Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

LEEF イベント コンポーネント

ログイベント拡張フォーマット(LEEF)は、 JSA 用にカスタマイズされたイベントフォーマットで、 JSA用の読み取りやすく、簡単に処理できるイベントが含まれています。LEEF 形式は、Syslog ヘッダー、LEEF ヘッダー、およびイベント属性で構成されます。

Syslogヘッダー

syslog ヘッダーには、イベントを提供しているシステムのタイムスタンプと IPv4 アドレスまたはホスト名が含まれます。syslog ヘッダーは、LEEF 形式のオプション コンポーネントです。syslog ヘッダーを含める場合は、スペースを入れて LEEF ヘッダーから syslog ヘッダーを区切る必要があります。syslog ヘッダーは、RFC 3164 または RFC 5424 で指定された形式に準拠している必要があります。

RFC 3164 ヘッダー形式:

メモ:

優先度タグは 、JSAではオプションです。

<優先度タグ><タイムスタンプ><IPアドレスまたはホスト名>

優先度タグが存在する場合は、1 から 3 桁で、山括弧で囲む必要があります。たとえば、<13> のようになります。

RFC 3164ヘッダーの例:

  • <13>Jan 18 11:07:53 192.168.1.1

  • 1月18日 11:07:53 マイホスト名

RFC 5424 ヘッダー形式:

メモ:

優先度タグは必須です。

<優先度タグ>1<タイムスタンプ><IPアドレスまたはホスト名>

優先順位タグは 1 から 3 桁で、山括弧で囲む必要があります。たとえば、<13> のようになります。タイムスタンプは、yyyy-MM-ddTHH:mm:ss の形式である必要があります。SSSZ.

メモ:

  • 'T' はリテラル T 文字でなければなりません。

  • 'Z' はリテラル Z にすることも、次の形式のタイムゾーン値にすることもできます: -04:00

RFC 5424ヘッダーの例:

  • <13>1 2019-01-18T11:07:53.520Z 192.168.1.1

  • <133>1 2019-01-18T11:07:53.520+07:00 myホスト名

リーフヘッダー

LEEF ヘッダーは、LEEF イベントの必須フィールドです。LEEFヘッダーは、 JSAに対してソフトウェアまたはアプライアンスを識別するパイプ区切り(|)の値セットです。

次の一覧に、次の一覧を示します。

  • LEEF:Version|Vendor|Product|Version|EventID|

  • LEEF:1.0|Microsoft|MSExchange|2013 SP1|15345|

  • LEEF:2.0|Lancope|StealthWatch|6.5|41|^|

イベント属性

イベント属性は、アプライアンスまたはソフトウェアによって生成されるイベントのペイロード情報を識別します。すべてのイベント属性は、個々のペイロードイベントを区切るタブを持つキーと値のペアです。LEEF 形式には、 JSA がイベントの分類と表示に使用する定義済みのイベント属性が多数含まれています。

次の一覧に、次の一覧を示します。

  • キー=値<タブ>キー=値<タブ>キー=値<タブ>キー=値<タブ>

  • src=192.0.2.0 dst=172.50.123.1 sev=5 cat=anomaly srcPort=81 dstPort=21 usrName=joe.black

LEEF 2.0 ヘッダーの を使用して DelimiterCharacter 、属性の代替区切り文字を指定します。1 つの文字を使用することも、その文字に 16 進数値を使用することもできます。16 進値は、プレフィックス 0x または x で表し、その後に一連の 1 から 4 文字 (0-9A-Fa-f) が続きます。

表 1: LEEF 2.0 の属性区切り文字の例

区切り 記号

ヘッダー

キャレット (^)

LEEF:2.0|Vendor|Product|Version|EventID|^|

キャレット(16進数値)

LEEF:2.0|Vendor|Product|Version|EventID|x5E|

壊れた垂直バー (¦)

LEEF:2.0|Vendor|Product|Version|EventID|xa6|

次の表では、LEEF 形式について説明します。

表 2: LEEF 形式の記述

エントリ

区切り 記号

説明

Syslogヘッダー

IPアドレス

スペース

JSAにイベントを提供するソフトウェアまたはアプライアンスのIPアドレスまたはホスト名。

syslogヘッダーのIPアドレスは、JSAがイベントパイプライン内の正しいログソースにイベントをルーティングするために使用されます。syslog ヘッダーに IPv6 アドレスを使用しないでください。JSAは、syslogヘッダー内のIPv6アドレスをイベントパイプラインにルーティングできません。また、IPv6アドレスがJSA「ログ・ソース識別子」フィールドに正しく表示されない場合があります。

JSA が syslog ヘッダー内の IP アドレスを理解できない場合、イベントを適切にルーティングするため、システムはデフォルトでパケット アドレスを使用します。

リーフヘッダー

リーフ:バージョン

パイプ

LEEF バージョン情報は、イベントに使用される LEEF 形式のメジャー バージョンとマイナー バージョンを識別する整数値です。

LEEF:1.0|Vendor|Product|Version|EventID|

リーフヘッダー

ベンダー名または製造元名

パイプ

ベンダーは、LEEF形式でsyslogイベントを送信するデバイスのベンダーまたはメーカーを識別するテキスト文字列です。

LEEF:1.0|Microsoft|Product|Version|EventID|

[ベンダー] フィールドと [製品] フィールドには、LEEF ヘッダーで指定する場合、一意の値が含まれている必要があります。

リーフヘッダー

製品名

パイプ

product フィールドは、イベント ログを JSA に送信する製品を識別するテキスト文字列です。たとえば、

LEEF:1.0|Microsoft|MSExchange|Version|EventID|

[ベンダー] フィールドと [製品] フィールドには、LEEF ヘッダーで指定する場合、一意の値が含まれている必要があります。

リーフヘッダー

製品バージョン

パイプ

Version は、イベント ログを送信するソフトウェアまたはアプライアンスのバージョンを識別する文字列です。たとえば、

LEEF:1.0|Microsoft|MSExchange|2013 SP1|EventID|

リーフヘッダー

Eventid

パイプ

イベント ID は、イベントの一意の識別子です。

EventID の目的は、ペイロード情報を調べなくても、イベントのきめ細かい一意の識別子を提供することです。EventID には、識別された数値またはテキストの説明を含めることができます。

  • LEEF:1.0|Microsoft|MSExchange|2013|7732|

  • LEEF:1.0|Microsoft|MSExchange|2013|Logon Failure|

メモ:

イベント ID の値は、複数の言語をサポートする製品間で一貫性があり、静的である必要があります。製品が多言語イベントをサポートしている場合、EventID フィールドに数値またはテキスト値を使用できますが、アプライアンスまたはアプリケーションの言語が変更されたときに翻訳しないでください。イベント ID フィールドは、255 文字を超えることはできません。

リーフヘッダー

区切り文字

パイプ

LEEF 2.0 ヘッダーの を使用して DelimiterCharacter 、属性の代替区切り文字を指定します。1 つの文字を使用することも、その文字に 16 進数値を使用することもできます。16 進数値は、プレフィックス 0x または x で表し、その後に一連の 1 から 4 文字 (0-9A-Fa-f) が続きます。

イベント属性

事前定義キーエントリ

] タブ

区切り文字

イベント属性は、セキュリティ イベントに関する詳細情報を提供するキーと値のペアのセットです。各イベント属性は、タブまたは区切り文字で区切る必要がありますが、属性の順序は強制されません。

src=172.16.77.100

関連ドキュメント