データマッピング:セキュアアクセス活動データ

表 1. Zero Trust Secure Access -Internet Access Activity Data

フィールド名

一般フィールド

説明

サンプル

endpointHostName

EndpointName

エンドポイントのホスト名

  • my_machine

  • jeremy-mbp

customerId

-

会社ID

  • 66f0cb71-4150-4437-ba8b-91151bb1a047

  • c0bc06a1-1777-41e6-babe-978dd1d75627

osName

-

エンドポイントデバイスのOS

  • Windows 10

  • macos 12.1

dst

  • IPv4

  • IPv6

送信先IPアドレス

10.10.10.10

endpointGuid

EndpointID

検出を報告したエージェントのGUID

66f0cb71-4150-4437-ba8b-91151bb12345

principalName

-

Trend Micro Web Security as a Service管理ポータルへのログオンに使用するユーザプリンシパル名

  • sunny@trendmicro.com

  • millie.hutchinson@etlsystems.com

  • jeremy_tong@trendmicro.com

request

URL

ユーザがアクセスしている要求されたリンク先URL

https://google.com

act

-

違反に対して実行された処理

  • 0:許可

  • 1:監視

  • 2:ブロック

  • 3:警告

  • 4:オーバーライド

  • 5:分析

4

src

  • IPv4

  • IPv6

インターネットアクセスゲートウェイに接続している送信元IPアドレス

  • 100.100.100.100

  • 18.162.103.100

serverTls

-

サーバのTLS / SSLバージョン

TLS 1.2

eventTime

-

エージェント側のイベント生成時間

1599465660

serverProtocol

-

送信先サーバのHTTPプロトコルバージョン

HTTP/1.1

userAgent

-

接続元のWebブラウザアプリユーザの名前

  • Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0)

  • Chrome/74.0.3729.108

  • Safari/537.36

rt

-

レポートの受信日時

1599465660

tenantGuid

-

インターネットアクセスゲートウェイのテナントGUID

66f0cb71-4150-4437-ba8b-91151bb09876

eventName

-

イベントの種類名

SWG_ACTIVITY_LOG

application

-

要求されたアプリケーションの名前

Facebook

ruleName

-

イベントをトリガしたルールの名前

ETL_Access Rules_Web_Host

clientIp

-

送信元エンドポイントの内部IPアドレス

"fe80:0:0:0:fc7b:7a74:d273:8d13"

requestBase

-

SWG:

要求されたURLのドメイン

www.facebook.com

score

-

WebレピュテーションサービスのURL評価

81

userDomain

-

ユーザ名のドメイン

etlsystems.com

suid

UserAccount

ユーザ名またはIPアドレス

Millie Hutchinson

duration

-

検索完了時間(ミリ秒)

28

eventSubName

-

イベントの種類のサブネーム

OneDrive download file

fileHash

FileSHA1

ポリシーに違反したファイルのSHA-1

1e15bf99022a9164708cebb3eace8fd61ad45cba

fileHashSha256

FileSHA2

ポリシーに違反したファイルのSHA-256

ba9edecdd09de1307714564c24409bd25508e22fe11c768053a08f173f263e93

fileName

FileName

ポリシーに違反したファイルのファイル名

word.doc

fileSize

-

ポリシーに違反したファイルのサイズ

12134

fileType

-

ポリシーに違反したファイルの種類

Microsoft Word

malName

-

検出された不正プログラムの名前

"BadZipFile"

mimeType

-

対応本文のMIMEタイプ/コンテンツタイプ

text/html

sender

-

Webトラフィックが通過したローミングユーザまたはゲートウェイ

ETL VPN

detectionType

-

検索の種類

60

profile

-

実行された脅威対策テンプレートまたは情報漏えい対策プロファイルの名前

"default"

userDepartment

-

ユーザ部門

Sales

requestMethod

-

HTTP / HTTPS要求メソッド

POST

pname

-

内部製品ID(廃止、productCodeを使用)

  • "2200"

  • "751"

  • "533"

pver

-

製品バージョン

"1.0"

deviceGUID

-

この検出を報告したエージェントのGUID

"d1142f61-5bdf-4a48-bee8-b35f7b6c2376"

requestMimeType

-

要求されたコンテンツタイプ

  • "application/x-msdos-program"

  • "multipart/related; type=\"application/xop+xml\"; boundary=\"urn:uuid:FE7597F5-87C6-49B4-BE87-CC03F82272A8\"; start=\"<http://tempuri.org/xml/0>\"; start-Info=\"text/xml; charset=utf-8\""

failedHTTPSInspection

-

HTTPSトラフィックの検査に失敗しました

TRUE

tlsJA3Fingerprint

-

JA3フィンガープリント

"771,4865-4866-4867-49195-49199-49196-49200-52393-52392-49171-49172-156-157-47-53,0-23-65281-10-11-35-16-5-13-18-51-45-43-27-41,29-23-24,0"

responseSize

-

応答時間

6096

clientProtocol

-

エンドポイントがインターネットアクセスゲートウェイに接続する際に使用するプロトコル

HTTP/1.1

clientTls

-

エンドポイントがインターネットアクセスゲートウェイに接続するときに使用するTLSのバージョン

TLS 1.2

contentEncoding

-

要求または対応のコンテンツエンコード

"gzip"

authType

-

エンドポイントの認証方法

Agent JWT

requestSize

-

リクエストの長さ

952

serverRespTime

-

要求されたサーバからの応答時間(ミリ秒)

311

trafficType

-

インターネットアクセスゲートウェイへのエンドポイント接続方法

Forward

urlCat

-

要求されたURLのカテゴリ

Social Networking
表 2. Zero Trust Secure Access -Private Access Activity Data

フィールド名

一般フィールド

説明

サンプル

endpointHostName

EndpointName

エンドポイントのホスト名

  • my_machine

  • jeremy-mbp

customerId

-

会社ID

  • 66f0cb71-4150-4437-ba8b-91151bb1a047

  • c0bc06a1-1777-41e6-babe-978dd1d75627

osName

-

エンドポイントデバイスのOS

  • Windows 10

  • macos 12.1

dst

  • IPv4

  • IPv6

送信先のプライベートアプリケーションサーバのIPアドレス

10.206.209.64

endpointGuid

EndpointID

Secure Access Moduleによって生成されたエンドポイントID

DSP84573ULLJHM5GK2R7

principalName

-

サインインしているユーザのユーザプリンシパル名

  • sunny@trendmicro.com

  • millie.hutchinson@etlsystems.com

  • jeremy_tong@trendmicro.com

request

URL

ユーザがアクセスしている要求されたリンク先URL

SWG: https://google.com

ZTNA: /api/example/v1/testit

act

-

違反に対して実行された処理

block

src

  • IPv4

  • IPv6

送信元エンドポイントのパブリックIPアドレス

  • 100.100.100.100

  • 18.162.103.100

serverTls

-

サーバのTLS / SSLバージョン

  • TLS1.3:34

  • TLS1.2:33

  • TLS1.1:32

  • TLS1.0:31

  • SSL3.0:30

  • TSL2.0:20

  • SSL1.0:10

31

eventTime

-

エージェント側のイベント生成時間

1599465660

serverProtocol

-

送信先サーバのHTTPプロトコルバージョン

1.1

userAgent

-

接続元のWebブラウザアプリユーザの名前

  • Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0)

  • Chrome/74.0.3729.108

  • Safari/537.36

rt

-

レポートの受信日時

1599465660

tenantGuid

-

インターネットアクセスゲートウェイのテナントGUID

66f0cb71-4150-4437-ba8b-91151bb09876

eventName

-

イベントの種類名

  • ZTNA_ACTIVITY_LOG

  • ZTNA_DETECTION_LOG

application

-

要求されたアプリケーションの名前

wiki

ruleName

-

イベントをトリガしたルールの名前

block_wiki_for_guest

clientIp

-

送信元エンドポイントSecure Access Moduleの仮想IPアドレス

10.64.23.45

100.64.0.2

requestBase

-

要求されたプライベートアプリケーションのドメイン

gary.webserver64.com

ruleType

-

トリガされたルールの種類

access

ruleUuid

-

実行されたルールのUUID

12340518-abd7-43e1-9b73-2f55c4c95a8e

objectId

-

プライベートアクセスアプリケーションのUUID

6f1fe071-9636-4c99-9a4d-c9f6d409a4c8

spt

Port

エンドポイントSecure Access Moduleに割り当てられた送信元仮想ポート

57763

policyUuid

-

トリガされたプライベートアクセスまたはリスク制御ルールのUUID

afef0518-abd7-43e1-9b73-2f55c4c95a8e

dpt

Port

プライベートアプリケーションサーバの送信先ポート

443

companyName

-

会社名

Trend Micro

開始

-

Secure Access Moduleセッション開始時間

1575462989
親トピック: 検索方法のデータソース