SIEM 監視

概要

SIEM は Security Information and Event Management の略です。SIEM は、セキュリティイベントの収集、フィルタリング、正規化、相関分析、可視化といったセキュリティ監視機能を表します。SIEM は、セキュリティ情報管理 (SIM) とセキュリティイベント管理 (SEM) を組み合わせたものです。

SIEM は、通常のログ (Apache ログなど)、特定のセキュリティツールのログ (ファイアウォール、IDS、ハニーポット、EDR などのログ)、または別のツール (別の SIEM) からの強化されたイベントから取得されるセキュリティイベントを管理します。

すべての SIEM PFMS 機能を最大限に活用するには、エンドポイントに少なくともバージョン 783 をインストールすることを推奨します。

動作の仕組み

Pandora FMS SIEM は、コレクションから取得したログエントリを処理し、データを正規化し、これらのエントリに基づいてセキュリティイベントを生成する役割を担います。

ログ収集と同様に、生成された SIEM イベントは OpenSearch® に保存されるため、この監視を機能させるための最初の要件は OpenSearch インストールです。

Pandora FMS SIEM は、サーバ内の 2 つのコンポーネントを使用してセキュリティイベントを生成するため、イベントも 2 つのステップで生成されます。

データ標準化: すべてのログ収集エントリがデコードされ、新しい正規化されたログエントリが生成され、一時的に保存されます。
イベント生成: 正規化されたログは、一連のルールに準拠しているかどうかがチェックされます。準拠している場合は、すべてのルール情報とイベントを生成した正規化されたログを含む SIEM イベントが生成されます。

したがって、SIEM 監視の完全なフローは次のようになります。

エージェント、プラグイン、その他の情報ソースは、ログを監視または生成し、「dataserver」または「syslogserver」に送信されます。
dataserver と syslogserver はこれらのログエントリを処理し、ログ収集用に設定された OpenSearch サーバに保存します。
siemserver は、ログ収集で取得したすべてのログをデコードし、SIEM 監視用に設定された OpenSearch サーバ上に正規化されたログを生成します。これらの正規化されたログは一時的に保存されます。
siemevents は、正規化された各ログを処理し、事前定義された一連のルールを満たす場合、SIEM イベントを生成して、SIEM 監視用に設定された OpenSearch サーバに保存します。

生成されたイベントは、Pandora FMS コンソールから操作を確認できます。

コンソール設定

コマンドセンターが有効になっている場合、Pandora SIEM はノードでのみ使用可能になります。

SIEM イベント監視を使用するには、まずメイン設定から有効化する必要があります。

メニュー 管理(Management) → セッティング(Settings) → システム設定(System Settings) → SIEM → SIEM の有効化(Activate SIEM) に移動し、フォームをすべて入力して 更新(Update) をクリックして変更を保存します。

これにより、ログの正規化と SIEM イベント生成用に指定された OpenSearch サーバに必要なテンプレートが作成されます。

また、siemserver および siemevents が開始された Pandora FMS サーバでもこのタイプの監視が有効になります。

サーバ設定

SIEM イベント監視を実行するには、サーバ設定で siemserver および siemevents サーバを有効にします。

ログ収集エントリをデコードおよび正規化するには、各ケースで必要な情報を取得する方法を確立するデコード XML ファイル（以下、「デコーダー」）が必要です。これらの XML ファイルは、サーバ設定の siem_decoders パラメータで指定されたパスに配置されます。デフォルトでは以下のパスです。

/usr/share/pandora_server/util/siem/decoders

SIEM イベントを生成するには、正規化されたログから取得した情報に基づいてイベントを生成する条件を設定したルール XML ファイル（以下、「ルール」）が必要です。これらの XML ファイルは、サーバ設定の siem_events_rules パラメータで指定されたパスに配置されます。デフォルトでは以下の場所にあります。

/usr/share/pandora_server/util/siem/rules

Wazuh® のデコーダーとルールの XML ファイルは、Pandora FMS SIEM 監視でサポートされています。

エージェント設定

ログ収集の大部分は Pandora FMS エンドポイントを通じて行われます。GNU/Linux® と MS Windows® の両方のシステムで動作するこれらのエージェントには、このタスクを実行するための特定の種類のモジュールが搭載されています。

すべての SIEM PFMS 機能を最大限に活用するには、エンドポイントに少なくともバージョン 783 をインストールすることを推奨します。

SIEM 監視は収集されたログの種類に大きく依存するため、その種類を示すにはログ収集モジュールで module_source_type を指定する必要があります。

タイプはデコーダーとルールによって使用されるため、各ログに示されるタイプを確認するには、アクティブなデコーダーとルールをチェックする必要があります。

最も一般的に使用されるログの種類は次のとおりです。

syslog
ids
web-log
squid
windows
host-information
ossec

Linux® エージェント

Linux システムにおけるログ収集は、主にログファイルの読み取りによって行われます。これは、以下の最小限の構造を持つモジュール設定を使用することで実現できます。

module_begin
module_name <program_name>
module_type log
module_regexp <path_to_log_file>
module_pattern <capture_regexp>
module_source_type <log_type>
module_end

たとえば、Apache サーバからすべてのアクセスログエントリを収集するには、次のようにします。

module_begin
module_name apache
module_type log
module_regexp /var/log/httpd/access_log
module_pattern .*
module_source_type web-log
module_end

上記のようなログから収集されたエントリは、次のようなデコーダーで正規化されます。

web-accesslog
web-accesslog-ip
web-accesslog-domain

このようなログのデコードされたログでは、次のようなイベントが生成されます。

Common web attack
XSS (Cross Site Scripting) attempt
SQL injection attempt

MS Windows® エージェント

MS Windows® でのログ収集は主にシステムイベントの監視によって行われますが、Linux システムのようにログファイルを読み取ることによっても行うことができます。

Windows イベントシステムを使用すると、これらの 2 つの最小構成のいずれかを含むモジュール設定を使用して、これらのログを収集できます。

イベントが Application、System、または Security のいずれかの場合:

module_begin
module_name <module_name>
module_type log
module_logchannel
module_source <Application|System|Security>
module_source_type <log_type>
module_end

または、別のチャネルに属するイベントの場合:

module_begin
module_name <module_name>
module_type log
module_logchannel
module_source <log_channel_path>
module_source_type <log_type>
module_end

たとえば、すべての Security および Windows Defender イベントエントリを収集するには、次のようにします。

module_begin
module_name Windows_LogEvents_System
module_type log
module_logchannel
module_source Security
module_source_type ossec
module_end

module_begin
module_name Windows_LogchannelEvents_WindowsDefender
module_type log
module_logchannel
module_source Microsoft-Windows-Windows Defender/Operational
module_source_type ossec
module_end

上記のようなイベントから収集された入力は、デコーダーによって windows_eventchannel として正規化されます。

上記のようなイベントのデコードされたログでは、次のようなイベントが生成されます。

Windows error event
Short-time multiple Windows Defender warning events
Multiple Windows Defender error events

ログファイル監視を使用する場合、設定は Linux システムと同じです。次のような最小限の設定が必要です。

module_begin
module_name <program_name>
module_type log
module_regexp <path_to_log_file>
module_pattern <capture_regexp>
module_source_type <log_type>
module_end

たとえば、X サーバのすべてのログエントリを収集するには、次のようにします。

module_begin
module_name xserver
module_type log
module_regexp C:\server\logs\xserver.log
module_pattern .*
module_source_type xserver
module_end

SIEM イベント

SIEM 監視を有効にして設定すると、操作(Operation) → SIEM → ダッシュボード(Dashboard) メニューで監視ステータスのプレビューにアクセスできるようになります。

生成された SIEM イベントは、メニュー 操作(Operation) → SIEM → イベント(Events) ですべて表示できます。

各 SIEM イベントにはイベントの詳細を示すウィンドウがあり、正規化されたログの情報とイベントを生成したルールが表示されます。

ログを正規化したデコーダーに応じて、イベントには、役立つログ情報を含む 動的フィールド(Dynamic fields) タブが表示されます。

イベントを生成したルールに応じて、MITRE ATT&CKS® および SIEM グループ(SIEM groups) タブが表示され、イベントの影響に関する有用な情報が表示されます。

一般的なダッシュボードとイベントテーブルの両方に表示される情報は、付属の SIEM ウィジェットを使用して Pandora FMS ダッシュボードに含めることができます。

デコーダー

Pandora FMS には、SIEM 監視用の一連のデコーダーがデフォルトで含まれていますが、管理者は独自のデコーダーを追加できます。

管理

新しいデコーダーを追加するには、まず Pandora FMS サーバ の設定パラメータ siem_decoders に指定されたパスにある XML ファイルを追加または編集します。

デコーダーは、Pandora FMS マスター サーバが各サービスの起動時に読み取る XML ファイルを介して環境にロードされます。

デコーダーがロードされると、その設定がデータベースに保存され、各 siemserver はログ収集を通じて取得されたエントリに対してそれらを処理します。

Pandora FMS コンソールでは、メニュー 操作(Operation) → SIEM → デコーダー(Decoders) から、ロードされたデコーダーとその完全な設定を表示できます。

このビューからデコーダーを無効にすることもできます。これにより、siemserver はログエントリを正規化するときにデコーダーを考慮しなくなります。

すべてのデコーダーは、再起動のたびに完全に読み込まれます。つまり、XML ファイルから読み込めなかったデコーダーは（たとえある時点で読み込めていたとしても）使用できなくなります。また、コンソールから無効化されたデコーダーは（存在する場合）再び有効化されます。

書式

デコーダーは、Pandora FMS で XML ファイルを使用して設定およびロードされます。これらのファイルの有効な書式は次のとおりです。

<var name="VarName">VarValue</var>
 
<decoder name="DecoderName" discard="yes|no">
    <parent>DecoderName</parent>
    <program_name>REGEXP</program_name>
    <type>EventType</type>
    <prematch type="pcre2">REGEXP</prematch>
    <prematch offset="after_parent">REGEXP</prematch>
    <prematch offset="after_prematch">REGEXP</prematch>
    <regex type="pcre2">REGEXP</regex>
    <regex offset="after_parent">REGEXP</regex>
    <regex offset="after_regex">REGEXP</regex>
    <order>Field1, Field2.Sub1, Field2.Sub2</order>
    <json_null_field>string|discard</json_null_field>
</decoder>

var

↑書式

変数とその値を示すために使用され、後で XML で使用されます ($VarName)。

<var name="VarName">VarValue</var>

decoder

↑書式

これはデコーダー情報とその名前です。XMLファイル自体に複数のデコーダーが含まれる場合があります。

name: デコーダーの名前です。複数のデコーダーが同じ名前を持つ場合、それらはすべて評価されます。
discard: yes または no の値を指定すると、この値に一致するログをデコーダーの評価から破棄するかどうかを指定します。discard=“yes” が指定されたデコーダーは、他のものより先に評価されます (親デコーダーがない限り)。

<decoder name="DecoderName" discard="yes|no">
  …
  …
  …
</decoder>

parent

↑書式

階層構造を生成するために親デコーダーの名前を指定します。

    <parent>DecoderName</parent>

program_name

↑書式

ログヘッダーまたはログの source_id で見つかるプログラムの名前。

type: 正規表現の種類を指定します。指定がない場合は、OS Regex が使用されます。

    <program_name>REGEXP</program_name>

場合によっては、PCRE2 で次のように指定されます。

    <program_name type="pcre2">REGEXP</program_name>

type

↑書式

デコーダーが比較するログの種類。ログの type と一致する必要があります。

    <type>EventType</type>

prematch

↑書式

ログの内容がこれに一致する場合、正規化されたログが生成されます。

type: 正規表現の種類を指定します。指定がない場合は、OS Regex が使用されます。
offset を参照してください。

    <prematch type="pcre2">REGEXP</prematch>
    <prematch offset="after_parent">REGEXP</prematch>
    <prematch offset="after_prematch">REGEXP</prematch>

regex

↑書式

この正規表現でキャプチャされたグループは、ログの正規化された情報です。

type: 正規表現の種類を指定します。指定がない場合は、OS Regex が使用されます。
offset を参照してください。

    <regex type="pcre2">REGEXP</regex>
    <regex offset="after_parent">REGEXP</regex>
    <regex offset="after_regex">REGEXP</regex>

order

↑書式

regex によってキャプチャされた値は、キャプチャグループによってソートされてこれらのフィールド名に格納されます。

    <order>Field1, Field2.Sub1, Field2.Sub2</order>

json_null_field

↑書式

キャプチャグループの null 値は空の文字列として保存されるか、破棄されます。

    <json_null_field>string|discard</json_null_field>

offset

↑書式

これは、チェックの実行順序を示すために使用され、以下のチェックにおいて正規表現 after_parent、after_regex、after_prematch に一致するテキストをログコンテンツから削除します。例：

<decoder name="my_decoder">
  <prematch type="pcre2">^\d\d\d\d/\d\d/\d\d \d\d:\d\d:\d\d </prematch>
  <regex type="pcre2" offset="after_prematch">(\w):(\d+)</regex>
  <order>srcip,srcport</order>
</decoder>

ログ内のテキストが正規表現 ^\d\d\d\d/\d\d/\d\d \d\d:\d\d:\d\d に一致するかどうかを確認し、テキストの該当部分を破棄して、regex を評価する際にそれに応じたキャプチャ処理を行います。この例では、キャプチャグループを簡素化するために、評価時にテキストから日付を削除します。

ルール

Pandora FMS には SIEM 監視用のデフォルトのルールセットが含まれていますが、管理者は独自のルールを追加できます。

ルール管理

新しいルールを含めるには、まず、設定パラメータ siem_rules で Pandora FMS サーバに指定されたパスにある XML ファイルを追加または編集します。

ルールは、Pandora FMS マスター サーバが各サービスの起動時に読み込む XML ファイルによって環境にロードされます。

ルールがロードされると、その設定がデータベースに保存され、各 siemevents サーバはそれを SIEM 監視の正規化されたエントリとして処理します。

Pandora FMS コンソールでは、メニュー 操作(Operation) → SIEM → ルール(Rules) から、読み込まれたルールとその完全な設定を確認できます。

このビューからルールを無効にして、正規化されたログを処理するときに siemevents がそれらを考慮しないようにすることもできます。

すべてのルールは、再起動のたびにすべて読み込まれます。つまり、XMLファイルから読み込めなかったルールは、たとえある時点で読み込めたとしても、利用できなくなります。デコーダーとは異なり、ルールには ID があり、これにより再起動のたびに無効にすることができます。

XMLファイルから読み取れなかったルールは、コンソールで「無効」とマークされ、SIEM イベントの生成時に考慮されません。管理者によって手動で無効化されたルールも考慮されません。したがって、ルールを評価するには、ルールがアクティブかつ有効化されている必要があります。

ルールを有効にし、あるルールが別のルールの評価と結果に依存する必要がある場合、最初のルールの数値識別子は 2 番目のルールの数値識別子よりも小さくする必要があります (つまり、数値の昇順で実行されます。対応するケーススタディを参照してください)。

ソート

ルールは、最低レベル（0）から最高レベル（15）まで、複数のレベルに分類されます。以下の表は各レベルについて説明し、SIEM 監視によって生成される各イベントの重要度に関する情報を提供します。

レベル	タイトル	説明
0	Ignored.	アクションは実行されませんでした。誤検知を回避するために使用されます。これらのルールは、セキュリティとの関連性がないイベントを含む他のすべてのルールよりも先にスキャンされ、セキュリティイベントパネルには表示されません。
2	Notification of low system priority.	システム通知またはステータスメッセージ。セキュリティとの関連性がないため、セキュリティイベントパネルには表示されません。
3	Successful/authorized events.	これには、成功したログイン試行、ファイアウォールによって許可されたイベントなどが含まれます。
4	Low system priority error.	不適切な構成または未使用のデバイス/アプリケーションに関連するエラー。これらはセキュリティとの関連性がなく、通常はデフォルトのインストールまたはソフトウェアテストによって発生します。
5	User-generated error.	これには、パスワードの忘れ、アクションの拒否などが含まれます。これら自体にはセキュリティとの関連性はありません。
6	Low relevance attack.	これらは、システムに影響を与えないワームまたはウイルス（Apacheサーバーのコードレッドなど）を示します。また、頻繁な侵入検知システム（IDS）イベントや頻繁なエラーも含まれます。
7	Coincidence of “bad words”.	これらには、「bad」「error」などの単語が含まれます。これらのイベントのほとんどは分類されておらず、セキュリティの観点から何らかの関連性がある可能性があります。
8	First time seen.	初めて発生したイベントが含まれます。IDSイベントが初めてトリガーされたとき、またはユーザーが初めてログインしたときです。スニファーの起動などのセキュリティ関連のアクションも含まれます。
9	Invalid source error.	未知のユーザーまたは無効なソースからのログイン試行が含まれます。セキュリティに関連する可能性があります（特に繰り返し発生する場合）。これには、「admin」アカウント（root）に関連するエラーも含まれます。
10	Multiple user-generated errors.	複数の間違ったパスワード、複数のログイン失敗などが含まれます。これらは攻撃を示している場合もあれば、ユーザーが認証情報を忘れただけの場合もあります。
11	Integrity check warning.	バイナリの変更やルートキットの存在（Rootcheckによる）に関するメッセージが含まれます。これらは攻撃が成功したことを示している可能性があります。また、無視されるIDSイベント（繰り返し回数が多い）も含まれます。
12	Event of high importance.	システム、カーネルなどからのエラーまたは警告メッセージが含まれます。特定のアプリケーションに対する攻撃を示している可能性があります。
13	Unusual error (high importance).	ほとんどの場合、一般的な攻撃パターンと一致します。
14	Security event of high importance.	ほとんどの場合、相関関係によってトリガーされ、攻撃を示しています。
15	Severe attack.	誤検知の可能性はありません。早急な対応が必要です。

これらのレベルに基づいて、イベントには特定の重要度が与えられ、コンソールに表示されます。

情報(Informational): レベル 0 から 6。
正常(Normal): レベル 7 から 8。
警告(Warning): レベル 9 から 11。
障害(Critical): レベル 12 から 15。

書式

詳細書式要素

<var name="VarName">VarValue</var>
 
<group name="GROUP1,GROUP2,">
    <rule id="N" level="N" frequency="N" timeframe="N" ignore="N" overwrite="yes|no">
        <if_matched_sid>N</if_matched_sid>
        <if_matched_group>GROUP</if_matched_group>
        <same_id />
        <different_id />
        <same_field>Field1</same_field>
        <same_field>Field2.Sub1</same_field>
        <different_field>Field1</different_field>
        <different_field>Field2.Sub1</different_field>
        <description>TEXT</description>
        <match type="pcre2">RREGEXP</match>
        <match negate="yes|no">RREGEXP</match>
        <regex type="pcre2">RREGEXP</regex>
        <regex negate="yes|no">RREGEXP</regex>
        <decoded_as>DecoderName</decoded_as>
        <category>EventType</category>
        <field name="Field1">REGEXP</field>
        <field name="Field2.Sub1" negate="yes|no">REGEXP</field>
        <program_name negate="yes|no">REGEXP</program_name>
        <time>TIME-RANGE</time>
        <weekday>DAYS</weekday>
        <if_sid>PARENT1, PARENT2</if_sid>
        <if_group>GROUP</if_group>
        <if_level>N</if_level>
        <info type="text|link|cve">TEXT|LINK|CVE</info>
        <group>GROUP1,GROUP2,</group>
        <mitre>
            <id>MITRE_ID</id>
            <id>MITRE_ID</id>
        </mitre>
    </rule>
</group>

ケーススタディも参照してください。

式	有効な文字
`\w`	A-Z、a-z、0-9、'-'、'@'、'_'
`\d`	0-9
`\s`	スペース “ “
`\t`	タブ
`\p`	()*+,-.:;<=>?[]!"'#$%&\|{}
`\W`	\w 以外の文字
`\D`	\d 以外の文字
`\S`	\s 以外の文字
`\.`	その他

式	動作
`+`	1回以上の繰り返しに一致
`*`	0回以上の繰り返しに一致

式	動作
`^`	テキストの先頭を指定する
`$`	テキストの末尾を指定する
`\|`	複数のパターン間で論理パターン「or」を作成する

式	有効な文字
`.`	改行以外の任意の文字
`\d`	任意の10進数。`[0-9]` に相当します。
`\D`	10進数以外の任意の文字。`[^0-9]` に相当します。
`\h`	任意の水平空白文字
`\H`	水平空白以外の任意の文字
`\s`	任意の空白文字。`[\t\r\n\f]` に相当します。
`\S`	空白以外の任意の文字。`[^\t\r\n\f]` に相当します。
`\w`	任意の単語文字
`\W`	任意の非単語文字

式	動作
`?`	0 または 1、greedy
`?+`	0 または 1、possessive
`??`	0 または 1、lazy
`*`	0 以上、greedy
`*+`	0 以上、possessive
`*?`	0 以上、lazy
`+`	1 以上、greedy
`++`	1 以上、possessive
`+?`	1 以上、lazy
`{n}`	ちょうど n
`{n,m}`	n 以上、m 以下、greedy
`{n,m}+`	n 以上、m 以下、possessive
`{n,m}?`	n 以上、m 以下、lazy
`{n,}`	n 以上、greedy
`{n,}+`	n 以上、possessive
`{n,}?`	n 以上、lazy

式	動作
`\f`	次のページ (16進数 `0C`)
`\n`	改行 (16進数 `0A`)
`\r`	キャリッジリターン (16進数 `0D`)
`\t`	タブ (16進数 `09`)
`\0dd`	8進コード `0dd` の文字
`\o{ddd..}`	8進コード `ddd..` の文字
`\xhh`	16進コード `hh` の文字
`v\x{hhh…}`	16進コード `hh..` の文字

目次

目次

SIEM 監視

概要

動作の仕組み

コンソール設定

サーバ設定

エージェント設定

Linux® エージェント

MS Windows® エージェント

SIEM イベント

デコーダー

管理

書式

var

decoder

parent

program_name

type

prematch

regex

order

json_null_field

offset

ルール

ルール管理

ソート

書式

var

group

rule

if_matched_sid

if_matched_group

same_id

different_id

same_field

different_field

description

match

regex

decoded_as

category

field

program_name

time

weekday

if_sid

if_group

if_level

info

group

mitre

ケーススタディ

ルール評価順序

正規表現

OS Regex

許容される表現

修飾子

特殊文字

エスケープ文字

制限事項

PCRE2

許容される表現

修飾子

エスケープ文字

SIEM アラート

SIEM レポート