セキュリティログ監視モジュールを構成して、ポリシーの動作を定義します。モジュールの動作を設計し、APIを使用して実装する際には、セキュリティログ監視についてで提供されている同じ背景情報とガイダンスを使用してください。
ポリシーオブジェクトには、 セキュリティログ監視 モジュールの設定に使用する2つのオブジェクトが含まれます。
LogInspectionPolicyExtension
: モジュールの状態 (オンまたはオフ) を制御し、適用されたセキュリティログ監視ルールを識別します。PolicySettings
: ポリシー設定には、推奨スキャンの自動適用、イベントの転送および保存など、モジュールの実行時の動作を制御するセキュリティログ監視に関連する設定が含まれます。ポリシーとデフォルトポリシー設定の構成を参照してください。
これらのオブジェクトを作成して
Policy
オブジェクトに追加した後、PoliciesApi
クラスを使用して、Policy
オブジェクトに基づいて既存のポリシーを変更します。次のJSONは、
LogInspectionPolicyExtension
オブジェクトのデータ構造を表しています:{ "state": "on", "moduleStatus": {...}, "ruleIDs": [...] }
moduleStatus
プロパティは読み取り専用です。セキュリティログ監視モジュールの実行時ステータスを提供します。コンピュータのステータスに関するレポートを参照してください。一般的な手順
セキュリティログ監視 モジュールを設定するには、次の手順を実行します。
-
LogInspectionPolicyExtension
オブジェクトを作成し、プロパティを設定します。 -
モジュールの実行時設定を構成するために
PolicySettings
オブジェクトを作成します。ポリシーとデフォルトポリシー設定の構成を参照してください。 -
Policy
オブジェクトを作成し、LogInspectionPolicyExtension
およびPolicySettings
オブジェクトを追加します。 -
PoliciesApi
オブジェクトを使用して、Workload Securityのポリシーを追加または更新します。
モジュールの状態を設定し、ルールを割り当てるために
LogInspectionPolicyExtensionオブジェクト
を作成します。policy_config_log_inspection = api.LogInspectionPolicyExtension() policy_config_log_inspection.state = "on" policy_config_log_inspection.rule_ids = li_rules
セキュリティログ監視ポリシー拡張をポリシーオブジェクトに追加し、
PoliciesApi
オブジェクトを使用してWorkload Securityのポリシーを変更します。policy = api.Policy() policy.log_inspection = policy_config_log_inspection policies_api = api.PoliciesApi(api.ApiClient(configuration)) modified_policy = policies_api.modify_policy(policy_id, policy, api_version)
modifyPolicy
のpolicy_id
(またはpolicyID
) パラメータは、変更するWorkload Securityの実際のポリシーを識別します。このポリシーは、policy
パラメータとして使用されるポリシーオブジェクトに従って変更されます。設定されていないpolicy
パラメータのプロパティは、実際のポリシーでは変更されません。例
次の例では、セキュリティログ監視を有効にして、ポリシーのログ検査ルールを追加します。
# Set the state policy_config_log_inspection = api.LogInspectionPolicyExtension() policy_config_log_inspection.state = "on" # Add the rules policy_config_log_inspection.rule_ids = li_rules # Add to a policy policy = api.Policy() policy.log_inspection = policy_config_log_inspection # Modify the policy on Workload Security policies_api = api.PoliciesApi(api.ApiClient(configuration)) modified_policy = policies_api.modify_policy(policy_id, policy, api_version) return modified_policy.id
また、APIレファレンスのポリシーの変更操作も参照してください。
ポリシーのログインスペクションルールを追加、削除、または一覧表示するだけでよい場合は、
PolicyLogInspectionRuleAssignmentsApi
クラスを使用してください。前の例では、LogInspectionPolicyExtension
、Policy
、PoliciesApi
クラスを使用してログインスペクションルールを追加していますが、これもPolicyLogInspectionRuleAssignmentsApi
クラスのみを使用して行うことができます。詳細については、APIレファレンスのポリシーセクションにあるポリシーログインスペクションルールの割り当てと推奨事項を参照してください。API呼び出しの認証に関する情報については、Workload Securityで認証するを参照してください。
セキュリティログ監視 ルールを作成する
一般に、 セキュリティログ監視 ルールを作成するには、次の手順を実行します。
IntegrityMonitoringRule
オブジェクトを作成します。- ルールプロパティを構成して、名前、説明、および検査するログファイルを設定します。プロパティの詳細はサブルールに記載されています。
IntegrityMonitoringRulesApi
オブジェクトを使用して、ルールをWorkload Securityに追加します。
ルールオブジェクトの
Template
プロパティを設定して、ルールの定義方法を示します。- 基本情報: 単一のルールグループ内の単一のログインスペクションルール。ルールの各プロパティに値を指定します。
- カスタム: 単一または複数のグループ内の単一または複数のルール。ルールを定義するXML (base64エンコード) を提供します。
CustomXML
プロパティの値をカスタムXMLに設定します。
Intrusion Prevention、変更監視、およびログインスペクションルールの構成オプションはAPIを使用してアクセスできません。これらのオプションを変更するには、Workload
Securityコンソールでルールのプロパティを開き、[設定]タブをクリックしてください。
APIを使用してログインスペクションルールを作成するには、
the loginspectionrules
エンドポイントにPOSTリクエストを送信します。ログインスペクションルールの作成操作をAPIレファレンス/参照情報で確認してください。基本 セキュリティログ監視 ルールを作成します
次の例では、基本的なログ検査ルールを設定し、 Workload Securityに作成します。
# Create the rule object li_rule = api.LogInspectionRule() li_rule.name = name li_rule.description = "A log inspection rule" # Create a log file and add it to the rule log_file = api.LogFile() log_file.location = "C/logfile.log" log_file.format = "eventlog" log_files = api.LogFiles() log_files.log_files = [log_file] li_rule.log_files = log_files # Define the rule li_rule.template ="basic-rule" li_rule.pattern = pattern li_rule.pattern_type = "string" li_rule.rule_description = "Rule for " + path + " and pattern " + pattern li_rule.groups = [group] # Add the rule to Workload Security log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration)) return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)
API呼び出しの認証に関する情報については、Workload Securityで認証するを参照してください。
XMLを使用してログ検査ルールを作成する
次の例では、XMLからセキュリティログ監視ルールを作成し、そのルールをWorkload Securityに追加します。
# Create the rule object li_rule = api.LogInspectionRule() li_rule.name = name li_rule.description = "A log inspection rule" # Create a log file and add it to the rule log_file = api.LogFile() log_file.location = "C/logfile.log" log_file.format = "eventlog" log_files = api.LogFiles() log_files.log_files = [log_file] li_rule.log_files = log_files # Define the rule li_rule.template ="custom" li_rule.XML = xml # Add the rule to Workload Security log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration)) return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)
API呼び出しの認証に関する情報については、Workload Securityで認証するを参照してください。