イベントのフィルタリング
WinCollect 10 エージェントを構成して、Windows イベント・ログから収集された特定のイベントを包含または除外することができます。 イベント・フィルタリングを使用すると、 QRadar®に送信される 1 秒当たりの合計イベント数 (EPS) を制限しながら、価値のあるイベントを収集することができます。
WinCollect エージェントは、 「ポーリング間隔」 フィールドに指定された値が期限切れになるたびに、イベント収集 API から使用可能なすべてのイベントを要求します。 次に、エージェントは、イベント・コレクション API から取得されたすべてのイベントを調べ、フィルターに一致するイベントを無視するか、またはそれらのイベントを組み込みます。 その後、エージェントは残りのイベントの name=value ペアをアセンブルし、それらのイベントを QRadar コンソールまたはイベント・コレクター・アプライアンスに転送します。
除外、包含、NSA などのイベント・フィルターは、以下のソース・タイプで使用できます。
- 安全
- システム
- アプリケーション
- DNS サーバー
- ディレクトリー・サービス
- 転送されたイベント
WinCollect 10 では、包含フィルターまたは除外フィルターに別個のフィールドが使用されなくなりました。 フィルターで使用する構文は、イベントを組み込むか除外するかを指定します。
- EventIDCode フィールドに暗黙的に基づく包含/除外フィルター
- 比較演算子と論理演算子による明示的なフィールド指定
- 転送されたイベント・フィルター
EventIDCode フィールドに暗黙的に基づく包含/除外フィルター
- 包含フィルター
- 包含フィルターは、エージェントがそれらのイベントを QRadarに送信するようにするフィルターです。 その構文では、ID を指定します。 複数の ID をコンマで区切ることも、ID の範囲を指定することもできます。 以下の例には、7022 から 7026 の範囲、7031 から 7034 の範囲、および 7045 のいずれかのイベント ID 7000 が含まれています。
7000,7022-7026,7031-7034,7045 - 除外フィルター
- 除外フィルターは、エージェントがこれらのイベントを QRadarに送信しないようにするフィルターです。 構文は包含フィルターに似ています。違いは、すべてを括弧で囲み、フィルターの先頭にハイフンを追加することです。 以下の例では、イベント ID 7000、7022 から 7026 までの範囲、7031 から 7034 までの範囲、および 7045 を除外します。
-(7000,7022-7026,7031-7034,7045)
| タイプ | 例 | 関数 |
|---|---|---|
| 数値 | 100 | そのイベント ID を含む (例: 100) |
| 範囲 | 200-300 | その範囲内のすべてのイベント ID を含みます (例: 200、201、250、299、300) |
| 範囲 (最大値なし) | 50- | そのイベント ID 以上のすべてのイベント ID を含みます (例えば、50、51、1000、2000) |
| 範囲 (最小値なし) | -50 | そのイベント ID 以下のすべてのイベント ID を含みます (例: 1、2、25、49、50) |
-10, 12-16, 17, 20-5, 10, 15-20, 25, -30比較演算子と論理演算子による明示的なフィールド指定
明示的なフィールド指定は、イベントをフィルタリングする最も汎用的な方法です。 ペイロード内のさまざまなフィールドの値によってイベントをフィルターに掛けることができます。
| 演算子 | 説明 | 例 | 説明 |
|---|---|---|---|
== |
Equals | Source == Outlook |
ペイロード内の 「ソース」 フィールドが「Outlook」に等しいイベントを含めます。 |
!= |
次と等しくない | Source != Outlook |
ペイロード内の 「送信元」 フィールドが「Outlook」と等しくないイベントを含めます。 |
=~ |
一致 | Message =~ "calc.exe" |
「calc.exe」が 「メッセージ」 フィールドの一部であるイベントを組み込みます。 |
!~ |
不一致 | Message !~ calc.exe |
「calc.exe」が 「メッセージ」 フィールドの一部ではないイベントを組み込みます。 |
> |
より大きい | EventID > 100 |
EventID が 100 より大きいイベントを組み込みます。 |
>= |
より大きい (または等しい) | EventID >= 100 |
EventID が 100 以上の場合にイベントを組み込みます。 |
< |
より小さい | EventID < 100 |
EventID が 100 未満のイベントを組み込みます。 |
<= |
より小 (または等しい) | EventID <= 100 |
EventID が 100 より小さいか等しいイベントを組み込みます。 |
| 演算子 | 例 | 説明 |
|---|---|---|
AND |
Source == Outlook AND EventID != 9000 |
「ソース」 フィールドが「Outlook」であり、かつ EventID が 9000 でないイベントを組み込みます。 |
OR |
Source == Outlook OR EventID != 9000 |
「ソース」 フィールドが「Outlook」に等しいか、 EventID が 9000 でないイベントを組み込みます。 |
追加の構文機能と特殊文字
- コンマ
- フィルターで、複数の値をコンマで区切ってフィールドに指定できるようになりました。 例:
この例では、コンマは OR 演算子として扱われます。つまり、このフィルターは、「Source == Outlook, MsiInstallerOutlook」または「MsiInstaller」のいずれかの 「ソース」 フィールドを持つイベントを許可します。 同じフィルターを長い形式で構成して、同じ結果を得ることができます。 例:Source == Outlook OR Source == MsiInstallerヒント: コンマの後にスペースは必要ありません。 - 引用符
- フィルターには、単一引用符と二重引用符の両方を含めることができます。 例:
Message == "this is a test" Message == 'this is a test' - ワイルドカード文字
matches演算子またはdoes not match演算子を使用する式では、いくつかの特殊記号の使用もサポートされます。
例えば、以下の式は、 「メッセージ」 フィールドが「文字 説明 ?任意の単一文字の照合を行います。 *任意の数の文字に一致します。 #n単一の数値 nに一致します。#n-mnからmまでの範囲の任意の数値に一致します。##リテラル文字 #と一致します。Error 3: An error has occurred. Shutting down.」に等しいが、「Error 10: An error has occurred. Shutting down.」や「Error 5: An error has occurred. No action taken.」には等しくないイベントに対して true となります。Message =~ Error #2-6: * Shutting down.
転送されたイベント・フィルター
転送されたイベント・チャネルまたはソースは、さまざまな Windows ログからイベントを受信します。 「転送されたイベント」フィルターでは、括弧内にフィルタリングする EventIDs を使用して、ソースまたはチャネルを識別する必要があります。 区切り文字としてはセミコロンを使用します。
Application(200-256,4097,34);Security(1);Symantec(1,13)この例では、チャネル「Application」に対してイベント ID 200 から 256、4097、および 34 がフィルタリングされます。 EventID 1 はセキュリティー用にフィルタリングされ、 EventIDs 1 および 13 は「Symantec」というソース用にフィルタリングされます。
Security()NSA フィルタリング
NSA フィルターは、事前定義フィルターとして使用できます。 事前定義フィルター・メニューで 「NSA フィルタリング」 を選択できるのは、チャネルとして 「セキュリティー」、 「システム」、 「アプリケーション」、または 「DNS サーバー」 を選択した場合のみです。