ja:documentation:pandorafms:cybersecurity:21_siem

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

両方とも前のリビジョン 前のリビジョン
次のリビジョン		 前のリビジョン
ja:documentation:pandorafms:cybersecurity:21_siem [2025/09/06 22:09] – [OS Regex] junichija:documentation:pandorafms:cybersecurity:21_siem [2025/11/28 23:16] (現在) – [ケーススタディ] junichi
行 188: 行 188:
 <wrap #ks5_1 /> <wrap #ks5_1 />
  
-==== Linux エージェント ====+==== Linux® エージェント ====
  
 Log collection on Linux systems is mainly done by reading log files. This can be achieved by using module configurations with this minimal structure: Log collection on Linux systems is mainly done by reading log files. This can be achieved by using module configurations with this minimal structure:
行 220: 行 220:
 </code> </code>
  
-Entries collected from a log like the above would be normalized by <wrap :en> decoders</wrap> such as ''web-accesslog''''web-accesslog-ip''  or ''web-accesslog-domain''  among others.+Entries collected from a log like the above would be normalized by, among others:
  
-上記のようなログから収集されたエントリは、''web-accesslog''、''web-accesslog-ip''、''web-accesslog-domain'' などの <wrap :ja> デコーダー</wrap> によって正規化されます。+上記のようなログから収集されたエントリは、ような <wrap :ja> デコーダー</wrap> 正規化されます。
  
-The decoded logs of such a log could generate events such as ''Common\_web\_attack'', ''XSS\_(Cross\_Site\_Scripting)\_attempt''  or ''SQL\_injection\_attempt'' among others.+  * <wrap :en> decoders</wrap> such as ''web-accesslog'', 
 +  * ''web-accesslog-ip'' or
 +  * ''web-accesslog-domain''.
  
-このようなログのデコードされたログでは、''Common\_web\_attack''''XSS\_(Cross\_Site\_Scripting)\_attempt''''SQL\_injection\_attempt'' などのイベントが生成される場合があります。+  * ''web-accesslog'' 
 +  * ''web-accesslog-ip'' 
 +  * ''web-accesslog-domain'' 
 + 
 +The decoded logs of such a log could generate events such as (among others): 
 + 
 +このようなログのデコードされたログでは、次のようなイベントが生成されます。 
 + 
 +  * ''Common web attack''
 +  * ''XSS (Cross Site Scriptingattempt'' or, 
 +  * ''SQL injection attempt''
 + 
 +  * ''Common web attack'' 
 +  * ''XSS (Cross Site Scripting) attempt'' 
 +  * ''SQL injection attempt''
  
 <wrap #ks5_2 /> <wrap #ks5_2 />
行 297: 行 313:
 上記のようなイベントから収集された入力は、<wrap :ja>デコーダー</wrap> によって ''windows_eventchannel'' として正規化されます。 上記のようなイベントから収集された入力は、<wrap :ja>デコーダー</wrap> によって ''windows_eventchannel'' として正規化されます。
  
-The decoded logs of events such as the above could generate events such as ''Windows\_error\_event'', ''Short-time\_multiple\_Windows\_Defender\_warning\_events'' or ''Multiple\_Windows\_Defender\_error\_events'' among others.+The decoded logs of events such as the above could generate events such as, among others: 
 + 
 +上記のようなイベントのデコードされたログでは、次のようなイベントが生成されます。 
 + 
 +  * ''Windows error event'', 
 +  * ''Short-time multiple Windows Defender warning events'' or
 +  * ''Multiple Windows Defender error events''.
  
-上記のようなイベントのデコードされたログでは、''Windows\_error\_event''''Short-time\_multiple\_Windows\_Defender\_warning\_events''''Multiple\_Windows\_Defender\_error\_events'' などのイベントが生成される場合があります。+  * ''Windows error event'' 
 +  * ''Short-time multiple Windows Defender warning events'' 
 +  * ''Multiple Windows Defender error events''
  
 Using log file monitoring, the configuration is identical to that of Linux systems. A minimal configuration like this is required: Using log file monitoring, the configuration is identical to that of Linux systems. A minimal configuration like this is required:
行 664: 行 688:
 <wrap #ks8_1 /> <wrap #ks8_1 />
  
-==== 管理 ====+==== ルール管理 ====
  
 To include new <wrap :en>rules</wrap>, first add or edit an XML file in the path indicated to Pandora FMS server in its configuration parameter ''siem_rules''. To include new <wrap :en>rules</wrap>, first add or edit an XML file in the path indicated to Pandora FMS server in its configuration parameter ''siem_rules''.
行 701: 行 725:
  
 XMLファイルから読み取れなかった<wrap :ja>ルール</wrap>は、コンソールで「無効」とマークされ、SIEM イベントの生成時に考慮されません。管理者によって手動で無効化された<wrap :ja>ルール</wrap>も考慮されません。したがって、<wrap :ja>ルール</wrap>を評価するには、ルールがアクティブかつ有効化されている必要があります。 XMLファイルから読み取れなかった<wrap :ja>ルール</wrap>は、コンソールで「無効」とマークされ、SIEM イベントの生成時に考慮されません。管理者によって手動で無効化された<wrap :ja>ルール</wrap>も考慮されません。したがって、<wrap :ja>ルール</wrap>を評価するには、ルールがアクティブかつ有効化されている必要があります。
 +
 +<WRAP center round info 90%>
 +
 +Once rules are active and enabled, if one rule needs to depend on the evaluation and result of another, **the first rule must have a lower numerical identifier than the second**  (i.e., they are executed in ascending numerical order, see [[#ks9_1|corresponding case study]]).
 +
 +</WRAP>
 +
 +<WRAP center round info 90%>
 +
 +ルールを有効にし、あるルールが別のルールの評価と結果に依存する必要がある場合、**最初のルールの数値識別子は 2 番目のルールの数値識別子よりも小さくする必要があります** (つまり、数値の昇順で実行されます。[[#ks9_1|対応するケーススタディ]] を参照してください)。
 +
 +</WRAP>
  
 <wrap #ks8_2 /> <wrap #ks8_2 />
行 1280: 行 1316:
 </decoder> </decoder>
 </code> </code>
 +
 +<wrap #ks9_1 />
 +
 +==== ルール評価順序 ====
 +
 +The following case study **with a negative result**  illustrates when a rule "queries" other rules to check whether they found a match and then evaluates the match itself to generate an event.
 +
 +次のケーススタディ (**否定的な結果**) は、ルールが他のルールを「照会」して一致が見つかったかどうかを確認し、一致自体を評価してイベントを生成する場合を示しています。
 +
 +There is a series of rules used to detect failed logins on a hardware firewall, in order to then create the corresponding alerts:
 +
 +ハードウェアファイアウォールで失敗したログインを検出し、対応するアラートを作成するために使用される一連のルールがあります。
 +
 +<code xml>
 +<rule id="81641" level="1">
 +    <decoded_as>fortigate-firewall-v6</decoded_as>
 +    <description>Fortigate v6 messages grouped.</description>
 +</rule>
 +
 +</code>
 +
 +  * ⍐ Rule 81641 matches decoded log to start retrieving data.
 +
 +  * ⍐ ルール 81641 はデコードされたログと一致し、データの取得を開始します。
 +
 +----
 +
 +<code xml>
 +<rule id="81603" level="0">
 +    <if_sid>81600,81601,81602,81641</if_sid>
 +    <description>Fortigate messages grouped.</description>
 +</rule>
 +
 +</code>
 +
 +  * ⍐ Rule ID 81603 in turn depends on several rules, including the previous 81641. Since the latter 81641 is higher than 81603, **81603 is not executed**.
 +
 +  * ⍐ ルール ID 81603 は、前の 81641 を含む複数のルールに依存します。後者の 81641 は 81603 より大きいため、**81603 は実行されません**。
 +
 +----
 +
 +<code xml>
 +<rule id="81614" level="4">
 +    <if_sid>81603</if_sid>
 +    <match>ssl-login-fail</match>
 +    <description>Fortigate: SSL VPN user failed login attempt.</description>
 +    <group>authentication_failed,
 +gdpr_IV_32.2,
 +gdpr_IV_35.7.d,
 +gpg13_7.1,
 +hipaa_164.312.b,
 +invalid_login,
 +nist_800_53_AC.7,
 +nist_800_53_AU.14,
 +pci_dss_10.2.4,
 +pci_dss_10.2.5,
 +tsc_CC6.1,
 +tsc_CC6.8,
 +tsc_CC7.2,
 +tsc_CC7.3,</group>
 +</rule>
 +
 +</code>
 +
 +  * ⍐ A rule with ID 100700 checks for a match in a rule with ID 81641, which in turn depends on rule ID 81603 (81614 is higher than 81603, so it is executed).
 +
 +  * ⍐ ID 100700 のルールは、ID 81641 のルールとの一致をチェックします。このルールは、ルール ID 81603 に依存します (81614 は 81603 より大きいため、実行されます)。
 +
 +<WRAP center round info 90%>
 +
 +The problem in this case study is that 81614 does not return a result to 100700 **because 81603 was not executed due to the numerical order by ID**.
 +
 +</WRAP>
 +
 +<WRAP center round info 90%>
 +
 +このケーススタディの問題は、**ID による番号順で 81603 が実行されなかったため**、81614 が 100700 に結果を返さないことです。
 +
 +</WRAP>
  
 <wrap #ks10 /> <wrap #ks10 />
行 1303: 行 1418:
 <wrap #ks10_1_1 /> <wrap #ks10_1_1 />
  
-=== Acceptable expressions ===+=== 許容される表現 ===
  
 ^Expression^Valid characters| ^Expression^Valid characters|
行 1315: 行 1430:
 |''\S''   |Anything other than \s| |''\S''   |Anything other than \s|
 |''\.''   |Anything other| |''\.''   |Anything other|
 +
 +^式^有効な文字|
 +|''\w'' |A-Z、a-z、0-9、'-'、'@'、'_'|
 +|''\d'' |0-9|
 +|''\s'' |スペース " "|
 +|''\t'' |タブ|
 +|''\p'' |<nowiki>()*+,-.:;<=>?[]!"'#$%&|{}</nowiki>|
 +|''\W'' |\w 以外の文字|
 +|''\D'' |\d 以外の文字|
 +|''\S'' |\s 以外の文字|
 +|''\.'' |その他|
  
 <wrap #ks10_1_2 /> <wrap #ks10_1_2 />
-=== Modifiers ===+ 
 +=== 修飾子 ===
  
 ^Expression^Behavior| ^Expression^Behavior|
 |''+''   |To match one or more times| |''+''   |To match one or more times|
 |''*''   |To match zero or more times| |''*''   |To match zero or more times|
 +
 +^式^動作|
 +|''+'' |1回以上の繰り返しに一致|
 +|''*'' |0回以上の繰り返しに一致|
  
 <wrap #ks10_1_3 /> <wrap #ks10_1_3 />
-=== Special characters ===+ 
 +=== 特殊文字 ===
  
 ^Expression^Behavior| ^Expression^Behavior|
行 1330: 行 1462:
 |''<nowiki>$</nowiki>''   |To specify the end of the text| |''<nowiki>$</nowiki>''   |To specify the end of the text|
 |''<nowiki>|</nowiki>''   |To create a logical pattern "or" among multiple patterns| |''<nowiki>|</nowiki>''   |To create a logical pattern "or" among multiple patterns|
 +
 +^式^動作|
 +|''<nowiki>^</nowiki>'' |テキストの先頭を指定する|
 +|''<nowiki>$</nowiki>'' |テキストの末尾を指定する|
 +|''<nowiki>|</nowiki>'' |複数のパターン間で論理パターン「or」を作成する|
  
 <wrap #ks10_1_4 /> <wrap #ks10_1_4 />
-=== Escaping characters ===+ 
 +=== エスケープ文字 ===
  
 To use the following characters you must escape them with ''\'': To use the following characters you must escape them with ''\'':
 +
 +次の文字を使用するには、''\'' でエスケープする必要があります。
  
 ^  $  ^  (  ^  )  ^  <nowiki>\</nowiki>  ^  <nowiki>|</nowiki>  ^  <  | ^  $  ^  (  ^  )  ^  <nowiki>\</nowiki>  ^  <nowiki>|</nowiki>  ^  <  |
行 1340: 行 1480:
  
 <wrap #ks10_1_5 /> <wrap #ks10_1_5 />
-=== Limitations ===+ 
 +=== 制限事項 ===
  
   * The ''*''  and ''+''  modifiers may only be applied to backslash expressions, not to single characters (e.g. ''\d+'' is supported, ''0+''  is not supported).   * The ''*''  and ''+''  modifiers may only be applied to backslash expressions, not to single characters (e.g. ''\d+'' is supported, ''0+''  is not supported).
行 1348: 行 1489:
   * ''\s''  matches only an ASCII space (32), not other blanks such as tabs.   * ''\s''  matches only an ASCII space (32), not other blanks such as tabs.
   * There is no syntax to match a caret, asterisk or more literal (although ''\p'' will match an asterisk or more, along with some other characters).   * There is no syntax to match a caret, asterisk or more literal (although ''\p'' will match an asterisk or more, along with some other characters).
 +
 +  * 修飾子 ''*'' および ''+'' はバックスラッシュ式にのみ適用でき、単一文字には適用できません(例:''\d+'' はサポートされていますが、''0+'' はサポートされていません)。
 +  * 選択はグループ内では使用できません。例:''(foo|bar)'' は許可されていません。
 +  * 複雑なバックトラックはサポートされていません。例:''\p*\d*\s*\w*:'' はコロンのみに一致しません。''\p*'' がコロンを包含するためです。
 +  * ''.'' はピリオドに一致しますが、''\.'' は任意の文字に一致します。
 +  * ''\s'' はASCIIスペース(32)にのみ一致し、タブなどの他の空白には一致しません。
 +  * キャレット、アスタリスク、またはそれ以上のリテラルに一致する構文はありません(ただし、''\p'' は1つ以上のアスタリスクと他のいくつかの文字に一致します)。
  
 <wrap #ks10_2 /> <wrap #ks10_2 />
 +
 ==== PCRE2 ==== ==== PCRE2 ====
  
 <wrap :en>Perl Compatible Regular Expression</wrap> (**PCRE2**) provides features such as recursive patterns, look-ahead and look-back assertions, non-capture groups, non-voracious quantifiers, extended syntax for characters and character classes, among others. <wrap :en>Perl Compatible Regular Expression</wrap> (**PCRE2**) provides features such as recursive patterns, look-ahead and look-back assertions, non-capture groups, non-voracious quantifiers, extended syntax for characters and character classes, among others.
 +
 +<wrap :ja>Perl 互換正規表現</wrap> (**PCRE2**) は、再帰パターン、先読みアサーションと後読みアサーション、非キャプチャグループ、非貪欲な量指定子、文字と文字クラスの拡張書式などの機能を提供します。
  
 For more details, see the [[https://www.pcre.org/current/doc/html/pcre2syntax.html|PCRE2 syntax documentation]]. For more details, see the [[https://www.pcre.org/current/doc/html/pcre2syntax.html|PCRE2 syntax documentation]].
 +
 +詳細については、[[https://www.pcre.org/current/doc/html/pcre2syntax.html|PCRE2 書式のドキュメント]] を参照してください。
  
 <wrap #ks10_2_1 /> <wrap #ks10_2_1 />
-=== Acceptable expressions ===+ 
 +=== 許容される表現 ===
  
 ^Expression^Valid characters| ^Expression^Valid characters|
行 1369: 行 1523:
 |''\w''   |Any "word" character| |''\w''   |Any "word" character|
 |''\W''   |Any "non-word" character| |''\W''   |Any "non-word" character|
 +
 +^式^有効な文字|
 +|''.'' |改行以外の任意の文字|
 +|''\d'' |任意の10進数。''[0-9]'' に相当します。|
 +|''\D'' |10進数以外の任意の文字。''[^0-9]'' に相当します。|
 +|''\h'' |任意の水平空白文字|
 +|''\H'' |水平空白以外の任意の文字|
 +|''\s'' |任意の空白文字。''[\t\r\n\f]'' に相当します。|
 +|''\S'' |空白以外の任意の文字。''[^\t\r\n\f]'' に相当します。|
 +|''\w'' |任意の単語文字|
 +|''\W'' |任意の非単語文字|
  
 <wrap #ks10_2_2 /> <wrap #ks10_2_2 />
-=== Modifiers ===+ 
 +=== 修飾子 ===
  
 ^Expression  ^Behavior| ^Expression  ^Behavior|
行 1390: 行 1556:
 |''{n,}+''   |n or more, possessive| |''{n,}+''   |n or more, possessive|
 |''{n,}?''   |n or more, lazy| |''{n,}?''   |n or more, lazy|
 +
 +^式 ^動作|
 +|''?'' |0 または 1、greedy|
 +|''?+'' |0 または 1、possessive|
 +|''??'' |0 または 1、lazy|
 +|''*'' |0 以上、greedy|
 +|''*+'' |0 以上、possessive|
 +|''*?'' |0 以上、lazy|
 +|''+'' |1 以上、greedy|
 +|''++'' |1 以上、possessive|
 +|''+?'' |1 以上、lazy|
 +|''{n}'' |ちょうど n|
 +|''{n,m}'' |n 以上、m 以下、greedy|
 +|''{n,m}+'' |n 以上、m 以下、possessive|
 +|''{n,m}?'' |n 以上、m 以下、lazy|
 +|''{n,}'' |n 以上、greedy|
 +|''{n,}+'' |n 以上、possessive|
 +|''{n,}?'' |n 以上、lazy|
  
 <wrap #ks10_2_3 /> <wrap #ks10_2_3 />
-=== Escape characters ===+ 
 +=== エスケープ文字 ===
  
 ^Expression  ^Behavior| ^Expression  ^Behavior|
行 1403: 行 1588:
 |''\xhh''   |Character with hexadecimal code ''hh'' | |''\xhh''   |Character with hexadecimal code ''hh'' |
 |''v\x{hhh…}''   |Character with hexadecimal code ''hh..'' | |''v\x{hhh…}''   |Character with hexadecimal code ''hh..'' |
 +
 +^式 ^動作|
 +|''\f'' |次のページ (16進数 ''0C'')|
 +|''\n'' |改行 (16進数 ''0A'')|
 +|''\r'' |キャリッジリターン (16進数 ''0D'')|
 +|''\t'' |タブ (16進数 ''09'')|
 +|''\0dd'' |8進コード ''0dd'' の文字 |
 +|''\o{ddd..}'' |8進コード ''ddd..'' の文字 |
 +|''\xhh'' |16進コード ''hh'' の文字 |
 +|''v\x{hhh…}'' |16進コード ''hh..'' の文字 |
  
 <wrap #ks11 /> <wrap #ks11 />
-===== SIEM alerts =====+ 
 +===== SIEM アラート =====
  
 See the topic [[:en:documentation:pandorafms:management_and_operation:01_alerts#ks13|SIEM alert system]]. See the topic [[:en:documentation:pandorafms:management_and_operation:01_alerts#ks13|SIEM alert system]].
 +
 +トピック[[:ja:documentation:pandorafms:management_and_operation:01_alerts#ks13|SIEM アラートシステム]]を参照してください。
  
 <wrap #ks12 /> <wrap #ks12 />
-===== SIEM reports =====+ 
 +===== SIEM レポート =====
  
 See the topic [[:en:documentation:pandorafms:technical_annexes:22_pfms_report_types#ks18|SIEM events reports]]. See the topic [[:en:documentation:pandorafms:technical_annexes:22_pfms_report_types#ks18|SIEM events reports]].
 +
 +トピック[[:ja:documentation:pandorafms:technical_annexes:22_pfms_report_types#ks18|SIEM イベントレポート]]を参照してください。
  
 [[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]] [[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]]
  
  • ja/documentation/pandorafms/cybersecurity/21_siem.1757196576.txt.gz
  • 最終更新: 2025/09/06 22:09
  • by junichi