SA構成:サポートされるCEFメタ キー

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Security Analyticsグローバル監査ログがサポートするCEF(Common Event Format)メタ キーについて説明します。 

Log Decoderで使用するグローバル監査ログ テンプレートを定義する場合は、CEF(Common Event Format)を使用し、次の特定の標準要件を満たす必要があります。

  • テンプレートにCEFヘッダーを含める。
  • 以下のメタ キーの表にある拡張機能とカスタム拡張機能のみを(キー=値)の形式で使用する。
  • 拡張機能とカスタム拡張機能は、key=${string}<space>key=${string}の形式で記述する。 

サード パーティのSyslogサーバの場合、任意の形式(CEFまたはCEF以外)で定義できます。

この表に関連した手順は、次のトピックを参照してください:グローバル監査ログ テンプレートの定義グローバル監査ログの構成.

サポートされるCEF(Common Event Format)メタ キー

次の表では、Security Analyticsグローバル監査ログがサポートするCEFSyslogメタ キーについて説明します。SyslogプレフィックスのDatetimeフィールドとHostnameフィールドは、変更不可のためテンプレートに含まれていませんが、デフォルトですべてのログ メッセージの先頭に追加されます。CEFヘッダーは、CEF標準に準拠するために必要で、すべてのCEFParserに必要です。拡張機能とカスタム拡張機能はオプションです。10.5 Default Audit CEF Templateには、この表に記載されているフィールドの多くが含まれています。定義するグローバル監査ログ テンプレートに、この表に記載されている任意の拡張機能とカスタム拡張機能を追加できます。 

                                                                                                                                                                                                                                                                             
CEFフィールド文字列説明SAメタ キー

Log Decoder のインデックス

Syslogプレフィックス    
Datetime変更不可Syslogヘッダーの日時event.time.strTransient
Hostname変更不可Syslogヘッダーのホスト名alias.hostNone
CEFヘッダー CEFヘッダー フィールドは、CEF標準に準拠するために必要で、すべてのCEF Parserに必要です。   
CEF:VersionCEF:0CEFヘッダー--固定--N/A
DeviceVendor${deviceVendor}製品ベンダー、RSA-N/A
DeviceProduct${deviceProduct}製品ファミリー。常にSecurity Analytics Auditです。productTransient
DeviceVersion${deviceVersion}ホスト/サービス バージョンversionTransient
Signature ID${category}監査イベントの識別子。監査イベントのカテゴリーを指定します。event.typeNone
名前${operation}イベントの説明event.descNone
Severity${severity}監査イベントの重大度severityTransient
拡張機能    
deviceExternalId${deviceExternalId}監査イベントを生成しているホストまたはサービスの一意のIDhardware.idTransient
deviceFacility${deviceFacility}イベントをSyslogデーモンに書き込むときに使用されるSyslogファシリティ。たとえば、authpriv。cs.devfacilityCustom
deviceProcessName${deviceProcessName}dvcpidに対応する実行可能ファイルの名前processNone
dpt${destinationPort}宛先ポートip.dstportNone
dst${destinationAddress}宛先IPアドレスip.dstNone
dvcpid${deviceProcessId}イベントを生成するプロセスのID。つまり、Security AnalyticsサービスのプロセスID。process.idTransient
msg${text}任意のテキスト、補足情報、イベントに関する実際の説明msgTransient
outcome${outcome}監査イベントによって実行された操作の結果resultTransient
proto${transportProtocol}使用されているネットワーク プロトコルprotocolTransient
requestClientApplication${userAgent}ページにアクセスしているユーザーのブラウザの詳細user.agentTransient
rt${timestamp}イベントがレポートされた時刻event.timeNone
sourceServiceName${sourceService}このイベントを生成したサービスservice.nameTransient
spt${sourcePort}ソース ポートip.srcportTransient
spriv${userRole}ユーザーへのロール権限の割り当て。例:
admin.owner、appliance.manage、
connections.manage、everyone、logs.manage、services.manage、
storedproc.execute、
storedproc.manage、
sys.manage、users.manage
privilegeTransient
src${sourceAddress}ソースIPアドレスip.srcNone
suser${identity}監査イベント生成の原因となったログオン ユーザーのIDuser.dstNone
カスタム拡張機能    
deviceService${deviceService}イベント生成の原因となったサービスcs.devserviceCustom
parameters${parameters}APIおよび操作のパラメータ。クエリーに関するパラメータが記録される。index
 
Transient
 
paramKey${key}構成アイテム キー。監査イベントの記録対象となる構成パラメータ。

例:/sys/config/stat.interval

cs.keyCustom
paramValue${value}構成値。更新時に記録される値です。cs.valueCustom
userGroup${userGroup}ロールの割り当て。例:
Administrators、Analysts、MalwareAnalysts、
Malware_Analysts、Operators、
PRIVILEGED_CONNECTION_
AUTHORITY、
SOC_Managers
groupNone
referrerURL${referrerUrl}現在のURLを参照する親URLURLTransient
sessionid${sessionId}セッションまたは接続識別子log.session.idTransient

注:すべての拡張機能は次の形式で記述します。 
deviceProcessName=${deviceProcessName} outcome=${outcome}
値とタグ名の間に<space>を挿入します。

デフォルトでは、すべてのメタ キーがインデックスされているわけではありません。前掲の表では、「Log Decoderのインデックス」列に、flagsキーワードの状態(Transient、None、Custom)が記載されています。キーがTransientに設定されている場合、そのキーはパースされますが、データベースには保存されません。キーがNoneに設定されている場合、そのキーはインデックスされ、データベースに保存されます。「Custom」と示されているキーは、table-map.xmlファイルに存在しないため、保存もパースもされません。

「テーブル マップ ファイルの維持」には、テーブル マッピングを確認し、更新する手順が記載されています。「サービス インデックス ファイルの編集」には、Concentratorでカスタム インデックス ファイルを更新する方法が記載されています。

You are here
Table of Contents > 参考資料 > [グローバル監査ログの構成]パネル > サポートされるCEFメタ キー

Attachments

    Outcomes