Syslogのコンテンツ対応の種類2

この種類のSyslogのコンテンツ対応の場合、[CEFキー] フィールドは「user-defined-key-1=value-1 user-defined-key-2=value-2 … user-defined-key-n=value-n」の形式で入力し、

  • user-defined-key」はユーザによって定義されます。

  • value」には、変数または定数値を指定できます。この変数は「%{variable}」という形式になり、以下をサポートします。

    • 事前定義/カスタム拡張CEFキー

      例: %{rt}、%{wrsScore}

    • リクエストおよび応答のHTTPヘッダフィールド (すべて小文字)

      例: 「%{user-agent_q}」は、リクエストメッセージ内のUser-Agentフィールドを指し、「%{content-length_s}」は応答メッセージ内のContent-Lengthフィールドを指します。

このフィールドは2,048文字以内で指定する必要があります。

注:

ArcSightのCEF標準に準拠するには、キーと値のペアをスペースで区切ることをお勧めします。

次の表に、変数とWeb Security as a Serviceのログ出力 (値) のsyslogコンテンツの対応を示します。

表 1. CEFアクセスログ

変数

説明

ヘッダ (logVer)

CEF形式バージョン

CEF: 0

ヘッダ (vendor)

アプライアンスベンダー

トレンドマイクロ

ヘッダ (pname)

アプライアンス製品名

Trend Micro Web Security as a Service

ヘッダ (pver)

アプライアンスバージョン

例: 3.0.0.2042

ヘッダ (eventid)

署名ID

例: 100000

ヘッダ (eventName)

説明

アクセスログ

ヘッダ (severity)

リスクレベル

  • 0: 処理=許可/分析

  • 1: 処理=監視/警告/オーバーライド

  • 2: 処理=ブロック

rt

UTCタイムスタンプ

例: 2018/7/5 07:54:15 +0000

logType

ログの種類

  • 1: 成功したアクセスログ

  • 5: 失敗したHTTPSアクセスログ

companyID

会社ID

例: 7800fcab-7611-416c-9ab4-721b7bd6b076

adDomain

ADドメイン

例: trendmicro.com.cn

userName

ユーザ名またはクライアントIP

例: 10.204.214.188

groupName

グループ名

例: testgroup1

userDepartment

ユーザ部門

例: 財務部門

gatewayName

ゲートウェイ名

例: on-premise-2051

app

使用プロトコル

  • 1: HTTP

  • 2: HTTPS

  • 3: HTTP/2

transportBytes

リクエストまたはレスポンスの本文のサイズ

例: 221030

dst

リクエストの送信先IPアドレス

例: 54.231.184.240

src

リクエストの送信元IPアドレス

例: 10.204.214.188

upStreamSize

Web Security as a Serviceからサーバへのアップストリームペイロード (バイト)

例: 501

downStreamSize

サーバからWeb Security as a Serviceへのダウンストリームペイロード (バイト)

例: 220529

domainName

URLドメイン

例: clients4.google.com

scanType

検索の種類

  • 0: 一致するルールがありません

  • 1: クライアント証明書が必要です

  • 2: 信頼されていないサーバ証明書

  • 10: 承認済みURL/ブロックするURL

  • 13: クライアントは許可されていません

  • 14: 宛先ポートは許可されていません

  • 15: プライベートアドレスへのアクセス

  • 20: Webレピュテーションサービス

  • 21: URLフィルタ

  • 30: 実際のファイルタイプ

  • 33: MIMEタイプ

  • 34: ファイル拡張子名

  • 40: 不正プログラム対策

  • 41: 検索不能ファイル

  • 45: 機械学習型検索

  • 50: ボットネット対策

  • 60: アプリケーション制御

  • 70: 不審オブジェクト分析 (仮想アナライザ)

  • 90: 不審オブジェクトフィルタリング (仮想アナライザ)

  • 100: 情報漏えい対策

  • 110: ランサムウェア

policyName

ポリシー名

例: 初期設定

profileName

プロファイル名

例: 初期設定

severity

WRSスコアしきい値

  • 0: WRS無効

  • 50: WRSセキュリティレベル=低

  • 65: WRSセキュリティレベル=中

  • 80: WRSセキュリティレベル=高

principalName

プリンシパル名

例: testuser@trendmicro.com.cn

cat

URLカテゴリ

例: 検索エンジン/ポータル

appName

アプリケーション名

例: Google

wrsScore

WRSスコア

例: 81

malwareType

不正プログラムの種類

  • 1: ウイルス

  • 2: スパイウェア

  • 3: ジョーク

  • 4: トロイの木馬

  • 5: テストウイルス

  • 6: パッカー

  • 7: 一般

  • 8: その他

  • 9: ボットネット

malwareName

不正プログラム名

例: HEUR_OLEXP.B

fname

ファイル名

例: sample_nice_dda_heurb_1177077.ppt-1

filehash

SHA-1

例: 3f21be4521b5278fb14b8f47afcabe08a17dc504

act

処理

  • allow (許可)

  • monitor (監視)

  • block (ブロック)

  • warn (警告)

  • override (オーバライド)

  • analyze (分析)

httpTrans

HTTPトランザクション

JSON形式。例: {"http_req":{ "method":"GET","scheme":"http","path":"index.html","host":www.sina.com.cn,"headers":{"header_1":"value_1", ...}},"http_response":{"status_code":"200","headers":{...}}}

method

HTTP方式

例: GET、PUT、POST

version

HTTPバージョン

例: 1.1

path

HTTPリクエストパス

例: example.html

host

HTTPリクエストホスト

例: client2.example.com

status_code

HTTP応答のステータスコード

例: 200、404、503

注:

–1の値は、リクエストがブロックされたか、予期しない状況が発生したことを示します。

scheme

HTTPまたはHTTPSプロトコル

例: HTTP、HTTPS

url

scheme、host、pathの組み合わせ

例: https://client2.example.com/example.html

<http-request-header-name>_q

HTTPリクエストのヘッダフィールド

例: User-Agent: Mozilla/5.0

注:

対応するデータがWeb Security as a Serviceの未加工のログに記録されていない場合、CEFキーで設定された変数の値はnullになります。

Web Security as a ServiceではCookieが未加工のログに記録されないため、cookie変数は常にnullになります。

<http-response-header-name>_s

HTTP応答のヘッダフィールド

例: Content-Length: 348

注:

対応するデータがWeb Security as a Serviceの未加工のログに記録されていない場合、CEFキーで設定された変数の値はnullになります。

Web Security as a ServiceではCookieが未加工のログに記録されないため、set-cookie変数は常にnullになります。

macAddress

適用エージェントがインストールされているWindowsエンドポイントのMACアドレス

例: 00-50-56-89-02-14

注:

このCEFキーはオンプレミスゲートウェイに適用できません。

アクセスログ出力の例1:

May 23 03:09:30 10.206.197.102 CEF: 0|Trend Micro|Trend Micro Web Security|3.7.5.5642|100000|Access Log|1|rt=May 23 2022 03:00:22 +0000 
logType=1 companyId=e3cdd29e-11aa-4e20-bd4d-180dd3a6e938 adDomain=e2e-uw2-hybrid.com 
user=admin group= dep= device=roaming user application=2 traffic=466 dst=172.217.14.202 src=3.94.52.82 inbound=335 
outbound=131 domain=optimizationguide-pa.googleapis.com scanType=0 policy=block-all profile= severity=0 
principalname=admin@e2e-uw2-hybrid.com cat=Computers/Internet appName=The Secure HyperText Transfer Protocol wrs=81 
malwareType=0 malwareName= filename= filehash= action=allow httpTrans={"http_req": {"body_len": 0, "headers": 
{"host": "optimizationguide-pa.googleapis.com:443", "proxy-connection": "keep-alive", "user-agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)
 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36"}, "host": "optimizationguide-pa.googleapis.com", 
"version": "1.1", "path": "", "scheme": "https", "method": "CONNECT"}, "ver": "1.1", "http_response": {"body_len": 0, "headers": 
{"true-file-type": "0", "via": "http/1.1 localhost.localdomain.test1 (TMWS)", "proxy-connection": "close"}, "version": "1.1", 
"status_code": 200}} method=CONNECT httpversion=1.1 path= host=optimizationguide-pa.googleapis.com status_code=200 scheme=https 
RequestUrl=https://optimizationguide-pa.googleapis.com:443/ macAddress=00-50-56-89-02-14

アクセスログ出力の例2:

May 23 06:59:33 10.206.197.102 CEF: 0|Trend Micro|Trend Micro Web Security|3.7.5.5642|100000|Access Log|1|rt=May 23 2022 06:52:28 +0000 
logType=1 companyId=e3cdd29e-11aa-4e20-bd4d-180dd3a6e938 adDomain=e2e-uw2-hybrid.com user=admin 
group= dep= device=roaming user application=1 traffic=0 dst=104.193.88.77 src=3.94.52.82 inbound=0 outbound=0 domain=www.baidu.com 
scanType=60 policy=block-all profile= severity=0 principalname=admin@e2e-uw2-hybrid.com cat=Computers/Internet appName=Baidu 
wrs=81 malwareType=0 malwareName= filename= filehash= action=block httpTrans={"http_req": {"body_len": 0, "headers": 
{"accept-language": "en-US,en;q\=0.9", "accept-encoding": "gzip, deflate", "accept": 
"text/html,application/xhtml+xml,application/xml;q\=0.9,image/avif,image/webp,image/apng,*/*;q\=0.8,application/signed-exchange;v\=b3;q\=0.9", 
"upgrade-insecure-requests": "1", "host": "www.baidu.com", "user-agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) 
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36", "proxy-connection": "keep-alive"}, "host": "www.baidu.com", 
"version": "1.1", "path": "/", "scheme": "http", "method": "GET"}, "ver": "1.1", "http_response": {"body_len": 0, "headers":
 {"true-file-type": "0"}, "version": "", "status_code": -1}} method=GET httpversion=1.1 path=/ host=www.baidu.com status_code=-1 scheme=http 
RequestUrl=http://www.baidu.com/ macAddress=00-50-56-89-02-14
表 2. CEF監査ログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF: 0

ヘッダ (vendor)

アプライアンスベンダー

トレンドマイクロ

ヘッダ (pname)

アプライアンス製品名

Trend Micro Web Security as a Service

ヘッダ (pver)

アプライアンスバージョン

例: 3.4.1.5449

ヘッダ (eventid)

署名ID

例: 100001

ヘッダ (eventName)

説明

監査ログ

ヘッダ (severity)

リスクレベル

0

rt

UTCタイムスタンプ

例: Nov 04 2020 02:15:06 +0000

userName

メールアドレス

例: user@example.com

companyID

会社ID

例: 7800fcab-7611-416c-9ab4-721b7bd6b076

logType

ログの種類

3: 監査ログ

act

管理操作

例: 管理者ログオン

httpTrans

詳細な運用情報

次の出力サンプルを参照

注:

表に示されていない他のCEFキーは、監査ログでは利用できません。そのため、[CEFキー] で他のCEFキーを設定するとnullになります。

監査ログ出力の例1:

Nov 2 09:57:55 ad173.onmicrosoft.com CEF: 0|Trend Micro|Trend Micro Web Security as a Service|
3.4.1.5440|100001|Audit Log|0|rt=Nov 02 2020 09:49:58 +0000 src= dest= site= score= category= 
app= url= http_user_agent= status= bytes_out= bytes_in= user=admin@trendmicro.com.cn 
companyid=d528b12f-08df-4c1f-be10-8ab6c74bf3e2 action=Save Cloud Syslog Forwarding Setting 
content={"ip": "10.206.197.117", "contentFormat": "rt=%{rt} src=%{src} dest=%{dst} site=%{domainName} 
score=%{wrsScore} category=%{cat} app=%{appName} url=%{url} http_user_agent=%{user-agent_q} 
status=%{status_code} bytes_out=%{downStreamSize} bytes_in=%{upStreamSize} user=%{userName} 
companyid=%{companyID} action=%{act} content=%{httpTrans}", "enable": 1, "port": 8514}

監査ログ出力の例2:

Nov 2 09:57:55 ad173.onmicrosoft.com CEF: 0|Trend Micro|Trend Micro Web Security as a Service|
3.4.1.5440|100001|Audit Log|0|rt=Nov 02 2020 09:50:13 +0000 src= dest= site= score= category= 
app= url= http_user_agent= status= bytes_out= bytes_in= user=admin@trendmicro.com.cn 
companyid=d528b12f-08df-4c1f-be10-8ab6c74bf3e2 action=Delete Hosted User 
content="data=H:user-160144443485@trendmicro.com.cn"