イベントに関する一般的なベストプラクティスについては、を参照してください。 Server & Workload Protectionのイベント。
Server & Workload Protectionによってキャプチャされた侵入防御イベントを確認するには、 。
侵入防御イベントについて表示される情報を教えてください。
これらの列は、[侵入防御イベント] ページに表示できます。 [カラム] をクリックして、テーブルに表示する列を選択できます。
- [時間]: コンピュータでイベントが発生した時刻。
- [コンピュータ]: このイベントが記録されたコンピュータ。 (コンピュータが削除されている場合、このエントリは「不明なコンピュータ」と表示されます)。
- [理由]: このイベントに関連付けられた侵入防御ルール。
- [タグ]: イベントに添付されたタグ。
- [アプリケーションの種類]: このイベントの原因となった侵入防御ルールに関連付けられたアプリケーションの種類。
- 処理: 侵入防御ルールが実行した処理 (ブロックまたはリセット)。ルールが検出のみモードでは、処理の先頭に「検出のみ:」が付きます。)ランク: ランク付けシステムは、侵入防御イベントとファイアウォールイベントの重要性を数値化する方法を提供します。 「アセット値」をコンピュータに割り当て、「重要度」を侵入防御ルールとファイアウォールルールに割り当てることで、イベントの重要度 (「ランク」) は、2つの値を掛け合わせることによって計算されます。これにより、侵入防御またはファイアウォールのイベントを表示するときに、イベントをランク順に並べ替えることができます。
- Severity: 侵入防御ルールの重要度の値。
- Direction: パケットの方向 (受信または送信)。
- Flow: このイベントをトリガしたパケットが、侵入防御ルールによって監視されているトラフィックの方向で転送されたか (「接続フロー」) または逆のトラフィック (「リバースフロー」) で転送されたか。
- Interface: パケットが通過したインタフェースのMACアドレス。
- Frame Type: 対象のパケットのフレームタイプ。可能な値は、「IPV4」、「IPV6」、「ARP」、「REVARP」、および「その他: XXXX」です。XXXXは、フレームタイプの4桁の16進コードを表します。
- Protocol: 可能な値は、「ICMP」、「ICMPV6」、「IGMP」、「GGP」、「TCP」、「PUP」、「UDP」、「IDP」、「ND」、「RAW」、「TCP+UDP」です。 , AND "Other: nnn" (nnnは3桁の10進数)
- Flags: パケットに設定されているフラグ。
- Source IP: パケットの送信元IP。
- Source MAC: パケットの送信元MACアドレス。
- Source Port: パケットの送信元ポート。
- Destination IP: パケットの宛先IPアドレス。
- Destination MAC: パケットの宛先MACアドレス。
- Destination Port: パケットの送信先ポート。
- Packet Size: パケットのサイズ (バイト単位)。
- Repeat Count: イベントが連続して繰り返された回数。
- Time (microseconds): コンピュータでイベントが発生した時間のマイクロ秒単位の精度。
- Event Origin: イベントの発生元の Server & Workload Protection コンポーネント。
次の列も使用できます。 エージェントバージョン12 FR以降で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。
- Interface Type: コンテナインタフェースの種類。
- Container Name: イベントが発生したコンテナの名前。
- Container ID: イベントが発生したコンテナのコンテナID。
- Image Name: イベントが発生したコンテナの作成に使用されたイメージ名。
- RepoDigest: コンテナイメージを識別する一意のダイジェスト。
- Process Name: イベントの原因となったプロセスの名前 (コンテナからの名前)。
その他の侵入防御イベント情報の表示
いつエクスポートする侵入防御イベントの場合、エクスポートされるデータには、上記のフィールドに加えて、 Server & Workload Protection コンソールからは表示されない追加のフィールドが含まれます。ただし、 Severity フィールドは例外で、CSVファイルでは使用できません。
- Note: CVEコードなど、イベントを意味する文字列。
- End Time: パケットが最後に検出された時刻。
- Position In Buffer: パケット内の位置。
- Position In Stream: TCP/IPストリーム内のパケットの位置。
- Data Flags: データフラグの値の詳細については、次の表を参照してください。
|
コード
|
旗
|
備考
|
|
0x01
|
データが切り捨てられました
|
データをログに記録できなかったことを示します。
|
|
0x02
|
ログオーバーフロー
|
このエントリの後にログがオーバーフローしました。
|
|
0x04
|
suppressed
|
このエントリの後にログしきい値抑制が発生しました。
|
|
0x08
|
データを持っている
|
パケットデータがログに記録されます。
|
|
0x10
|
参照データ
|
DataIdがログに記録されます。パケットペイロードはこのイベントに記録されません。ペイロードは、0x08フラグと同じデータインデックスを持つイベントでのみログに記録されます。
|
|
0x20
|
hasRawPkt
|
データは完全な生のパケットです。
|
- Data Index: パケットデータの一意のID (dataId)。同じdataIdを持つすべてのレコードは、同じパケットからのものです。
- Data: パケットのペイロード。
- Original IP (XFF): クライアントの元のIPアドレスを表示します。このフィールドのデータを取得するには、ルール 1006450 - Enable X-Forwarded-For HTTP Header Loggingを有効にします。
次のフィールドも使用できます。 エージェントバージョン12 FR以降で保護されているコンピュータ上のコンテナからトリガされたイベントの情報が表示されます。
- Process ID: コンテナによって報告されたプロセスID。
- Thread ID: コンテナによって報告されたスレッドID。
- Image ID: コンテナイメージのローカルID。
- Pod ID: ポッドID (該当する場合)。
すべての侵入防御イベントのリスト
|
ID
|
イベント
|
備考
|
|
200
|
リージョンサイズの超過
|
リージョン (編集リージョン、URIなど) が閉じられずに、バッファの最大許容サイズ (7570バイト) を 超えました。これは、通常、データがプロトコルに適合していないために発生します。
|
|
201
|
メモリ不足
|
リソースを使い果たしたため、パケットを正しく処理できませんでした。同時接続数が多すぎるか、システムのメモリ不足が原因である可能性があります。
|
|
202
|
編集回数の超過
|
パケットの単一リージョンにおける最大編集回数 (32回) を超えました。
|
|
203
|
編集範囲の超過
|
リージョンのサイズを最大許容サイズ (8,188バイト) よりも増やそうとする編集が試行されました。
|
|
204
|
パケットの最大一致数を超過
|
パケット内でパターンに一致する地点が2,048箇所を超えています。この制限に達するパケットは通常ガベージパケットまたは回避パケットであるため、エラーが返されて接続が破棄されます。
|
|
205
|
エンジンのコールスタック数の超過
|
|
|
206
|
ランタイムエラー
|
ランタイムエラーです。
|
|
207
|
パケットの読み込みエラー
|
パケットデータの読み込み中に発生した低レベルの問題です。
|
|
258
|
フェールオープン: リセット
|
リセットする必要のある接続を記録し、Fail-Open機能がオンでインラインモードの場合には記録しません。
|
|
300
|
サポートされていない暗号化
|
不明またはサポートされていない暗号化スイートが要求されました。
|
|
301
|
マスターキーの生成エラー
|
マスターシークレットから、暗号化キー、MACシークレット、および初期化ベクタを生成できません。
|
|
302
|
レコードレイヤメッセージ (準備ができていません)
|
SSL状態エンジンで、セッションの初期化前にSSLレコードが検出されました。
|
|
303
|
ハンドシェークメッセージ (準備ができていません)
|
SSL状態エンジンで、ハンドシェークのネゴシエーション後にハンドシェークメッセージが検出されました。
|
|
304
|
ハンドシェークメッセージの障害
|
適切にフォーマットされたハンドシェークメッセージが、誤った順序で検出されました。
|
|
305
|
メモリの割り当てエラー
|
リソースを使い果たしたため、パケットを正しく処理できませんでした。同時接続数が多すぎるか、システムのメモリ不足が原因である可能性があります。
|
|
306
|
サポートされていないSSLバージョン
|
クライアントがSSL V2バージョンのネゴシエーションを試行しました。
|
|
307
|
プレマスターキーの復号化時のエラー
|
ClientKeyExchangeメッセージからプレマスターシークレットを復号化できません。
|
|
308
|
クライアントによるロールバックの試行
|
クライアントが、ClientHelloメッセージに指定されたバージョンより古いバージョンのSSLプロトコルへのロールバックを試行しました。
|
|
309
|
更新エラー
|
キャッシュされたセッションキーでSSLセッションが要求されましたが、該当するセッションキーが見つかりませんでした。
|
|
310
|
鍵の交換エラー
|
サーバが一時的に生成されたキーを使用してSSLセッションを確立しようとしています。
|
|
311
|
SSLキー交換の上限を超過
|
キー交換の同時要求数が上限を超えました。
|
|
312
|
鍵サイズの超過
|
マスターの秘密鍵がプロトコルIDで指定されたサイズを超えています。
|
|
313
|
ハンドシェーク内の不正なパラメータ
|
ハンドシェークプロトコルのデコード中に無効または不正な値が検出されました。
|
|
314
|
利用可能なセッションなし
|
|
|
315
|
未サポートの圧縮方法
|
|
|
316
|
サポートされていないアプリケーション層プロトコル
|
不明またはサポートされていないSSLアプリケーション層プロトコルが要求されました。
|
|
386
|
フェールオープン: リセット
|
リセットする必要のある接続を記録し、Fail-Open機能がオンでタップモードの場合には記録しません。
|
|
500
|
URIパスの深さが超過
|
「/」区切り文字が多すぎます。パスの深さは最大100です。
|
|
501
|
無効なトラバーサル
|
ルートより上位に「../」を使用しようとしました。
|
|
502
|
URIに使用できない文字
|
URIに無効な文字が使用されています。
|
|
503
|
不完全なUTF8シーケンス
|
UTF8シーケンスの途中でURIが終了しました。
|
|
504
|
無効なUTF8の符号化
|
無効または規定外のエンコードが試行されました。
|
|
505
|
無効な16進の符号化
|
%nnのnnが16進数ではありません。
|
|
506
|
URIパス長の超過
|
パス長が512文字を超えています。
|
|
507
|
不正な文字の使用
|
無効な文字を使用しています。
|
|
508
|
二重デコードの攻撃コード
|
二重デコードの攻撃コードです (%25xx、%25%xxdなど)。
|
|
700
|
不正なBase64コンテンツ
|
Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
|
|
710
|
破損したDeflate/GZIPコンテンツ
|
Base64形式でエンコードされるはずのパケットコンテンツが正しくエンコードされませんでした。
|
|
711
|
不完全なDeflate/GZIPコンテンツ
|
不完全なDeflate/GZIPコンテンツです
|
|
712
|
Deflate/GZIPチェックサムエラー
|
Deflate/GZIPチェックサムエラーです。
|
|
713
|
未サポートのDeflate/GZIP辞書
|
サポートされていないDeflate/GZIP辞書です。
|
|
714
|
サポートされていないGZIPヘッダ形式/方法
|
サポートされていないGZIPヘッダ形式または方法です。
|
|
801
|
プロトコルデコード検索の上限を超過
|
プロトコルデコードルールには検索またはPDUオブジェクトの制限が定義されていますが、オブジェクトを見つける前に制限に達しました。
|
|
802
|
プロトコルデコードの制約エラー
|
プロトコルデコードルールによってデコードされたデータが、プロトコルコンテンツの制約を満たしていません。
|
|
803
|
プロトコルデコードエンジンの内部エラー
|
|
|
804
|
プロトコルデコードの構造の超過
|
プロトコルデコードルールで、型の最大ネスト深度 (16) を超える型定義とパケットコンテンツが検出されました。
|
|
805
|
プロトコルデコードのスタックエラー
|
ルールのプログラミングエラーが原因で、反復が発生したか、またはネストされたプロシージャコールが使用されようとしました。
|
|
806
|
データの無限ループエラー
|
|