|
|
|
CEG は 6 つのセクションに分割され、それらの 6 つの各セクションは、以下の方法でさらに細かく分割されます。 マッピングを適切に行うことができるように、指定した各サブセクションの情報によっては、以下のような表記に従って提供することが必要になる場合があります。 太字で表記されたフィールドは、「1 次」と表記された各セクションが PASS スコアを受け取るために必要です。 太字の斜体で表記されたフィールドは代替のフィールドです。 代替のフィールドの 1 つのみが、「1 次」と表記されたセクションが PASS スコアを受け取るために必要です。
|
情報 |
フィールド情報 |
|---|---|
|
ソース - ユーザ情報 |
source_domainname、source_username、source_uid |
|
ソース - ホスト情報 |
source_hostname、source_address、source_mac_address、source_hostdomainname、source_port |
|
ソース - オブジェクト情報 |
source_objectname、source_objectid、source_objectattr、source_objectclass、source_objectvalue |
|
ソース - プロセス情報 |
source_processname |
|
ソース - グループ情報 |
source_groupname、source_gid |
|
ターゲット - ユーザ情報 |
dest_domainname、dest_username、dest_uid |
|
ターゲット - ホスト情報 |
dest_hostname、dest_address、dest_mac_address、dest_hostdomainname、dest_port |
|
ターゲット - オブジェクト情報 |
dest_objectname、dest_objectid、dest_objectattr、dest_objectclass、dest_objectvalue |
|
ターゲット - プロセス情報 |
dest_processname |
|
ターゲット - グループ情報 |
dest_groupname、dest_gid |
|
エージェント - 情報 |
agent_name、agent_version、agent_id、agent_group、agent_connector_name |
|
エージェント - ホスト情報 |
agent_hostname、agent_address、agent_hostdomainname |
|
イベント ソース - ホスト情報 |
event_source_hostname、event_source_address、event_source_hostdomainname |
|
イベント ソース - 情報 |
event_source_processname |
|
イベント - 情報 |
event_protocol、event_logname、event_euuid、event_count、event_summarized、event_duration、event_time_gmt、event_timezone、event_sequence、event_action、event_id、event_category、event_class、ideal_model、event_severity |
|
結果 - 情報 |
event_result、result_string、result_signature、result_code、result_version、result_priority、result_scope、result_severity |
CEG の最後の 2 つのセクションはすべてのアクションに必須のセクションです。
各アクションについて、CEG の情報は「1 次」、「2 次」、または「3 次」と表記されます。 1 次の情報は大部分のイベント ソースから使用可能であり、このイベントがマッピング済みとみなされるために必要です。 2 次の情報は一部のイベント ソースから使用可能であり、このイベントがマッピング済みとみなされるために必要です。 最後に、3 次の情報は一部のイベント ソースから使用可能な場合があり、その場合はマッピングされる必要があります。
たとえば、アカウント作成アクションは、だれがどのホスト上でどのアカウントを作成し、このイベント情報はどのホスト上で発信されたか、という質問に対する回答を検索します。 回答は、「Administrator created UserA on HostA and the event was expressed by HostA」という形式で返されます。 この情報には、「ソース - ユーザ情報」、「ターゲット - ホスト情報」、「ターゲット - ユーザ情報」の値が含まれます。 さらに、各 CEG イベント情報には、どのエージェントがイベントを記録し、どのホストからイベントが発信されたかに関する情報が含まれている必要があります。 上記の情報を表にすると以下のようになります。
|
情報 |
レベル |
|---|---|
|
ソース - ユーザ情報 |
1 次 |
|
ソース - ホスト情報 |
2 次 |
|
ソース - オブジェクト情報 |
3 次 |
|
ソース - プロセス情報 |
3 次 |
|
ソース - グループ情報 |
3 次 |
|
ターゲット - ユーザ情報 |
1 次 |
|
ターゲット - ホスト情報 |
1 次 |
|
ターゲット - オブジェクト情報 |
2 次 |
|
ターゲット - プロセス情報 |
3 次 |
|
ターゲット - グループ情報 |
3 次 |
|
エージェント - 情報 |
1 次 |
|
エージェント - ホスト情報 |
1 次 |
|
イベント ソース - ホスト情報 |
1 次 |
|
イベント ソース - 情報 |
3 次 |
|
イベント - 情報 |
1 次 |
|
結果 - 情報 |
1 次 |
アクション別にこの表を提供し、アクションに応じた情報を説明しています。 イベントの情報を確認するときは、以下のガイドラインに従う必要があります。
タイプ 1 のイベントについて
タイプ 2 のイベントについて
タイプ 3 のイベントについて
タイプ 4 のイベントについて
| Copyright © 2010 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |