Syslogのコンテンツ対応の種類1

この種類のSyslogのコンテンツ対応の場合、[CEFキー] フィールドは「{CEF Key 1}|{CEF Key 2}|...|{CEF Key n}」のように「|」で区切られた形式で入力します。

次の表に、事前定義済み/カスタムの拡張CEFキーとWeb Security as a Serviceのログ出力 (値) のsyslogコンテンツの対応を示します。

表 1. CEFアクセスログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF: 0

ヘッダ (vendor)

アプライアンスベンダー

トレンドマイクロ

ヘッダ (pname)

アプライアンス製品名

Trend Micro Web Security as a Service

ヘッダ (pver)

アプライアンスバージョン

例: 3.0.0.2042

ヘッダ (eventid)

署名ID

例: 100000

ヘッダ (eventName)

説明

アクセスログ

ヘッダ (severity)

リスクレベル

  • 0: 処理=許可/分析

  • 1: 処理=監視/警告/オーバーライド

  • 2: 処理=ブロック

rt

UTCタイムスタンプ

例: 2018/7/5 07:54:15 +0000

logType

ログの種類

  • 1: 成功したアクセスログ

  • 5: 失敗したHTTPSアクセスログ

companyID

会社ID

例: 7800fcab-7611-416c-9ab4-721b7bd6b076

adDomain

ADドメイン

例: trendmicro.com.cn

userName

ユーザ名またはクライアントIP

例: 10.204.214.188

groupName

グループ名

例: testgroup1

userDepartment

ユーザ部門

例: 財務部門

gatewayName

ゲートウェイ名

例: on-premise-2051

app

使用プロトコル

  • 1: HTTP

  • 2: HTTPS

  • 3: HTTP/2

transportBytes

リクエストまたはレスポンスの本文のサイズ

例: 221030

dst

リクエストの送信先IPアドレス

例: 54.231.184.240

src

リクエストの送信元IPアドレス

例: 10.204.214.188

upStreamSize

Web Security as a Serviceからサーバへのアップストリームペイロード (バイト)

例: 501

downStreamSize

サーバからWeb Security as a Serviceへのダウンストリームペイロード (バイト)

例: 220529

domainName

URLドメイン

例: clients4.google.com

scanType

検索の種類

  • 0: 一致するルールがありません

  • 1: クライアント証明書が必要です

  • 2: 信頼されていないサーバ証明書

  • 10: 承認済みURL/ブロックするURL

  • 13: クライアントは許可されていません

  • 14: 宛先ポートは許可されていません

  • 15: プライベートアドレスへのアクセス

  • 20: Webレピュテーションサービス

  • 21: URLフィルタ

  • 30: 実際のファイルタイプ

  • 33: MIMEタイプ

  • 34: ファイル拡張子名

  • 40: 不正プログラム対策

  • 41: 検索不能ファイル

  • 45: 機械学習型検索

  • 50: ボットネット対策

  • 60: アプリケーション制御

  • 70: 不審オブジェクト分析 (仮想アナライザ)

  • 90: 不審オブジェクトフィルタリング (仮想アナライザ)

  • 100: 情報漏えい対策

  • 110: ランサムウェア

policyName

ポリシー名

例: 初期設定

profileName

プロファイル名

例: 初期設定

severity

WRSスコアしきい値

  • 0: WRS無効

  • 50: WRSセキュリティレベル=低

  • 65: WRSセキュリティレベル=中

  • 80: WRSセキュリティレベル=高

principalName

プリンシパル名

例: testuser@trendmicro.com.cn

cat

URLカテゴリ

例: 検索エンジン/ポータル

appName

アプリケーション名

例: Google

wrsScore

WRSスコア

例: 81

malwareType

不正プログラムの種類

  • 1: ウイルス

  • 2: スパイウェア

  • 3: ジョーク

  • 4: トロイの木馬

  • 5: テストウイルス

  • 6: パッカー

  • 7: 一般

  • 8: その他

  • 9: ボットネット

malwareName

不正プログラム名

例: HEUR_OLEXP.B

fname

ファイル名

例: sample_nice_dda_heurb_1177077.ppt-1

filehash

SHA-1

例: 3f21be4521b5278fb14b8f47afcabe08a17dc504

act

処理

  • allow (許可)

  • monitor (監視)

  • block (ブロック)

  • warn (警告)

  • override (オーバライド)

  • analyze (分析)

httpTrans

HTTPトランザクション

JSON形式。例: {"http_req":{ "method":"GET","scheme":"http","path":"index.html","host":www.sina.com.cn,"headers":{"header_1":"value_1", ...}},"http_response":{"status_code":"200","headers":{...}}}

ログ出力の例1:

CEF:0|Trend Micro|Trend Micro Web Security as a Service|3.0.0.2040|100000|Access Log|0| 
wrsScore=81 companyID=7800fcab-7611-416c-9ab4-721b7bd6b076 app=2 upStreamSize=1064 
userDepartment= scanType=0 malwareType=0 
httpTrans={"http_req":{"headers":{"host":"clients4.google.com:443",
"proxy-connection":"keep-alive","user-agent":"Chrome WIN 67.0.3396.99 
(a337fbf3c2ab8ebc6b64b0bfdce73a20e2e2252b-refs/branch-heads/3396@{#790}) channel(stable)"},
"host":"clients4.google.com","method":"CONNECT","path":"","scheme":"https"},
"http_response":{"headers":{"content-length":"0"},"status_code":200},"ver":"1.0"}  
malwareName= rt=Jul 29 2018 19:34:11 +0000 policyName=default severity=65 filehash= 
logType=1 dst=172.217.24.206 appName=Google groupName= fname= adDomain= 
gatewayName=on-premise-2040 principalName= downStreamSize=4607 profileName= 
userName=10.204.214.188 src=10.204.214.188 transportBytes=5787
domainName=clients4.google.com cat=Search Engines/Portals act=allow

ログ出力の例2:

CEF:0|Trend Micro|Trend Micro Web Security as a Service|3.0.0.2051|100000|Access Log|0| 
wrsScore=49 companyID=7800fcab-7611-416c-9ab4-721b7bd6b076 app=1 upStreamSize=501 
userDepartment= scanType=70 malwareType=8 
httpTrans={"http_req":{"headers":{"accept-encoding":"gzip,deflate",
"host":"s3-us-west-2.amazonaws.com","user-agent":"Mozilla/5.0 
(Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99
Safari/537.36","x-forwarded-for":"10.204.214.188"},"host":"s3-us-west-2.amazonaws.com",
"method":"GET","path":"dda-demo-samples/SAMPLE_NICE_DDA_HEURB_1177077.ppt-1",
"scheme":"http"},"http_response":{"headers":{"content-length":"220160",
"content-type":"binary/octet-stream"},"status_code":200},"ver":"1.0"}
malwareName=HEUR_OLEXP.B rt=Aug 06 2018 02:24:15 +0000 policyName=default severity=0
filehash=3f21be4521b5278fb14b8f47afcabe08a17dc504 logType=1 dst=54.231.184.240 
appName=Amazon Web Services (AWS) groupName= fname=sample_nice_dda_heurb_1177077.ppt-1 
adDomain= gatewayName=on-premise-2051 principalName= downStreamSize=220529 
profileName=default userName=10.204.214.188 src=10.204.214.188 transportBytes=221030
domainName=s3-us-west-2.amazonaws.com cat=Malware Accomplice act=analyze
親トピック: TMWSaaSのログ出力とCEF syslog形式のコンテンツの対応