LEEF イベント・コンポーネント
ログ・イベント拡張フォーマット (LEEF) は、 IBM® QRadar® 用にカスタマイズされたイベント・フォーマットであり、 QRadar用に読み取り可能で簡単に処理できるイベントが含まれています。 LEEF フォーマットは、以下のコンポーネントで構成されています。
Syslog ヘッダー
Syslog ヘッダーには、タイム・スタンプと、イベントを送信するシステムの IPv4 アドレスまたはホスト名が含まれます。 Syslog ヘッダーは、LEEF フォーマットのオプションの構成要素です。 Syslog ヘッダーを含める場合は、Syslog ヘッダーと LEEF ヘッダーをスペースで区切る必要があります。 Syslog ヘッダーは、RFC 3164 または RFC 5424 で指定されているフォーマットに準拠している必要があります。
優先度タグが存在する場合、優先度タグは 1 桁 から 3 桁である必要があります。また、その周りを不等号括弧で囲む必要があります。 例えば、<13> のようになります。
- <13>Jan 18 11:07:53 192.168.1.1
- Jan 18 11:07:53 myhostname
- 「T」は、リテラル文字の T でなくてはなりません。
- 「Z」は、リテラル文字の Z、またはフォーマット -04:00 のタイム・ゾーン値にすることもできます。
- <13>1 2019-01-18T11:07:53.520Z 192.168.1.1
- <133>1 2019-01-18T11:07:53.520+07:00 myhostname
LEEF ヘッダー
LEEF ヘッダーは、LEEF イベントの必須フィールドです。 LEEF ヘッダーは、 QRadarに対してソフトウェアまたはアプライアンスを識別する、パイプ (|) で区切られた値のセットです。
例:
- LEEF:Version|Vendor|Product|Version|EventID|
- LEEF:1.0|Microsoft|MSExchange|4.0 SP1|15345|
- LEEF:2.0|Lancope|StealthWatch|1.0|41|^|
イベント属性
イベント属性は、アプライアンスまたはソフトウェアで生成されるイベントのペイロード情報を識別します。 すべてのイベント属性は、キーと値のペアであり、個々のペイロード・イベントは、タブを使用して分離されます。 LEEF 形式には、 QRadar がイベントをカテゴリー化して表示できるようにする、いくつかの事前定義されたイベント属性が含まれています。
- key=value<tab>key=value<tab>key=value<tab>key=value<tab>.
- src=192.0.2.0 dst=172.50.123.1 sev=5 cat=anomaly srcPort=81 dstPort=21 usrName=joe.black
LEEF 2.0 ヘッダーでは、属性の代替区切りを指定する際に、DelimiterCharacter
を使用します。 その文字として、単一文字または 16 進値を使用できます。 16 進値は、接頭部 0x または x に、1 つから 4 つの連続する文字 (0 から 9、A から F、a から f) を続けて表すことができます。
区切り文字 | Header |
---|---|
脱字記号 (^) | LEEF:2.0|Vendor|Product|Version|EventID|^| |
脱字記号 (16 進値) | LEEF:2.0|Vendor|Product|Version|EventID|x5E| |
破線の縦棒 ( ¦ ) | LEEF:2.0|Vendor|Product|Version|EventID|x7c| |
以下の表に、LEEF フォーマットの説明を示します。
タイプ | 項目 | 区切り文字 | 説明 |
---|---|---|---|
Syslog ヘッダー |
IP アドレス |
スペース |
このイベントを QRadarに提供するソフトウェアまたはアプライアンスの IP アドレスまたはホスト名。 例:
192.168.1.1 myhostname Syslog ヘッダーの IP アドレスは、イベントをイベント・パイプライン内の正しいログ・ソースにルーティングするために QRadar によって使用されます。 Syslog ヘッダーに IPv6 アドレスを含めることは推奨されません。 QRadar は、イベント・パイプラインの syslog ヘッダーにある IPv6 アドレスを経路指定できません。 さらに、IPv6 アドレスは、ユーザー・インターフェースの「ログ・ソース ID」フィールドに正しく表示されない可能性があります。 Syslog ヘッダーの IP アドレスを QRadarが認識できない場合、イベントを適切に経路指定するために、システムはデフォルトでパケット・アドレスを使用します。 |
LEEF ヘッダー |
LEEF: バージョン |
パイプ |
LEEF のバージョン情報は、イベントに使用される LEEF フォーマットのメジャー・バージョンおよびマイナー・バージョンを識別する整数値です。 例: LEEF:1.0|Vendor|Product|Version|EventID| |
LEEF ヘッダー |
ベンダーまたは製造元の名前 |
パイプ |
ベンダーは、LEEF フォーマットの Syslog イベントを送信するデバイスのベンダーまたは製造元を識別するテキスト・ストリングです。 例: LEEF:1.0|Microsoft|Product|Version|EventID| LEEF ヘッダーを指定する際、「Vendor」と「Product」のフィールドには、固有値を入力する必要があります。 |
LEEF ヘッダー |
製品名 |
パイプ |
製品フィールドは、イベント・ログを QRadarに送信する製品を識別するテキスト・ストリングです。 例: LEEF:1.0|Microsoft|MSExchange|Version|EventID| LEEF ヘッダーを指定する際、「Vendor」と「Product」のフィールドには、固有値を入力する必要があります。 |
LEEF ヘッダー |
製品バージョン |
パイプ |
バージョンは、イベント・ログを送信するソフトウェアまたはアプライアンスのバージョンを識別するストリングです。 例: LEEF:1.0|Microsoft|MSExchange|4.0 SP1|EventID| |
LEEF ヘッダー |
EventID |
パイプ |
EventID は、LEEF ヘッダー内の、イベントの固有 ID です。 EventID の目的は、ペイロード情報を確認する必要なしに、イベントの詳細な固有 ID を提供することです。 EventID には、数値で識別される記述またはテキストによる記述を含めることができます。 例:
制約事項: イベント ID の値は、複数言語をサポートする製品間で一貫性があり、静的でなければなりません。 製品が複数言語のイベントをサポートしている場合、EventID フィールドには数値またはテキスト値を使用できます。ただし、アプライアンスまたはアプリケーションの言語を変更した場合でも、それらの値を翻訳してはなりません。 EventID フィールドの最大長は 255 文字です。 |
LEEF ヘッダー |
区切り文字 |
パイプ |
LEEF 2.0 ヘッダーでは、属性の代替区切りを指定する際に、DelimiterCharacter を使用します。 その文字として、単一文字または 16 進値を使用できます。 16 進値は、接頭部 0x または x に、1 つから 4 つの連続する文字 (0 から 9、A から F、a から f) を続けて表すことができます。 |
イベント属性 |
定義済みキー項目 |
タブ 区切り文字 |
イベント属性は、セキュリティー・イベントに関する詳細情報を提供するキー/値のペアのセットです。 各イベント属性は、タブまたは区切り文字で分離する必要があります。ただし属性の順序は強制されません。 例: src=172.16.77.100 |