Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

定義済みLEEFイベント属性

ログイベント拡張フォーマット(LEEF)は、イベントペイロードの事前定義されたイベント属性をサポートしています。

LEEF は、事前定義された LEEF イベント属性である名前と値のペアの特定のリストを使用します。これらのキーは、JSA が識別できるフィールドの概要を示します。可能な場合はアプライアンスでこれらのキーを使用しますが、イベント ペイロードはこのリストによって制限されません。LEEF は拡張可能であり、アプライアンスまたはアプリケーションのイベント ペイロードにキーを追加できます。

次の表では、定義済みのイベント属性について説明します。

表 1: 事前定義されたイベント属性

キー

値の型

正規化されたイベントフィールド?イエスかノーか答えてください

説明

文字列

はい

イベントカテゴリーの省略形は、JSAに転送されるLEEFイベントに関するより具体的な情報でEventIDフィールドを拡張するために使用されます。

Cat と LEEF ヘッダーの EventID フィールドは、アプライアンスイベントを JSA 識別子 (QID)マップエントリにマッピングするのに役立ちます。イベント ID は最初の列を表し、カテゴリは QID マップの 2 番目の列を表します。

メモ:

イベント カテゴリの値は、複数の言語をサポートする製品間で一貫性があり、静的である必要があります。製品が多言語イベントをサポートしている場合は、catフィールドに数値またはテキスト値を使用できます。catフィールドの値は、アプライアンスまたはアプリケーションの言語が変更されたときに翻訳しないでください。

ネコ (続き)

文字列

はい

例 1: cat キーを使用して、イベントを説明する追加情報でイベント ID を拡張します。EventID がユーザー ログイン イベントとして定義されている場合は、カテゴリを使用して、ログインの成功や失敗など、イベントをさらに分類します。 cat キーを使用して EventID をさらに定義でき、同じ EventID が類似のイベントの種類に使用されている場合に、イベントの追加の詳細を使用してイベントを区別できます。

LEEF:1.0|Microsoft|Exchange|2013|Login Event|cat=Failed

LEEF:1.0|Microsoft|Exchange|2013|Login Event|cat=Success

例 2: cat キーを使用して高レベルのイベント カテゴリを定義し、EventID を使用して低レベルのイベント カテゴリを定義します。この状況は、イベント ID が QID マップ内のどの値とも一致しない場合に重要になることがあります。イベント ID が QID マップ内のどの値とも一致しない場合、JSA はカテゴリーおよびその他のキーを使用して、イベントの一般的な性質をさらに判別できます。この「フォールバック」により、イベントが不明として識別されるのを防ぎ、JSAはイベントペイロードの主要な属性フィールドからの既知の情報に基づいてイベントを分類できます。

LEEF:1.0|Microsoft|Endpoint|2015|

Conficker_worm|cat=Detected

開発時間

日付

はい

LEEF イベントを提供するアプライアンスまたはアプリケーションによって生成された生イベントの日時。

JSA は、 devTime キーと devTimeFormat を使用して、アプライアンスまたはアプリケーションからイベント時間を識別し、適切にフォーマットします。

devTime 値が 10 桁または 13 桁のエポック値である場合、devTimeFormat 文字列は必要ありません。それ以外の場合は、devTime キーと devTimeFormat キーを一緒に使用して、イベントの時刻が JSA によって正確に解析されるようにする必要があります。

イベントペイロードに存在する場合、syslogヘッダーに日付と時刻のスタンプが含まれている場合でも、 devTime を使用してイベント時間を識別します。syslogヘッダーの日付と時刻のスタンプはフォールバック識別子ですが、イベント時間を識別するには devTime をお勧めします。

devTimeFormat

文字列

いいえ

devTime キーの未加工の日付と時刻に書式設定を適用します。

イベント ログに devTime が含まれている場合は、devTimeFormat キーが必要です。詳細については、「カスタム イベントの日付形式」を参照してください。

プロト

整数またはキーワード

はい

イベントのトランスポート プロトコルを識別します。

キーワードまたは整数値の一覧については、Internet Assigned Numbers AuthorityのWebサイトを参照してください。

http://www.iana.org/assignments/protocol-numbers/ protocol-numbers.xml

Sev

整数

はい

イベントの重大度を示します。

1 は最も低いイベント重大度です。

10 は最も高いイベント重大度です。

属性の制限: 1 から 10。

Src

IPv4またはIPv6アドレス

はい

イベント ソースの IP アドレス。

Dst

IPv4またはIPv6アドレス

はい

イベント送信先の IP アドレス。

srcPort

整数

はい

イベントの送信元ポート。

属性の制限: 0 - 65535

dstPort

整数

はい

イベントの宛先ポート。

属性の制限: 0 - 65535

srcPreNAT

IPv4またはIPv6アドレス

はい

ネットワーク アドレス変換 (NAT) 前のイベント メッセージの送信元 IP アドレス。

dstPreNAT

IPv4またはIPv6アドレス

はい

ネットワーク アドレス変換 (NAT) 前のイベント メッセージの宛先アドレス。

srcPostNAT

IPv4またはIPv6アドレス

はい

ネットワーク アドレス変換 (NAT) が発生した後のメッセージの送信元 IP アドレス。

dstPostNAT

IPv4またはIPv6アドレス

はい

ネットワーク アドレス変換 (NAT) が発生した後のメッセージの宛先 IP アドレス。

ユーザー名

文字列

はい

イベントに関連付けられているユーザー名。

属性の制限: 255

srcMAC

MAC アドレス

はい

イベント ソースの MAC アドレス (16 進数)。MACアドレスは、コロンで区切られた2桁の16進数字からなる6つのグループで構成されています。

11:2D:1a:2b:3c:4d

dstMAC

MAC アドレス

はい

イベント送信先の MAC アドレス(16 進数)。MACアドレスは、コロンで区切られた2桁の16進数字からなる6つのグループで構成されています。

11:2D:1a:2b:3c:4d

srcPreNATPort

整数

はい

ネットワーク アドレス変換 (NAT) 前のイベント ソースのポート番号。

属性の制限: 0 - 65535

dstPreNATポート:

整数

はい

ネットワーク アドレス変換 (NAT) 前のイベント送信先のポート番号。

属性の制限: 0 - 65535

srcPostNATPort

整数

はい

ネットワーク アドレス変換 (NAT) 後のイベント ソースのポート番号。

属性の制限: 0 - 65535

dstPostNATPort

整数

はい

ネットワーク アドレス変換 (NAT) 後のイベント送信先のポート番号。

属性の制限: 0 - 65535

identSrc

IPv4またはIPv6アドレス

はい

ID ソースは、イベントを実際のユーザー ID または実際のコンピューター ID に接続できる追加の IPv4 または IPv6 アドレスを表します。

例 1: ユーザーをネットワーク ID に接続する。

ユーザー X はノートブックからログインし、ネットワーク上の共有システムに接続します。アクティビティによってイベントが生成されると、ペイロード内の identSrc を使用して、より多くの IP アドレス情報を含めることができます。JSA は、イベント内の identSrc 情報と、 などの usernameペイロード情報を使用して、ユーザー X が bob.smith であることを確認します。

次の ID キーは、イベント ペイロード内の identSrcs の存在に依存します。

identHostName

アイデントネットビオス

identGrpName

アイデントMAC

identHostName

文字列

キー

イベントに関連付けられている実際のホスト名をさらに識別するための identSrc に関連付けられているホスト名情報。

JSA が identHostName パラメータを使用できるのは、デバイスがイベント ペイロードで identSrc キーと identHostName の両方を一緒に提供している場合のみです。

属性の制限: 255

アイデントネットビオス

文字列

はい

NetBIOS 名前解決で ID イベントをさらに識別するために、 identSrc に関連付けられている NetBIOS 名。

JSA が identNetBios パラメータを使用できるのは、デバイスがイベント ペイロードで identSrc キーと identNetBios の両方を一緒に提供している場合のみです。

属性の制限: 255

identGrpName

文字列

はい

グループ名解決で ID イベントをさらに識別するために identSrc に関連付けられているグループ名。

JSA が identGrpName パラメータを使用できるのは、デバイスがイベント ペイロードで identSrc キーと identGrpName の両方を一緒に提供している場合のみです。

属性の制限: 255

アイデントMAC

MAC アドレス

はい

LEEF 形式で将来使用するために予約されています。

vSrc

IPv4またはIPv6アドレス

いいえ

仮想イベント ソースの IP アドレス。

vSrc名

文字列

いいえ

仮想イベント ソースの名前。

属性の制限: 255

アカウント名

文字列

いいえ

イベントに関連付けられているアカウント名。

属性の制限: 255

srcBytes

整数

いいえ

イベント ソースからのバイト数を示します。

dstバイト

整数

いいえ

イベント送信先までのバイト数を示します。

送信元パケット

整数

いいえ

イベント ソースからのパケット数を示します。

dstPackets

整数

いいえ

イベント送信先までのパケット数を示します。

合計パケット数

整数

いいえ

送信元と宛先の間で送信されたパケットの総数を示します。

役割

文字列

いいえ

イベントを作成したユーザー アカウントに関連付けられている ロール の種類 (管理者、ユーザー、ドメイン管理者など)。

王国

文字列

いいえ

ユーザー・アカウントに関連付けられている レルム 。デバイスに応じて、一般的なグループ化または地域(会計、リモートオフィスなど)に基づくことができます。

ポリシー

文字列

いいえ

ユーザー アカウントに関連付けられている ポリシー 。この ポリシー は、通常、ユーザー アカウントに関連付けられているセキュリティ ポリシーまたはグループ ポリシーです。

リソース

文字列

いいえ

ユーザー アカウントに関連付けられている リソース 。この リソース は、通常、コンピューター名です。

Url

文字列

いいえ

イベントに含まれる URL 情報。

グループID

文字列

いいえ

ユーザー アカウントに関連付けられている グループ ID

ドメイン

文字列

いいえ

ユーザー アカウントに関連付けられている ドメイン

はログインイベント

ブール文字列

いいえ

イベントがユーザーログインに関連しているかどうかを識別します。例えば、

isLoginEvent=true

isLoginEvent=false

このキーは LEEF 仕様では予約されていますが、JSA には実装されていません。

属性の制限: 真または偽

はログアウトイベント

ブール文字列

いいえ

イベントがユーザーのログアウトに関連しているかどうかを識別します。次に例を示します。

isLogoutEvent=true

isLogoutEvent=false

このキーは LEEF 仕様では予約されていますが、JSA には実装されていません。

属性の制限: 真または偽

identSecondlp

IPv4またはIPv6アドレス

いいえ

アイデンティティの 2 番目の IP アドレスは、セカンダリ IP アドレスを含むデバイス イベントを関連付けるために使用される IPv4 または IPv6 アドレスを表します。セカンダリ IP アドレスは、ルーター、スイッチ、または仮想 LAN(VLAN)デバイス イベントによるイベントに含めることができます。

このキーは LEEF 仕様では予約されていますが、JSA には実装されていません。

cal言語

属性の制限: 2

文字列

いいえ

デバイス時刻 (devTime) キーの言語を識別して、翻訳を可能にし、翻訳された言語で生成されたイベントの日時を JSA が正しく解析できるようにします。

calLanaguage フィールドには、イベントのデバイス時刻のイベント言語を表す 2 つの英数字を含めることができます。すべての calLanguage 英数字は ISO 639-1 形式に従います。

calLanguage=fr devTime=avril 09 2014 12:30:55

calLanguage=de devTime=Di 30 Jun 09 14:56:11

このキーは LEEF 仕様で予約されていますが、現在の JSA には実装されていません。

属性の制限: 2

cal国または地域

文字列

いいえ

calLanguage キーを拡張して、イベント デバイス時刻 (devTime) の国または地域を含むことができるより多くの変換情報を提供します。キー calCountryOrRegion は、calLanguage キーと共に使用する必要があります。

calCountryOrRegion フィールドには、イベントのデバイス時刻のイベントの国または地域を表す 2 つの英数字を含めることができます。すべての calCountryOrRegion 英数字は ISO 3166 形式に従います。

calLanguage=de calCountryOrRegion=DE devTime=Di 09 Jun 2014 12:30:55

calLanguage=en calCountryOrRegion=US devTime=Tue 30 Jun 09

このキーは LEEF 仕様では予約されていますが、JSA には実装されていません。

属性の制限: 2

メモ:

正規化されていない事前定義の LEEF イベント属性は、すべてのログ・ソース・タイプに対して自動的に構文解析されるわけではありません。ただし、JSA は、これらのキーの一部に対してカスタム・プロパティー (組み込みまたは IBM Security App Exchange から) を提供します。正規化されていないキーのカスタム プロパティを構成して、Regex を使用して解析できます。解析するキーを構成するための入力は =([^\t]+) です key

次の例は、正規化されていない定義済みキーの正規表現入力を示しており、キャレット (^) に続く区切り記号は LEEF V1.0 の水平タブです。

  • vSrc の入力は =([^\t]+) ですvSrc

  • vSrcName の入力値は =([^\t]+) ですvSrcName

  • アカウント名の入力は =([^\t]+) ですaccountName

次の例は、正規化されていない事前定義キーの正規表現入力を示しており、キャレット (^) に続く区切り文字は LEEF V2.0 でカスタマイズされた区切り文字です。

  • # を区切り記号として使用する場合、 vSrc の入力は =([^#]+) です vSrc

  • 使用する場合 |区切り文字として、 vSrc の入力は vSrc=([^|] です。+).

JSA 7.3.2 以降には、事前定義済みおよびカスタムの LEEF イベント属性の両方のカスタム・プロパティーに対するプロパティー自動検出機能が含まれています。プロパティの自動検出により、正規表現を使用せずにカスタムプロパティを簡単に構成できます。