPSルール。
  • タグ: イベントに付随するタグ。
  • アプリケーションの種類: このイベントを引き起こしたIPSルールに関連付けられたアプリケーションタイプ。
  • 処理: IPSルールが取ったアクション (ブロックまたはリセット)。ルールが[検出のみ]モードの場合、アクションは検出のみ:と付け加えられます。
  • Rank: ランキングシステムは、IPSおよびファイアウォールイベントの重要性を定量化する方法を提供します。コンピュータにアセット値を割り当て、IPSルールおよびファイアウォールルールに重大度値を割り当てることで、イベントの重要性 (ランク) は2つの値を掛け合わせて計算されます。これにより、IPSまたはファイアウォールイベントを表示する際にランクでイベントを並べ替えることができます。
  • 重大度: IPSルールの重大度の値。
  • 方向: パケットの方向 (受信または送信)。
  • Flow: このイベントを引き起こしたパケットが、IPSルールによって監視されているトラフィックの方向に沿って (Connection Flow) または逆方向に (Reverse Flow) 移動していたかどうか。
  • インタフェース: パケットが通過していたインターフェースのMACアドレス。
  • Frame Type: 問題のパケットのフレームタイプ。考えられる値は、IPV4、IPV6、ARP、REVARP、およびその他: XXXX (XXXXはフレームタイプの4桁の16進コードを表します)。
  • プロトコル: 可能な値はICMP、ICMPV6、IGMP、GGP、TCP、PUP、UDP、IDP、ND、RAW、TCP+UDP、およびその他: nnnです。ここでnnnは3桁の10進数値を表します。
  • Flags: パケットに設定されたフラグ。
  • 送信元IP: パケットの送信元IP。
  • 送信元MAC: パケットの送信元MACアドレス。
  • 送信元ポート: パケットの送信元ポート。
  • 送信先IP: パケットの送信先IPアドレス。
  • 送信先MAC: パケットの宛先MACアドレス。
  • 送信先ポート: パケットの送信先ポート。
  • Packet Size: パケットのサイズ (バイト単位)。
  • 繰り返しカウント: イベントが連続して繰り返された回数。
  • Time (microseconds): イベントがコンピュータ上で発生した時間のマイクロ秒単位の解像度。
  • イベント送信元: イベントが発生したWorkload Securityコンポーネント。
次の列も使用できます。エージェントのバージョン12FR以降で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。
  • Interface Type: コンテナインターフェイスタイプ。
  • コンテナ名: イベントが発生したコンテナの名前。
  • コンテナID: イベントが発生したコンテナのコンテナID。
  • イメージ名: イベントが発生したコンテナを作成するために使用されたイメージ名。
  • RepoDigest: コンテナイメージを識別するユニークなダイジェスト。
  • プロセス名: イベントを引き起こしたプロセス (コンテナから) の名前。

侵入防御イベントの追加情報の表示

Intrusion Preventionイベントをエクスポートする際、エクスポートされたデータには上記のフィールドに加えて、Workload Securityコンソールからは見えない追加のフィールドが含まれます。唯一の除外は[重大度]フィールドで、CSVファイルには含まれません。
  • メモ: イベントの意味のある文字列 (例: CVEコード)。
  • End Time: パケットが最後に確認された時刻。
  • Position In Buffer: パケット内の位置。
  • Position In Stream: TCP/IPストリーム内のパケットの位置。
  • Data Flags: データフラグ値の詳細については、以下の表を参照してください。
コード
Flag
コメント
0x01
dataTruncated
データをログに記録できなかったことを示します。
0x02
logOverflow
このエントリの後にログがオーバーフローしました。
0x04
suppressed
このエントリの後にしきい値の抑制が発生したことをログに記録します。
0x08
haveData
パケットデータがログに記録されます。
0x10
refData
DataIdがログに記録されます。パケットペイロードはこのイベントに記録されません。ペイロードは、0x08フラグと同じデータインデックスを持つイベントでのみログに記録されます。
0x20
haveRawPkt
データは完全な生のパケットです。
  • Data Index: パケットデータの一意のID (dataId)。同じdataIdを持つすべてのレコードは同じパケットからのものです。
  • データ: パケットのペイロード。
  • Original IP (XFF): クライアントの元のIPアドレスを表示します。このフィールドのデータを取得するには、ルール[1006450 - Enable X-Forwarded-For HTTP Header Logging]を有効にしてください。
次のフィールドも使用できます。エージェントのバージョン12FR以降で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。
  • プロセスID: コンテナによって報告されたプロセスID。
  • Thread ID: コンテナによって報告されたスレッドID。
  • Image ID: コンテナイメージのローカルID。
  • Pod ID: Pod ID (該当する場合)。

侵入防御イベント

次の表に、すべての侵入防御イベントを示します。
ID
イベント
コメント
200
リージョンサイズの超過
リージョン (編集リージョン、URIなど) が閉じられずに、バッファの最大許容サイズ (7570バイト) を超えました。これは、通常、データがプロトコルに適合していないために発生します。
201
メモリ不足
リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続が一度に行われた場合、または単にシステムのメモリが不足した場合に発生することがあります。
202
編集回数の超過
パケットの単一リージョンにおける最大編集回数 (32回) を超えました。
203
編集範囲の超過
リージョンのサイズを最大許容サイズ (8,188バイト) よりも増やそうとする編集が試行されました。
204
パケットの最大一致数を超過
パケット内でパターンに一致する地点が2,048箇所を超えています。この制限に達するパケットは通常ガベージパケットまたは回避パケットであるため、エラーが返されて接続が破棄されます。
205
エンジンのコールスタック数の超過
206
ランタイムエラー
ランタイムエラーです。
207
パケットの読み込みエラー
パケットデータの読み込み中に発生した低レベルの問題です。
258
Fail-Open: リセット
リセットする必要のある接続を記録し、Fail-Open機能がオンでインラインモードの場合には記録しません。
300
サポートされていない暗号化
不明またはサポートされていない暗号化スイートが要求されました。
301
マスターキーの生成エラー
マスターシークレットから、暗号化キー、MACシークレット、および初期化ベクタを生成できません。
302
レコードレイヤメッセージ (準備ができていません)
SSL状態エンジンで、セッションの初期化前にSSLレコードが検出されました。
303
ハンドシェークメッセージ (準備ができていません)
SSL状態エンジンで、ハンドシェークのネゴシエーション後にハンドシェークメッセージが検出されました。
304
ハンドシェークメッセージの障害
適切にフォーマットされたハンドシェークメッセージが、誤った順序で検出されました。
305
メモリの割り当てエラー
リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続が一度に行われた場合、または単にシステムのメモリが不足した場合に発生することがあります。
306
サポートされていないSSLバージョン
クライアントがSSL V2バージョンのネゴシエーションを試行しました。
307
プレマスターキーの復号時のエラー
ClientKeyExchangeメッセージからプレマスターシークレットを復号できません。
308
クライアントによるロールバックの試行
クライアントが、ClientHelloメッセージに指定されたバージョンより古いバージョンのSSLプロトコルへのロールバックを試行しました。
309
更新エラー
キャッシュされたセッションキーでSSLセッションが要求されましたが、該当するセッションキーが見つかりませんでした。
310
鍵の交換エラー
サーバが一時的に生成されたキーを使用してSSLセッションを確立しようとしています。
311
SSLキー交換の上限を超過
キー交換の同時要求数が上限を超えました。
312
鍵サイズの超過
マスターの秘密鍵がプロトコルIDで指定されたサイズを超えています。
313
ハンドシェーク内の不正なパラメータ
ハンドシェークプロトコルのデコード中に無効または不正な値が検出されました。
314
利用可能なセッションなし
315
未サポートの圧縮方法
316
サポートされていないアプリケーション層プロトコル
不明、またはサポートされていないSSLアプリケーション層プロトコルが要求されました。
386
Fail-Open: リセット
リセットする必要のある接続を記録し、Fail-Open機能がオンでタップモードの場合には記録しません。
500
URIパスの深さが超過
/セパレーターが多すぎます。最大パス深度は100です。
501
無効なトラバーサル
../をルートより上で使用しようとしました。
502
URIに使用できない文字
URLに不正な文字が使用されています。
503
不完全なUTF8シーケンス
UTF8シーケンスの途中でURIが終了しました。
504
無効なUTF8の符号化
無効または規定外のエンコードが試行されました。
505
無効な16進の符号化
%nnのnnが16進数ではありません。
506
URIパス長の超過
パス長が512文字を超えています。
507
不正な文字の使用
無効な文字を使用しています。
508
二重デコードの攻撃コード
二重デコードの攻撃コードです (%25xx、%25%xxdなど)。
700
不正なBase64コンテンツ
Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
710
破損したDeflate/GZIPコンテンツ
Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
711
不完全なDeflate/GZIPコンテンツ
不完全なDeflate/GZIPコンテンツです
712
Deflate/GZIPチェックサムエラー
Deflate/GZIPチェックサムエラーです。
713
未サポートのDeflate/GZIP辞書
サポートされていないDeflate/GZIP辞書です。
714
サポートされていないGZIPヘッダ形式/方法
サポートされていないGZIPヘッダ形式または方法です。
801
プロトコルデコード検索の上限を超過
プロトコルデコードルールには検索またはPDUオブジェクトの制限が定義されていますが、オブジェクトを見つける前に制限に達しました。
802
プロトコルデコードの制約エラー
プロトコルデコードルールによってデコードされたデータが、プロトコルコンテンツの制約を満たしていません。
803
プロトコルデコードエンジンの内部エラー
804
プロトコルデコードの構造の超過
プロトコルデコードルールで、型の最大ネスト深度 (16) を超える型定義とパケットコンテンツが検出されました。
805
プロトコルデコードのスタックエラー
ルールのプログラミングエラーが原因で、反復が発生したか、またはネストされたプロシージャコールが使用されようとしました。
806
データの無限ループエラー