LEEF イベント・コンポーネント

ログ・イベント拡張フォーマット (LEEF) とは、IBM® QRadar® 用にカスタマイズされたイベント・フォーマットであり、QRadar 用の判読可能で簡単に処理できるイベントが含まれています。 LEEF フォーマットは、以下のコンポーネントで構成されています。

Syslog ヘッダー

Syslog ヘッダーには、タイム・スタンプと、イベントを送信するシステムの IPv4 アドレスまたはホスト名が含まれます。 Syslog ヘッダーは、LEEF フォーマットのオプションの構成要素です。 Syslog ヘッダーを含める場合は、Syslog ヘッダーと LEEF ヘッダーをスペースで区切る必要があります。 Syslog ヘッダーは、RFC 3164 または RFC 5424 で指定されているフォーマットに準拠している必要があります。

RFC 3164 ヘッダー・フォーマット:
注: QRadar では、優先度タグはオプションです。
<優先度タグ ><タイム・スタンプ> <IP アドレスまたはホスト名>

優先度タグが存在する場合、優先度タグは 1 桁 から 3 桁である必要があります。また、その周りを不等号括弧で囲む必要があります。例えば、<13> のようになります。

RFC 3164 ヘッダーの例:
  • <13>Jan 18 11:07:53 192.168.1.1
  • Jan 18 11:07:53 myhostname
RFC 5424 ヘッダー・フォーマット:
注: 優先度タグは必須です。
<優先度タグ>1 <タイム・スタンプ> <IP アドレスまたはホスト名>
優先度タグは 1 桁 から 3 桁である必要があります。また、その周りを不等号括弧で囲む必要があります。例えば、<13> のようになります。タイム・スタンプのフォーマットは、yyyy-MM-ddTHH:mm:ss.SSSZ にする必要があります。
注:
  • 「T」は、リテラル文字の T でなくてはなりません。
  • 「Z」は、リテラル文字の Z、またはフォーマット -04:00 のタイム・ゾーン値にすることもできます。
RFC 5424 ヘッダーの例:
  • <13>1 2019-01-18T11:07:53.520Z 192.168.1.1
  • <133>1 2019-01-18T11:07:53.520+07:00 myhostname

LEEF ヘッダー

LEEF ヘッダーは、LEEF イベントの必須フィールドです。 LEEF ヘッダーは、ソフトウェアまたはアプライアンスを QRadar に対して示す、パイプ (|) 区切りの値のセットです。

例:

  • LEEF:Version|Vendor|Product|Version|EventID|
  • LEEF:1.0|Microsoft|MSExchange|4.0 SP1|15345|
  • LEEF:2.0|Lancope|StealthWatch|1.0|41|^|

イベント属性

イベント属性は、アプライアンスまたはソフトウェアで生成されるイベントのペイロード情報を識別します。 すべてのイベント属性は、キーと値のペアであり、個々のペイロード・イベントは、タブを使用して分離されます。 LEEF フォーマットには、多数の定義済みイベント属性が含まれています。これを使用して、QRadar はイベントを分類して表示します。

例:
  • key=value<tab>key=value<tab>key=value<tab>key=value<tab>.
  • src=192.0.2.0 dst=172.50.123.1 sev=5 cat=anomaly srcPort=81 dstPort=21 usrName=joe.black

LEEF 2.0 ヘッダーでは、属性の代替区切りを指定する際に、DelimiterCharacter を使用します。 その文字として、単一文字または 16 進値を使用できます。 16 進値は、接頭部 0x または x に、1 つから 4 つの連続する文字 (0 から 9、A から F、a から f) を続けて表すことができます。

表 1. LEEF 2.0 の属性区切り文字の例
区切り文字 ヘッダー
脱字記号 (^) LEEF:2.0|Vendor|Product|Version|EventID|^|
脱字記号 (16 進値) LEEF:2.0|Vendor|Product|Version|EventID|x5E|
破線の縦棒 ( ¦ ) LEEF:2.0|Vendor|Product|Version|EventID|xa6|

以下の表に、LEEF フォーマットの説明を示します。

表 2. LEEF フォーマットの説明
タイプ 項目 区切り文字 説明

Syslog ヘッダー

IP アドレス

スペース

イベントを QRadar に送信するソフトウェアまたはアプライアンスの IP アドレスまたはホスト名。

例:

192.168.1.1

myhostname

Syslog ヘッダーの IP アドレスは、イベント・パイプラインでイベントを正しいログ・ソースに経路指定する際に、QRadar で使用されます。 Syslog ヘッダーに IPv6 アドレスを含めることは推奨されません。QRadar は、Syslog ヘッダー内に存在する IPv6 アドレスをイベント・パイプラインに経路指定できません。 さらに、IPv6 アドレスは、ユーザー・インターフェースの「ログ・ソース ID」フィールドに正しく表示されない可能性があります。

Syslog ヘッダーの IP アドレスを QRadar が理解できない場合、システムはイベントを正しく経路指定するために、パケット・アドレスをデフォルトとして使用します。

LEEF ヘッダー

LEEF: バージョン

パイプ

LEEF のバージョン情報は、イベントに使用される LEEF フォーマットのメジャー・バージョンおよびマイナー・バージョンを識別する整数値です。

例: LEEF:1.0|Vendor|Product|Version|EventID|

LEEF ヘッダー

ベンダーまたは製造元の名前

パイプ

ベンダーは、LEEF フォーマットの Syslog イベントを送信するデバイスのベンダーまたは製造元を識別するテキスト・ストリングです。

例: LEEF:1.0|Microsoft|Product|Version|EventID|

LEEF ヘッダーを指定する際、「Vendor」と「Product」のフィールドには、固有値を入力する必要があります。

LEEF ヘッダー

製品名

パイプ

「Product」フィールドは、イベント・ログを QRadar に送信する製品を識別するテキスト・ストリングです。

例: LEEF:1.0|Microsoft|MSExchange|Version|EventID|

LEEF ヘッダーを指定する際、「Vendor」と「Product」のフィールドには、固有値を入力する必要があります。

LEEF ヘッダー

製品バージョン

パイプ

バージョンは、イベント・ログを送信するソフトウェアまたはアプライアンスのバージョンを識別するストリングです。

例: LEEF:1.0|Microsoft|MSExchange|4.0 SP1|EventID|

LEEF ヘッダー

EventID

パイプ

EventID は、LEEF ヘッダー内の、イベントの固有 ID です。

EventID の目的は、ペイロード情報を確認する必要なしに、イベントの詳細な固有 ID を提供することです。EventID には、数値で識別される記述またはテキストによる記述を含めることができます。

例:

  • LEEF:1.0|Microsoft|MSExchange|2007|7732|
  • LEEF:1.0|Microsoft|MSExchange|2007|Logon Failure|

制約事項:

イベント ID の値は、複数言語をサポートする製品間で一貫性があり、静的でなければなりません。 製品が複数言語のイベントをサポートしている場合、EventID フィールドには数値またはテキスト値を使用できます。ただし、アプライアンスまたはアプリケーションの言語を変更した場合でも、それらの値を翻訳してはなりません。 EventID フィールドの最大長は 255 文字です。

LEEF ヘッダー

区切り文字

パイプ

LEEF 2.0 ヘッダーでは、属性の代替区切りを指定する際に、DelimiterCharacter を使用します。 その文字として、単一文字または 16 進値を使用できます。 16 進値は、接頭部 0x または x に、1 つから 4 つの連続する文字 (0 から 9、A から F、a から f) を続けて表すことができます。

イベント属性

定義済みキー項目

タブ

区切り文字

イベント属性は、セキュリティー・イベントに関する詳細情報を提供するキー/値のペアのセットです。 各イベント属性は、タブまたは区切り文字で分離する必要があります。ただし属性の順序は強制されません。

例: src=172.16.77.100