Syslogのコンテンツ対応の種類1

この種類のSyslogのコンテンツ対応の場合、[CEFキー] フィールドは「{CEF Key 1}|{CEF Key 2}|...|{CEF Key n}」のように「|」で区切られた形式で入力します。

次の表に、事前定義済み/カスタムの拡張CEFキーとWeb Security as a Serviceのログ出力 (値) のsyslogコンテンツの対応を示します。

表 1. CEFアクセスログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF: 0

ヘッダ (vendor)

アプライアンスベンダー

トレンドマイクロ

ヘッダ (pname)

アプライアンス製品名

Trend Micro Web Security as a Service

ヘッダ (pver)

アプライアンスバージョン

例: 3.0.0.2042

ヘッダ (eventid)

署名ID

例: 100000

ヘッダ (eventName)

説明

アクセスログ

ヘッダ (severity)

リスクレベル

  • 0: 処理=許可/分析

  • 1: 処理=監視/警告/オーバーライド

  • 2: 処理=ブロック

rt

UTCタイムスタンプ

例: 2018/7/5 07:54:15 +0000

logType

ログの種類

1: アクセスログ

companyID

会社ID

例: 7800fcab-7611-416c-9ab4-721b7bd6b076

adDomain

ADドメイン

例: trendmicro.com.cn

userName

ユーザ名またはクライアントIP

例: 10.204.214.188

groupName

グループ名

例: testgroup1

userDepartment

ユーザ部門

例: 財務部門

gatewayName

ゲートウェイ名

例: on-premise-2051

app

使用プロトコル

  • 1: HTTP

  • 2: HTTPS

transportBytes

リクエストまたはレスポンスの本文のサイズ

例: 221030

dst

リクエストの送信先IPアドレス

例: 54.231.184.240

src

リクエストの送信元IPアドレス

例: 10.204.214.188

upStreamSize

Web Security as a Serviceからサーバへのアップストリームペイロード (バイト)

例: 501

downStreamSize

サーバからWeb Security as a Serviceへのダウンストリームペイロード (バイト)

例: 220529

domainName

URLドメイン

例: clients4.google.com

scanType

検索の種類

  • 0: 一致するルールがありません

  • 1: クライアント証明書が必要です

  • 2: 信頼されていないサーバ証明書

  • 10: 承認済みURL/ブロックするURL

  • 13: クライアントは許可されていません

  • 14: 宛先ポートは許可されていません

  • 15: プライベートアドレスへのアクセス

  • 20: Webレピュテーションサービス

  • 30: 実際のファイルタイプ

  • 33: MIMEタイプ

  • 34: ファイル拡張子名

  • 40: 不正プログラム対策

  • 41: 検索不能ファイル

  • 45: 機械学習型検索

  • 50: ボットネット対策

  • 60: アプリケーション制御

  • 70: 不審オブジェクト分析 (仮想アナライザ)

  • 90: 不審オブジェクトフィルタリング (仮想アナライザ)

  • 100: 情報漏えい対策

  • 110: ランサムウェア

policyName

ポリシー名

例: 初期設定

profileName

プロファイル名

例: 初期設定

severity

WRSスコアしきい値

  • 0: WRS無効

  • 50: WRSセキュリティレベル=低

  • 65: WRSセキュリティレベル=中

  • 80: WRSセキュリティレベル=高

principalName

プリンシパル名

例: testuser@trendmicro.com.cn

cat

URLカテゴリ

例: 検索エンジン/ポータル

appName

アプリケーション名

例: Google

wrsScore

WRSスコア

例: 81

malwareType

不正プログラムの種類

  • 1: ウイルス

  • 2: スパイウェア

  • 3: ジョーク

  • 4: トロイの木馬

  • 5: テストウイルス

  • 6: パッカー

  • 7: 一般

  • 8: その他

  • 9: ボットネット

malwareName

不正プログラム名

例: HEUR_OLEXP.B

fname

ファイル名

例: sample_nice_dda_heurb_1177077.ppt-1

filehash

SHA-1

例: 3f21be4521b5278fb14b8f47afcabe08a17dc504

act

処理

  • allow (許可)

  • monitor (監視)

  • block (ブロック)

  • warn (警告)

  • override (オーバライド)

  • analyze (分析)

httpTrans

HTTPトランザクション

JSON形式。例: {"http_req":{ "method":"GET","scheme":"http","path":"index.html","host":www.sina.com.cn,"headers":{"header_1":"value_1", ...}},"http_response":{"status_code":"200","headers":{...}}}

アクセスログ出力の例1:

CEF:0|Trend Micro|Trend Micro Web Security as a Service|3.0.0.2040|100000|Access Log|0| 
wrsScore=81 companyID=7800fcab-7611-416c-9ab4-721b7bd6b076 app=2 upStreamSize=1064 
userDepartment= scanType=0 malwareType=0 
httpTrans={"http_req":{"headers":{"host":"clients4.google.com:443",
"proxy-connection":"keep-alive","user-agent":"Chrome WIN 67.0.3396.99 
(a337fbf3c2ab8ebc6b64b0bfdce73a20e2e2252b-refs/branch-heads/3396@{#790}) channel(stable)"},
"host":"clients4.google.com","method":"CONNECT","path":"","scheme":"https"},
"http_response":{"headers":{"content-length":"0"},"status_code":200},"ver":"1.0"}  
malwareName= rt=Jul 29 2018 19:34:11 +0000 policyName=default severity=65 filehash= 
logType=1 dst=172.217.24.206 appName=Google groupName= fname= adDomain= 
gatewayName=on-premise-2040 principalName= downStreamSize=4607 profileName= 
userName=10.204.214.188 src=10.204.214.188 transportBytes=5787
domainName=clients4.google.com cat=Search Engines/Portals act=allow

アクセスログ出力の例2:

CEF:0|Trend Micro|Trend Micro Web Security as a Service|3.0.0.2051|100000|Access Log|0| 
wrsScore=49 companyID=7800fcab-7611-416c-9ab4-721b7bd6b076 app=1 upStreamSize=501 
userDepartment= scanType=70 malwareType=8 
httpTrans={"http_req":{"headers":{"accept-encoding":"gzip,deflate",
"host":"s3-us-west-2.amazonaws.com","user-agent":"Mozilla/5.0 
(Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99
Safari/537.36","x-forwarded-for":"10.204.214.188"},"host":"s3-us-west-2.amazonaws.com",
"method":"GET","path":"dda-demo-samples/SAMPLE_NICE_DDA_HEURB_1177077.ppt-1",
"scheme":"http"},"http_response":{"headers":{"content-length":"220160",
"content-type":"binary/octet-stream"},"status_code":200},"ver":"1.0"}
malwareName=HEUR_OLEXP.B rt=Aug 06 2018 02:24:15 +0000 policyName=default severity=0
filehash=3f21be4521b5278fb14b8f47afcabe08a17dc504 logType=1 dst=54.231.184.240 
appName=Amazon Web Services (AWS) groupName= fname=sample_nice_dda_heurb_1177077.ppt-1 
adDomain= gatewayName=on-premise-2051 principalName= downStreamSize=220529 
profileName=default userName=10.204.214.188 src=10.204.214.188 transportBytes=221030
domainName=s3-us-west-2.amazonaws.com cat=Malware Accomplice act=analyze
表 2. CEF監査ログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF: 0

ヘッダ (vendor)

アプライアンスベンダー

トレンドマイクロ

ヘッダ (pname)

アプライアンス製品名

Trend Micro Web Security as a Service

ヘッダ (pver)

アプライアンスバージョン

例: 3.4.1.5449

ヘッダ (eventid)

署名ID

例: 100001

ヘッダ (eventName)

説明

監査ログ

ヘッダ (severity)

リスクレベル

0

rt

UTCタイムスタンプ

例: Nov 04 2020 02:15:06 +0000

userName

メールアドレス

例: user@example.com

companyID

会社ID

例: 7800fcab-7611-416c-9ab4-721b7bd6b076

logType

ログの種類

3: 監査ログ

act

管理操作

例: 管理者ログオン

httpTrans

詳細な運用情報

次の出力サンプルを参照

注:

表に示されていない他のCEFキーは、監査ログでは利用できません。そのため、[CEFキー] で他のCEFキーを設定しても出力されません。

監査ログ出力の例1:

Nov 20 07:59:31 10.206.197.118 CEF: 0|Trend Micro|Trend Micro Web Security as a Service|
3.4.1.5478|100001|Audit Log|0|userName=admin@trendmicro.com.cn rt=Nov 20 2020 07:58:15 +0000 
companyID=d528b12f-08df-4c1f-be10-8ab6c74bf3e2 httpTrans={"userName": "test2", "role": "admin", 
"groups": [], "department": "H:5fa006fc-02e0-11eb-8042-005056897f14", "password": "******", 
"email": "test2@trendmicro.com.cn"} logType=3 act=Add Hosted User

監査ログ出力の例2:

Nov 20 07:49:32 10.206.197.118 CEF: 0|Trend Micro|Trend Micro Web Security as a Service|
3.4.1.5478|100001|Audit Log|0|userName=admin@trendmicro.com.cn rt=Nov 20 2020 07:47:50 +0000 
companyID=d528b12f-08df-4c1f-be10-8ab6c74bf3e2 httpTrans={"password": "******", 
"userId": "admin@trendmicro.com.cn", "tenantId": "tm"} logType=3 act=Administrator Log On