Sophos Linux Sensor の警告の概要
この文章では、Sophos Linux Sensor (SLS) によって生成される警告内のさまざまな要素の概要を説明します。
JSON
JSON セクションには、詳細なインシデント警告の生データが含まれています。JSON を使用して、インシデントに関する情報を取得できます。生の警告は、次のようなカテゴリに分割されます。
JSON 警告にある各要素の説明
各フィールドについては、以下のリストを参照してください。
| フィールド | 説明 |
|---|---|
| uuid | 警告固有の一意の識別子。 |
| scope | スコープは、攻撃のすべての範囲を特定することを目的としており、必要となる修復やフォレンジックレスポンスの目安を付けることを目的としています。次のいずれかです: Process、RootProcess、Container、Node、Other。 |
| lineage | ポリシー違反につながるプロセスイベントすべてが一覧表示されます。 |
| comments | この警告が発生する原因となったポリシーの説明。このフィールドは、ポリシーの定義で手動で上書きすることができます。 |
| location | 「location」フィールドは、警告の発信元に関する情報を含む辞書です。このフィールドには次が含まれています: image_id、node_name、sensor_id、image_name、container_id、container_name、kubernetes_pod、kubernetes_namespace。これは、警告を元のコンテナ、ノード、またはポッドまで正確に遡ることができるため、調査で役立ちます。これによって、複数のコンテナ/ノード/ポッドに展開した環境で、不要なプロービングを最小限に抑えることができます。 |
| metadata | 「metadata」フィールドは、警告プロセスのホストからのシステムのメタデータを含む辞書です。 |
| priority | 警告の優先度。次のいずれかです: High、Medium、Low、Info。 |
| timestamp | 警告が生成されたときの UNIX タイムスタンプ。ポリシー違反の発生日時を判断するのに役立ちます。 |
| categories | この警告が属するソフォスおよび MITRE カテゴリが一覧表示されます。これは、ポリシー違反を分類する方法を決定するのに役立ちます。 |
| confidence | 警告が誤検知でないことを示す信頼レベル。次のいずれかです: High、Medium、Low。 |
| description | 高レベルの警告メッセージまたは警告のタイトル。 |
| incident_id | 一意のインシデント ID 番号。同じインシデントに関する複数の警告の incident_id はすべて同じです。 |
| policy_type | 違反したポリシーの種類が表示されます。 |
| alert_labels | 警告ラベルはポリシー定義に追加できます。ユーザーは、ラベルと説明を追加することで、より効率的に警告を検索できます。 |
| matched_rule | 警告の原因となった、一致したポリシールール。これは、多数のルールが設定されている場合に調査で役立ちます。これは、警告が発生する原因となった、有効化されているルールを示します。 |
| process_info | 警告を生成したプロセスに関する情報を含む値の辞書。これは、問題のあるプロセスに関するコンテキストをより多く収集する際に役立ちます。関連付けされるプロセスがない警告の場合、process_info フィールドは表示されません。 |
| strategy_name | 違反したポリシーの名前。 |
| alert_group_id | 警告のグループ化が実行された場合に、この警告が属する警告グループ。 |
| audit_group_id | 監査のグループ化が実行された際に、この警告が属する監査グループ。 |
| matched_objects | 警告の原因となったルールで一致したオブジェクトの一覧。たとえば、警告が発生する原因となった、疑わしいプログラムを実行したパスである
|
通知
通知フィールドには、実行されたアクションと実行日時に関する詳細な情報が含まれています。デフォルトの警告の通知の場合、これは警告が発生される原因となったイベントです。
| フィールド | 説明 |
|---|---|
| 名前 | 違反したポリシーの名前。 |
| uuid | 通知固有の一意の識別子。 |
| message | 通知のメッセージ内容。通常は、警告の特定の詳細が記載されます。 |
| timestamp | ポリシー違反が発生したときの UNIX タイムスタンプ。 |
| message_fields | 違反につながった、記録された情報を含む情報の辞書。 |