ポリシーで使用するセキュリティログインスペクションルールを定義する

注意 1台以上のコンピュータに割り当てられたセキュリティログ監視ルール、またはポリシーの一部であるセキュリティログ監視ルールは削除できません。

• 新しいセキュリティログインスペクションルールの作成
• デコーダ
• サブルール
• 実際の例
• セキュリティログインスペクションルールの重要度と推奨される使用方法
• strftime() 変換指定子
• セキュリティログインスペクションルールの調査

新しいセキュリティログ監視ルールを作成する

1. Server & Workload Protection コンソールで、次の場所に移動します。[Policies] → [共通オブジェクト] → [ルール] → [セキュリティログ監視ルール] 。
2. クリック[新規] → [新しいセキュリティログ監視ルール] 。
3. [一般] タブで、ルールの名前とオプションの説明を入力します。
4. [内容] タブでは、ルールを定義します。ルールを定義する最も簡単な方法は、 [基本ルール] を選択し、表示されるオプションを使用してルールを定義することです。さらにカスタマイズが必要な場合は、 [カスタム (XML)] を選択して、定義するルールのXMLビューに切り替えることができます。

   注意 [基本ルール] ビューに戻すと、[カスタム (XML)] ビューで加えた変更はすべて失われます。

   XMLベースの言語を使用して独自のセキュリティログインスペクションルールを作成する方法について詳しくは、 OSSECを参照するか、サポートプロバイダにお問い合わせください。

• [ルールID]: ルールIDは、ルールの一意の識別子です。 OSSECでは、100000～109999をユーザ定義ルールの領域として定義しています。 Server & Workload Protection によって、新しい一意のルールIDがフィールドに事前入力されます。
• [レベル]: ルールにレベルを割り当てます。ゼロ (0) は、ルールがイベントをログに記録しないことを意味します。ただし、このルールを監視する他のルールは実行される可能性があります。
• [グループ]: 1つ以上のカンマ区切りのグループにルールを割り当てます。これは、ルールまたは特定のグループに属するルールの実行時に起動するルールを作成できるため、依存関係を使用する場合に便利です。
• [ルールの説明]: ルールの説明。
• [特征码匹配]: ルールがログ内で検索するパターンです。ルールは一致時にトリガーされます。パターンマッチングでは、正規表現またはより単純な文字列パターンがサポートされます。 「文字列パターン」パターンタイプは正規表現よりも高速ですが、次の3つの特別な操作のみをサポートします。
  • [^ (キャレット)]: テキストの開始を指定します。
  • [$ (ドル記号)]: テキストの終了を指定します。
  • [| (パイプ)]: 複数のパターン間の「OR」を作成する場合は、セキュリティログ監視モジュールで使用される正規表現の構文については、「https://www.ossec.net/docs/syntax/regex.html 。
• [依存パッケージ]: 別のルールに依存関係を設定すると、この領域で指定されたルールもトリガされた場合にのみルールでイベントがログに記録されます。
• [頻度]: ルールがトリガーされるまでに、特定の期間内にルールが一致する必要がある回数。
• [期間]: イベントをログに記録するためにルールが特定の回数 (上記の頻度) をトリガーする必要がある期間 (秒)。

注意 [内容] タブは、自分で作成したセキュリティログインスペクションルールに対してのみ表示されます。トレンドマイクロが発行するセキュリティログ監視インスペクションルールには、セキュリティログ監視ルールの設定オプション (存在する場合) が表示される [構成] タブがあります。

1. [ファイル] タブで、ルールで監視するファイルの絶対パスを入力し、ファイルの種類を指定します。
2. [オプション] タブの [アラート] セクションで、このルールで Server & Workload Protectionのアラートをトリガーするかどうかを選択します。 [アラートの最小重大度] では、ベーシックルールまたはカスタム (XML) テンプレートを使用して作成されたルールに対してアラートをトリガーする最小の重大度を設定します。

   注意 ベーシックルールテンプレートでは、一度に1つのルールが作成されます。 1つのテンプレートに複数のルールを記述するには、カスタム (XML) テンプレートを使用できます。カスタム (XML) テンプレート内でレベルの異なる複数のルールを作成する場合は、 [最小のアラート重要度] 設定を使用して、そのテンプレート内のすべてのルールに対してアラートをトリガする最小重大度を選択できます。

3. [割り当て対象] タブには、このセキュリティログインスペクションルールを使用しているポリシーとコンピュータが一覧表示されます。新しいルールを作成しているため、まだ割り当てられていません。
4. [OK]をクリックします。ルールをポリシーとコンピュータに割り当てる準備ができました。

デコーダ

• [ログログ]: イベントのメッセージセクション
• [full_log]: イベント全体
• [場所]: ログの取得元
• [ホスト名]: イベントソースのホスト名
• [program_name]: イベントのsyslogヘッダからのプログラム名
• [srcip]: イベント内の送信元IPアドレス
• [dstip]: イベント内の宛先IPアドレス
• [srcport]: イベント内の送信元ポート番号
• [dstport]: イベント内の送信先ポート番号
• [protocol]: イベント内のプロトコル
• [] を選択した場合は、感染したコンテンツを置換するテキストおよびファイル名を入力してください]: イベント内で実行された処理
• [srcuser]: イベント内の発信元ユーザ
• [dstuser]: イベント内の送信先ユーザ
• [ID]: イベントのIDとしてデコードされた任意のID
• [ステータス:]: イベント内のデコードされたステータス
• [コマンド]: イベント内で呼び出されているコマンド
• [url]: イベント内のURL
• [データ]: イベントから抽出された追加データ
• [システム名]: イベント内のシステム名

• アラートを発生させることができます。 (セキュリティログ監視ルールの [プロパティ] 画面の [オプション] タブで設定できます。)
• イベントをsyslogに書き込むことができます。 ( [SIEM] 領域で設定可能[管理] → [システム設定] → [イベントの転送]タブをクリックします。)
• イベントを Server & Workload Protectionに送信できます。 (セキュリティログ監視のSyslog設定での設定ポリシー編集者またはコンピュータ編集者 → 設定 → イベント転送タブをクリックします。)

サブルール

グループ

<group name="syslog,sshd,"> </group>

注意 グループ名の末尾のカンマに注目してください。を使用する場合は、末尾のカンマが必要です。<if_group></if_group>タグを使用して、このサブルールに条件付きで別のサブルールを追加します。

注意 一連のセキュリティログインスペクションルールがエージェントに送信されると、エージェントのセキュリティログ監視エンジンは割り当てられた各ルールからXMLデータを取得し、実質的に1つの長いセキュリティログインスペクションルールにまとめます。一部のグループ定義は、トレンドマイクロが作成したすべてのセキュリティログインスペクションルールに共通です。このため、トレンドマイクロでは「初期設定ルール設定」と呼ばれるルールを用意しています。このルールでは、これらのグループを定義し、他のトレンドマイクロルールとともに常に割り当てられます。 (割り当てるルールを選択し、[初期設定のルール設定] ルールを選択していない場合は、インスペクションルールが自動的に割り当てられることを通知するメッセージが表示されます。)トレンドマイクロが作成したルールを割り当てずにコンピュータを使用する場合は、「初期設定のルール設定」ルールの内容を新しいルールにコピーするか、「初期設定のルール設定」**ルールを選択してコンピュータに割り当てる必要があります。

ルール、ID、およびレベル

<group name="syslog,sshd,"> <rule id="100120" level="5"> </rule> <rule id="100121" level="6"> </rule> </group>

注意 カスタムルールには、100,000以上のID値を指定する必要があります。

注意 イベントの自動タグ設定が有効になっている場合、イベントにはグループ名のラベルが付けられます。トレンドマイクロが提供するセキュリティログインスペクションルールでは、グループをより使いやすいバージョンに変更する変換テーブルを使用します。たとえば、「login_denied」は「ログイン拒否」と表示されます。カスタムルールは、ルールに表示されるグループ名別に表示されます。

説明

<group name="syslog,sshd,"> <rule id="100120" level="5"> <group>authentication_success</group> <description>SSHD testing authentication success</description> </rule> <rule id="100121" level="6"> <description>SSHD rule testing 2</description> </rule> </group>

デコード形式

<rule id="100123" level="5"> <decoded_as>sshd</decoded_as> <description>Logging every decoded sshd message</description> </rule>

注意 使用可能なデコーダを表示するには、 [セキュリティログ監視ルール] 画面に移動して [プロパティ]をクリックします。 [デコーダ。] を右クリックして [1002791-初期設定のLog Decoder] を選択します。 [構成] タブに移動し、 [デコーダの表示]をクリックします。

一致する

Jan 1 12:34:56 linux_server sshd[1231]: Failed password for invalid user jsmith from 192.168.1.123 port 1799 ssh2

<rule id="100124" level="5"> <decoded_as>sshd</decoded_as> <match>^Failed password</match> <description>Failed SSHD password attempt</description> </rule>

注意 文字列の先頭を示す正規表現のキャレット (「^」) に注意してください。ログの先頭に「Failed password」は表示されませんが、セキュリティログ監視デコーダによってログがセクションに分割されます。参照デコーダ詳細については、これらのセクションの1つは、ログ全体である「full_log」とは対照的に、ログのメッセージ部分である「log」です。

条件文

<group name="syslog,sshd,"> <rule id="100123" level="2"> <decoded_as>sshd</decoded_as> <description>Logging every decoded sshd message</description> </rule> <rule id="100124" level="7"> <if_sid>100123</if_sid> <match>^Failed password</match> <group>authentication_failure</group> <description>Failed SSHD password attempt</description> </rule> <rule id="100125" level="3"> <if_sid>100123</if_sid> <match>^Accepted password</match> <group>authentication_success</group> <description>Successful SSHD password attempt</description> </rule> </group>

評価の階層

注意 親子階層構造を使用すると、ルールの効率を向上させることができます。親ルールがtrueと評価されない場合、セキュリティログ監視エンジンはその親の子を無視します。

注意 とはいえ、<if_sid></if_sid>タグを使用して、まったく異なるログインスペクションルール内のサブルールを参照することができます。後でルールを確認することが非常に困難になるため、これは避けるべきです。

<rule id="100127" level="10"> <if_sid>100125</if_sid> <time>6 pm - 8:30 am</time> <description>Login outside business hours.</description> <group>policy_violation</group> </rule>

ログエントリのサイズに関する制限

<rule id="100127" level="10" maxsize="2000"> <if_sid>100125</if_sid> <time>6 pm - 8:30 am</time> <description>Login outside business hours.</description> <group>policy_violation</group> </rule>

コンポジットルール

<rule id="100130" level="10" frequency="x" timeframe="y"> </rule>

<rule id="100130" level="10" frequency="5" timeframe="600"> <if_matched_sid>100124</if_matched_sid> <description>5 Failed passwords within 10 minutes</description> </rule>

<rule id="100130" level="10" frequency="5" timeframe="600"> <if_matched_group>authentication_failure</if_matched_group> <same_source_ip /> <description>5 Failed passwords within 10 minutes</description> </rule>

<rule id="100130" level="10" frequency="5" timeframe="600"> <if_matched_regex>^Failed password</if_matched_regex> <same_source_ip /> <description>5 Failed passwords within 10 minutes</description> </rule>

実際の使用例

1. アプリケーションログを記録する場所
2. ログファイルのデコードに使用できるセキュリティログ監視デコーダ
3. ログファイルメッセージの一般的な形式

1. Windowsイベントビューア
2. Windowsイベントログ (eventlog)
3. Windowsイベントログ形式 (次のコア属性を使用)
   • 出典: CMS
   • カテゴリ: なし
   • イベント：<Application Event ID>

• CMSアプリケーションログ (ソース: CMS)
  • 認証 (イベント: 100～119)
    • ユーザログイン成功 (イベント: 100)
    • ユーザログイン失敗 (イベント: 101)
    • 管理者ログイン成功 (イベント: 105)
    • 管理者ログイン失敗 (イベント: 106)
  • 一般エラー (タイプ: エラー)
    • データベースエラー (イベント: 200～205)
    • ランタイムエラー (イベント: 206～249)
  • アプリケーション監査 (タイプ: 情報)
    • 内容
      • 新しいコンテンツの追加 (イベント: 450～459)
      • 既存のコンテンツが変更されました (イベント: 460～469)
      • 既存のコンテンツの削除 (イベント: 470～479)
    • 運用管理
      • ユーザ
        • 新規ユーザの作成 (イベント: 445～446)
        • 既存ユーザの削除 (イベント: 447～449)

1. Server & Workload Protection コンソールで、ポリシー → 共通オブジェクト → ルール → セキュリティログ監視ルールをクリックします。新規を表示します。新しいセキュリティログ監視ルールのプロパティウィンドウ。
2. 新しいルールの名前と説明を入力し、 Content タブをクリックします。
3. 新しいカスタムルールを作成する最も簡単な方法は、基本ルールテンプレートから始めることです。 Basic Rule ラジオボタンを選択します。
4. Rule ID フィールドには、100,000以上の未使用のID番号が自動的に入力されます。このIDはカスタムルール用に予約されています。
5. Level 設定を Low (0)に設定します。
6. ルールに適切なグループ名を付けます。この場合は「cms」です。
7. ルールの簡単な説明を入力します。
   
8. ここで、 Custom (XML) オプションを選択します。 「基本」ルールで選択したオプションがXMLに変換されます。
   
9. Files タブをクリックし、 Add File ボタンをクリックして、ルールを適用するアプリケーションログファイルとログの種類を追加します。この場合、ファイルの種類は「アプリケーション」、「eventlog」です。
   

   注意 Eventlog は、ログファイルの場所とファイル名を指定する必要がないため、 Server & Workload Protection で一意のファイルの種類です。代わりに、Windowsイベントビューアに表示されるログ名を入力するだけで十分です。イベントログファイルの種類の他のログ名には、「セキュリティ」、「システム」、「Internet Explorer」など、Windowsイベントビューアに表示されるセクションがあります。その他のファイルタイプでは、ログファイルの場所とファイル名が必要です。 (C/C++ strftime()変換指定子は、ファイル名の照合に使用できます。より便利な変換指定子については、以下の表を参照してください。)

10. OK をクリックして、基本ルールを保存します。
11. 作成したカスタム (XML) の基本ルールを使用して、以前に特定したロググループに基づいて、新しいルールをグループに追加できます。基本ルールの条件を初期ルールに設定します。次の例では、CMSベースルールにより、ソース属性が「CMS」のWindowsイベントログが識別されています。

    <group name="cms"> <rule id="100000" level="0"> <category>windows</category> <extra_data>^CMS</extra_data> <description>Windows events from source 'CMS' group messages.</description> </rule>

12. 次に、識別されたロググループから後続のルールを作成します。次の例では、認証とログインの成功と失敗、およびログをイベントID別に識別します。

    <rule id="100001" level="0"> <if_sid>100000</if_sid> <id>^100|^101|^102|^103|^104|^105|^106|^107|^108|^109|^110</id> <group>authentication</group> <description>CMS Authentication event.</description> </rule> <rule id="100002" level="0"> <if_group>authentication</if_group> <id>100</id> <description>CMS User Login success event.</description> </rule> <rule id="100003" level="4"> <if_group>authentication</if_group> <id>101</id> <group>authentication_failure</group> <description>CMS User Login failure event.</description> </rule> <rule id="100004" level="0"> <if_group>authentication</if_group> <id>105</id> <description>CMS Administrator Login success event.</description> </rule> <rule id="100005" level="4"> <if_group>authentication</if_group> <id>106</id> <group>authentication_failure</group> <description>CMS Administrator Login failure event.</description> </rule>

13. 次に、確立されたルールを使用して、複合ルールまたは相関ルールを追加します。次の例は、10秒間に5回ログイン失敗が繰り返されたインスタンスに適用される、重大度の高い複合ルールを示しています。

    <rule id="100006" level="10" frequency="5" timeframe="10"> <if_matched_group>authentication_failure</if_matched_group> <description>CMS Repeated Authentication Login failure event.</description> </rule>

14. すべてのルールで適切な重大度を確認します。たとえば、エラーログの重大度は5以上にする必要があります。情報ルールの重大度は低くなります。
15. 最後に、新しく作成したルールを開き、 Configuration タブをクリックして、カスタムルールのXMLをルールフィールドにコピーします。 Apply または OK をクリックして変更を保存します。

<group name="cms"> <rule id="100000" level="0"> <category>windows</category> <extra_data>^CMS</extra_data> <description>Windows events from source 'CMS' group messages.</description> </rule> <rule id="100001" level="0"> <if_sid>100000</if_sid> <id>^100|^101|^102|^103|^104|^105|^106|^107|^108|^109|^110</id> <group>authentication</group> <description>CMS Authentication event.</description> </rule> <rule id="100002" level="0"> <if_group>authentication</if_group> <id>100</id> <description>CMS User Login success event.</description> </rule> <rule id="100003" level="4"> <if_group>authentication</if_group> <id>101</id> <group>authentication_failure</group> <description>CMS User Login failure event.</description> </rule> <rule id="100004" level="0"> <if_group>authentication</if_group> <id>105</id> <description>CMS Administrator Login success event.</description> </rule> <rule id="100005" level="4"> <if_group>authentication</if_group> <id>106</id> <group>authentication_failure</group> <description>CMS Administrator Login failure event.</description> </rule> <rule id="100006" level="10" frequency="5" timeframe="10"> <if_matched_group>authentication_failure</if_matched_group> <description>CMS Repeated Authentication Login failure event.</description> </rule> <rule id="100007" level="5"> <if_sid>100000</if_sid> <status>^ERROR</status> <description>CMS General error event.</description> <group>cms_error</group> </rule> <rule id="100008" level="10"> <if_group>cms_error</if_group> <id>^200|^201|^202|^203|^204|^205</id> <description>CMS Database error event.</description> </rule> <rule id="100009" level="10"> <if_group>cms_error</if_group> <id>^206|^207|^208|^209|^230|^231|^232|^233|^234|^235|^236|^237|^238| ^239^|240|^241|^242|^243|^244|^245|^246|^247|^248|^249</id> <description>CMS Runtime error event.</description> </rule> <rule id="100010" level="0"> <if_sid>100000</if_sid> <status>^INFORMATION</status> <description>CMS General informational event.</description> <group>cms_information</group> </rule> <rule id="100011" level="5"> <if_group>cms_information</if_group> <id>^450|^451|^452|^453|^454|^455|^456|^457|^458|^459</id> <description>CMS New Content added event.</description> </rule> <rule id="100012" level="5"> <if_group>cms_information</if_group> <id>^460|^461|^462|^463|^464|^465|^466|^467|^468|^469</id> <description>CMS Existing Content modified event.</description> </rule> <rule id="100013" level="5"> <if_group>cms_information</if_group> <id>^470|^471|^472|^473|^474|^475|^476|^477|^478|^479</id> <description>CMS Existing Content deleted event.</description> </rule> <rule id="100014" level="5"> <if_group>cms_information</if_group> <id>^445|^446</id> <description>CMS User created event.</description> </rule> <rule id="100015" level="5"> <if_group>cms_information</if_group> <id>^447|449</id> <description>CMS User deleted event.</description> </rule> </group>

セキュリティログ監視ルールの重要度レベルと推奨される使用法

strftime() 変換指定子

セキュリティログ監視ルールの確認

セキュリティログインスペクションルールの構造とイベント照合プロセス

• 3800 - Grouping of Exchange Rules - Default - ignore
  • 3801 - Email rcpt is not valid (invalid account) - Default - Medium (5)
    • 3851 - Multiple email attempts to an invalid account - Default - High (10)
      • Frequency (1 to 128) - 10
      • Time Frame (1 to 86400) - 120
      • Time to ignore this rule after triggering it once - to avoid excessive logs (1 to 86400) - 120
  • 3802 - Email 500 error code - Default - Medium (4)
    • 3852 - Email 500 error code (spam) - Default - High (9)
      • 頻度 - 12
      • Time Frame (1 to 86400) - 120
      • 無視 - 240

重複しているサブルール