セキュリティログ監視モジュールを構成して、ポリシーの動作を定義します。モジュールの動作を設計し、APIを使用して実装する際には、セキュリティログ監視についてで提供されている同じ背景情報とガイダンスを使用してください。
ポリシーオブジェクトには、 セキュリティログ監視 モジュールの設定に使用する2つのオブジェクトが含まれます。
  • LogInspectionPolicyExtension: モジュールの状態 (オンまたはオフ) を制御し、適用されたセキュリティログ監視ルールを識別します。
  • PolicySettings: ポリシー設定には、推奨スキャンの自動適用、イベントの転送および保存など、モジュールの実行時の動作を制御するセキュリティログ監視に関連する設定が含まれます。ポリシーとデフォルトポリシー設定の構成を参照してください。
これらのオブジェクトを作成してPolicyオブジェクトに追加した後、PoliciesApiクラスを使用して、Policyオブジェクトに基づいて既存のポリシーを変更します。
次のJSONは、LogInspectionPolicyExtensionオブジェクトのデータ構造を表しています:
{
    "state": "on",
    "moduleStatus": {...},
    "ruleIDs": [...]
}
moduleStatusプロパティは読み取り専用です。セキュリティログ監視モジュールの実行時ステータスを提供します。コンピュータのステータスに関するレポートを参照してください。

一般的な手順 親トピック

セキュリティログ監視 モジュールを設定するには、次の手順を実行します。
  • LogInspectionPolicyExtensionオブジェクトを作成し、プロパティを設定します。
  • モジュールの実行時設定を構成するためにPolicySettingsオブジェクトを作成します。ポリシーとデフォルトポリシー設定の構成を参照してください。
  • Policyオブジェクトを作成し、LogInspectionPolicyExtensionおよびPolicySettingsオブジェクトを追加します。
  • PoliciesApiオブジェクトを使用して、Workload Securityのポリシーを追加または更新します。
モジュールの状態を設定し、ルールを割り当てるためにLogInspectionPolicyExtensionオブジェクトを作成します。
policy_config_log_inspection = api.LogInspectionPolicyExtension()
policy_config_log_inspection.state = "on"
policy_config_log_inspection.rule_ids = li_rules
セキュリティログ監視ポリシー拡張をポリシーオブジェクトに追加し、PoliciesApiオブジェクトを使用してWorkload Securityのポリシーを変更します。
policy = api.Policy()
policy.log_inspection = policy_config_log_inspection

policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)
modifyPolicypolicy_id(またはpolicyID) パラメータは、変更するWorkload Securityの実際のポリシーを識別します。このポリシーは、policyパラメータとして使用されるポリシーオブジェクトに従って変更されます。設定されていないpolicyパラメータのプロパティは、実際のポリシーでは変更されません。

親トピック

次の例では、セキュリティログ監視を有効にして、ポリシーのログ検査ルールを追加します。
# Set the state
policy_config_log_inspection = api.LogInspectionPolicyExtension()
policy_config_log_inspection.state = "on"

# Add the rules
policy_config_log_inspection.rule_ids = li_rules

# Add to a policy
policy = api.Policy()
policy.log_inspection = policy_config_log_inspection

# Modify the policy on Workload Security
policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)
return modified_policy.id
また、APIレファレンスのポリシーの変更操作も参照してください。
ポリシーのログインスペクションルールを追加、削除、または一覧表示するだけでよい場合は、PolicyLogInspectionRuleAssignmentsApiクラスを使用してください。前の例では、LogInspectionPolicyExtensionPolicyPoliciesApiクラスを使用してログインスペクションルールを追加していますが、これもPolicyLogInspectionRuleAssignmentsApiクラスのみを使用して行うことができます。詳細については、APIレファレンスのポリシーセクションにあるポリシーログインスペクションルールの割り当てと推奨事項を参照してください。
API呼び出しの認証に関する情報については、Workload Securityで認証するを参照してください。

セキュリティログ監視 ルールを作成する 親トピック

一般に、 セキュリティログ監視 ルールを作成するには、次の手順を実行します。
  1. IntegrityMonitoringRuleオブジェクトを作成します。
  2. ルールプロパティを構成して、名前、説明、および検査するログファイルを設定します。プロパティの詳細はサブルールに記載されています。
  3. IntegrityMonitoringRulesApiオブジェクトを使用して、ルールをWorkload Securityに追加します。
ルールオブジェクトのTemplateプロパティを設定して、ルールの定義方法を示します。
  • 基本情報: 単一のルールグループ内の単一のログインスペクションルール。ルールの各プロパティに値を指定します。
  • カスタム: 単一または複数のグループ内の単一または複数のルール。ルールを定義するXML (base64エンコード) を提供します。CustomXMLプロパティの値をカスタムXMLに設定します。
Intrusion Prevention、変更監視、およびログインスペクションルールの構成オプションはAPIを使用してアクセスできません。これらのオプションを変更するには、Workload Securityコンソールでルールのプロパティを開き、[設定]タブをクリックしてください。
APIを使用してログインスペクションルールを作成するには、the loginspectionrulesエンドポイントにPOSTリクエストを送信します。ログインスペクションルールの作成操作をAPIレファレンス/参照情報で確認してください。

基本 セキュリティログ監視 ルールを作成します 親トピック

次の例では、基本的なログ検査ルールを設定し、 Workload Securityに作成します。
# Create the rule object
li_rule = api.LogInspectionRule()
li_rule.name = name
li_rule.description = "A log inspection rule"

# Create a log file and add it to the rule
log_file = api.LogFile()
log_file.location = "C/logfile.log"
log_file.format = "eventlog"
log_files = api.LogFiles()
log_files.log_files = [log_file]
li_rule.log_files = log_files

# Define the rule
li_rule.template ="basic-rule"
li_rule.pattern = pattern
li_rule.pattern_type = "string"
li_rule.rule_description = "Rule for " + path + " and pattern " + pattern
li_rule.groups = [group]

# Add the rule to Workload Security
log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration))
return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)
API呼び出しの認証に関する情報については、Workload Securityで認証するを参照してください。

XMLを使用してログ検査ルールを作成する 親トピック

次の例では、XMLからセキュリティログ監視ルールを作成し、そのルールをWorkload Securityに追加します。
# Create the rule object
li_rule = api.LogInspectionRule()
li_rule.name = name
li_rule.description = "A log inspection rule"

# Create a log file and add it to the rule
log_file = api.LogFile()
log_file.location = "C/logfile.log"
log_file.format = "eventlog"
log_files = api.LogFiles()
log_files.log_files = [log_file]
li_rule.log_files = log_files

# Define the rule
li_rule.template ="custom"
li_rule.XML = xml

# Add the rule to Workload Security
log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration))
return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)
API呼び出しの認証に関する情報については、Workload Securityで認証するを参照してください。