イベントに関する全般的なベストプラクティスについては、Deep Securityのイベント収集を参照してください。
Deep Securityによって捕捉された侵入防御イベントを確認するには、[イベントとレポート]→[イベント]→[侵入防御イベント]に移動します。
侵入防御イベントで表示される情報
[侵入防御イベント] 画面には次の列が表示されます。[列] をクリックして、表に表示する列を選択することができます。
-
日時::コンピュータ上でイベントが発生した時刻。
-
コンピュータ::このイベントのログが記録されたコンピュータ (コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)
-
理由::このイベントに関連付けられた侵入防御ルール。
-
タグ::イベントに付けられたタグ。
-
アプリケーションの種類::このイベントの原因となった侵入防御ルールに関連付けられたアプリケーションの種類。
-
処理::侵入防御ルールが実行する処理 (ブロックまたはリセット)。ルールが[検出のみ]モードの場合、処理名の前に「検出のみ:」が付きます。
注意
Deep Security 7.5 SP1より前に作成された侵入防御ルールでは、挿入、置換、削除処理も実行することができましたが、現在これらの処理は実行されません。これらの処理の実行を試みる古いルールが実行された場合、ルールが検出のみモードで適用されたことを示すイベントが記録されます。 -
ランク::ランク付けシステムでは、侵入防御およびファイアウォールイベントの重要度を数値化できます。コンピュータに「資産評価」を割り当て、侵入防御ルールとファイアウォールルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。これによって、侵入防御イベントまたはファイアウォールイベントを表示するときに、イベントをランクでソートできます。
-
重要度::侵入防御ルールの重要度。
-
方向::パケットの方向 (受信または送信)
-
フロー::このイベントを引き起こしたパケットが、侵入防御ルールで監視しているトラフィックと同じ方向に進んでいたか (「接続フロー」)、または反対方向に進んでいたか (「リバースフロー」)。
-
インタフェース::パケットが通過したインタフェースのMACアドレス。
-
フレームの種類::対象となるパケットのフレームの種類。値は、[IPV4]、[IPV6]、[ARP]、[REVARP]、および [その他:XXXX] (XXXXはフレームの種類を示す4桁の16進コード) のいずれかになります。
-
プロトコル::値は、[ICMP]、[ICMPV6]、[IGMP]、[GGP]、[TCP]、[PUP]、[UDP]、[IDP]、[ND]、[RAW]、[TCP+UDP]、および [その他: nnn] (nnnは3桁の10進値) のいずれかになります。
-
フラグ::パケットに設定されたフラグ。
-
送信元IP::パケットの送信元IP。
-
送信元MAC::パケットの送信元MACアドレス。
-
送信元ポート::パケットの送信元ポート。
-
送信先IP::パケットの送信先IP。
-
送信先MAC::パケットの送信先MACアドレス。
-
送信先ポート::パケットの送信先ポート。
-
パケットサイズ::バイト単位のパケットのサイズ。
-
繰り返しカウント:: イベントが連続して繰り返された回数。
-
時間 (ミリ秒)::コンピュータ上でイベントが発生した時間 (ミリ秒)。
-
イベント送信元::イベントの発生元であるDeep Securityコンポーネント。
次の列も使用できます。Deep Security Agent 12 FR以上で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。
-
インタフェースの種類::コンテナインターフェイスタイプ。
-
コンテナ名::イベントが発生したコンテナの名前。
-
コンテナID::イベントが発生したコンテナのコンテナIDです。
-
イメージ名::イベントが発生したコンテナの作成に使用されたイメージ名。
-
RepoDigest::コンテナイメージを識別する一意の通知です。
-
プロセス名::イベントの原因となった (コンテナからの) プロセスの名前。
侵入防御イベントの追加情報の表示
侵入防御イベントをエクスポートする場合、エクスポートされたデータには上記のフィールドと、Deep Security Managerコンソールには表示されない追加のフィールドが含まれます。唯一の例外は、[重大度フィールド]です。このフィールドはCSVファイルでは使用できません。
-
注意: CVEコードなど、イベントに意味のある文字列。
-
終了時刻: パケットが最後に確認された時刻。
-
バッファ内の位置: パケット内の位置。
-
ストリーム内の位置: TCP / IPストリーム内のパケットの位置。
-
データフラグ: データフラグの値の詳細については、次の表を参照してください。コードFlag備考0x01dataTruncatedデータをログに記録できなかったことを示します。0x02logOverflowこのエントリの後にログがオーバーフローしました。0x04suppressedこのエントリの後にしきい値の抑制が発生したことをログに記録します。0x08haveDataパケットデータがログに記録されます。0x10refDataDataIdがログに記録されます。パケットペイロードはこのイベントに記録されません。ペイロードは、0x08フラグと同じデータインデックスを持つイベントでのみログに記録されます。0x20haveRawPktデータは完全な生のパケットです。
-
データインデックス: パケットデータの一意のID (dataId)。dataIdが同じレコードはすべて同じパケットのものです。
-
データ: パケットのペイロード。
-
元のIP (XFF): クライアントの元のIPアドレスを表示します。このフィールドのデータを取得するには、ルール1006450 - X-Forwarded-For HTTPヘッダのログを有効にする]を有効にします。
次のフィールドも使用できます。Deep Security Agent 12 FR以上で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。
-
プロセスID: コンテナによって報告されたプロセスID。
-
スレッドID: コンテナによって報告されたスレッドID。
-
イメージID: コンテナイメージのローカルID。
-
Pod ID: Pod ID (該当する場合)。
侵入防御イベント一覧
ID
|
イベント
|
備考
|
200
|
リージョンサイズの超過
|
リージョン (編集リージョン、URIなど) が閉じられずに、バッファの最大許容サイズ (7570バイト) を超えました。これは、通常、データがプロトコルに適合していないために発生します。
|
201
|
メモリ不足
|
リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続が一度に行われた場合、または単にシステムのメモリが不足した場合に発生することがあります。
|
202
|
編集回数の超過
|
パケットの単一リージョンにおける最大編集回数 (32回) を超えました。
|
203
|
編集範囲の超過
|
リージョンのサイズを最大許容サイズ (8,188バイト) よりも増やそうとする編集が試行されました。
|
204
|
パケットの最大一致数を超過
|
パケット内でパターンに一致する地点が2,048箇所を超えています。この制限に達するパケットは通常ガベージパケットまたは回避パケットであるため、エラーが返されて接続が破棄されます。
|
205
|
エンジンのコールスタック数の超過
|
|
206
|
ランタイムエラー
|
ランタイムエラーです。
|
207
|
パケットの読み込みエラー
|
パケットデータの読み込み中に発生した低レベルの問題です。
|
258
|
Fail-Open: リセット
|
リセットする必要のある接続を記録し、Fail-Open機能がオンでインラインモードの場合には記録しません。
|
300
|
サポートされていない暗号化
|
不明またはサポートされていない暗号化スイートが要求されました。
|
301
|
マスターキーの生成エラー
|
マスターシークレットから、暗号化キー、MACシークレット、および初期化ベクタを生成できません。
|
302
|
レコードレイヤメッセージ (準備ができていません)
|
SSL状態エンジンで、セッションの初期化前にSSLレコードが検出されました。
|
303
|
ハンドシェークメッセージ (準備ができていません)
|
SSL状態エンジンで、ハンドシェークのネゴシエーション後にハンドシェークメッセージが検出されました。
|
304
|
ハンドシェークメッセージの障害
|
適切にフォーマットされたハンドシェークメッセージが、誤った順序で検出されました。
|
305
|
メモリの割り当てエラー
|
リソースがなくなったため、パケットを適切に処理できませんでした。これは、多くの同時接続が一度に行われた場合、または単にシステムのメモリが不足した場合に発生することがあります。
|
306
|
サポートされていないSSLバージョン
|
クライアントがSSL V2バージョンのネゴシエーションを試行しました。
|
307
|
プレマスターキーの復号時のエラー
|
ClientKeyExchangeメッセージからプレマスターシークレットを復号できません。
|
308
|
クライアントによるロールバックの試行
|
クライアントが、ClientHelloメッセージに指定されたバージョンより古いバージョンのSSLプロトコルへのロールバックを試行しました。
|
309
|
更新エラー
|
キャッシュされたセッションキーでSSLセッションが要求されましたが、該当するセッションキーが見つかりませんでした。
|
310
|
鍵の交換エラー
|
サーバが一時的に生成されたキーを使用してSSLセッションを確立しようとしています。
|
311
|
SSLキー交換の上限を超過
|
キー交換の同時要求数が上限を超えました。
|
312
|
鍵サイズの超過
|
マスターの秘密鍵がプロトコルIDで指定されたサイズを超えています。
|
313
|
ハンドシェーク内の不正なパラメータ
|
ハンドシェークプロトコルのデコード中に無効または不正な値が検出されました。
|
314
|
利用可能なセッションなし
|
|
315
|
未サポートの圧縮方法
|
|
316
|
サポートされていないアプリケーション層プロトコル
|
不明、またはサポートされていないSSLアプリケーション層プロトコルが要求されました。
|
386
|
Fail-Open: リセット
|
リセットする必要のある接続を記録し、Fail-Open機能がオンでタップモードの場合には記録しません。
|
500
|
URIパスの深さが超過
|
区切り文字「/」が多すぎます。パスの深さは最大100です。
|
501
|
無効なトラバーサル
|
ルートより上位に「../」を使用しようとしました。
|
502
|
URIに使用できない文字
|
URIに無効な文字が使用されています。
|
503
|
不完全なUTF8シーケンス
|
UTF8シーケンスの途中でURIが終了しました。
|
504
|
無効なUTF8の符号化
|
無効または規定外のエンコードが試行されました。
|
505
|
無効な16進の符号化
|
%nnのnnが16進数ではありません。
|
506
|
URIパス長の超過
|
パス長が512文字を超えています。
|
507
|
不正な文字の使用
|
無効な文字を使用しています。
|
508
|
二重デコードの攻撃コード
|
二重デコードの攻撃コードです (%25xx、%25%xxdなど)。
|
700
|
不正なBase64コンテンツ
|
Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
|
710
|
破損したDeflate/GZIPコンテンツ
|
Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
|
711
|
不完全なDeflate/GZIPコンテンツ
|
不完全なDeflate/GZIPコンテンツです
|
712
|
Deflate/GZIPチェックサムエラー
|
Deflate/GZIPチェックサムエラーです。
|
713
|
未サポートのDeflate/GZIP辞書
|
サポートされていないDeflate/GZIP辞書です。
|
714
|
サポートされていないGZIPヘッダ形式/方法
|
サポートされていないGZIPヘッダ形式または方法です。
|
801
|
プロトコルデコード検索の上限を超過
|
プロトコルデコードルールには検索またはPDUオブジェクトの制限が定義されていますが、オブジェクトを見つける前に制限に達しました。
|
802
|
プロトコルデコードの制約エラー
|
プロトコルデコードルールによってデコードされたデータが、プロトコルコンテンツの制約を満たしていません。
|
803
|
プロトコルデコードエンジンの内部エラー
|
|
804
|
プロトコルデコードの構造の超過
|
プロトコルデコードルールで、型の最大ネスト深度 (16) を超える型定義とパケットコンテンツが検出されました。
|
805
|
プロトコルデコードのスタックエラー
|
ルールのプログラミングエラーが原因で、反復が発生したか、またはネストされたプロシージャコールが使用されようとしました。
|
806
|
データの無限ループエラー
|