差分

このページの2つのバージョン間の差分を表示します。

--- ja:documentation:pandorafms:cybersecurity:21_siem [2025/09/06 22:08] – [Case study] junichi
+++ ja:documentation:pandorafms:cybersecurity:21_siem [2025/11/28 23:16] (現在) – [ケーススタディ] junichi
@@ 行 188: / 行 188: @@
 <wrap #ks5_1 />
-==== Linux エージェント ====
+==== Linux® エージェント ====
 Log collection on Linux systems is mainly done by reading log files. This can be achieved by using module configurations with this minimal structure:
@@ 行 220: / 行 220: @@
 </code>
-Entries collected from a log like the above would be normalized by <wrap :en> decoders</wrap> such as ''web-accesslog'', ''web-accesslog-ip''  or ''web-accesslog-domain''  among others.
+Entries collected from a log like the above would be normalized by, among others:
-上記のようなログから収集されたエントリは、''web-accesslog''、''web-accesslog-ip''、''web-accesslog-domain'' などの <wrap :ja> デコーダー</wrap> によって正規化されます。
+上記のようなログから収集されたエントリは、次のような <wrap :ja> デコーダー</wrap> で正規化されます。
-The decoded logs of such a log could generate events such as ''Common\_web\_attack'', ''XSS\_(Cross\_Site\_Scripting)\_attempt''  or ''SQL\_injection\_attempt'' among others.
+  * <wrap :en> decoders</wrap> such as ''web-accesslog'',
+  * ''web-accesslog-ip'' or,
+  * ''web-accesslog-domain''.
-このようなログのデコードされたログでは、''Common\_web\_attack''、''XSS\_(Cross\_Site\_Scripting)\_attempt''、''SQL\_injection\_attempt'' などのイベントが生成される場合があります。
+  * ''web-accesslog''
+  * ''web-accesslog-ip''
+  * ''web-accesslog-domain''
+The decoded logs of such a log could generate events such as (among others):
+このようなログのデコードされたログでは、次のようなイベントが生成されます。
+  * ''Common web attack'',
+  * ''XSS (Cross Site Scripting) attempt'' or,
+  * ''SQL injection attempt''.
+  * ''Common web attack''
+  * ''XSS (Cross Site Scripting) attempt''
+  * ''SQL injection attempt''
 <wrap #ks5_2 />
@@ 行 297: / 行 313: @@
 上記のようなイベントから収集された入力は、<wrap :ja>デコーダー</wrap> によって ''windows_eventchannel'' として正規化されます。
-The decoded logs of events such as the above could generate events such as ''Windows\_error\_event'', ''Short-time\_multiple\_Windows\_Defender\_warning\_events'' or ''Multiple\_Windows\_Defender\_error\_events'' among others.
+The decoded logs of events such as the above could generate events such as, among others:
+上記のようなイベントのデコードされたログでは、次のようなイベントが生成されます。
+  * ''Windows error event'',
+  * ''Short-time multiple Windows Defender warning events'' or,
+  * ''Multiple Windows Defender error events''.
-上記のようなイベントのデコードされたログでは、''Windows\_error\_event''、''Short-time\_multiple\_Windows\_Defender\_warning\_events''、''Multiple\_Windows\_Defender\_error\_events'' などのイベントが生成される場合があります。
+  * ''Windows error event''
+  * ''Short-time multiple Windows Defender warning events''
+  * ''Multiple Windows Defender error events''
 Using log file monitoring, the configuration is identical to that of Linux systems. A minimal configuration like this is required:
@@ 行 664: / 行 688: @@
 <wrap #ks8_1 />
-==== 管理 ====
+==== ルール管理 ====
 To include new <wrap :en>rules</wrap>, first add or edit an XML file in the path indicated to Pandora FMS server in its configuration parameter ''siem_rules''.
@@ 行 701: / 行 725: @@
 XMLファイルから読み取れなかった<wrap :ja>ルール</wrap>は、コンソールで「無効」とマークされ、SIEM イベントの生成時に考慮されません。管理者によって手動で無効化された<wrap :ja>ルール</wrap>も考慮されません。したがって、<wrap :ja>ルール</wrap>を評価するには、ルールがアクティブかつ有効化されている必要があります。
+<WRAP center round info 90%>
+Once rules are active and enabled, if one rule needs to depend on the evaluation and result of another, **the first rule must have a lower numerical identifier than the second**  (i.e., they are executed in ascending numerical order, see [[#ks9_1|corresponding case study]]).
+</WRAP>
+<WRAP center round info 90%>
+ルールを有効にし、あるルールが別のルールの評価と結果に依存する必要がある場合、**最初のルールの数値識別子は 2 番目のルールの数値識別子よりも小さくする必要があります** (つまり、数値の昇順で実行されます。[[#ks9_1|対応するケーススタディ]] を参照してください)。
+</WRAP>
 <wrap #ks8_2 />
@@ 行 1280: / 行 1316: @@
 </decoder>
 </code>
+<wrap #ks9_1 />
+==== ルール評価順序 ====
+The following case study **with a negative result**  illustrates when a rule "queries" other rules to check whether they found a match and then evaluates the match itself to generate an event.
+次のケーススタディ (**否定的な結果**) は、ルールが他のルールを「照会」して一致が見つかったかどうかを確認し、一致自体を評価してイベントを生成する場合を示しています。
+There is a series of rules used to detect failed logins on a hardware firewall, in order to then create the corresponding alerts:
+ハードウェアファイアウォールで失敗したログインを検出し、対応するアラートを作成するために使用される一連のルールがあります。
+<code xml>
+<rule id="81641" level="1">
+    <decoded_as>fortigate-firewall-v6</decoded_as>
+    <description>Fortigate v6 messages grouped.</description>
+</rule>
+</code>
+  * ⍐ Rule 81641 matches decoded log to start retrieving data.
+  * ⍐ ルール 81641 はデコードされたログと一致し、データの取得を開始します。
+----
+<code xml>
+<rule id="81603" level="0">
+    <if_sid>81600,81601,81602,81641</if_sid>
+    <description>Fortigate messages grouped.</description>
+</rule>
+</code>
+  * ⍐ Rule ID 81603 in turn depends on several rules, including the previous 81641. Since the latter 81641 is higher than 81603, **81603 is not executed**.
+  * ⍐ ルール ID 81603 は、前の 81641 を含む複数のルールに依存します。後者の 81641 は 81603 より大きいため、**81603 は実行されません**。
+----
+<code xml>
+<rule id="81614" level="4">
+    <if_sid>81603</if_sid>
+    <match>ssl-login-fail</match>
+    <description>Fortigate: SSL VPN user failed login attempt.</description>
+    <group>authentication_failed,
+gdpr_IV_32.2,
+gdpr_IV_35.7.d,
+gpg13_7.1,
+hipaa_164.312.b,
+invalid_login,
+nist_800_53_AC.7,
+nist_800_53_AU.14,
+pci_dss_10.2.4,
+pci_dss_10.2.5,
+tsc_CC6.1,
+tsc_CC6.8,
+tsc_CC7.2,
+tsc_CC7.3,</group>
+</rule>
+</code>
+  * ⍐ A rule with ID 100700 checks for a match in a rule with ID 81641, which in turn depends on rule ID 81603 (81614 is higher than 81603, so it is executed).
+  * ⍐ ID 100700 のルールは、ID 81641 のルールとの一致をチェックします。このルールは、ルール ID 81603 に依存します (81614 は 81603 より大きいため、実行されます)。
+<WRAP center round info 90%>
+The problem in this case study is that 81614 does not return a result to 100700 **because 81603 was not executed due to the numerical order by ID**.
+</WRAP>
+<WRAP center round info 90%>
+このケーススタディの問題は、**ID による番号順で 81603 が実行されなかったため**、81614 が 100700 に結果を返さないことです。
+</WRAP>
 <wrap #ks10 />
-===== Regular expressions =====
+===== 正規表現 =====
 Regular expressions are sequences of characters that define a pattern.
+正規表現はパターンを定義する文字のシーケンスです。
 There are two types of regular expressions valid for <wrap :en>decoders</wrap> and <wrap :en>rules</wrap>: [[#ks10_1|OS Regex]] and [[#ks10_2|PCRE2]].
+<wrap :ja>デコーダー</wrap>と <wrap :ja>ルール</wrap>に有効な正規表現には、[[#ks10_1|OS Regex]] と [[#ks10_2|PCRE2]] の 2 種類があります。
 <wrap #ks10_1 />
 ==== OS Regex ====
 They are simple regular expressions based on a library made in C language. It is designed to be simple and at the same time support the most common regular expressions.
+C言語で作成されたライブラリをベースにしたシンプルな正規表現です。シンプルでありながら、最も一般的な正規表現をサポートするように設計されています。
 <wrap #ks10_1_1 />
-=== Acceptable expressions ===
+=== 許容される表現 ===
 ^Expression^Valid characters|
@@ 行 1307: / 行 1430: @@
 |''\S''   |Anything other than \s|
 |''\.''   |Anything other|
+^式^有効な文字|
+|''\w'' |A-Z、a-z、0-9、'-'、'@'、'_'|
+|''\d'' |0-9|
+|''\s'' |スペース " "|
+|''\t'' |タブ|
+|''\p'' |<nowiki>()*+,-.:;<=>?[]!"'#$%&|{}</nowiki>|
+|''\W'' |\w 以外の文字|
+|''\D'' |\d 以外の文字|
+|''\S'' |\s 以外の文字|
+|''\.'' |その他|
 <wrap #ks10_1_2 />
-=== Modifiers ===
+=== 修飾子 ===
 ^Expression^Behavior|
 |''+''   |To match one or more times|
 |''*''   |To match zero or more times|
+^式^動作|
+|''+'' |1回以上の繰り返しに一致|
+|''*'' |0回以上の繰り返しに一致|
 <wrap #ks10_1_3 />
-=== Special characters ===
+=== 特殊文字 ===
 ^Expression^Behavior|
@@ 行 1322: / 行 1462: @@
 |''<nowiki>$</nowiki>''   |To specify the end of the text|
 |''<nowiki>|</nowiki>''   |To create a logical pattern "or" among multiple patterns|
+^式^動作|
+|''<nowiki>^</nowiki>'' |テキストの先頭を指定する|
+|''<nowiki>$</nowiki>'' |テキストの末尾を指定する|
+|''<nowiki>|</nowiki>'' |複数のパターン間で論理パターン「or」を作成する|
 <wrap #ks10_1_4 />
-=== Escaping characters ===
+=== エスケープ文字 ===
 To use the following characters you must escape them with ''\'':
+次の文字を使用するには、''\'' でエスケープする必要があります。
 ^  $  ^  (  ^  )  ^  <nowiki>\</nowiki>  ^  <nowiki>|</nowiki>  ^  <  |
@@ 行 1332: / 行 1480: @@
 <wrap #ks10_1_5 />
-=== Limitations ===
+=== 制限事項 ===
   * The ''*''  and ''+''  modifiers may only be applied to backslash expressions, not to single characters (e.g. ''\d+'' is supported, ''0+''  is not supported).
@@ 行 1340: / 行 1489: @@
   * ''\s''  matches only an ASCII space (32), not other blanks such as tabs.
   * There is no syntax to match a caret, asterisk or more literal (although ''\p'' will match an asterisk or more, along with some other characters).
+  * 修飾子 ''*'' および ''+'' はバックスラッシュ式にのみ適用でき、単一文字には適用できません（例：''\d+'' はサポートされていますが、''0+'' はサポートされていません）。
+  * 選択はグループ内では使用できません。例：''(foo|bar)'' は許可されていません。
+  * 複雑なバックトラックはサポートされていません。例：''\p*\d*\s*\w*:'' はコロンのみに一致しません。''\p*'' がコロンを包含するためです。
+  * ''.'' はピリオドに一致しますが、''\.'' は任意の文字に一致します。
+  * ''\s'' はASCIIスペース（32）にのみ一致し、タブなどの他の空白には一致しません。
+  * キャレット、アスタリスク、またはそれ以上のリテラルに一致する構文はありません（ただし、''\p'' は1つ以上のアスタリスクと他のいくつかの文字に一致します）。
 <wrap #ks10_2 />
 ==== PCRE2 ====
 <wrap :en>Perl Compatible Regular Expression</wrap> (**PCRE2**) provides features such as recursive patterns, look-ahead and look-back assertions, non-capture groups, non-voracious quantifiers, extended syntax for characters and character classes, among others.
+<wrap :ja>Perl 互換正規表現</wrap> (**PCRE2**) は、再帰パターン、先読みアサーションと後読みアサーション、非キャプチャグループ、非貪欲な量指定子、文字と文字クラスの拡張書式などの機能を提供します。
 For more details, see the [[https://www.pcre.org/current/doc/html/pcre2syntax.html|PCRE2 syntax documentation]].
+詳細については、[[https://www.pcre.org/current/doc/html/pcre2syntax.html|PCRE2 書式のドキュメント]] を参照してください。
 <wrap #ks10_2_1 />
-=== Acceptable expressions ===
+=== 許容される表現 ===
 ^Expression^Valid characters|
@@ 行 1361: / 行 1523: @@
 |''\w''   |Any "word" character|
 |''\W''   |Any "non-word" character|
+^式^有効な文字|
+|''.'' |改行以外の任意の文字|
+|''\d'' |任意の10進数。''[0-9]'' に相当します。|
+|''\D'' |10進数以外の任意の文字。''[^0-9]'' に相当します。|
+|''\h'' |任意の水平空白文字|
+|''\H'' |水平空白以外の任意の文字|
+|''\s'' |任意の空白文字。''[\t\r\n\f]'' に相当します。|
+|''\S'' |空白以外の任意の文字。''[^\t\r\n\f]'' に相当します。|
+|''\w'' |任意の単語文字|
+|''\W'' |任意の非単語文字|
 <wrap #ks10_2_2 />
-=== Modifiers ===
+=== 修飾子 ===
 ^Expression  ^Behavior|
@@ 行 1382: / 行 1556: @@
 |''{n,}+''   |n or more, possessive|
 |''{n,}?''   |n or more, lazy|
+^式 ^動作|
+|''?'' |0 または 1、greedy|
+|''?+'' |0 または 1、possessive|
+|''??'' |0 または 1、lazy|
+|''*'' |0 以上、greedy|
+|''*+'' |0 以上、possessive|
+|''*?'' |0 以上、lazy|
+|''+'' |1 以上、greedy|
+|''++'' |1 以上、possessive|
+|''+?'' |1 以上、lazy|
+|''{n}'' |ちょうど n|
+|''{n,m}'' |n 以上、m 以下、greedy|
+|''{n,m}+'' |n 以上、m 以下、possessive|
+|''{n,m}?'' |n 以上、m 以下、lazy|
+|''{n,}'' |n 以上、greedy|
+|''{n,}+'' |n 以上、possessive|
+|''{n,}?'' |n 以上、lazy|
 <wrap #ks10_2_3 />
-=== Escape characters ===
+=== エスケープ文字 ===
 ^Expression  ^Behavior|
@@ 行 1395: / 行 1588: @@
 |''\xhh''   |Character with hexadecimal code ''hh'' |
 |''v\x{hhh…}''   |Character with hexadecimal code ''hh..'' |
+^式 ^動作|
+|''\f'' |次のページ (16進数 ''0C'')|
+|''\n'' |改行 (16進数 ''0A'')|
+|''\r'' |キャリッジリターン (16進数 ''0D'')|
+|''\t'' |タブ (16進数 ''09'')|
+|''\0dd'' |8進コード ''0dd'' の文字 |
+|''\o{ddd..}'' |8進コード ''ddd..'' の文字 |
+|''\xhh'' |16進コード ''hh'' の文字 |
+|''v\x{hhh…}'' |16進コード ''hh..'' の文字 |
 <wrap #ks11 />
-===== SIEM alerts =====
+===== SIEM アラート =====
 See the topic [[:en:documentation:pandorafms:management_and_operation:01_alerts#ks13|SIEM alert system]].
+トピック[[:ja:documentation:pandorafms:management_and_operation:01_alerts#ks13|SIEM アラートシステム]]を参照してください。
 <wrap #ks12 />
-===== SIEM reports =====
+===== SIEM レポート =====
 See the topic [[:en:documentation:pandorafms:technical_annexes:22_pfms_report_types#ks18|SIEM events reports]].
+トピック[[:ja:documentation:pandorafms:technical_annexes:22_pfms_report_types#ks18|SIEM イベントレポート]]を参照してください。
 [[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]]