Syslogのコンテンツ対応の種類2

この種類のSyslogのコンテンツ対応の場合、[CEFキー] フィールドは「user-defined-key-1=value-1 user-defined-key-2=value-2 … user-defined-key-n=value-n」の形式で入力し、

  • user-defined-key」はユーザによって定義されます。

  • value」には、変数または定数値を指定できます。この変数は「%{variable}」という形式になり、以下をサポートします。

    • 事前定義/カスタム拡張CEFキー

      例: %{rt}、%{wrsScore}

    • リクエストおよび応答のHTTPヘッダフィールド (すべて小文字)

      例: 「%{user-agent_q}」は、リクエストメッセージ内のUser-Agentフィールドを指し、「%{content-length_s}」は応答メッセージ内のContent-Lengthフィールドを指します。

このフィールドは2,048文字以内で指定する必要があります。

注:

ArcSightのCEF標準に準拠するには、キーと値のペアをスペースで区切ることをお勧めします。

次の表に、変数とWeb Security as a Serviceのログ出力 (値) のsyslogコンテンツの対応を示します。

表 1. CEFアクセスログ

変数

説明

ヘッダ (logVer)

CEF形式バージョン

CEF: 0

ヘッダ (vendor)

アプライアンスベンダー

トレンドマイクロ

ヘッダ (pname)

アプライアンス製品名

Trend Micro Web Security as a Service

ヘッダ (pver)

アプライアンスバージョン

例: 3.0.0.2042

ヘッダ (eventid)

署名ID

例: 100000

ヘッダ (eventName)

説明

アクセスログ

ヘッダ (severity)

リスクレベル

  • 0: 処理=許可/分析

  • 1: 処理=監視/警告/オーバーライド

  • 2: 処理=ブロック

rt

UTCタイムスタンプ

例: 2018/7/5 07:54:15 +0000

logType

ログの種類

1: アクセスログ

companyID

会社ID

例: 7800fcab-7611-416c-9ab4-721b7bd6b076

adDomain

ADドメイン

例: trendmicro.com.cn

userName

ユーザ名またはクライアントIP

例: 10.204.214.188

groupName

グループ名

例: testgroup1

userDepartment

ユーザ部門

例: 財務部門

gatewayName

ゲートウェイ名

例: on-premise-2051

app

使用プロトコル

  • 1: HTTP

  • 2: HTTPS

transportBytes

リクエストまたはレスポンスの本文のサイズ

例: 221030

dst

リクエストの送信先IPアドレス

例: 54.231.184.240

src

リクエストの送信元IPアドレス

例: 10.204.214.188

upStreamSize

Web Security as a Serviceからサーバへのアップストリームペイロード (バイト)

例: 501

downStreamSize

サーバからWeb Security as a Serviceへのダウンストリームペイロード (バイト)

例: 220529

domainName

URLドメイン

例: clients4.google.com

scanType

検索の種類

  • 0: 一致するルールがありません

  • 1: クライアント証明書が必要です

  • 2: 信頼されていないサーバ証明書

  • 10: 承認済みURL/ブロックするURL

  • 13: クライアントは許可されていません

  • 14: 宛先ポートは許可されていません

  • 15: プライベートアドレスへのアクセス

  • 20: Webレピュテーションサービス

  • 30: 実際のファイルタイプ

  • 33: MIMEタイプ

  • 34: ファイル拡張子名

  • 40: 不正プログラム対策

  • 41: 検索不能ファイル

  • 45: 機械学習型検索

  • 50: ボットネット対策

  • 60: アプリケーション制御

  • 70: 不審オブジェクト分析 (仮想アナライザ)

  • 90: 不審オブジェクトフィルタリング (仮想アナライザ)

  • 100: 情報漏えい対策

  • 110: ランサムウェア

policyName

ポリシー名

例: 初期設定

profileName

プロファイル名

例: 初期設定

severity

WRSスコアしきい値

  • 0: WRS無効

  • 50: WRSセキュリティレベル=低

  • 65: WRSセキュリティレベル=中

  • 80: WRSセキュリティレベル=高

principalName

プリンシパル名

例: testuser@trendmicro.com.cn

cat

URLカテゴリ

例: 検索エンジン/ポータル

appName

アプリケーション名

例: Google

wrsScore

WRSスコア

例: 81

malwareType

不正プログラムの種類

  • 1: ウイルス

  • 2: スパイウェア

  • 3: ジョーク

  • 4: トロイの木馬

  • 5: テストウイルス

  • 6: パッカー

  • 7: 一般

  • 8: その他

  • 9: ボットネット

malwareName

不正プログラム名

例: HEUR_OLEXP.B

fname

ファイル名

例: sample_nice_dda_heurb_1177077.ppt-1

filehash

SHA-1

例: 3f21be4521b5278fb14b8f47afcabe08a17dc504

act

処理

  • allow (許可)

  • monitor (監視)

  • block (ブロック)

  • warn (警告)

  • override (オーバライド)

  • analyze (分析)

httpTrans

HTTPトランザクション

JSON形式。例: {"http_req":{ "method":"GET","scheme":"http","path":"index.html","host":www.sina.com.cn,"headers":{"header_1":"value_1", ...}},"http_response":{"status_code":"200","headers":{...}}}

method

HTTP方式

例: GET、PUT、POST

version

HTTPバージョン

例: 1.1

path

HTTPリクエストパス

例: example.html

host

HTTPリクエストホスト

例: client2.example.com

status_code

HTTP応答のステータスコード

例: 200、404、503

scheme

HTTPまたはHTTPSプロトコル

例: HTTP、HTTPS

url

scheme、host、pathの組み合わせ

例: https://client2.example.com/example.html

<http-request-header-name>_q

HTTPリクエストのヘッダフィールド

例: User-Agent: Mozilla/5.0

注:

対応するデータがWeb Security as a Serviceの未加工のログに記録されていない場合、CEFキーで設定された変数の値はnullになります。

Web Security as a ServiceではCookieが未加工のログに記録されないため、cookie変数は常にnullになります。

<http-response-header-name>_s

HTTP応答のヘッダフィールド

例: Content-Length: 348

注:

対応するデータがWeb Security as a Serviceの未加工のログに記録されていない場合、CEFキーで設定された変数の値はnullになります。

Web Security as a ServiceではCookieが未加工のログに記録されないため、set-cookie変数は常にnullになります。

アクセスログ出力の例1:

Oct 25 08:13:13 10.206.197.112 CEF: 0|Trend Micro|Trend Micro Web Security as a Service|3.1.0.2485|100000|Access Log|1|
act=allow app=2 cat=Proxy cn1=0 cn1Label=malwareType cn2=0 cn2Label=scanType cs1=200 cs1Label=ResponseCode cs2=default 
cs2Label=policyName cs3= cs3=encoding cs4= cs4Label=URL Path cs5=https cs5Label=method desinationDnsDomain=login.live.com 
dhost=login.live.com dvchost=roaming user end=1571990687 fileHash= fname= in=291 out=122 proto=tcp RequestURL=https://login.live.com:443/ 
requestClientApplication=Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36 
requestMethod=https shost=10.206.197.110 src=10.206.197.110

アクセスログ出力の例2:

Oct 25 08:18:15 10.206.197.112 CEF: 0|Trend Micro|Trend Micro Web Security as a Service|3.1.0.2485|100000|Access Log|1|
act=allow app=1 cat=Proxy cn1=0 cn1Label=malwareType cn2=0 cn2Label=scanType cs1=502 cs1Label=ResponseCode cs2=default 
cs2Label=policyName cs3=gzip, deflate cs3=encoding cs4=job/4v20-e2e-ops-an/ cs4Label=URL Path cs5=http cs5Label=method 
desinationDnsDomain=10.202.240.69 dhost=10.202.240.69 dvchost=roaming user end=1571990784 fileHash=8aaceef018f9e7cde0b381a9d1237b29e113c1c2 
fname= in=538 out=510 proto=tcp RequestURL=http://10.202.240.69:8080/job/4v20-e2e-ops-an/ 
requestClientApplication=Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36 
requestMethod=http shost=10.206.197.110 src=10.206.197.110
表 2. CEF監査ログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF: 0

ヘッダ (vendor)

アプライアンスベンダー

トレンドマイクロ

ヘッダ (pname)

アプライアンス製品名

Trend Micro Web Security as a Service

ヘッダ (pver)

アプライアンスバージョン

例: 3.4.1.5449

ヘッダ (eventid)

署名ID

例: 100001

ヘッダ (eventName)

説明

監査ログ

ヘッダ (severity)

リスクレベル

0

rt

UTCタイムスタンプ

例: Nov 04 2020 02:15:06 +0000

userName

メールアドレス

例: user@example.com

companyID

会社ID

例: 7800fcab-7611-416c-9ab4-721b7bd6b076

logType

ログの種類

3: 監査ログ

act

管理操作

例: 管理者ログオン

httpTrans

詳細な運用情報

次の出力サンプルを参照

注:

表に示されていない他のCEFキーは、監査ログでは利用できません。そのため、[CEFキー] で他のCEFキーを設定するとnullになります。

監査ログ出力の例1:

Nov 2 09:57:55 ad173.onmicrosoft.com CEF: 0|Trend Micro|Trend Micro Web Security as a Service|
3.4.1.5440|100001|Audit Log|0|rt=Nov 02 2020 09:49:58 +0000 src= dest= site= score= category= 
app= url= http_user_agent= status= bytes_out= bytes_in= user=admin@trendmicro.com.cn 
companyid=d528b12f-08df-4c1f-be10-8ab6c74bf3e2 action=Save Cloud Syslog Forwarding Setting 
content={"ip": "10.206.197.117", "contentFormat": "rt=%{rt} src=%{src} dest=%{dst} site=%{domainName} 
score=%{wrsScore} category=%{cat} app=%{appName} url=%{url} http_user_agent=%{user-agent_q} 
status=%{status_code} bytes_out=%{downStreamSize} bytes_in=%{upStreamSize} user=%{userName} 
companyid=%{companyID} action=%{act} content=%{httpTrans}", "enable": 1, "port": 8514}

監査ログ出力の例2:

Nov 2 09:57:55 ad173.onmicrosoft.com CEF: 0|Trend Micro|Trend Micro Web Security as a Service|
3.4.1.5440|100001|Audit Log|0|rt=Nov 02 2020 09:50:13 +0000 src= dest= site= score= category= 
app= url= http_user_agent= status= bytes_out= bytes_in= user=admin@trendmicro.com.cn 
companyid=d528b12f-08df-4c1f-be10-8ab6c74bf3e2 action=Delete Hosted User 
content="data=H:user-160144443485@trendmicro.com.cn"