セキュリティログ監視モジュールを設定して、ポリシーに対する動作を定義します。モジュールの動作を設計し、APIを使用して実装する場合は、セキュリティログ監視について。
ポリシーオブジェクトには、セキュリティログ監視モジュールの設定に使用する2つのオブジェクトが含まれています。
LogInspectionPolicyExtension: モジュールの状態 (オンまたはオフ) を制御し、適用されるセキュリティログインスペクションルールを識別します。PolicySettings注意: ポリシー設定には、推奨設定の自動適用、イベントの転送と保存など、モジュールの実行時の動作を制御するセキュリティログ監視関連の設定が含まれます。 (「ポリシーと初期設定のポリシーを設定する.)
これらのオブジェクトを作成して
Policyオブジェクトの場合は、PoliciesApiに基づいて既存のポリシーを変更するクラスです。Policyオブジェクト。次のJSONは、
LogInspectionPolicyExtensionオブジェクト:{ "state": "on", "moduleStatus": {...}, "ruleIDs": [...] }
は
moduleStatusプロパティは読み取り専用です。セキュリティログ監視モジュールの実行時のステータスを示します。 (「コンピュータのステータスに関するレポート.)一般な手順 
セキュリティログ監視モジュールを設定するには、次の手順を実行します。
-
作成する
LogInspectionPolicyExtensionオブジェクトを作成し、プロパティを設定します。 -
作成する
PolicySettingsオブジェクトを使用して、モジュールの実行時設定を行います。 (「ポリシーと初期設定のポリシーを設定する.) -
作成する
Policyオブジェクトを追加し、LogInspectionPolicyExtensionそしてPolicySettingsオブジェクト。 -
使用する
PoliciesApiServer & Workload Protectionのポリシーを追加または更新するオブジェクト。
作成する
LogInspectionPolicyExtension objectモジュールの状態を設定してルールを割り当てるには、次の手順を実行します。policy_config_log_inspection = api.LogInspectionPolicyExtension() policy_config_log_inspection.state = "on" policy_config_log_inspection.rule_ids = li_rules
セキュリティログ監視ポリシー拡張をポリシーオブジェクトに追加し、
PoliciesApi Server & Workload Protectionのポリシーを変更するオブジェクト。policy = api.Policy() policy.log_inspection = policy_config_log_inspection policies_api = api.PoliciesApi(api.ApiClient(configuration)) modified_policy = policies_api.modify_policy(policy_id, policy, api_version)
は
policy_id (またはpolicyID ) のパラメータmodifyPolicy変更する Server & Workload Protection の実際のポリシーを示します。このポリシーは、policyパラメータ。のプロパティpolicy設定されていないパラメータは、実際のポリシーでは変更されません。例
次の例では、セキュリティログ監視を有効にして、ポリシーのログインスペクションルールを追加します。
# Set the state policy_config_log_inspection = api.LogInspectionPolicyExtension() policy_config_log_inspection.state = "on" # Add the rules policy_config_log_inspection.rule_ids = li_rules # Add to a policy policy = api.Policy() policy.log_inspection = policy_config_log_inspection # Modify the policy on Server & Workload Protection policies_api = api.PoliciesApi(api.ApiClient(configuration)) modified_policy = policies_api.modify_policy(policy_id, policy, api_version) return modified_policy.idServer & Workload Protection policies_api = api.PoliciesApi(api.ApiClient(configuration)) modified_policy = policies_api.modify_policy(policy_id, policy, api_version) return modified_policy.id
 |
ヒントまた、ポリシーの変更操作については、 APIレファレンス/参照情報を参照してください。
|
|
ヒントポリシーのセキュリティログインスペクションルールの追加、削除、または一覧表示のみが必要な場合は、
PolicyLogInspectionRuleAssignmentsApiクラス。前の例では、LogInspectionPolicyExtension ,Policy、およびPoliciesApiクラスを使用してセキュリティログインスペクションルールを追加できますが、PolicyLogInspectionRuleAssignmentsApiクラス。詳細については、ポリシーセキュリティログ監視ルールの割り当てと推奨事項APIレファレンス/参照情報の「ポリシー」セクションを参照してください。 |
API呼び出しの認証の詳細については、を参照してください。 Server & Workload Protectionによる認証。
セキュリティログインスペクションルールを作成する
通常、セキュリティログインスペクションルールを作成するには、次の手順を実行します。
手順
- 作成する
IntegrityMonitoringRuleオブジェクト。 - ルールのプロパティを設定して、名前、説明、および検査するログファイルを設定します。プロパティの説明サブルール。
- を使用します。
IntegrityMonitoringRulesApiオブジェクトを使用してルールを Server & Workload Protectionに追加します。
次に進む前に
を設定します。
Templateルールの定義方法を示すルールオブジェクトのプロパティ。- [基本情報]: 1つのルールグループに属する1つのセキュリティログ監視インスペクションルール。ルールの各プロパティに値を指定します。
- [カスタム]: 1つまたは複数のグループの下にある1つまたは複数のルール。 1つまたは複数のルールを定義するXML (base64エンコード) を指定します。の値を設定します。
CustomXMLプロパティをカスタムXMLに追加します。
 |
注意侵入防御、変更監視、およびセキュリティログ監視インスペクションルールの設定オプションには、APIを使用してアクセスできません。これらのオプションを変更するには、 Server & Workload Protection コンソールでルールのプロパティを開き、[設定] タブをクリックします。
|
APIを使用してセキュリティログインスペクションルールを作成するには、POSTリクエストを送信します。
the loginspectionrulesエンドポイント。 (セキュリティログ監視ルールの作成での操作APIレファレンス/参照情報.)基本的なセキュリティログインスペクションルールの作成
次の例では、基本的なログインスペクションルールを設定し、 Server & Workload Protectionに作成します。
# Create the rule object li_rule = api.LogInspectionRule() li_rule.name = name li_rule.description = "A log inspection rule" # Create a log file and add it to the rule log_file = api.LogFile() log_file.location = "C/logfile.log" log_file.format = "eventlog" log_files = api.LogFiles() log_files.log_files = [log_file] li_rule.log_files = log_files # Define the rule li_rule.template ="basic-rule" li_rule.pattern = pattern li_rule.pattern_type = "string" li_rule.rule_description = "Rule for " + path + " and pattern " + pattern li_rule.groups = [group] # Add the rule to Server & Workload Protection log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration)) return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)Server & Workload Protection log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration)) return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)
API呼び出しの認証の詳細については、を参照してください。 Server & Workload Protectionによる認証。
XMLを使用したログインスペクションルールの作成
次の例では、XMLからセキュリティログインスペクションルールを作成し、ルールを Server & Workload Protectionに追加します。
# Create the rule object li_rule = api.LogInspectionRule() li_rule.name = name li_rule.description = "A log inspection rule" # Create a log file and add it to the rule log_file = api.LogFile() log_file.location = "C/logfile.log" log_file.format = "eventlog" log_files = api.LogFiles() log_files.log_files = [log_file] li_rule.log_files = log_files # Define the rule li_rule.template ="custom" li_rule.XML = xml # Add the rule to Server & Workload Protection log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration)) return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)Server & Workload Protection log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration)) return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)
API呼び出しの認証の詳細については、を参照してください。 Server & Workload Protectionによる認証。