カスタムイベントキー
ベンダーとパートナーは、独自のカスタムイベントキーを定義し、LEEF 形式のペイロードに含めることができます。
アプライアンスのイベントに関する情報を表すデフォルトキーがない場合は、イベントペイロードでカスタムキーと値のペア属性を使用します。カスタム・イベント属性は、事前定義イベント属性への受け入れ可能なマッピングがない場合にのみ作成します。たとえば、アプライアンスがアクセスをモニタする場合、デフォルトで LEEF にファイル名属性が存在しないユーザがアクセスするファイル名を要求できます。
イベント属性のキーと値は、各ペイロードに 1 回だけ表示できます。同じペイロードでキーと値のペアを 2 回使用すると、JSA は重複するキーの値を無視する可能性があります。
カスタムイベントキーは正規化されていないため、LEEF イベントに含めた特殊なキーと値のペアは、デフォルトでは JSA の「ログアクティビティ」タブに表示されません。JSAの「ログ・アクティビティー」タブでカスタム属性および正規化されていないイベントを表示するには、カスタム・イベント・プロパティーを作成する必要があります。正規化されていないイベント・データは引き続き LEEF イベントの一部であり、JSA で検索可能で、イベント・ペイロードで表示できます。カスタムイベントプロパティの作成についての詳細は、『 Juniper Secure Analytics管理ガイド』を参照してください。
LEEF イベントのベスト プラクティス ガイドライン
LEEF は柔軟性があり、イベントのカスタムキーと値のペアを作成できますが、潜在的な解析の問題を回避するために、いくつかのベストプラクティスに従う必要があります。
[許可] とマークされた項目は、キーまたは値に含めることができ、LEEF に違反しませんが、カスタム イベント キーを作成する場合は、これらの項目は適切な方法ではありません。
次の一覧には、カスタム キーと値の一般的なガイドラインが含まれています。
英数字 (A から Z、a から z、および 0 から 9) 文字を使用しますが、イベントペイロードのキーと値 (key=value) にはタブ、パイプ、またはキャレットの区切り文字を使用しないでください。
正解—usrName=Joe.Smith
正しくない—usrName=Joe<tab>Smith
キー属性 (キー=値) に 1 つの単語を含めます。
正しい - ファイルname=pic07720.gif
許可 - ファイルname=pic07720.gif
許可 - ファイル名=pic07720.gif
ユーザー定義鍵は、LEEF 定義済み鍵と同じ名前を使用することはできません。詳細については、 定義済み LEEF イベント属性を参照してください。
キー値は、可能であれば、イベント ペイロードの調査に役立つように、人間が判読できるものである必要があります。
正解 - deviceProcessHash=value
正解—マルウェア名=値
許可—EBFDFBE14D4=値