MA:CEF形式のカスタム アラートの作成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、CEF(Common Event Format)形式でイベントを収集するサービスにアラートを送信するため、CEF形式のカスタム アラートを作成する手順を示します。これは高度な構成タスクです。このタスクを実行するには、構成ファイル(/var/lib/rsamalware/spectrum/conf/malwareCEFDictionaryConfiguration.xml)を手動で編集するための十分な知識が必要です。このファイルを編集する前に、Malware Analysisサービスをオペレーティング システム上で停止しておいてください。Malware Analysisサービスを再開すると、CEFアラートがアクティブになります。

CEFテンプレート

CEF形式のイベントを収集するサービスにアラートを送信するため、Security Analyticsは、関連するテクノロジーにイベントを提供する前に、CEFテンプレートとして機能する構成ファイルを介してイベントを処理します。構成ファイルを変更することにより、各アラートのSyslogフィールドの順序とマッピングを指定できます。

次の例のSyslogメッセージは、アラートの拡張セクションにあるCEFフィールドを示しています(アラートの最後の「|」以降)。各フィールドを構成して、シーケンスを指定できます(以下の「例」セクションを参照)。構成により、フィールドをアラートから完全に除外することもできます。

CEF:0|NetWitness|Spectrum|10.3.0.7995.1.0|Suspicious Event|Detected suspicious network event ID 4 session ID n/a|2|static=100.0 nextgen=25.0 community=100.0 sandbox=25.0 file.name=myFile.exe file.size=1234556 file.md5.hash=DEADBEEFBABECAFEDEADBEEFBABECAFE event.source=spectrum://admin@0:0:0:0:0:0:0:1:64563 event.type=MANUAL_UPLOAD event.id=0 country.dst.code=-- country.dst=Unavailable ip.src=0:0:0:0:0:0:0:1 ip.dst=0:0:0:0:0:0:0:1 event.uuid=f7a6155a-31de-4fa6-ba16-41fb9a8e5f26 ...

Syslog監査ファイルのエントリーの概要

次の例を使用して、ファイル構造を説明します。

Feb 6 10:02:28 10.10.10.125 SpectrumServer125

CEF: 0|NetWitness|Spectrum|1.2.1.130|Suspicious Event|Detected suspicious
network event ID 857 session ID 73|2|

static=100.0 network=29.0 community=8.0 sandbox=N/R

file.name=-CVE-00_DOC_2010-05-13_attachment.doc file.size=0 file.md5.hash=20a29259c0e5958afb2f50c4177bb307

com.netwitness.event.internal.id=73 com.netwitness.event.internal.uuid=37d2bad7-06bc-4b34-88e1-df43d9710204 alias.ip=10.25.50.149 client=Wget/1.11.4 Red Hat modified payload=108872 packets=136 country.dst=Private time=Fri Jan 27 10:09:25 EST 2012 threat.source=netwitness tcp.srcport=43580 action=get com.netwitness.event.internal.source=http://QASpectrum2:50104/sdk filetype=rtf alias.host=qa-fc12-149 eth.src=00:25:90:18:76:E2 ip.proto=6 tcp.flags=27 ip.src=10.25.50.61 tcp.dstport=80 threat.category=spectrum eth.dst=00:0C:29:F8:50:2D lifetime=0 alert.id=nw32535 sessionid=73 medium=1 size=117864 content=spectrum.consume11 extension=doc directory=/files/MALWAREMALWARE/OfficeDocs/DOC/ eth.type=2048 ip.dst=10.25.50.149 service=80 filename=-CVE-00_DOC_2010-05-13_attachment.doc server=Apache/2.2.13 (Fedora) streams=2 referer=http://qa-fc12-149/files/MALWAREMALW...fficeDocs/DOC/ risk.info=http client server version mismatch

最初の行

Feb 6 10:02:28 10.10.10.125 SpectrumServer125

                     
ログ情報説明
Feb 6 10:02:28エントリーのタイム スタンプ。
10.10.10.125イベントのソースIPアドレス。
SpectrumServer125イベントのソース ホスト名。

監査Common Event Format(CEF)ヘッダ

0|NetWitness|Spectrum|1.2.1.130|Suspicious Event|Detected suspicious network event ID 857 session ID 73|2|

監査CEFヘッダには、縦棒で区切られた次のフィールドが含まれます。

                                     
ログ情報説明
0監査Syslogに使用されるArcSight Common Event Format(CEF)のバージョン。
NetWitnessSyslogメッセージを作成したサービス。
SpectrumSecurity Analytics Malware Analysisが、イベント ログを生成したことを示しています。
1.2.1.130Security Analytics Malware Analysisのバージョン。
event ID 857このイベントの一意のネットワーク イベントID。
session ID 73このイベントを含むセッションを一意に識別するSecurity AnalyticsコアのセッションID。
2重大度。メッセージの重大度を示す1~6の整数。
  • 1 = INFORMATION_LEVEL
  • 2 = WARNING_LEVEL
  • 3 = ERROR_LEVEL
  • 4 = SUCCESS_LEVEL
  • 5 = FAILURE_LEVEL
  • 6 = AUDIT_FAILURE_LEVEL

監査CEFの拡張フィールド

static=100.0 network=29.0 community=8.0 sandbox=N/R

file.name=-CVE-00_DOC_2010-05-13_attachment.doc  file.size=0 file.md5.hash=20a29259c0e5958afb2f50c4177bb307 com.netwitness.event.internal.id=73

com.netwitness.event.internal.uuid=37d2bad7-06bc-4b34-88e1-df43d9710204 alias.ip=10.25.50.149 client=Wget/1.11.4 Red Hat modified payload=108872 packets=136 country.dst=Private time=Fri Jan 27 10:09:25 EST 2012 threat.source=netwitness tcp.srcport=43580 action=get com.netwitness.event.internal.source=http://QASpectrum2:50104/sdk filetype=rtf alias.host=qa-fc12-149 eth.src=00:25:90:18:76:E2 ip.proto=6 tcp.flags=27 ip.src=10.25.50.61 tcp.dstport=80 threat.category=spectrum eth.dst=00:0C:29:F8:50:2D lifetime=0 alert.id=nw32535 sessionid=73 medium=1 size=117864 content=spectrum.consume11 extension=doc directory=/files/MALWAREMALWARE/OfficeDocs/DOC/ eth.type=2048 ip.dst=10.25.50.149 service=80 filename=-CVE-00_DOC_2010-05-13_attachment.doc server=Apache/2.2.13 (Fedora) streams=2 referer=http://qa-fc12-149/files/MALWAREMALW...fficeDocs/DOC/ risk.info=http client server version mismatch

解析スコア

監査CEFの拡張フィールドの最初のエントリーは、イベントに対するSecurity Analytics Malware Analysisの4つの解析スコア( 静的、ネットワーク、コミュニティ、サンドボックス)を示します。

                         
ログ情報サンプル値
static100.0
network29.0
community8.0
スコアが0.0の場合、イベントのコミュニティ スコアが0であるか、コミュニティ サービスが有効になっていない可能性があります。
sandboxN/R
N/Rは実行されていないこと(not run)を示します。これは、GFI Sandboxが有効化されていなかったことを示します。

ファイル情報

次の3つのエントリはファイル情報(ファイル名、サイズ、ハッシュ)を示します。

                     
ログ情報サンプル値
file.name-CVE-00_DOC_2010-05-13_attachment.doc
file.size0
file.md5.hash20a29259c0e5958afb2f50c4177bb307

NextGenが取得したイベント メタ データ

イベントのSecurity Analytics コアのメタ データが続きます。メッセージ内のメタ データはイベントによって異なります。メッセージ内のデータ量は、Syslog設定で構成されたバイト単位の最大長に切り詰められます。デフォルト値は1024です。

                                                                                                                                                             
ログ情報サンプル値
com.netwitness.event.internal.id73
com.netwitness.event.internal.uuid37d2bad7-06bc-4b34-88e1-df43d9710204
alias.ip10.25.50.149
clientWget/1.11.4 Red Hat modified
payload108872
packets136
country.dstPrivate
timeFri Jan 27 10:09:25 EST 2012
threat.sourcenetwitness
tcp.srcport43580
actionget
com.netwitness.event.internal.sourcehttp://QASpectrum2:50104/sdk
filetypertf
alias.hostqa-fc12-149
eth.src00:25:90:18:76:E2
ip.proto6
tcp.flags27
ip.src10.25.50.61
tcp.dstport80
threat.categoryspectrum
eth.dst00:0C:29:F8:50:2D
lifetime0
alert.idnw32535
sessionid73
medium1
size117864
contentspectrum.consume11
extensiondoc
directory/files/MALWAREMALWARE/OfficeDocs/DOC/
eth.type2048
ip.dst10.25.50.149
service80
filename-CVE-00_DOC_2010-05-13_attachment.doc
serverApache/2.2.13 (Fedora)
streams2
refererhttp://qa-fc12-149/files/MALWAREMALWARE/OfficeDocs/DOC/
risk.infohttp client server version mismatch

構成ファイルの編集

  1. Malware Analysisサービスを停止します。
  2. 「例」の説明に従って構成ファイルを編集します。
  3. Malware Analysisサービスを開始します。
    Malware Analysisサービスにより、構成ファイルを使用したアラートの処理と、指定のサービスへのCEFアラートの送信が開始されます。

構成ファイルにより、各フィールドに関連づけられているラベルや生成されるアラートに表示されるフィールドを指定できます。データ フィールドの表示の順序も指定できます。以下の例に示すとおり、構成ファイルは1つ以上のXML MalwareCefExtensionブロックで構成されます。構成ファイルにおけるこれらのブロックの順序は、CEFアラートにおけるデータ フィールドの順序を示します。 

次の例では、CEFアラートには、ip.srcとそれに続くip.dstという2つのデータ フィールドが含まれます。customKeyは、アラート内でのデータ フィールドのラベルを設定するために使用されます。この機能を使用してカスタム ラベルを設定し、アラートの形式をアラート送信先のシステムに対応する形式に合わせることができます。つまり、アラート形式を調整することにより、アラート送信先の既存のParserに余計な変更を加える必要がなくなります。さらに、isDisplayの設定によって、フィールドをアラート出力に含めるかどうかを指定できます。これを利用すれば、MalwareCefExtensionブロックを構成から物理的に削除しなくても、データ フィールドを無効化することができます。

 <config>

 <malwareExtensionList>

<com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.src</customKey>

      <malwareKey>ip.src</malwareKey>

      <isDisplay>true</isDisplay>

</com.netwitness.malware.core.cef.MalwareCefExtension>

<com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.dst</customKey>

      <malwareKey>ip.dst</malwareKey>

      <isDisplay>true</isDisplay>

</com.netwitness.malware.core.cef.MalwareCefExtension>

 </malwareExtensionList>

</config>

このほか、構成ファイルの末尾には、アラートの形式をさらに調整するための設定が3つあります。具体的には、次のとおりです。

                  
設定説明
includesUnknownMetaこれをtrueまたはfalseに設定することで、生成されるアラートに不明なデータ要素を含めるかどうかを指定します。これにより、NextGenセッション メタを、CEFアラートに含めるか否かを選択できます。
新しいNextGen Parserを作成してセッション メタを追加することもできるため、デフォルトの構成には含まれないメタが存在する可能性もあります。includesUnknownMetaをtrueに設定すると、アラートに不明なメタを含め、NextGenメタ キー名を使用してラベリングできます。不明なメタにカスタム キーを適用するには、このファイルを編集して新しいMalwareCefExtensionをディクショナリに追加する必要があります。 
アラートから不明なメタを削除するには、includesUnknownMetaをfalseに設定します。
displayNullsこれをtrueまたはfalseに設定することで、nullに設定されている値をアラートに含めるかどうかを指定します。displayNullsをfalseに設定した場合は、MalwareCefExtension isDisplayプロパティがオンになっていても、null値フィールドは省かれます。その結果、アラートの動的フォーマットにより、nullフィールドを除外することができます。
valueIfNullこの設定により、null値フィールドの値として使用するプレースホルダーの文字列(デフォルトはn/a)を指定できます。displayNullsをtrueに設定した場合は、null値フィールドがアラートに含まれ、その値はvalueIfNullで指定した値に設定されます。

以下はデフォルトのCEF構成ファイルです。デフォルトの構成ファイルには、デフォルトのNextGenセッション メタがすべて含まれます。

<config>

  <malwareExtensionList>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>static</customKey>

      <malwareKey>static</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>nextgen</customKey>

      <malwareKey>nextgen</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>community</customKey>

      <malwareKey>community</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>sandbox</customKey>

      <malwareKey>sandbox</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>file.name</customKey>

      <malwareKey>file.name</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>file.size</customKey>

      <malwareKey>file.size</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>file.md5.hash</customKey>

      <malwareKey>file.md5.hash</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.source</customKey>

      <malwareKey>event.source</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.type</customKey>

      <malwareKey>event.type</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.id</customKey>

      <malwareKey>event.id</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.uuid</customKey>

      <malwareKey>event.uuid</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>antivirus.primary.detected</customKey>

      <malwareKey>antivirus.primary.detected</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>antivirus.secondary.detected</customKey>

      <malwareKey>antivirus.secondary.detected</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>antivirus.other.detected</customKey>

      <malwareKey>antivirus.other.detected</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>country.dst.code</customKey>

      <malwareKey>country.dst.code</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>city.dst</customKey>

      <malwareKey>city.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>org.dst</customKey>

      <malwareKey>org.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>payload</customKey>

      <malwareKey>payload</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>packets</customKey>

      <malwareKey>packets</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>country.dst</customKey>

      <malwareKey>country.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>time</customKey>

      <malwareKey>time</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>threat.source</customKey>

      <malwareKey>threat.source</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.srcpport</customKey>

      <malwareKey>tcp.srcpport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>filetype</customKey>

      <malwareKey>filetype</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>latdec.dst</customKey>

      <malwareKey>latdec.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.src</customKey>

      <malwareKey>eth.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>agency.dst</customKey>

      <malwareKey>agency.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.proto</customKey>

      <malwareKey>ip.proto</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.flags</customKey>

      <malwareKey>tcp.flags</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.src</customKey>

      <malwareKey>ip.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.dstport</customKey>

      <malwareKey>tcp.dstport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>threat.category</customKey>

      <malwareKey>threat.category</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.dst</customKey>

      <malwareKey>eth.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>lifetime</customKey>

      <malwareKey>lifetime</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>latdec.src</customKey>

      <malwareKey>latdec.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>did</customKey>

      <malwareKey>did</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>alert.id</customKey>

      <malwareKey>alert.id</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>country.src</customKey>

      <malwareKey>country.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>sessionid</customKey>

      <malwareKey>sessionid</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>longdec.src</customKey>

      <malwareKey>longdec.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>medium</customKey>

      <malwareKey>medium</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>size</customKey>

      <malwareKey>size</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.domain.dst</customKey>

      <malwareKey>ad.computer.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.computer.dst</customKey>

      <malwareKey>ad.computer.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.username.src</customKey>

      <malwareKey>ad.username.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>rpackets</customKey>

      <malwareKey>rpackets</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>action</customKey>

      <malwareKey>action</malwareKey>

      <isDisplay>false</isDisplay>

   </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.domain.src</customKey>

      <malwareKey>ad.domain.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.src.vendor</customKey>

      <malwareKey>eth.src.vendor</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>rpayload</customKey>

      <malwareKey>rpayload</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.username.dst</customKey>

      <malwareKey>ad.username.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>content</customKey>

      <malwareKey>content</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>extension</customKey>

      <malwareKey>extension</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.dst.vendor</customKey>

      <malwareKey>eth.dst.vendor</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>rid</customKey>

      <malwareKey>rid</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>directory</customKey>

      <malwareKey>directory</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>risk.suspicious</customKey>

      <malwareKey>risk.suspicious</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.type</customKey>

      <malwareKey>eth.type</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.dst</customKey>

      <malwareKey>ip.dst</malwareKey>

      <isDisplay>false</isDisplay>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>service</customKey>

      <malwareKey>service</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>filename</customKey>

      <malwareKey>filename</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>streams</customKey>

      <malwareKey>streams</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>risk.info</customKey>

      <malwareKey>risk.info</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>dest.tld</customKey>

      <malwareKey>dest.tld</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>alias.host</customKey>

      <malwareKey>alias.host</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.srcport</customKey>

      <malwareKey>tcp.srcport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>udp.srcport</customKey>

      <malwareKey>udp.srcport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>udp.dstport</customKey>

      <malwareKey>udp.dstport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>domain.dst</customKey>

      <malwareKey>domain.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>feed.name</customKey>

      <malwareKey>feed.name</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>feed.description</customKey>

      <malwareKey>feed.description</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>threat.description</customKey>

      <malwareKey>threat.description</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>referer</customKey>

      <malwareKey>referer</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>client</customKey>

      <malwareKey>client</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>server</customKey>

      <malwareKey>server</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>risk.warning</customKey>

      <malwareKey>risk.warning</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>attachment</customKey>

      <malwareKey>attachment</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.registrar</customKey>

      <malwareKey>whois.registrar</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.registrant</customKey>

      <malwareKey>whois.registrant</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.date.creation</customKey>

      <malwareKey>whois.date.creation</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.server</customKey>

      <malwareKey>whois.server</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

  </malwareExtensionList>

  <includesUnknownMeta>false</includesUnknownMeta>

  <displayNulls>false</displayNulls>

  <valueIfNull>n/a</valueIfNull>

</config>

Previous Topic:追加の手順
You are here
Table of Contents > 追加の手順 > CEF形式のカスタム アラートの作成

Attachments

    Outcomes