Syslogのコンテンツ対応の種類1

この種類のSyslogのコンテンツ対応の場合、[CEFキー] フィールドは「{CEF Key 1}|{CEF Key 2}|...|{CEF Key n}」のように「|」で区切られた形式で入力します。

次の表に、事前定義済み/カスタムの拡張CEFキーとWeb Security as a Serviceのログ出力 (値) のsyslogコンテンツの対応を示します。

表 1. CEFアクセスログ
CEFキー	説明	値
ヘッダ (logVer)	CEF形式バージョン	CEF: 0
ヘッダ (vendor)	アプライアンスベンダー	トレンドマイクロ
ヘッダ (pname)	アプライアンス製品名	Trend Micro Web Security as a Service
ヘッダ (pver)	アプライアンスバージョン	例: 3.0.0.2042
ヘッダ (eventid)	署名ID	例: 100000
ヘッダ (eventName)	説明	アクセスログ
ヘッダ (severity)	リスクレベル	0: 処理=許可/分析 1: 処理=監視/警告/オーバーライド 2: 処理=ブロック
rt	UTCタイムスタンプ	例: 2018/7/5 07:54:15 +0000
logType	ログの種類	1: 成功したアクセスログ 5: 失敗したHTTPSアクセスログ
companyID	会社ID	例: 7800fcab-7611-416c-9ab4-721b7bd6b076
adDomain	ADドメイン	例: trendmicro.com.cn
userName	ユーザ名またはクライアントIP	例: 10.204.214.188
groupName	グループ名	例: testgroup1
userDepartment	ユーザ部門	例: 財務部門
gatewayName	ゲートウェイ名	例: on-premise-2051
app	使用プロトコル	1: HTTP 2: HTTPS 3: HTTP/2
transportBytes	リクエストまたはレスポンスの本文のサイズ	例: 221030
dst	リクエストの送信先IPアドレス	例: 54.231.184.240
src	リクエストの送信元IPアドレス	例: 10.204.214.188
upStreamSize	Web Security as a Serviceからサーバへのアップストリームペイロード (バイト)	例: 501
downStreamSize	サーバからWeb Security as a Serviceへのダウンストリームペイロード (バイト)	例: 220529
domainName	URLドメイン	例: clients4.google.com
scanType	検索の種類	0: 一致するルールがありません 1: クライアント証明書が必要です 2: 信頼されていないサーバ証明書 10: 承認済みURL/ブロックするURL 13: クライアントは許可されていません 14: 宛先ポートは許可されていません 15: プライベートアドレスへのアクセス 20: Webレピュテーションサービス 21: URLフィルタ 30: 実際のファイルタイプ 33: MIMEタイプ 34: ファイル拡張子名 40: 不正プログラム対策 41: 検索不能ファイル 45: 機械学習型検索 50: ボットネット対策 60: アプリケーション制御 70: 不審オブジェクト分析 (仮想アナライザ) 90: 不審オブジェクトフィルタリング (仮想アナライザ) 100: 情報漏えい対策 110: ランサムウェア
policyName	ポリシー名	例: 初期設定
profileName	プロファイル名	例: 初期設定
severity	WRSスコアしきい値	0: WRS無効 50: WRSセキュリティレベル=低 65: WRSセキュリティレベル=中 80: WRSセキュリティレベル=高
principalName	プリンシパル名	例: testuser@trendmicro.com.cn
cat	URLカテゴリ	例: 検索エンジン/ポータル
appName	アプリケーション名	例: Google
wrsScore	WRSスコア	例: 81
malwareType	不正プログラムの種類	1: ウイルス 2: スパイウェア 3: ジョーク 4: トロイの木馬 5: テストウイルス 6: パッカー 7: 一般 8: その他 9: ボットネット
malwareName	不正プログラム名	例: HEUR_OLEXP.B
fname	ファイル名	例: sample_nice_dda_heurb_1177077.ppt-1
filehash	SHA-1	例: 3f21be4521b5278fb14b8f47afcabe08a17dc504
act	処理	allow (許可) monitor (監視) block (ブロック) warn　(警告) override (オーバライド) analyze (分析)
httpTrans	HTTPトランザクション	JSON形式。例: {"http_req":{ "method":"GET","scheme":"http","path":"index.html","host":www.sina.com.cn,"headers":{"header_1":"value_1", ...}},"http_response":{"status_code":"200","headers":{...}}}
macAddress	適用エージェントがインストールされているWindowsエンドポイントのMACアドレス	例: 00-50-56-89-02-14 注: このCEFキーはオンプレミスゲートウェイに適用できません。

アクセスログ出力の例1:

CEF:0|Trend Micro|Trend Micro Web Security|3.0.0.2040|100000|Access Log|0| 
wrsScore=81 macAddress=00-50-56-89-02-14 companyID=7800fcab-7611-416c-9ab4-721b7bd6b076 app=2 
upStreamSize=1064 userDepartment= scanType=0 malwareType=0 
httpTrans={"http_req":{"headers":{"host":"clients4.google.com:443",
"proxy-connection":"keep-alive","user-agent":"Chrome WIN 67.0.3396.99 
(a337fbf3c2ab8ebc6b64b0bfdce73a20e2e2252b-refs/branch-heads/3396@{#790}) channel(stable)"},
"host":"clients4.google.com","method":"CONNECT","path":"","scheme":"https"},
"http_response":{"headers":{"content-length":"0"},"status_code":200},"ver":"1.0"}  
malwareName= rt=Jul 29 2018 19:34:11 +0000 policyName=default severity=65 filehash= 
logType=1 dst=172.217.24.206 appName=Google groupName= fname= adDomain= 
gatewayName=on-premise-2040 principalName= downStreamSize=4607 profileName= 
userName=10.204.214.188 src=10.204.214.188 transportBytes=5787
domainName=clients4.google.com cat=Search Engines/Portals act=allow

アクセスログ出力の例2:

CEF:0|Trend Micro|Trend Micro Web Security|3.0.0.2051|100000|Access Log|0| 
wrsScore=49 macAddress=00-50-56-89-02-14 companyID=7800fcab-7611-416c-9ab4-721b7bd6b076 
app=1 upStreamSize=501 userDepartment= scanType=70 malwareType=8 
httpTrans={"http_req":{"headers":{"accept-encoding":"gzip,deflate",
"host":"s3-us-west-2.amazonaws.com","user-agent":"Mozilla/5.0 
(Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99
Safari/537.36","x-forwarded-for":"10.204.214.188"},"host":"s3-us-west-2.amazonaws.com",
"method":"GET","path":"dda-demo-samples/SAMPLE_NICE_DDA_HEURB_1177077.ppt-1",
"scheme":"http"},"http_response":{"headers":{"content-length":"220160",
"content-type":"binary/octet-stream"},"status_code":200},"ver":"1.0"}
malwareName=HEUR_OLEXP.B rt=Aug 06 2018 02:24:15 +0000 policyName=default severity=0
filehash=3f21be4521b5278fb14b8f47afcabe08a17dc504 logType=1 dst=54.231.184.240 
appName=Amazon Web Services (AWS) groupName= fname=sample_nice_dda_heurb_1177077.ppt-1 
adDomain= gatewayName=on-premise-2051 principalName= downStreamSize=220529 
profileName=default userName=10.204.214.188 src=10.204.214.188 transportBytes=221030
domainName=s3-us-west-2.amazonaws.com cat=Malware Accomplice act=analyze

表 2. CEF監査ログ
CEFキー	説明	値
ヘッダ (logVer)	CEF形式バージョン	CEF: 0
ヘッダ (vendor)	アプライアンスベンダー	トレンドマイクロ
ヘッダ (pname)	アプライアンス製品名	Trend Micro Web Security as a Service
ヘッダ (pver)	アプライアンスバージョン	例: 3.4.1.5449
ヘッダ (eventid)	署名ID	例: 100001
ヘッダ (eventName)	説明	監査ログ
ヘッダ (severity)	リスクレベル	0
rt	UTCタイムスタンプ	例: Nov 04 2020 02:15:06 +0000
userName	メールアドレス	例: user@example.com
companyID	会社ID	例: 7800fcab-7611-416c-9ab4-721b7bd6b076
logType	ログの種類	3: 監査ログ
act	管理操作	例: 管理者ログオン
httpTrans	詳細な運用情報	次の出力サンプルを参照

注:

表に示されていない他のCEFキーは、監査ログでは利用できません。そのため、[CEFキー] で他のCEFキーを設定しても出力されません。

監査ログ出力の例1:

Nov 20 07:59:31 10.206.197.118 CEF: 0|Trend Micro|Trend Micro Web Security as a Service|
3.4.1.5478|100001|Audit Log|0|userName=admin@trendmicro.com.cn rt=Nov 20 2020 07:58:15 +0000 
companyID=d528b12f-08df-4c1f-be10-8ab6c74bf3e2 httpTrans={"userName": "test2", "role": "admin", 
"groups": [], "department": "H:5fa006fc-02e0-11eb-8042-005056897f14", "password": "******", 
"email": "test2@trendmicro.com.cn"} logType=3 act=Add Hosted User

監査ログ出力の例2:

Nov 20 07:49:32 10.206.197.118 CEF: 0|Trend Micro|Trend Micro Web Security as a Service|
3.4.1.5478|100001|Audit Log|0|userName=admin@trendmicro.com.cn rt=Nov 20 2020 07:47:50 +0000 
companyID=d528b12f-08df-4c1f-be10-8ab6c74bf3e2 httpTrans={"password": "******", 
"userId": "admin@trendmicro.com.cn", "tenantId": "tm"} logType=3 act=Administrator Log On