ビュー:

インターネットアクセスログ出力とCEF syslog形式の間のコンテンツマッピングについて理解する。

CEFインターネットアクセスオンプレミスゲートウェイのログ

CEFキー
説明
種類
ヘッダ (logVer)
CEF形式のバージョン
文字列
CEF:0
ヘッダ (vendor)
アプライアンス製品ベンダー
文字列
Trend Micro
ヘッダ (pname)
製品名
文字列
Zero Trust Secure Access - インターネットアクセス
ヘッダ (pver)
アプライアンスのバージョン
文字列
例: 1.0.0.2000
ヘッダ (eventid)
イベントの種類ごとの一意の識別子
文字列
例: 100000
ヘッダ (eventName)
イベントのカテゴリ
文字列
アクティビティログ
ヘッダ (severity)
リスクレベル
整数
  • 0: 処理=許可/分析
  • 1: 処理=監視/警告/オーバーライド
  • 2: 処理=ブロック
rt
ログ生成のUTCタイムスタンプ
タイムスタンプ
例: 2018/7/5 07:54:15 +0000
act
違反に対する処理
文字列
  • allow (許可)
  • monitor (監視)
  • block (ブロック)
  • warn (警告)
  • override (オーバライド)
  • analyze (分析)
app
アプリケーションプロトコル
文字列
例: HTTP
cat
URLカテゴリ
文字列
例: 検索エンジン/ポータル
customerExternalId
会社ID
文字列
例: 7800fcab-7611-416c-9ab4-721b7bd6b076
suser
ユーザプリンシパル名
文字列
例: user_name@example.com
devicePayloadId
このイベントログのGUID
文字列
例: aabb2233-a1b1-41dc-9abc-3f45ab290b0a
deviceExternalId
Secure Access ModuleがインストールされているエンドポイントのGUID
文字列
例: 66f0cb71-4150-4437-ba8b-91151bb12345
shost
Secure Access Moduleがインストールされているエンドポイントのホスト名
文字列
例: ノートパソコン
dvchost
サービスを提供するオンプレミスゲートウェイのホスト名
文字列
例: US_Office_on_premise_GW
dst
リクエストの送信先IPアドレス
文字列
例: 54.231.184.240
src
リクエストの送信元IPアドレス
文字列
例: 10.204.214.188
out
リクエストのサイズ
整数
単位: バイト
例: 501
次に含まれる
対応のサイズ
整数
単位: バイト
例: 220529
dproc
アプリケーション名
文字列
例: Google
destinationServiceName
詳細なアクセス制御のアプリと処理の名前
文字列
例: OneDriveダウンロードファイル
cn1
不正プログラムの種類
整数
  • 1: ウイルス
  • 2: スパイウェア
  • 3: ジョーク
  • 4: トロイの木馬
  • 5: テストウイルス
  • 6: パッカー
  • 7: 一般
  • 8: その他
  • 9: ボットネット
cn1Label
「cn1」フィールドに対応するラベル
文字列
malwareType
cn2
Webレピュテーションサービスのスコア
整数
例: 81
cn2Label
「cn2」フィールドに対応するラベル
文字列
wrsScore
cn3
検出の種類
整数
  • 0: 一致するZero Trust Secure Accessルールはありません
  • 1: クライアント証明書が見つからないか無効です
  • 2: 信頼されていないサーバ証明書
  • 3:Zero Trust Secure Access
  • 4: HTTPS検査の除外
  • 5: HTTPS検査失敗
  • 6: 検査失敗時のHTTPSバイパス
  • 9: 承認済みURL
  • 10: ブロックするURL
  • 15: プライベートIPアドレスアクセス
  • 20: Webレピュテーション
  • 21: URLフィルタ
  • 30: 制限されたファイルの種類
  • 33: 制限付きMIMEタイプ
  • 34: 制限付きファイル拡張子タイプ
  • 40: 不正プログラム検索
  • 41: ファイル検索の除外
  • 45: 機械学習の予測
  • 50: ボットネット
  • 60:アプリケーションコントロール
  • 70: 仮想アナライザの送信
  • 90: 不審オブジェクトブロックリスト
  • 100: 情報漏えい対策
  • 110: ランサムウェア
  • 120:リスク制御
  • 130: 非準拠デバイス
cn3label
「cn3」フィールドに対応するラベル
文字列
detectionType
cs1
不正プログラム名
文字列
例: HEUR_OLEXP.B
cs1Label
「cs1」フィールドに対応するラベル
文字列
malwareName
cs2
ポリシー名
文字列
例: 初期設定
cs2Label
「cs2」フィールドに対応するラベル
文字列
policyName
cs3
プロファイル名
文字列
例: 初期設定
cs3Label
「cs3」フィールドに対応するラベル
文字列
profileName
cs4
情報漏えい対策テンプレート名
文字列
例: HIPAA、PII
cs4Label
「cs4」フィールドに対応するラベル
文字列
dlp詳細
cs5
ファイルSHA-256
文字列
例: ba9edecdd09de1307714564c24409bd25508e22fe11c768053a08f173f263e93
cs5Label
「cs5」フィールドに対応するラベル
文字列
fileHashSha256
cs6
ユーザグループ名
文字列
例: R&D
cs6Label
「cs6」フィールドの対応するラベル
文字列
ユーザグループ名
fname
ファイル名
文字列
例: example.doc
fileType
ファイルタイプ
文字列
例: Microsoft Word
fsize
ファイルサイズ
整数
単位: バイト
例: 12,345
fileHash
ファイルSHA-1
文字列
例: 3f21be4521b5278fb14b8f47afcabe08a17dc504
dhost
リクエストのドメイン名
文字列
例: www.example.com
type
HTTPS検査が失敗したかどうかを示します (HTTPS要求にのみ適用)
整数
  • 0: 成功
  • 1: 失敗
requestClientApplication
要求のユーザエージェント
文字列
例: Mozilla/5.0
requestメソッド
HTTP/ HTTPS要求方式
文字列
例: GET
requestContext
リクエストペイロードのMIMEタイプ
文字列
例: text/html
reason
対応ペイロードのMIMEタイプ
文字列
例: text/html
outcome
リクエストのステータスコードまたは対応コード
文字列
例: 200
proto
データ転送用のネットワークプロトコル
文字列
例: TCP
request
リクエストの完全なURL
文字列
例: https://www.example.com/page.html
suid
認証済みユーザID
文字列
例: user@example.com