Amazon SNSに公開されると、イベントはSNSに送信されます。
Message文字列としてエンコードされたJSONオブジェクトの配列として指定します。配列内の各オブジェクトは1つのイベントです。有効なプロパティは、イベントの種類によって異なります。たとえば、
MajorVirusTypeは、 Server & Workload Protection 不正プログラム対策イベントに対してのみ有効なプロパティであり、システムイベントなどに対しては有効ではありません。有効なプロパティ値はプロパティごとに異なります。例については、を参照してください。 JSON形式のイベントの例。イベントプロパティの値を使用して、SNSトピックに公開するイベントをフィルタできます。詳細については、 JSON形式のSNS設定。
有効なイベントプロパティ
 |
注意イベントによっては、その種類のイベントに通常適用されるプロパティの一部を備えていない場合があります。
|
|
プロパティ名
|
説明
|
適用されるイベントの種類
|
|
|
ACRulesetID
|
整数
|
イベントが検出されたコンピュータに適用されたアプリケーションコントロールルールセットの一意の識別子です。
|
アプリケーションコントロールイベント
|
|
処理
|
文字列 (列挙)
|
アプリケーションコントロールイベントに対して実行された処理。「ソフトウェアの実行をルールでブロック」、「承認されていないソフトウェアの実行を許可」(検出のみモードのため)、「承認されていないソフトウェアの実行をブロック」など。
|
アプリケーションコントロールイベント
|
|
処理
|
整数 (列挙)
|
ファイアウォールイベントに対して実行された処理。 [検出のみ] の値は、ルールを有効にした場合の処理を示します。 0=不明、1=拒否、6=ログのみ、0x81=検出のみ:
拒否。
|
ファイアウォールイベント
|
|
処理
|
整数 (列挙)
|
侵入防御イベントに対して実行された処理。 0=不明、1=拒否、2=リセット、3=挿入、4=削除、5=置換、6=ログのみ、0x81=検出のみ: 拒否、0x82=検出のみ:
リセット、0x83=検出のみ: 挿入、 0x84=検出のみ: 削除、0x85=検出のみ: 置換。
|
侵入防御イベント
|
|
ActionBy
|
文字列
|
イベントを実行した Server & Workload Protection ユーザの名前。イベントがユーザによって生成されたものでない場合は「システム」。
|
システムイベント
|
|
処理理由説明
|
文字列
|
アクションがブロックされた理由。
|
アプリケーションコントロールイベント
|
|
ActionString
|
文字列
|
処理の文字列への変換。
|
ファイアウォールイベント、侵入防御イベント
|
|
AdministratorID
|
整数
|
処理を実行した Server & Workload Protection ユーザを表す一意識別子。ユーザではなくシステムによって生成されたイベントには識別子がありません。
|
システムイベント
|
|
AggregationType
|
整数 (列挙)
|
アプリケーションコントロールイベントが繰り返し発生したかどうか。 「AggregationType」が「0」でない場合、出現回数は「RepeatCount」になります。
0=集計しない、1=ファイル名、パス、およびイベントの種類に基づいて集計する、2=イベントの種類に基づいて集計する
|
アプリケーションコントロールイベント
|
|
AMTターゲット
|
文字列
|
不正プログラムが影響を与えようとしていたファイル、プロセス、またはレジストリキー (存在する場合)。不正プログラムが複数に影響を与えようとしていた場合、このフィールドには「複数」という値が含まれます。
|
不正プログラム対策イベント
|
|
AMTargetCount
|
整数
|
対象ファイルの数。
|
不正プログラム対策イベント
|
|
AMTargetType
|
整数
|
この不正プログラムが影響を与えようとしたシステムリソースの種類を示す数値コード。記述バージョンについては、「AMTargetTypeString」を参照してください。
0=不明、1=プロセス、2=レジストリ、3=ファイルシステム、4=起動、5=エクスプロイト、6=API、7=メモリ、8=ネットワーク接続、9=未分類
|
不正プログラム対策イベント
|
|
AMTargetTypeString
|
文字列
|
この不正プログラムが操作を試みたシステムリソースの種類。ファイルシステム、プロセス、Windowsレジストリなどです。
|
不正プログラム対策イベント
|
|
ATSED検出レベル
|
整数
|
ドキュメントのエクスプロイト対策の検出レベルです。
|
不正プログラム対策イベント
|
|
ApplicationType
|
文字列
|
侵入防御ルールに関連付けられたネットワークアプリケーションの種類の名前 (該当する場合)。
|
侵入防御イベント
|
|
BehaviorRuleId
|
文字列
|
内部不正プログラムケース追跡用の挙動監視ルールID。
|
不正プログラム対策イベント
|
|
動作の種類
|
文字列
|
検出された動作監視イベントの種類。
|
不正プログラム対策イベント
|
|
BlockReason
|
整数 (列挙)
|
処理に対応する理由。 0=不明、1=ルールによりブロック、2=認識できないためブロック
|
アプリケーションコントロールイベント
|
|
変更
|
整数 (列挙)
|
変更監視イベントでファイル、プロセス、レジストリキーなどに加えられた変更の種類。 1=作成、2=アップデート、3=削除、4=名前変更。
|
変更監視イベント
|
|
ChangeString
|
文字列
|
変更監視イベント (作成、更新、削除、または名前変更) によってファイル、プロセス、レジストリキーなどに加えられた変更の種類。
|
変更監視イベント
|
|
CloudOneAccountID
|
文字列
|
Cloud OneアカウントのIDです。
|
すべての種類のイベント
|
|
CommandLine
|
文字列
|
対象プロセスが実行したコマンド。
|
不正プログラム対策イベント
|
|
ContainerID
|
文字列
|
イベントが発生したコンテナのID。
|
不正プログラム対策イベント、侵入防御イベント、ファイアウォールイベント
|
|
ContainerImageName
|
文字列
|
不正プログラムが検出されたDockerコンテナのイメージ名。
|
不正プログラム対策イベント
|
|
ContainerName
|
文字列
|
イベントが発生したコンテナの名前。
|
不正プログラム対策イベント、侵入防御イベント、ファイアウォールイベント
|
|
作成時刻
|
文字列 (日付)
|
感染ファイルの作成時刻。
|
不正プログラム対策イベント
|
|
洞窟
|
文字列
|
プロセスの動作がCommon Vulnerabilities and Exposuresのいずれかで特定された場合のCVE情報。
|
不正プログラム対策イベント
|
|
データインデックス
|
整数
|
パケットデータの一意のID。
|
侵入防御イベント
|
|
説明
|
文字列
|
エンティティに対して行われた変更 (作成、削除、アップデート) の説明と変更された属性に関する詳細。
|
変更監視イベント
|
|
説明
|
文字列
|
イベントの内容を示す簡単な説明。
|
システムイベント
|
|
DestinationIP
|
文字列 (IP)
|
パケットの送信先のIPアドレス。
|
ファイアウォールイベント、侵入防御イベント
|
|
DestinationMAC
|
文字列 (MAC)
|
パケットの送信先のMACアドレス。
|
ファイアウォールイベント、侵入防御イベント
|
|
DestinationPort
|
整数
|
ネットワークポート番号にパケットが送信されました。
|
ファイアウォールイベント、侵入防御イベント
|
|
DetectionCategory
|
整数 (列挙)
|
Webレピュテーションイベントの検出カテゴリ。12=ユーザ定義、13=カスタム、91=グローバル。
|
Webレピュテーションイベント
|
|
DetectOnly
|
ブール
|
イベントが返されたときに [検出のみ] フラグがオンだったかどうか。trueの場合、URLへのアクセスが検出されましたが、ブロックはされていません。
|
Webレピュテーションイベント
|
|
方向
|
整数 (列挙)
|
ネットワークパケットの方向。0=受信、1=送信。
|
ファイアウォールイベント、侵入防御イベント
|
|
DirectionString
|
文字列
|
方向の文字列への変換。
|
ファイアウォールイベント、侵入防御イベント
|
|
DriverTime
|
整数
|
ドライバで記録されたログ生成時刻。
|
ファイアウォールイベント、侵入防御イベント
|
|
EndLogDate
|
文字列 (日付)
|
繰り返し発生したイベントについての最終ログ日付。繰り返し発生したイベント以外に対しては表示されません。
|
ファイアウォールイベント、侵入防御イベント
|
|
EngineType
|
整数
|
不正プログラム対策エンジンの種類。
|
不正プログラム対策イベント
|
|
EngineVersion
|
文字列
|
不正プログラム対策エンジンのバージョン。
|
不正プログラム対策イベント
|
|
EntityType
|
文字列 (列挙)
|
変更監視イベントが適用されるエンティティの種類: Directory、File、Group、InstalledSoftware、Port、Process、 RegistryKey、
RegistryValue、Service、User、またはWql
|
変更監視イベント
|
|
ErrorCode
|
整数
|
不正プログラム検索イベントのエラーコード。0以外の場合、検索に失敗したことを示しており、検索処理および検索結果のフィールドに詳細が表示されます。
|
不正プログラム対策イベント
|
|
EventID
|
整数
|
非推奨。代わりに UniqueID を使用してください。 2021年1月1日以降、このフィールドの値は常に0になります。
|
すべての種類のイベント
|
|
EventType
|
文字列 (列挙)
|
イベントの種類。 「SystemEvent」、「PacketLog」、「PayloadLog」、「AntiMalwareEvent」、「WebReputationEvent」、「IntegrityEvent」、「LogInspectionEvent」、「AppControlEvent」のいずれか。
|
すべての種類のイベント
|
|
FileName
|
文字列
|
許可またはブロックされたソフトウェアのファイル名 (「script.sh」など)。 (フルパスは「Path」で区切られています。)
|
アプリケーションコントロールイベント
|
|
FileSHA1
|
文字列
|
感染ファイルのfilesha1 (Secure Hash Algorithm 1の結果)。
|
不正プログラム対策イベント
|
|
FileSize
|
整数
|
許可またはブロックされたソフトウェアのファイルサイズ
|
アプリケーションコントロールイベント
|
|
フラグ
|
文字列
|
ネットワークパケットから記録されたフラグ (スペース区切りの文字列のリスト)。
|
ファイアウォールイベント、侵入防御イベント
|
|
フロー
|
整数 (列挙)
|
ネットワーク接続フロー。有効な値: -1=利用不可、0=接続フロー、1=リバースフロー
|
ファイアウォールイベント、侵入防御イベント
|
|
FlowString
|
文字列
|
フローの文字列への変換。
|
ファイアウォールイベント、侵入防御イベント
|
|
ForwardedSrc
|
配列 (バイト)
|
転送されたパケットの送信元情報
|
侵入防御イベント
|
|
Frame
|
整数 (列挙)
|
フレームの種類。-1=不明、2048=IP、2054=ARP、32821=REVARP、33169=NETBEUI、0x86DD=IPv6
|
ファイアウォールイベント、侵入防御イベント
|
|
FrameString
|
文字列
|
Frameの内容を示す文字列。
|
ファイアウォールイベント、侵入防御イベント
|
|
GroupID
|
文字列
|
「0」など、ソフトウェアを起動しようとしたユーザアカウントのグループID (ある場合)。
|
アプリケーションコントロールイベント
|
|
GroupName
|
文字列
|
「root」など、ソフトウェアを起動しようとしたユーザアカウントのグループ名 (ある場合)。
|
アプリケーションコントロールイベント
|
|
HostAgentVersion
|
文字列
|
イベントが検出されたコンピュータを保護していたエージェントのバージョン。
|
アプリケーションコントロールイベント、不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
|
|
HostAgentGUID
|
文字列
|
Server & Workload Protectionで有効化された場合のエージェントのグローバル一意識別子 (GUID) です。
|
不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
|
|
HostAssetValue
|
整数
|
イベントが生成された時点のコンピュータの資産評価。
|
不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
|
|
HostCloudType
|
文字列
|
Deep Security Agentがホストされているクラウドサービスプロバイダ。
|
不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
|
|
ホストGUID
|
文字列
|
Deep Security Agentのグローバル一意識別子 (GUID) です。
|
不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
|
|
HostGroupID
|
整数
|
イベントが検出されたコンピュータが属するコンピュータグループの一意の識別子。
|
アプリケーションコントロールイベント、不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
|
|
HostGroupName
|
文字列
|
イベントが検出されたコンピュータが属するコンピュータグループの名前。コンピュータグループ名は一意とは限らないことに注意してください。
|
アプリケーションコントロールイベント、不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
|
|
HostID
|
整数
|
イベントが発生したコンピュータの一意の識別子。
|
不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
|
|
HostInstanceID
|
文字列
|
イベントが検出されたコンピュータのクラウドインスタンスID。このプロパティは、クラウドコネクタと同期されたコンピュータに対してのみ設定されます。
|
アプリケーションコントロールイベント、不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
|
|
HostLastIPUsed
|
文字列 (IP)
|
Deep Security Managerへの通信時にエージェントからアップデートされた最新のIPアドレス。
|
不正プログラム対策イベント、アプリケーションコントロールイベント、ファイアウォールイベント、変更監視イベント、侵入防御イベント、セキュリティログ監視イベント、Webレピュテーションイベント
|
|
Netmask
|
文字列
|
イベントが生成されたコンピュータのホスト名。
|
不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
|
|
HostOS
|
文字列
|
イベントが検出されたコンピュータのOS。
|
不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
|
|
HostOwnerID
|
文字列
|
イベントが検出されたコンピュータのクラウドアカウントID。このプロパティは、クラウドコネクタと同期するコンピュータに対してのみ設定されます。
|
アプリケーションコントロールイベント、不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
|
|
HostSecurityPolicyID
|
整数
|
イベントが検出されたコンピュータに適用された Server & Workload Protection ポリシーの一意の識別子。
|
不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
|
|
HostSecurityPolicyName
|
文字列
|
イベントが検出されたコンピュータに適用された Server & Workload Protection ポリシーの名前。セキュリティポリシー名は一意ではない場合があることに注意してください。
|
不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
|
|
HostVCUUID
|
文字列
|
イベントが適用されるコンピュータのvCenter UUID (特定された場合)。
|
アプリケーションコントロールイベント、不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
|
|
ImageDigest
|
文字列
|
コンテナイメージの識別に使用されるデータの一意の概要。
|
侵入防御イベント、ファイアウォールイベント
|
|
イメージID
|
文字列
|
イベントが発生したDockerコンテナのイメージID
|
侵入防御イベント
|
|
イメージ名
|
文字列
|
イベントが発生したコンテナの作成に使用されたイメージ名。
|
侵入防御イベント、ファイアウォールイベント
|
|
InfectedFilePath
|
文字列
|
不正プログラム検出で見つかった感染ファイルのパス。
|
不正プログラム対策イベント
|
|
InfectionSource
|
文字列
|
不正プログラム感染元のコンピュータの名前 (特定された場合)。
|
不正プログラム対策イベント
|
|
インタフェース
|
文字列 (MAC)
|
パケットを送信または受信するネットワークインタフェースのMACアドレス。
|
ファイアウォールイベント、侵入防御イベント
|
|
インタフェースの種類
|
文字列
|
コンテナインタフェースの種類。 0=物理インタフェースは Server & Workload Protectionで個別に制御できるホストに属します。1=すべての仮想インタフェース、7=不明なタイプ (通常はホストインタフェース) です。
|
侵入防御イベント、ファイアウォールイベント
|
|
IPDatagramLength
|
整数
|
IPデータグラムの長さ。
|
侵入防御イベント
|
|
IsHash
|
文字列
|
ファイルの変更後のSHA-1コンテンツハッシュ (16進エンコード)。
|
変更監視イベント
|
|
キー
|
文字列
|
整合性イベントが参照しているファイルまたはレジストリキー。
|
変更監視イベント
|
|
LogDate
|
文字列 (日付)
|
イベントが記録された日時。 Agentで生成されたイベント (ファイアウォール、IPSなど) の場合、 Server & Workload Protectionがイベントを受信した時刻ではなく、 エージェントによってイベントが記録された時刻になります。
|
すべての種類のイベント
|
|
MajorVirusType
|
整数 (列挙)
|
検出された不正プログラムの分類。0=ジョーク、1=トロイの木馬、2=ウイルス、3=テスト、4=スパイウェア、5=パッカー、6=一般的なプログラム、7=その他
|
不正プログラム対策イベント
|
|
MajorVirusTypeString
|
文字列
|
MajorVirusTypeの内容を示す文字列。
|
不正プログラム対策イベント
|
|
MalwareName
|
文字列
|
検出された不正プログラムの名前。
|
不正プログラム対策イベント
|
|
MalwareType
|
整数 (列挙)
|
検出された不正プログラムの種類。1=一般的な不正プログラム、2=スパイウェア。一般的な不正プログラムの場合はInfectedFilePathが表示され、スパイウェアの場合は表示されません。
|
不正プログラム対策イベント
|
|
ManagerNodeID
|
整数
|
イベントが生成された Server & Workload Protection ノードを表す一意識別子。
|
システムイベント
|
|
ManagerNodeName
|
文字列
|
イベントが生成された Server & Workload Protection ノードの名前。
|
システムイベント
|
|
MD5
|
文字列
|
ソフトウェアのMD5チェックサム (ハッシュ) (ある場合)。
|
アプリケーションコントロールイベント
|
|
Mitre
|
文字列
|
プロセスの動作がMITRE攻撃シナリオのいずれかで特定された場合、MITRE情報。
|
不正プログラム対策イベント
|
|
変更時刻
|
文字列 (日付)
|
感染ファイルの変更時刻。
|
不正プログラム対策イベント
|
|
注意
|
配列 (バイト)
|
イベントが発生したパケットに関するエンコードされたメモ。
|
侵入防御イベント
|
|
番号
|
整数
|
システムイベントには、イベントを識別する追加のIDがあります。 Server & Workload Protectionでは、このプロパティは「イベントID」と表示されます。
|
システムイベント
|
|
操作
|
整数 (列挙)
|
0=不明、1= 検出のみモードのため許可、2=ブロック
|
アプリケーション制御
|
|
操作説明
|
文字列
|
[オペレーション] の値を示します。
|
アプリケーションコントロールイベント
|
|
Origin
|
整数 (列挙)
|
イベントの発生元。 -1=不明、0=エージェント、3=Server & Workload Protection
|
すべての種類のイベント
|
|
OriginString
|
文字列
|
Originの内容を示す判読可能な文字列。
|
すべての種類のイベント
|
|
OSSEC_Action
|
文字列
|
OSSECの処理
|
セキュリティログ監視イベント
|
|
OSSEC_Command
|
文字列
|
OSSECのコマンド
|
セキュリティログ監視イベント
|
|
OSSEC_Data
|
文字列
|
OSSECのデータ
|
セキュリティログ監視イベント
|
|
OSSEC_Description
|
文字列
|
OSSECの説明
|
セキュリティログ監視イベント
|
|
OSSEC_DestinationIP
|
文字列
|
OSSECの送信先IP
|
セキュリティログ監視イベント
|
|
OSSEC_DestinationPort
|
文字列
|
OSSECの送信先ポート
|
セキュリティログ監視イベント
|
|
OSSEC_DestinationUser
|
文字列
|
OSSECの送信元ユーザ
|
セキュリティログ監視イベント
|
|
OSSEC_FullLog
|
文字列
|
OSSECの完全なログ
|
セキュリティログ監視イベント
|
|
OSSEC_Groups
|
文字列
|
OSSECのグループの結果 (例: syslog,authentication_failure)
|
セキュリティログ監視イベント
|
|
OSSEC_Hostname
|
文字列
|
OSSECのホスト名。これはログエントリから読み取られたホストの名前であり、イベントが生成されたホストの名前と同じとは限りません。
|
セキュリティログ監視イベント
|
|
OSSEC_ID
|
文字列
|
OSSECのID
|
セキュリティログ監視イベント
|
|
OSSEC_Level
|
整数 (列挙)
|
OSSECのレベル。0~15の整数。0~3=重要度: 低、4~7=重要度: 中、8~11=重要度: 高、12~15=重要度: 重大。
|
セキュリティログ監視イベント
|
|
OSSEC_Location
|
文字列
|
OSSECの場所
|
セキュリティログ監視イベント
|
|
OSSEC_Log
|
文字列
|
OSSECのログ
|
セキュリティログ監視イベント
|
|
OSSEC_ProgramName
|
文字列
|
OSSECのプログラム名
|
セキュリティログ監視イベント
|
|
OSSEC_Protocol
|
文字列
|
OSSECのプロトコル
|
セキュリティログ監視イベント
|
|
OSSEC_RuleID
|
整数
|
OSSECのルールID
|
セキュリティログ監視イベント
|
|
OSSEC_SourceIP
|
整数
|
OSSECの送信元IP
|
セキュリティログ監視イベント
|
|
OSSEC_SourcePort
|
整数
|
OSSECの送信元ポート
|
セキュリティログ監視イベント
|
|
OSSEC_SourceUser
|
整数
|
OSSECの送信元ユーザ
|
セキュリティログ監視イベント
|
|
OSSEC_Status
|
整数
|
OSSECのステータス
|
セキュリティログ監視イベント
|
|
OSSEC_SystemName
|
整数
|
OSSECのシステム名
|
セキュリティログ監視イベント
|
|
OSSEC_URL
|
整数
|
OSSECのURL
|
セキュリティログ監視イベント
|
|
PacketData
|
整数
|
取り込まれたパケットデータの16進エンコード (パケットデータを取り込むようにルールで設定されている場合)。
|
侵入防御イベント
|
|
PacketSize
|
整数
|
ネットワークパケットのサイズ。
|
ファイアウォールイベント
|
|
パス
|
文字列
|
許可またはブロックされたソフトウェアファイルのディレクトリパス (「/usr/bin/」など)。 (ファイル名は「FileName」で区切られます)。
|
アプリケーションコントロールイベント
|
|
PatternVersion
|
整数 (列挙)
|
不正プログラム検出パターンファイルのバージョン。
|
不正プログラム対策イベント
|
|
PayloadFlags
|
整数
|
侵入防御フィルタフラグ。次のフラグ値を含むビットマスク値: 1 - データの切り捨て - データをログに記録できませんでした。 2 - ログオーバーフロー - このログの後にログがオーバーフローしました。
4 - 抑制 - このログ以降に抑制されるログのしきい値。 8 - データあり - パケットデータが含まれます。 16 -レファレンス/参照情報データ - 以前にログに記録されたデータを参照します。
|
侵入防御イベント
|
|
ポッドID
|
文字列
|
ポッドの一意のID (UID)
|
侵入防御イベント、ファイアウォールイベント
|
|
PosInBuffer
|
整数
|
イベントをトリガしたデータのパケット内の位置。
|
侵入防御イベント
|
|
PosInStream
|
整数
|
イベントをトリガしたデータのストリーム内の位置。
|
侵入防御イベント
|
|
プロセス
|
文字列
|
イベントを生成したプロセスの名前 (該当する場合)。
|
変更監視イベント
|
|
プロセス
|
文字列
|
検出された挙動監視イベントのプロセス名です。
|
不正プログラム対策イベント
|
|
ProcessID
|
整数
|
イベントを生成したプロセスの識別子 (PID) (該当する場合)。
|
アプリケーションコントロールイベント、侵入防御イベント、ファイアウォールイベント
|
|
ProcessName
|
文字列
|
「/usr/bin/bash」など、イベントを生成したプロセスの名前 (該当する場合)。
|
アプリケーションコントロールイベント、侵入防御イベント、ファイアウォールイベント
|
|
プロトコル
|
整数 (列挙)
|
ネットワークプロトコルのID。-1=不明、1=ICMP、2=IGMP、3=GGP、6=TCP、12=PUP、17=UDP、22=IDP、58=ICMPv6、77=ND、255=RAW
|
ファイアウォールイベント、侵入防御イベント
|
|
プロトコル
|
整数
|
ファイル検索プロトコルの数値。 0=ローカルファイル
|
不正プログラム対策イベント
|
|
ProtocolString
|
文字列
|
Protocolの内容を示す文字列。
|
ファイアウォールイベント、侵入防御イベント
|
|
順位
|
整数
|
イベントのランク。コンピュータに割り当てられている資産評価に、この重要度のイベントに対して設定されている重要度の値を掛けた数値です。
|
変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
|
|
理由
|
文字列
|
イベントをトリガした Server & Workload Protection ルールまたは設定オブジェクトの名前。イベントがルールによってトリガされなかった場合は、[ステータス]から[文字列]へのマッピング (ファイアウォールと侵入防御)
です。アプリケーションコントロールの場合、「理由」が「なし」の場合があります。 「BlockReason」を参照してください。
|
ファイアウォール、侵入防御、変更監視、セキュリティログ監視、不正プログラム対策、およびアプリケーションコントロールの各イベント
|
|
RepeatCount
|
整数
|
このイベントが繰り返し発生した回数。繰り返し回数が1の場合は、イベントが1回だけ確認され、繰り返されなかったことを示します。
|
ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
|
|
リスク
|
整数 (列挙)
|
アクセスしたURLのリスクレベル: 変換後。2=不審、3=非常に不審、4=危険、5=未テスト、6=管理者によるブロック
|
Webレピュテーションイベント
|
|
RiskLevel
|
整数
|
URLの未処理のリスクレベルを0~100で指定します。URLがブロックルールによってブロックされた場合は表示されません。
|
Webレピュテーションイベント
|
|
RiskString
|
文字列
|
Riskの内容を示す文字列。
|
Webレピュテーションイベント
|
|
ScanAction1
|
整数
|
検索処理1。検索処理1と2、検索結果の処理1と2、およびErrorCodeが組み合わされて、1つの「summaryScanResult」が形成されます。
|
不正プログラム対策イベント
|
|
ScanAction2
|
整数
|
検索処理2。
|
不正プログラム対策イベント
|
|
ScanResultAction1
|
整数
|
検索結果処理1。
|
不正プログラム対策イベント
|
|
ScanResultAction2
|
整数
|
検索結果の処理 2.
|
不正プログラム対策イベント
|
|
ScanResultString
|
文字列
|
不正プログラム検索の結果を示す文字列。ScanAction 1と2、ScanActionResult 1と2、およびErrorCodeの組み合わせです。
|
不正プログラム対策イベント
|
|
検索の種類
|
整数 (列挙)
|
イベントを生成した不正プログラム検索の種類。0=リアルタイム、1=手動、2=予約、3=クイック検索
|
不正プログラム対策イベント
|
|
ScanTypeString
|
文字列
|
ScanTypeの内容を示す文字列。
|
不正プログラム対策イベント
|
|
重大度
|
整数
|
1=情報、2=警告、3=エラー
|
システムイベント
|
|
重大度
|
整数 (列挙)
|
1=低、2=中、3=高、4=重大
|
変更監視イベント、侵入防御イベント
|
|
SeverityString
|
文字列
|
Severityの内容を示す判読可能な文字列。
|
システムイベント、変更監視イベント、侵入防御イベント
|
|
SeverityString
|
文字列
|
OSSEC_Levelの内容を示す判読可能な文字列。
|
セキュリティログ監視イベント
|
|
SHA1
|
文字列
|
ソフトウェアのSHA-1チェックサム (ハッシュ) (ある場合)。
|
アプリケーションコントロールイベント
|
|
SHA256
|
文字列
|
ソフトウェアのSHA-256チェックサム (ハッシュ) (存在する場合)。
|
アプリケーションコントロールイベント
|
|
SourceIP
|
文字列 (IP)
|
パケットの送信元IPアドレス。
|
ファイアウォールイベント、侵入防御イベント
|
|
SourceMAC
|
文字列 (MAC)
|
パケットの送信元MACアドレス。
|
ファイアウォールイベント、侵入防御イベント
|
|
SourcePort
|
整数
|
パケットのネットワーク送信元ポート番号。
|
ファイアウォールイベント、侵入防御イベント
|
|
ステータス
|
整数
|
このイベントが特定のファイアウォールルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: 123=ポリシーで未許可
|
ファイアウォールイベント
|
|
ステータス
|
整数
|
このイベントが特定の侵入防御ルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: -504=無効なUTF8の符号化
|
侵入防御イベント
|
|
タグ
|
文字列
|
イベントに適用されているタグのカンマ区切りのリスト。このリストには、イベントの生成時に自動的に適用されるタグのみが含まれます。
|
すべての種類のイベント
|
|
TagSetID
|
整数
|
イベントに適用されたタグのグループの識別子。
|
すべての種類のイベント
|
|
TargetID
|
整数
|
イベントの対象の一意の識別子。この識別子は、テナント内の同じ種類の対象では一意ですが、異なる種類の対象では同じになる場合があります。たとえば、コンピュータとポリシーの対象IDがどちらも10になることがあります。
|
システムイベント
|
|
TargetIP
|
文字列 (IP)
|
Webレピュテーションイベントの生成時にアクセスしていたIPアドレス。
|
Webレピュテーションイベント
|
|
TargetName
|
文字列
|
イベントの対象の名前。システムイベントの対象は、コンピュータ、ポリシー、ユーザ、ロール、タスクなど、さまざまです。
|
システムイベント
|
|
TargetType
|
文字列
|
イベントの対象の種類。
|
システムイベント
|
|
テナントGUID
|
文字列
|
イベントに関連付けられているテナントのグローバル一意識別子 (GUID) です。
|
すべての種類のイベント
|
|
TenantID
|
整数
|
イベントに関連付けられたテナントの一意の識別子。
|
すべての種類のイベント
|
|
TenantName
|
文字列
|
イベントに関連付けられたテナントの名前。
|
すべての種類のイベント
|
|
スレッドID
|
文字列
|
イベントを発生させた (コンテナからの) スレッドのID。
|
侵入防御イベント、ファイアウォールイベント
|
|
タイトル
|
文字列
|
イベントのタイトル。
|
システムイベント
|
|
UniqueID
|
整数
|
イベントのグローバル一意識別子。すべてのプラットフォーム、サービス、およびストレージタイプでイベントを一意に識別するフィールド。
|
すべての種類のイベント
|
|
URL
|
文字列 (URL)
|
イベントの生成時にアクセスしていたURL。
|
Webレピュテーションイベント
|
|
ユーザ
|
文字列
|
変更監視イベントの対象となったユーザアカウント (特定された場合)。
|
変更監視イベント
|
|
UserID
|
文字列
|
「0」など、ソフトウェアを起動しようとしたユーザアカウントのユーザID (UID) (ある場合)。
|
アプリケーションコントロールイベント
|
|
ユーザ名
|
文字列
|
不正プログラム対策イベントの場合、これはイベントをトリガしたユーザアカウント名です。
アプリケーションコントロールイベントの場合、これは、「root」など、ソフトウェアを起動しようとしたユーザアカウントのユーザ名です (存在する場合)。
|
不正プログラム対策イベント、アプリケーションコントロールイベント
|
イベントプロパティのデータ型
JSONとして転送されるイベントでは、通常は他のデータタイプのエンコードに文字列が使用されます。
|
データの種類
|
説明
|
||
|
配列 (バイト)
|
JSON
arrayバイト値で構成されます。 |
||
|
ブール
|
JSON
trueまたは false. |
||
|
整数
|
JSON
int。 Server & Workload Protection は、イベントで浮動小数点数を出力しません。
|
||
|
整数 (列挙)
|
JSON
int, restricted to a set of enumerated values. |
||
|
文字列
|
JSON
string. |
||
|
文字列 (日付)
|
JSON
stringYYYY-MM-DDThh:mm:ss.sssZ (ISO 8601) の形式の日付と時刻の形式です。 「Z」はタイムゾーンです。 「sss」は、1秒未満を表す3桁の数字です。次も参照してください。日付と時刻の形式に関するW3Cの注意事項。 |
||
|
文字列 (IP)
|
JSON
string、IPv4アドレスまたはIPv6アドレスとしてフォーマットされます。 |
||
|
文字列 (MAC)
|
JSON
string、ネットワークMACアドレスとしてフォーマットされます。 |
||
|
文字列 (URL)
|
JSON
string、URL形式で表示されます。 |
||
|
文字列 (列挙)
|
JSON
string、列挙値のセットに制限されます。 |
JSON形式のイベントの例
システムイベント
{
"Type" : "Notification",
"MessageId" : "123abc-123-123-123-123abc",
"TopicArn" : "arn:aws:sns:us-west-2:123456789:DS_Events",
"Message" : "[
{
"ActionBy":"System",
"CloudOneAccountID": "012345678900"
"Description":"Alert: New Pattern Update is Downloaded and Available\\nSeverity: Warning\",
"EventID":6813,
"EventType":"SystemEvent",
"LogDate":"2018-12-04T15:54:24.086Z",
"ManagerNodeID":123,
"ManagerNodeName":"job7-123",
"Number":192,
"Origin":3,
"OriginString":"Manager",
"Severity":1,
"SeverityString":"Info",
"Tags":"\",
"TargetID":1,
"TargetName":"ec2-12-123-123-123.us-west-2.compute.amazonaws.com",
"TargetType":"Host",
"TenantID":123,
"TenantName":"Umbrella Corp.",
"Title":"Alert Ended"
"UniqueID": "2e447b1889e712340f6d071cebd92ea9"
}
]",
"Timestamp" : "2018-12-04T15:54:25.130Z",
"SignatureVersion" : "1",
"Signature" : "500PER10NG5!gnaTURE==",
"SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
"UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}
不正プログラム対策イベント
各SNSに複数のウイルス検出イベントを設定可能
Message。 (簡潔にするため、以下では繰り返しイベントのプロパティを省略し、「...」で示します)。{
"Type" : "Notification",
"MessageId" : "123abc-123-123-123-123abc",
"TopicArn" : "arn:aws:sns:us-west-2:123456789:DS_Events",
"Message" : "[
{
"AMTarget": "VDSO memory",
"AMTargetCount": 1,
"AMTargetType": 7,
"AMTargetTypeString": "Memory",
"ATSEDetectionLevel": 0,
"BehaviorRuleId": "DIRTYCOW_MADVISE_EXPL",
"BehaviorType": "Exploit_Detection",
"CloudOneAccountID": "012345678900"
"CommandLine": "/tmp/demo -f esiv [xxxx]",
"Cve": "CVE-2016-5195",
"ErrorCode": 0,
"EventID": 1179519,
"EventType": "AntiMalwareEvent",
"FileSHA1": "CEF4644713633C0864D4283FEFA0CE174D48F115",
"HostAgentGUID": "FF8162DF-4CB5-B158-DE42-EBD52967FCF7",
"HostAgentVersion": "20.0.0.1685",
"HostGUID": "9089E800-41D3-2CA9-FF0B-3A30A42ED650",
"HostID": 38,
"HostLastIPUsed": "172.31.21.47",
"HostOS": "Red Hat Enterprise 7 (64 bit) (3.10.0-957.12.2.el7.x86_64)",
"HostSecurityPolicyID": 11,
"HostSecurityPolicyName": "Linux_AM_Sensor",
"Hostname": "ec2-3-131-151-239.us-east-2.compute.amazonaws.com",
"InfectedFilePath": "/tmp/demo",
"LogDate": "2021-01-07T10:32:11.000Z",
"MajorVirusType": 14,
"MajorVirusTypeString": "Suspicious Activity",
"MalwareName": "TM_MALWARE_BEHAVIOR",
"MalwareType": 4,
"Mitre": "T1068",
"Origin": 0,
"OriginString": "Agent",
"PatternVersion": "1.2.1189",
"Process": "testsys_m64",
"Protocol": 0,
"Reason": "Default Real-Time Scan Configuration",
"ScanAction1": 1,
"ScanAction2": 0,
"ScanResultAction1": 0,
"ScanResultAction2": 0,
"ScanResultString": "Passed",
"ScanType": 0,
"ScanTypeString": "Real Time",
"Tags": "",
"TenantGUID": "",
"TenantID": 0,
"TenantName": "Primary",
"UniqueID": "2e447b1889e712340f6d071cebd92ea9"
"UserName": "root"
}
]",
"Timestamp" : "2018-12-04T15:57:50.833Z",
"SignatureVersion" : "1",
"Signature" : "500PER10NG5!gnaTURE==",
"SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
"UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}