セキュリティログ監視

セキュリティログ監視 モジュールを設定して、ポリシーの動作を定義します。モジュールの動作を設計し、APIを使用して実装する場合は、 About セキュリティログ監視に記載されているのと同じ背景情報とガイダンスを使用してください。

ポリシーオブジェクトには、 セキュリティログ監視 モジュールの設定に使用する2つのオブジェクトが含まれます。

  • LogInspectionPolicyExtension:モジュールの状態(), のオン/オフ)を制御し、適用された セキュリティログ監視 ルールを識別します。
  • PolicySettings:ポリシー設定には、 セキュリティログ監視と関連する設定が含まれます。この設定は、モジュールの実行時の動作(推奨検索の自動適用、イベント転送、およびストレージなど)を制御します。( ポリシーと初期設定のポリシー設定を参照してください。)

これらのオブジェクトを作成して Policy オブジェクトに追加した後は、 PoliciesApi クラスを使用して、 Policy オブジェクトに基づいて既存のポリシーを変更します。

次のJSONは、 LogInspectionPolicyExtension オブジェクトのデータ構造を表します。

{
    "state": "on",
    "moduleStatus": {...},
    "ruleIDs": [...]
}

moduleStatus プロパティは読み取り専用です。 セキュリティログ監視 モジュールのランタイムステータスが表示されます。(Seeコンピュータのステータスに関するレポート。)

一般手順

セキュリティログ監視 モジュールを設定するには、次の手順を実行します。

  • LogInspectionPolicyExtension オブジェクトを作成し、プロパティを設定します。

  • PolicySettings オブジェクトを作成して、モジュールのランタイム設定を行います。( ポリシーと初期設定のポリシー設定を参照してください。)

  • Policy オブジェクトを作成し、 LogInspectionPolicyExtension オブジェクトと PolicySettings オブジェクトを追加します。

  • PoliciesApi オブジェクトを使用して、 Workload Securityでポリシーを追加または更新します。

LogInspectionPolicyExtension object を作成してモジュールの状態を設定し、ルールを割り当てます。

policy_config_log_inspection = api.LogInspectionPolicyExtension()
policy_config_log_inspection.state = "on"
policy_config_log_inspection.rule_ids = li_rules

ポリシーオブジェクトに セキュリティログ監視 ポリシー拡張を追加し、 PoliciesApi オブジェクトを使用して Workload Securityのポリシーを変更します。

policy = api.Policy()
policy.log_inspection = policy_config_log_inspection

policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)

modifyPolicy の policy_id (または policyID)パラメーターは、変更される Workload Security の実際のポリシーを識別します。このポリシーは、 policy パラメータとして使用されるポリシーオブジェクトに従って変更されます。  設定されていない policy パラメータのプロパティは、実際のポリシーでは変更されません。

次の例では、 セキュリティログ監視 ]のチェックボックスをオンにして、ポリシーのログ検査ルールを追加します。

ソースを表示

# Set the state
policy_config_log_inspection = api.LogInspectionPolicyExtension()
policy_config_log_inspection.state = "on"

# Add the rules
policy_config_log_inspection.rule_ids = li_rules

# Add to a policy
policy = api.Policy()
policy.log_inspection = policy_config_log_inspection

# Modify the policy on Workload Security
policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)
return modified_policy.id

「APIレファレンス/参照情報」の ポリシーの変更 操作も参照してください。

ポリシーの セキュリティログ監視 ルールのみを追加、削除、またはリストする必要がある場合は、 PolicyLogInspectionRuleAssignmentsApi クラスを使用します。前の例では、 LogInspectionPolicyExtensionPolicyクラスと PoliciesApi クラスを使用して セキュリティログ監視 ルールを追加していますが、これは PolicyLogInspectionRuleAssignmentsApi クラスのみを使用して行うこともできます。詳細については、APIリファレンスの[Policies]セクションの Policy セキュリティログ監視 ルール割り当ておよび 推奨設定 をレファレンス/参照情報。

API呼び出しの認証の詳細については、 Workload Securityを参照してください。

セキュリティログ監視 ルールを作成する

一般に、 セキュリティログ監視 ルールを作成するには、次の手順を実行します。

  1. IntegrityMonitoringRule オブジェクトを作成します。
  2. ルールのプロパティを設定して、名前、説明、およびログファイルを検査するように設定します。プロパティについては、 サブルールで説明しています。
  3. ルールを Workload Securityに追加するには、 IntegrityMonitoringRulesApi オブジェクトを使用します。

ルールオブジェクトの Template プロパティを設定して、ルールの定義方法を指定します。

  • 基本:1つのルールグループ内の1つの セキュリティログ監視 ルール。ルールの各プロパティに値を指定します。
  • Custom:1つのグループまたは複数のグループに属する単一または複数のルールです。ルール(複数可)を定義するXML(base64エンコード)を指定します。 CustomXML プロパティの値をカスタムXMLに設定します。

侵入防御, 変更監視、および セキュリティログ監視 ルールにはAPIを使用してアクセスできません。これらのオプションを変更するには、 Workload Security コンソールでルールのプロパティを開き、[設定]タブをクリックします。

APIを使用して セキュリティログ監視 ルールを作成するには、POST要求を the loginspectionrules エンドポイントに送信します。( APIレファレンス/参照情報セキュリティログ監視 ルール 操作を参照してください)。

基本 セキュリティログ監視 ルールを作成します。

次の例では、基本的なログ検査ルールを設定し、 Workload Securityに作成します。

ソースを表示

# Create the rule object
li_rule = api.LogInspectionRule()
li_rule.name = name
li_rule.description = "A log inspection rule"

# Create a log file and add it to the rule
log_file = api.LogFile()
log_file.location = "C/logfile.log"
log_file.format = "eventlog"
log_files = api.LogFiles()
log_files.log_files = [log_file]
li_rule.log_files = log_files

# Define the rule
li_rule.template ="basic-rule"
li_rule.pattern = pattern
li_rule.pattern_type = "string"
li_rule.rule_description = "Rule for " + path + " and pattern " + pattern
li_rule.groups = [group]

# Add the rule to Workload Security
log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration))
return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)

API呼び出しの認証の詳細については、 Workload Securityを参照してください。

XMLを使用してログ検査ルールを作成する

次の例では、XMLから セキュリティログ監視 ルールを作成し、このルールを Workload Securityに追加します。

ソースを表示

# Create the rule object
li_rule = api.LogInspectionRule()
li_rule.name = name
li_rule.description = "A log inspection rule"

# Create a log file and add it to the rule
log_file = api.LogFile()
log_file.location = "C/logfile.log"
log_file.format = "eventlog"
log_files = api.LogFiles()
log_files.log_files = [log_file]
li_rule.log_files = log_files

# Define the rule
li_rule.template ="custom"
li_rule.XML = xml

# Add the rule to Workload Security
log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration))
return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)

API呼び出しの認証の詳細については、 Workload Securityを参照してください。