ja:documentation:pandorafms:cybersecurity:21_siem

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

両方とも前のリビジョン 前のリビジョン
次のリビジョン		 前のリビジョン
ja:documentation:pandorafms:cybersecurity:21_siem [2025/09/06 22:21] – [Acceptable expressions] junichija:documentation:pandorafms:cybersecurity:21_siem [2025/11/28 23:16] (現在) – [ケーススタディ] junichi
行 188: 行 188:
 <wrap #ks5_1 /> <wrap #ks5_1 />
  
-==== Linux エージェント ====+==== Linux® エージェント ====
  
 Log collection on Linux systems is mainly done by reading log files. This can be achieved by using module configurations with this minimal structure: Log collection on Linux systems is mainly done by reading log files. This can be achieved by using module configurations with this minimal structure:
行 220: 行 220:
 </code> </code>
  
-Entries collected from a log like the above would be normalized by <wrap :en> decoders</wrap> such as ''web-accesslog''''web-accesslog-ip''  or ''web-accesslog-domain''  among others.+Entries collected from a log like the above would be normalized by, among others:
  
-上記のようなログから収集されたエントリは、''web-accesslog''、''web-accesslog-ip''、''web-accesslog-domain'' などの <wrap :ja> デコーダー</wrap> によって正規化されます。+上記のようなログから収集されたエントリは、ような <wrap :ja> デコーダー</wrap> 正規化されます。
  
-The decoded logs of such a log could generate events such as ''Common\_web\_attack'', ''XSS\_(Cross\_Site\_Scripting)\_attempt''  or ''SQL\_injection\_attempt'' among others.+  * <wrap :en> decoders</wrap> such as ''web-accesslog'', 
 +  * ''web-accesslog-ip'' or
 +  * ''web-accesslog-domain''.
  
-このようなログのデコードされたログでは、''Common\_web\_attack''''XSS\_(Cross\_Site\_Scripting)\_attempt''''SQL\_injection\_attempt'' などのイベントが生成される場合があります。+  * ''web-accesslog'' 
 +  * ''web-accesslog-ip'' 
 +  * ''web-accesslog-domain'' 
 + 
 +The decoded logs of such a log could generate events such as (among others): 
 + 
 +このようなログのデコードされたログでは、次のようなイベントが生成されます。 
 + 
 +  * ''Common web attack''
 +  * ''XSS (Cross Site Scriptingattempt'' or, 
 +  * ''SQL injection attempt''
 + 
 +  * ''Common web attack'' 
 +  * ''XSS (Cross Site Scripting) attempt'' 
 +  * ''SQL injection attempt''
  
 <wrap #ks5_2 /> <wrap #ks5_2 />
行 297: 行 313:
 上記のようなイベントから収集された入力は、<wrap :ja>デコーダー</wrap> によって ''windows_eventchannel'' として正規化されます。 上記のようなイベントから収集された入力は、<wrap :ja>デコーダー</wrap> によって ''windows_eventchannel'' として正規化されます。
  
-The decoded logs of events such as the above could generate events such as ''Windows\_error\_event'', ''Short-time\_multiple\_Windows\_Defender\_warning\_events'' or ''Multiple\_Windows\_Defender\_error\_events'' among others.+The decoded logs of events such as the above could generate events such as, among others: 
 + 
 +上記のようなイベントのデコードされたログでは、次のようなイベントが生成されます。 
 + 
 +  * ''Windows error event'', 
 +  * ''Short-time multiple Windows Defender warning events'' or
 +  * ''Multiple Windows Defender error events''.
  
-上記のようなイベントのデコードされたログでは、''Windows\_error\_event''''Short-time\_multiple\_Windows\_Defender\_warning\_events''''Multiple\_Windows\_Defender\_error\_events'' などのイベントが生成される場合があります。+  * ''Windows error event'' 
 +  * ''Short-time multiple Windows Defender warning events'' 
 +  * ''Multiple Windows Defender error events''
  
 Using log file monitoring, the configuration is identical to that of Linux systems. A minimal configuration like this is required: Using log file monitoring, the configuration is identical to that of Linux systems. A minimal configuration like this is required:
行 664: 行 688:
 <wrap #ks8_1 /> <wrap #ks8_1 />
  
-==== 管理 ====+==== ルール管理 ====
  
 To include new <wrap :en>rules</wrap>, first add or edit an XML file in the path indicated to Pandora FMS server in its configuration parameter ''siem_rules''. To include new <wrap :en>rules</wrap>, first add or edit an XML file in the path indicated to Pandora FMS server in its configuration parameter ''siem_rules''.
行 701: 行 725:
  
 XMLファイルから読み取れなかった<wrap :ja>ルール</wrap>は、コンソールで「無効」とマークされ、SIEM イベントの生成時に考慮されません。管理者によって手動で無効化された<wrap :ja>ルール</wrap>も考慮されません。したがって、<wrap :ja>ルール</wrap>を評価するには、ルールがアクティブかつ有効化されている必要があります。 XMLファイルから読み取れなかった<wrap :ja>ルール</wrap>は、コンソールで「無効」とマークされ、SIEM イベントの生成時に考慮されません。管理者によって手動で無効化された<wrap :ja>ルール</wrap>も考慮されません。したがって、<wrap :ja>ルール</wrap>を評価するには、ルールがアクティブかつ有効化されている必要があります。
 +
 +<WRAP center round info 90%>
 +
 +Once rules are active and enabled, if one rule needs to depend on the evaluation and result of another, **the first rule must have a lower numerical identifier than the second**  (i.e., they are executed in ascending numerical order, see [[#ks9_1|corresponding case study]]).
 +
 +</WRAP>
 +
 +<WRAP center round info 90%>
 +
 +ルールを有効にし、あるルールが別のルールの評価と結果に依存する必要がある場合、**最初のルールの数値識別子は 2 番目のルールの数値識別子よりも小さくする必要があります** (つまり、数値の昇順で実行されます。[[#ks9_1|対応するケーススタディ]] を参照してください)。
 +
 +</WRAP>
  
 <wrap #ks8_2 /> <wrap #ks8_2 />
行 1280: 行 1316:
 </decoder> </decoder>
 </code> </code>
 +
 +<wrap #ks9_1 />
 +
 +==== ルール評価順序 ====
 +
 +The following case study **with a negative result**  illustrates when a rule "queries" other rules to check whether they found a match and then evaluates the match itself to generate an event.
 +
 +次のケーススタディ (**否定的な結果**) は、ルールが他のルールを「照会」して一致が見つかったかどうかを確認し、一致自体を評価してイベントを生成する場合を示しています。
 +
 +There is a series of rules used to detect failed logins on a hardware firewall, in order to then create the corresponding alerts:
 +
 +ハードウェアファイアウォールで失敗したログインを検出し、対応するアラートを作成するために使用される一連のルールがあります。
 +
 +<code xml>
 +<rule id="81641" level="1">
 +    <decoded_as>fortigate-firewall-v6</decoded_as>
 +    <description>Fortigate v6 messages grouped.</description>
 +</rule>
 +
 +</code>
 +
 +  * ⍐ Rule 81641 matches decoded log to start retrieving data.
 +
 +  * ⍐ ルール 81641 はデコードされたログと一致し、データの取得を開始します。
 +
 +----
 +
 +<code xml>
 +<rule id="81603" level="0">
 +    <if_sid>81600,81601,81602,81641</if_sid>
 +    <description>Fortigate messages grouped.</description>
 +</rule>
 +
 +</code>
 +
 +  * ⍐ Rule ID 81603 in turn depends on several rules, including the previous 81641. Since the latter 81641 is higher than 81603, **81603 is not executed**.
 +
 +  * ⍐ ルール ID 81603 は、前の 81641 を含む複数のルールに依存します。後者の 81641 は 81603 より大きいため、**81603 は実行されません**。
 +
 +----
 +
 +<code xml>
 +<rule id="81614" level="4">
 +    <if_sid>81603</if_sid>
 +    <match>ssl-login-fail</match>
 +    <description>Fortigate: SSL VPN user failed login attempt.</description>
 +    <group>authentication_failed,
 +gdpr_IV_32.2,
 +gdpr_IV_35.7.d,
 +gpg13_7.1,
 +hipaa_164.312.b,
 +invalid_login,
 +nist_800_53_AC.7,
 +nist_800_53_AU.14,
 +pci_dss_10.2.4,
 +pci_dss_10.2.5,
 +tsc_CC6.1,
 +tsc_CC6.8,
 +tsc_CC7.2,
 +tsc_CC7.3,</group>
 +</rule>
 +
 +</code>
 +
 +  * ⍐ A rule with ID 100700 checks for a match in a rule with ID 81641, which in turn depends on rule ID 81603 (81614 is higher than 81603, so it is executed).
 +
 +  * ⍐ ID 100700 のルールは、ID 81641 のルールとの一致をチェックします。このルールは、ルール ID 81603 に依存します (81614 は 81603 より大きいため、実行されます)。
 +
 +<WRAP center round info 90%>
 +
 +The problem in this case study is that 81614 does not return a result to 100700 **because 81603 was not executed due to the numerical order by ID**.
 +
 +</WRAP>
 +
 +<WRAP center round info 90%>
 +
 +このケーススタディの問題は、**ID による番号順で 81603 が実行されなかったため**、81614 が 100700 に結果を返さないことです。
 +
 +</WRAP>
  
 <wrap #ks10 /> <wrap #ks10 />
行 1422: 行 1537:
 <wrap #ks10_2_2 /> <wrap #ks10_2_2 />
  
-=== Modifiers ===+=== 修飾子 ===
  
 ^Expression  ^Behavior| ^Expression  ^Behavior|
行 1441: 行 1556:
 |''{n,}+''   |n or more, possessive| |''{n,}+''   |n or more, possessive|
 |''{n,}?''   |n or more, lazy| |''{n,}?''   |n or more, lazy|
 +
 +^式 ^動作|
 +|''?'' |0 または 1、greedy|
 +|''?+'' |0 または 1、possessive|
 +|''??'' |0 または 1、lazy|
 +|''*'' |0 以上、greedy|
 +|''*+'' |0 以上、possessive|
 +|''*?'' |0 以上、lazy|
 +|''+'' |1 以上、greedy|
 +|''++'' |1 以上、possessive|
 +|''+?'' |1 以上、lazy|
 +|''{n}'' |ちょうど n|
 +|''{n,m}'' |n 以上、m 以下、greedy|
 +|''{n,m}+'' |n 以上、m 以下、possessive|
 +|''{n,m}?'' |n 以上、m 以下、lazy|
 +|''{n,}'' |n 以上、greedy|
 +|''{n,}+'' |n 以上、possessive|
 +|''{n,}?'' |n 以上、lazy|
  
 <wrap #ks10_2_3 /> <wrap #ks10_2_3 />
-=== Escape characters ===+ 
 +=== エスケープ文字 ===
  
 ^Expression  ^Behavior| ^Expression  ^Behavior|
行 1454: 行 1588:
 |''\xhh''   |Character with hexadecimal code ''hh'' | |''\xhh''   |Character with hexadecimal code ''hh'' |
 |''v\x{hhh…}''   |Character with hexadecimal code ''hh..'' | |''v\x{hhh…}''   |Character with hexadecimal code ''hh..'' |
 +
 +^式 ^動作|
 +|''\f'' |次のページ (16進数 ''0C'')|
 +|''\n'' |改行 (16進数 ''0A'')|
 +|''\r'' |キャリッジリターン (16進数 ''0D'')|
 +|''\t'' |タブ (16進数 ''09'')|
 +|''\0dd'' |8進コード ''0dd'' の文字 |
 +|''\o{ddd..}'' |8進コード ''ddd..'' の文字 |
 +|''\xhh'' |16進コード ''hh'' の文字 |
 +|''v\x{hhh…}'' |16進コード ''hh..'' の文字 |
  
 <wrap #ks11 /> <wrap #ks11 />
-===== SIEM alerts =====+ 
 +===== SIEM アラート =====
  
 See the topic [[:en:documentation:pandorafms:management_and_operation:01_alerts#ks13|SIEM alert system]]. See the topic [[:en:documentation:pandorafms:management_and_operation:01_alerts#ks13|SIEM alert system]].
 +
 +トピック[[:ja:documentation:pandorafms:management_and_operation:01_alerts#ks13|SIEM アラートシステム]]を参照してください。
  
 <wrap #ks12 /> <wrap #ks12 />
-===== SIEM reports =====+ 
 +===== SIEM レポート =====
  
 See the topic [[:en:documentation:pandorafms:technical_annexes:22_pfms_report_types#ks18|SIEM events reports]]. See the topic [[:en:documentation:pandorafms:technical_annexes:22_pfms_report_types#ks18|SIEM events reports]].
 +
 +トピック[[:ja:documentation:pandorafms:technical_annexes:22_pfms_report_types#ks18|SIEM イベントレポート]]を参照してください。
  
 [[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]] [[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]]
  
  • ja/documentation/pandorafms/cybersecurity/21_siem.1757197265.txt.gz
  • 最終更新: 2025/09/06 22:21
  • by junichi