目次

セキュリティログ監視

セキュリティログ監視 モジュールを設定して、ポリシーの動作を定義します。モジュールの動作を設計し、APIを使用して実装する場合は、 セキュリティログ監視に記載されているのと同じ背景情報とガイダンスを使用してください。

ポリシーオブジェクトには、 セキュリティログ監視 モジュールの設定に使用する2つのオブジェクトが含まれます。

  • LogInspectionPolicyExtension:モジュールの状態(オン/オフ)を制御し、適用された セキュリティログ監視 ルールを識別します。
  • PolicySettings: ポリシー設定には、推奨設定の検索の自動適用、イベントの転送と保存など、モジュールの実行時の動作を制御するセキュリティログ監視関連の設定が含まれます。 ポリシーと初期設定のポリシー設定 を参照してください。

これらのオブジェクトを作成して Policy オブジェクトに追加した後は、 PoliciesApi クラスを使用して、 Policy オブジェクトに基づいて既存のポリシーを変更します。

次のJSONは、 LogInspectionPolicyExtension オブジェクトのデータ構造を表します。

{
    "state": "on",
    "moduleStatus": {...},
    "ruleIDs": [...]
}

moduleStatus プロパティは読み取り専用です。セキュリティログ監視モジュールの実行時のステータスを示します。 コンピュータのステータスに関するレポート を参照してください。

一般手順

セキュリティログ監視 モジュールを設定するには、次の手順を実行します。

  • LogInspectionPolicyExtension オブジェクトを作成し、プロパティを設定します。

  • モジュールの実行時設定を構成する PolicySettings オブジェクトを作成します。 ポリシーと初期設定のポリシー設定 を参照してください。

  • Policy オブジェクトを作成し、 LogInspectionPolicyExtension オブジェクトと PolicySettings オブジェクトを追加します。

  • PoliciesApi オブジェクトを使用して、 Workload Securityでポリシーを追加または更新します。

LogInspectionPolicyExtension object を作成してモジュールの状態を設定し、ルールを割り当てます。

policy_config_log_inspection = api.LogInspectionPolicyExtension()
policy_config_log_inspection.state = "on"
policy_config_log_inspection.rule_ids = li_rules

ポリシーオブジェクトにセキュリティログ監視ポリシー拡張を追加し、 PoliciesApi オブジェクトを使用して Workload Securityのポリシーを変更します。

policy = api.Policy()
policy.log_inspection = policy_config_log_inspection

policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)

modifyPolicypolicy_id (または policyID)パラメーターは、変更される Workload Security の実際のポリシーを識別します。このポリシーは、 policy パラメータとして使用されるポリシーオブジェクトに従って変更されます。設定されていない policy パラメータのプロパティは、実際のポリシーでは変更されません。

次の例では、セキュリティログ監視を有効にして、ポリシーのログ検査ルールを追加します。

ソースを表示

# Set the state
policy_config_log_inspection = api.LogInspectionPolicyExtension()
policy_config_log_inspection.state = "on"

# Add the rules
policy_config_log_inspection.rule_ids = li_rules

# Add to a policy
policy = api.Policy()
policy.log_inspection = policy_config_log_inspection

# Modify the policy on Workload Security
policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)
return modified_policy.id

「APIリファレンス」の ポリシーの変更 操作も参照してください。

ポリシーの セキュリティログ監視 ルールのみを追加、削除、またはリストする必要がある場合は、 PolicyLogInspectionRuleAssignmentsApi クラスを使用します。前の例では、 LogInspectionPolicyExtension, Policyクラスと PoliciesApi クラスを使用してセキュリティログ監視ルールを追加していますが、これは PolicyLogInspectionRuleAssignmentsApi クラスのみを使用して行うこともできます。詳細については、APIリファレンスの[Policies]セクションにある ポリシーセキュリティログ監視ルール割り当ておよび推奨設定 を参照してください。

APIコールの認証の詳細については、 Workload Securityを参照してください。

セキュリティログ監視 ルールを作成する

一般に、 セキュリティログ監視 ルールを作成するには、次の手順を実行します。

  1. IntegrityMonitoringRule オブジェクトを作成します。
  2. ルールのプロパティを設定して、名前、説明、およびログファイルを検査するように設定します。プロパティについては、 サブルールで説明しています。
  3. ルールを Workload Securityに追加するには、 IntegrityMonitoringRulesApi オブジェクトを使用します。

ルールオブジェクトの Template プロパティを設定して、ルールの定義方法を指定します。

  • 基本:1つのルールグループ内の1つの セキュリティログ監視 ルール。ルールの各プロパティに値を指定します。
  • Custom:1つのグループまたは複数のグループに属する単一または複数のルールです。ルール(複数可)を定義するXML(base64エンコード)を指定します。 CustomXML プロパティの値をカスタムXMLに設定します。

侵入防御、変更監視、およびセキュリティログ監視ルールの設定オプションには、APIを使用してアクセスできません。これらのオプションを変更するには、 Workload Securityコンソールでルールのプロパティを開き、[ 設定 ] タブをクリックします。

APIを使用してセキュリティログ監視ルールを作成するには、POSTリクエストを the loginspectionrules エンドポイントに送信します。 APIリファレンスセキュリティログ監視ルールの作成の操作 を参照してください。

基本 セキュリティログ監視 ルールを作成します

次の例では、基本的なログ検査ルールを設定し、 Workload Securityに作成します。

ソースを表示

# Create the rule object
li_rule = api.LogInspectionRule()
li_rule.name = name
li_rule.description = "A log inspection rule"

# Create a log file and add it to the rule
log_file = api.LogFile()
log_file.location = "C/logfile.log"
log_file.format = "eventlog"
log_files = api.LogFiles()
log_files.log_files = [log_file]
li_rule.log_files = log_files

# Define the rule
li_rule.template ="basic-rule"
li_rule.pattern = pattern
li_rule.pattern_type = "string"
li_rule.rule_description = "Rule for " + path + " and pattern " + pattern
li_rule.groups = [group]

# Add the rule to Workload Security
log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration))
return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)

APIコールの認証の詳細については、 Workload Securityを参照してください。

XMLを使用してログ検査ルールを作成する

次の例では、XMLからセキュリティログ監視ルールを作成し、そのルールをWorkload Securityに追加します。

ソースを表示

# Create the rule object
li_rule = api.LogInspectionRule()
li_rule.name = name
li_rule.description = "A log inspection rule"

# Create a log file and add it to the rule
log_file = api.LogFile()
log_file.location = "C/logfile.log"
log_file.format = "eventlog"
log_files = api.LogFiles()
log_files.log_files = [log_file]
li_rule.log_files = log_files

# Define the rule
li_rule.template ="custom"
li_rule.XML = xml

# Add the rule to Workload Security
log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration))
return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)

APIコールの認証の詳細については、 Workload Securityを参照してください。